刊登广告 | 杂志订阅 | 联系我们 | 关于我们 | 加入理事会 | 加入收藏
             
            首页 |本刊特稿 |管理论坛 |管理批判 |案例·实务 |封面文章 |管理创新 |方法 |企业信息化 |理论·前沿 |管理点滴
            微言管理 |精彩推荐 |栏目展示 |关于我们 |投稿须知 |在线调查 |主编信箱 |在线交流 |企管书架|企业家|读书汇
                 
               
                 
            请输入要搜索的文章标题
             
             
              《企业管理》杂志简介:
            《企业管理》杂志是由国务院国有资产监督管理委员会主管,中国企业联合会主办的中文核心期刊(月刊)。
            · 1980年创刊 领先地位
            · 庞大的精英受众群体
            · 全球视角 本土方案
            · 最高发行量48万份 渗透中国企业界
             
               订阅方式    
             
             
             

            1. 在选题方面,当前国内企业管理领域的热点、难
            点、疑点问题。了解企业当前的实际问题,是提高
            稿件采用率的一个关键因素。
            2. 在文章风格方面,在叙述方式上力求简明通俗,
            注重可读性和观点的新颖。您不妨施展一下您的生
            花妙笔,把您的理论、观点和故事叙述得更明白有
            趣一些。
            3.本刊多年来形成并保持了以案例说话的风格,我
            们欢迎作者提供更多新鲜的、原创的案例文章。
            4.本刊审稿周期为两个月,对于没有选用的稿件尚
            无法一一退稿,敬请谅解。
            5.本刊对于作者投稿从不收取“版面费”、“审稿
            费”等名目的任何费用。

             
              <<详情查询>>  
             
              投稿邮箱 :E_mail:qyglzz@263.net.cn
             
             
              副社长兼采编中心主任:王仕斌:特稿、专栏 点击这里给我发消息 电话:68453201
            副主任:王黎: 特稿、管理批判、方法 :点击这里给我发消息 电话:68701529
            栏目主编:程丹丹:信息化·智能化、理论·前沿:点击这里给我发消息 电话:68414646
            栏目主编:苗榕 :封面文章、案例·实务:点击这里给我发消息 电话:68436071
            栏目主编:韦敏:企业家、管理创新:点击这里给我发消息 电话:68436071
            栏目主编:张艳蕊:点击这里给我发消息 电话:68436071
            编辑:井亚琼:论坛: 点击这里给我发消息 电话:68414646
            企业研究中心主任:郭学军:走进央企、读书汇: 点击这里给我发消息 电话:68701338
            栏目主编:吕宏胜: 点击这里给我发消息 电话:68701338
             
             
                 
              更多>>>  
              ·《六韬》对管理者的启示(2020-03)
            ·高效人生的十个要点(2020-02)
            ·管理者要扫清六个路障(2020-02)
            ·你真的把客户放在第一位了吗?(2020-02)...
            ·管理小游戏:扔掉“旧包袱”(2020-02)
            ·企业家心得(2020-01)
            ·挖来的产品经理难“存活”(2020-01)
             
             
                 
              更多>>>  
             
             
                     
                企业信息化    
              筑牢网络安全“防火墙”(2020-02)  
            企业管理杂志 发布时间:20-06-29        
               

            网络攻击威胁逐年增加,各类漏洞数量持续攀升,大量信息系统存在漏洞,传统网络安全问题已向工业控制领域延伸⋯⋯

             

            文/陈斯迅



            关键词:网络安全  网络安全法  网络安全等级保护制度2.0  漏洞扫描  渗透测试

                 近年来,随着企业信息化建设水平的逐步提高,OA、ERP、EAM、MES等信息系统的应用大大提高了生产效率,但是,在业务对信息化越来越依赖的情况下,网络安全问题频繁发生。网络攻击威胁逐年增加,大量信息系统存在漏洞,传统网络安全问题已向工业控制领域延伸,加强企业网络安全管理显得更加迫切。
                 从《网络安全法》颁布到网络安全等级保护制度2.0的出台,都彰显了国家对网络安全的重视。中国石油管道公司根据政策要求,逐步完善了相应网络安全制度,设立专职网络安全岗位,部署了漏洞扫描、防火墙等网络安全设备,每年进行渗透测试,从外部通知整改转变为自查漏洞并整改的网络安全管理模式。公司根据“策略—防护—检测—响应—恢复”模型(PPDRR模型),构建起一套网络安全管理体系。
                
