冶金行業(yè)是國民經(jīng)濟(jì)的重要基礎(chǔ)產(chǎn)業(yè),是技術(shù)、資金、資源、能源密集型產(chǎn)業(yè)。目前,我國大部分冶金企業(yè)已基本實(shí)現(xiàn)管理信息系統(tǒng),極大地提高了企業(yè)生產(chǎn)效率,更加適應(yīng)日益激烈的市場(chǎng)競(jìng)爭(zhēng),隨之帶來數(shù)據(jù)安全問題。一旦冶金企業(yè)設(shè)計(jì)、生產(chǎn)等核心數(shù)據(jù)遭到泄露,會(huì)對(duì)企業(yè)的利益造成直接損失。
《中國制造2025》等強(qiáng)國戰(zhàn)略背景下,冶金企業(yè)身處數(shù)字化轉(zhuǎn)型的浪潮中,向“中國智造”轉(zhuǎn)變。冶金企業(yè)在安全意識(shí)方面,目前存在兩個(gè)問題:一是對(duì)企業(yè)信息安全怎么做、信息安全應(yīng)該做到何種程度、達(dá)到怎樣的預(yù)期效果等企業(yè)預(yù)計(jì)投入比較模糊,需要專業(yè)機(jī)構(gòu)提供安全風(fēng)險(xiǎn)評(píng)估及規(guī)劃服務(wù);二是大多數(shù)安全廠商對(duì)行業(yè)流程及深度理解不夠、溝通成本較高、行業(yè)解決方案千篇一律。數(shù)字化、智能化已成為當(dāng)前時(shí)代的主旋律,冶金行業(yè)作為國家經(jīng)濟(jì)的支柱性產(chǎn)業(yè),需要積極落實(shí)企業(yè)數(shù)字化轉(zhuǎn)型,真正實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng),走向智造未來。
● 1994年,國務(wù)院第147號(hào)令《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》明確我國計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù);公安部與國家保密局、國家秘密管理局、原國務(wù)院信息化工作辦公室先后出臺(tái)了《關(guān)于印發(fā)<信息安全等級(jí)保護(hù)管理辦法>的通知》、《關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》等一系列指導(dǎo)意見和規(guī)范。
● 2005年,國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組正式通過了《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估的若干意見》,規(guī)定了信息安全風(fēng)險(xiǎn)評(píng)估的工作流程、評(píng)估內(nèi)容、評(píng)估方法和風(fēng)險(xiǎn)判斷準(zhǔn)則,適用于信息系統(tǒng)的使用單位進(jìn)行自我風(fēng)險(xiǎn)評(píng)估,以及風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的風(fēng)險(xiǎn)評(píng)估。
● 2013年,工業(yè)和信息化部關(guān)于印發(fā)《信息化和工業(yè)化深度融合專項(xiàng)行動(dòng)計(jì)劃(2013-2018年)》,推動(dòng)信息化和工業(yè)化深度融合,以信息化帶動(dòng)工業(yè)化,以工業(yè)化促進(jìn)信息化,對(duì)于破解當(dāng)前發(fā)展瓶頸,實(shí)現(xiàn)工業(yè)轉(zhuǎn)型升級(jí)。
● 2015年,工業(yè)和信息化部關(guān)于印發(fā)貫徹落實(shí)《國務(wù)院關(guān)于積極推進(jìn)“互聯(lián)網(wǎng)+”行動(dòng)的指導(dǎo)意見》行動(dòng)計(jì)劃(2015-2018年),促進(jìn)互聯(lián)網(wǎng)和經(jīng)濟(jì)社會(huì)融合發(fā)展,拓展網(wǎng)絡(luò)經(jīng)濟(jì)空間,提高發(fā)展質(zhì)量和效益。
● 2016年,《網(wǎng)絡(luò)安全法》出臺(tái),明確國家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、冶金等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。
● 2017年,國務(wù)院印發(fā)《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》,提出夯實(shí)網(wǎng)絡(luò)基礎(chǔ),打造平臺(tái)體系、加強(qiáng)產(chǎn)業(yè)支撐、促進(jìn)融合應(yīng)用、完善生態(tài)體系、強(qiáng)化安全保障、推動(dòng)開放合作等七項(xiàng)主要任務(wù),以指導(dǎo)和規(guī)范我國工業(yè)互聯(lián)網(wǎng)的發(fā)展。
● 2018年,工信部發(fā)布《工業(yè)互聯(lián)網(wǎng)發(fā)展行動(dòng)計(jì)劃(2018-2020年)》《工業(yè)互聯(lián)網(wǎng)專項(xiàng)工作組2018年工作計(jì)劃》;網(wǎng)絡(luò)安全管理局重新修訂《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測(cè)與處置辦法》《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》,規(guī)范了相關(guān)的監(jiān)測(cè)和處置,以及信息通報(bào)應(yīng)急處置辦法。
(一)數(shù)據(jù)防泄漏需求
在數(shù)字化轉(zhuǎn)型的當(dāng)下,冶金行業(yè)積累的數(shù)據(jù)資源呈級(jí)數(shù)增長,形成了海量的數(shù)據(jù)源,數(shù)據(jù)在采集、存儲(chǔ)、流轉(zhuǎn)過程中存在較大的安全隱患。冶金行業(yè)屬于技術(shù)、資金、資源、能源密集型產(chǎn)業(yè),對(duì)核心的技術(shù)機(jī)密、專利等進(jìn)行有效安全管理至關(guān)重要。如何確保企業(yè)財(cái)務(wù)報(bào)表、計(jì)劃、技術(shù)文件等資料安全交互,防止與外協(xié)人員、合作伙伴等數(shù)據(jù)交互發(fā)生泄漏,保障移動(dòng)設(shè)備、存儲(chǔ)介質(zhì)的數(shù)據(jù)安全等內(nèi)網(wǎng)安全問題迫在眉睫。
(二)業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全建設(shè)需求
隨著信息化建設(shè)程度不斷加深,冶金企業(yè)大多使用EMS、DMS、財(cái)務(wù)管理等業(yè)務(wù)系統(tǒng)。目前冶金行業(yè)的各業(yè)務(wù)應(yīng)用系統(tǒng)均有權(quán)限管理機(jī)制,可根據(jù)安全域的劃分控制用戶對(duì)在線數(shù)據(jù)的使用和操作,但是當(dāng)一些數(shù)據(jù)以電子文檔形態(tài)從應(yīng)用系統(tǒng)被下載到用戶終端時(shí),由于被下載文檔已經(jīng)脫離了應(yīng)用系統(tǒng)的安全管控范圍,缺乏一種安全、有效的保護(hù)和管理機(jī)制。
(三)風(fēng)險(xiǎn)評(píng)估及安全體系規(guī)劃需求
冶金企業(yè)的網(wǎng)絡(luò)與信息化安全問題直接關(guān)系到鋼鐵冶金、環(huán)境能源等企業(yè)核心業(yè)務(wù)的順利開展。在不斷加強(qiáng)信息化建設(shè)的同時(shí),網(wǎng)絡(luò)與信息化安全也成為冶金企業(yè)必須努力解決的首要問題。冶金企業(yè)在信息安全實(shí)踐方面尚處于探索階段,希望有專門從事信息安全體系規(guī)劃及風(fēng)險(xiǎn)評(píng)估的機(jī)構(gòu)能為其提供專業(yè)性的指導(dǎo)建議。
(四)文件安全管理需求
長期以來,冶金行業(yè)信息化建設(shè)偏重業(yè)務(wù)管理方面建設(shè),對(duì)個(gè)人文件的安全保護(hù)不夠重視。隨著網(wǎng)絡(luò)的發(fā)展與完善,個(gè)人文件信息爆炸性增長,同時(shí)也帶來了個(gè)人文件安全保護(hù)的問題。如何使這些數(shù)據(jù)資源管理更便捷、更規(guī)范,使用更安全,可靠性更高,提高數(shù)據(jù)資源共享效率,充分發(fā)揮知識(shí)倉庫的作用,以提高企業(yè)的綜合競(jìng)爭(zhēng)力,是管理者面臨重要問題。
(五)數(shù)據(jù)保密系統(tǒng)管理溯源審計(jì)需求
傳統(tǒng)管理制度不能約束和追蹤審計(jì)員工行為,發(fā)生泄密事件后無法進(jìn)行事后追溯,需要建立數(shù)據(jù)安全監(jiān)督管理機(jī)制,實(shí)現(xiàn)用戶授權(quán)、身份認(rèn)證、訪問控制、重要信息敏感性和完整性保護(hù)等全過程認(rèn)證、監(jiān)控、審核、管理機(jī)制的有效實(shí)施。
(一)數(shù)據(jù)加密防泄漏