            网络安全总体策略
                 由于信息系统在企业生产经营中扮演着重要角色,业务部门都会自建和维护本部门的信息系统,如财务处负责FMIS、AMIS等系统的建设和运维,人事处负责人力资源、绩效考核系统的建设和运维⋯⋯这些系统由各业务部门负责,这就给网络安全增加了更大的风险。另外,网络安全工作还涉及工业控制系统的安全、商业信息保密、员工个人隐私等多方面的问题,传统的信息管理部门难以协调解决涉及面如此广泛的问题。基于以上原因,公司成立了网络安全领导小组,由公司总经理任组长,负责公司总体网络安全工作。网络安全领导小组建立了相关的规章制度和操作规范,包括设备管理制度、机房管理制度、安全基线手册、应急预案、漏洞管理制度等,使各项业务有章可循。同时,明确各相关部门的职责,按照谁主管谁负责的原则层层落实网络安全责任。将各个系统的安全需求统筹考虑,统一管理公司网络安全投资,以法律法规和网络安全检查的结论为依据,形成下一年度的投资计划。
                
            信息设备管理
                 信息设备管理是信息化管理工作的基础,同时也是网络安全工作的基础。几年前,当漏洞被发现时,最大的难题是如何找到IP地址所对应的设备,具体由谁负责。面临这种问题,公司建立了IP地址实名制管理制度,并配套相关系统进行管理,每一个条目中记录了IP地址、对应设备、人员、单位、物理位置、设备中包含的相关软件等信息。建立此类信息一方面可以通过相关设备收集网络信息,另一方面可以通过下发通知、调研等方式,获得IP地址对应的人员信息。公司通过这项管理机制,将网络安全责任根据设备的责任主体落实到部门和人员。
                
            机房和网络保护
                 在物理安全方面,公司确保机房的建筑防火、耐火等级、耐火极限、安全出口等建设符合国家标准。确保机房温度、湿度、空气含尘浓度、噪声、电磁干扰、振动及静电等指标符合国际相关要求;安装门控系统,只有机房管理员和主要运维人员可以通过指纹识别进入机房。
                 合理的网络架构是网络安全的基础。公司相关分支机构分布在17个省,以前各个机构和总部的局域网互联互通,每个机构有自建的互联网出口。但是,由于分支机构的安全防护能力不足,经常有安全事件发生。近几年公司关闭了所有分支机构的互联网出口,在总部的互联网出口上部署安全设备,统一防范网络威胁,同时各分支机构的主要服务器都集中在总部机房。对企业局域网进行安全划分,每个分支机构到总部的出口都部署防火墙,防止病毒等攻击行为在局域网内部扩散;为总部每个部门设置VLAN,隔离ARP病毒等数据链路层风险;对于有关生产安全或涉密信息的系统,建立专网与其他网络物理隔离。在服务器区,根据等保定级划分不同安全区域,同时分离出生产区和测试区,测试区的系统只有开发者、管理员以及安全检查人员可以访问。
            信息系统基本保护
                 公司全面部署漏洞补丁和病毒查杀系统,办公电脑方面,安装桌面安全系统,集成补丁自动分发、病毒查杀等多种功能;服务器方面,因为更新补丁会影响服务器正常运行,所以不能自动更新安装,而是部署专门下载各种操作系统以及常见软件补丁的服务器,由信息系统运维人员进行人工补丁安装。公司制定了安全基线,对主流操作系统、数据库、Web服务器制定了明确的安全配置要求和操作步骤,对信息系统起到基本的保护作用。对信息系统进行访问控制管理,任何人员开通账号或增加权限都需要经过审批,同时进行权限互斥检查。在管理员层面,操作系统管理员、数据库管理员、应用系统管理员须由不同人员担任,重要信息系统的权限也要进行互斥检查。如在ERP系统中,价格维护权限要和维护销售订单权限互斥,销售出库权限要和销售发票权限互斥。
                 面对众多的信息系统账号,如何保证系统信息安全是一个重要问题。石油企业拥有众多员工,应建立企业内部的PKI(公钥基础设施),并为电脑和系统使用人员办理数字证书,作为人员在企业中访问所有信息资源的唯一凭证。通过数字证书对各个信息系统以及办公电脑的映射,可以有效防止人员账号密码被非法使用。同时,在人员离职时可以通过注销数字证书的方法直接取消离职人员的所有访问权限,消除潜在威胁。
                 信息系统安全保护,不仅需要定期安全检查,在系统开发时期就需要实施安全开发。当前,公司由于人员和技术力量的原因,尚未建立全面的安全开发措施,主要工作是建立起一套安全代码开发规范,指导开发人员编写程序,同时严格执行上线前的安全检查。在合规性方面,要求所有系统必须通过等级保护的定级、备案和测评,才允许系统部署在测试区。在测试区,技术人员对系统进行漏洞扫描和渗透测试,作为系统验收的重要部分,开发人员对系统完成整改并通过验证后才能部署到生产区。
                
            漏洞管理机制
                 信息系统漏洞的检查和整改一直以来都是公司网络安全的重点工作。对于共有漏洞,部署漏洞扫描设备,定期对公司进行全网扫描;对于自建信息系统的私有漏洞,需要通过渗透测试的方法发现漏洞。一方面需要专业的队伍才能有效发现漏洞,另一方面自建系统往往涉及公司主要业务和相关机密信息,相关工作全部委托给外部人员安全风险较大,而且相比漏洞扫描来说,渗透测试工作主观性较强,评估外部人员的完成情况需要有较强的技术基础。
                 面对以上问题,公司采取了委托外部机构和培养内部技术力量相结合的方式,每年定期委托外部专业机构对公司信息系统进行渗透测试,内部技术人员负责对漏洞进行验证和整改,公司授予内部技术人员查看系统源代码的权利,并建立奖励机制鼓励内部技术人员随时挖掘漏洞。2018年以来,公司共通过代码审计和渗透测试发现私有漏洞5类31项。发现漏洞的目的是修复漏洞,私有漏洞总体数量较少,而且通常可以修改系统源代码,修复相对容易;共有漏洞数量庞大,如2017年进行了全网扫描,漏洞达到11405项,虽然通过补丁分发以及安全基线配置等措施,2019年漏洞数量仍然达到3104项。由于漏洞整改需要相关厂商提供补丁,如果补丁无法正常安装,则漏洞很难完成整改。例如,公司发现多个HP打印机有SSLTLS受戒礼漏洞,但厂商没有提供相关补丁或者系统升级服务。
                 根据上述问题,公司对漏洞采取分级管理的方法,对于共有漏洞,漏洞扫描设备中会给出漏洞的相关评分,该评分是根据CVE等国内外权威机构给出的标准,同时根据信息系统和相关设备的重要程度、当前存在的主要威胁,对每个漏洞进行打分,满分为10分。对于分值在6分以下的漏洞,只通知其使用或运维人员,不要求其反馈;对于6分至9分的漏洞,必须反馈整改结果并对其验证;对于9分以上的漏洞,服务器立即从生产区转移到测试区,检验其完成整改后才能恢复正常运行。对于评估分数较低的漏洞采取只通知不要求反馈的措施,在企业体系审核的过程中经常被提出质疑,认为缺乏闭环管理。然而,这项措施是根据企业实际情况提出,一方面网络安全管理人员严重缺乏,另一方面部分漏洞的整改耗费大量资金和时间,但这些漏洞造成的风险并不大,虽然只通知不反馈,但由于广大员工安全意识较高,在下一轮的漏洞扫描中,发现有一半以上漏洞被整改。
                
            网络安全检测
                 网络安全风险评估中的三个基本要素是资产、威胁、脆弱性,网络安全保护主要工作是通过事前的各种安全措施,降低各种资产的脆弱性。对于内外部威胁,公司也采取了相关检测措施。
                 物理检测方面,在重点区域部署摄像头并存储现场视频,对发现的可疑人员进行审查;每隔2小时对机房进行巡检,通知系统管理员对不正常运行的服务器进行处理。
                 情报获取方面,每天对国内外主流网站、政府主管部门等发布的最新威胁情报进行分析,针对企业信息设备情况进行自查和防范。
                 网络检测方面,部署态势感知系统,全面分析网络状态和入侵威胁,及时阻断具有威胁的外部IP地址。如果发现向外部发起攻击的内部IP地址,现场或远程查看其相应设备,对其进行行为分析和病毒查杀。
                 在安全审计方面,要求服务器的Web日志、操作系统日志、数据库日志都要保持半年以上,定期检查并处置异常行为。
                
            事件响应和恢复
                 尽管开展了各方面的网络安全保护和检测工作,通过事前和事中的管控避免对网络和信息系统造成损失,但是安全事件的事后应对工作也是不可或缺的一个方面。公司建立网络安全应急预案,设立突发事件应急领导小组,明确小组成员以及工作职责,对安全事件进行分级分类管理;设立安全事件处置流程,和相关厂商签订协议,确保其对安全事件应急的技术支持。对信息系统、网络链路、数据、相关设备采取冗余备份措施。每年对安全应急预案进行应急演练,并根据演练结果不断优化应急预案。
                