應(yīng)冶金企業(yè)文件加密需求,采用數(shù)據(jù)實(shí)時(shí)加密技術(shù)對(duì)計(jì)算機(jī)正在運(yùn)行的涉密數(shù)據(jù)進(jìn)行智能識(shí)別,通過對(duì)電子文檔的創(chuàng)建、修改、傳輸、歸檔、分發(fā)、銷毀等全過程的加密管理,以達(dá)到電子文檔的保護(hù)目標(biāo)。企業(yè)內(nèi)的電子文件只能在授權(quán)許可的范圍內(nèi)使用,在沒有經(jīng)過授權(quán)許可的情況下,無論以何種方式脫離授權(quán)應(yīng)用范圍,電子文件都將不可使用,從信息的源頭進(jìn)行加密保護(hù)。并對(duì)所有USB設(shè)備(移動(dòng)硬盤、U盤、移動(dòng)光驅(qū)、無線網(wǎng)卡等)的運(yùn)行實(shí)施管控,幫助冶金行業(yè)客戶從事前預(yù)防、事中控制和事后審計(jì)對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行全生命周期的安全防護(hù)。
(二)文檔高效安全協(xié)同管理
針對(duì)個(gè)人文件安全保護(hù)的需求,為企業(yè)搭建了一個(gè)電子文檔集中管理的平臺(tái)。企業(yè)文件庫、個(gè)人文檔庫、在線文檔協(xié)作、文檔版本管理、評(píng)論、標(biāo)簽、細(xì)粒度文檔安全管控、系統(tǒng)安全審計(jì)等功能,對(duì)電子文檔在企業(yè)中的全生命周期過程進(jìn)行集中管理和安全管控,能夠極大地提升員工的工作效率、提高文檔安全性。
(三)信息安全風(fēng)險(xiǎn)評(píng)估及安全體系規(guī)劃咨詢服務(wù)
信息安全咨詢服務(wù)方案對(duì)冶金企業(yè)信息系統(tǒng)可能面臨的風(fēng)險(xiǎn)進(jìn)行分析、控制,通過信息安全漏洞掃描、信息安全風(fēng)險(xiǎn)評(píng)估、信息安全管理體系規(guī)劃等,有效地避免黑客的攻擊行為,提高系統(tǒng)的安全防護(hù)能力、隱患發(fā)現(xiàn)能力和應(yīng)急響應(yīng)能力。
(四)數(shù)據(jù)溯源審計(jì)統(tǒng)一分析
對(duì)冶金企業(yè)的系統(tǒng)安全事件進(jìn)行多方位、多視角、大跨度、細(xì)粒度的監(jiān)測(cè),可全面監(jiān)控和處理應(yīng)用程序中的另存為、打印、拷貝粘貼、發(fā)送郵件等會(huì)引起泄密的行為,并對(duì)企業(yè)數(shù)據(jù)安全狀況的進(jìn)行統(tǒng)計(jì)分析,并提供數(shù)據(jù)統(tǒng)計(jì)柱形圖可視化地展示數(shù)據(jù)安全狀況,做到可預(yù)防、可定位、可追溯。
(一)解決數(shù)據(jù)泄密問題
通過敏捷數(shù)據(jù)安全衛(wèi)士DGS這一數(shù)據(jù)安全與數(shù)據(jù)管理統(tǒng)一平臺(tái),為客戶構(gòu)建集事前主動(dòng)預(yù)防、事中實(shí)時(shí)控制、事后安全審計(jì)為一體的多重防護(hù)體系,細(xì)粒度的權(quán)限管理、主動(dòng)的加密策略、安全可視化的管控、水印溯源等功能增強(qiáng)了冶金企業(yè)抵御網(wǎng)絡(luò)安全威脅的能力,與冶金企業(yè)業(yè)務(wù)系統(tǒng)良好集成,避免內(nèi)部員工有意或無意的泄密,避免了與合作單位數(shù)據(jù)交互導(dǎo)致的二次泄密,保障了移動(dòng)設(shè)備、存儲(chǔ)介質(zhì)的數(shù)據(jù)安全。
(二)提高客戶文檔協(xié)同效率
敏捷文檔管理系統(tǒng)DM結(jié)合冶金客戶日常文檔管理中的各種需求,為企業(yè)搭建電子文檔集中管理的平臺(tái),對(duì)企業(yè)電子文檔進(jìn)行集中管理和安全管控,極大地提升員工的工作效率、提高文檔安全性。支持文檔的內(nèi)部共享和鏈接外發(fā),確保文檔協(xié)同高效;采用ElasticSearch智能搜索引擎,使文檔管理更加智能化、多元化。
(三)幫助客戶提升信息系統(tǒng)安全防護(hù)能力
通過信息安全風(fēng)險(xiǎn)評(píng)估及安全體系規(guī)劃咨詢項(xiàng)目的實(shí)施和成果應(yīng)用,明確了企業(yè)當(dāng)前安全狀況,防患于未然,同時(shí)為建立起一套適應(yīng)于企業(yè)成長需求且行之有效的信息安全管理體系,提高了客戶系統(tǒng)的安全防護(hù)能力、隱患發(fā)現(xiàn)能力和應(yīng)急響應(yīng)能力。