            网络安全培训
                 由于网络安全工作具有特殊性,一方面与每一位员工的工作都密不可分,另一方面涉及计算机、信息学科的各个领域,知识面广泛,技术更新快,需要定期对信息技术人员进行专业培训。基于此,公司网络安全培训分为三个方向:一是面向全体员工的培训,提升其网络安全意识,并讲授计算机使用时安全防御的基本操作技能;二是面向各分支机构信息管理员的培训,主要讲授公司网络安全管理制度,配置安全基线、整改相关漏洞等基础操作技术;三是面向网络安全技术人员以及信息系统开发人员的培训,通过聘请专业机构进行技术培训,包括渗透测试、源代码审计、系统安全运维等方面,同时鼓励技术人员参加网络安全比赛和考取相关证书,提高技术水平。■


            作者单位 中国石油管道公司
             

               顶(128)  踩(125)   查看次数:(1565)   
             
                更多>>>
              本刊特稿
            ·仓里有粮,心中有数(2020-03)
            ·打好防疫战,AI有“技”可施(2020-03)
            ·疫情期间,不见面如何工作?(2020-03)
            ·疫情之下企业危机与生机(2020-03)
            ·疫情挑战与企业对策 逆境中,企业必须做出...
            ·疫情衍生法律问题应对(2020-03)
             
             
                更多>>>
              管理论坛
            ·“向华为学管理”系列(六) 华为:让个人...
            ·学会“爱”与“自爱”(2020-03)
            ·力争一次做对(2020-03)
            ·“逻辑领导力”系列(七)改变,从流程开始...
            ·科技向善,以正理企(2020-03)
            ·《一位总经理的成长手记》系列(八)从下属...
             
             
             
                更多>>>
              管理批判
            ·信息化项目建设的八个痛点(2020-03)
            ·能者多劳还是能者少劳?(2020-03)
            ·产业互联网:赋能先转型(2020-03)
            ·外聘高管难挽狂澜?(2020-02)
            ·康得新缘何堕入“债务陷阱”?——基于大股...
            ·网易考拉:市占率向左,盈利向右(2019-11)...
             
             
                更多>>>
              案例·实务
            ·翔泰渔业:三产融合,向海而生(2020-03)
            ·鲁矿公司为何取消子公司会计岗位?(2020-0...
            ·海底捞:布局火锅全产业链(2020-03)
            ·大东鞋业六步打造快时尚品牌(2020-03)
            ·彩妆集合能否引领美妆潮流?(2020-03)
            ·安全文化·安全管理 “班组安全岛”开创基...
             
             
             
                更多>>>
              盈利模式
            ·盈利原理 ——透视商业的本质(2014-04)
            ·探索制造业服务化之路(2014-04)
            ·黄太吉煎饼的盈利逻辑(2014-04)
            ·用现金流模式检测盈利模式的“质量”(2014...
            ·新东方盈利模式的先天性缺陷(2014-03)
            ·全产业链服务商的盈利路线图(2014-03)
             
             
                更多>>>
              封面文章
            ·新时代国企改革的“陕投模式”(2020-01)
            ·实施“五大工程” 锻造强劲引擎 党建引领...
            ·中交集团:“五商中交”“三者”定位打造基...
            ·全面转型升级 争创国际一流 山东黄金奏响创...
            ·兖矿集团:变革转型激活力 动能转换谋发展...
            ·泰山集团:以科技创新践行绿色发展(2019-0...
             
             
             
                更多>>>
              管理创新
            ·兆驰集团财务共享创新(2020-03)
            ·研发管理体系建设与应用(2020-03)
            ·均衡排产管理(2020-03)
            ·大疆创新生态系统(2020-03)
            ·“蒙草”创新的三层进阶(2020-02)
            ·巴斯夫的创新之道(2020-02)
             
             
                更多>>>
              方法
            ·如何提高销售预测准确率(2020-03)
            ·企业档案助力品牌营销(2020-03)
            ·降库存“舞动”供应链(2020-03)
            ·工作重塑从被动接受到主动追求(2020-03)
            ·“三抓一管”预防型质量管理(2020-02)
            ·“蒙草”创新的三层进阶(2020-02)
             
             
             
                更多>>>
              企业信息化
            ·制造+物流协同新模式——基于海尔与日日顺...
            ·信息系统严把质量关(2020-03)
            ·数据中台应对招聘难题(2020-03)
            ·IT系统有必要集成管理流程吗?(2020-02)
            ·筑牢网络安全“防火墙”(2020-02)
            ·一种有效降低研发风险的管理模式(2020-02)
             
             
                更多>>>
              理论·前沿
            ·“幸福班组”建设路径探索(2020-03)
            ·企业如何加强诚信建设(2020-03)
            ·工业企业云化发展评价及对策研究(2020-03...
            ·中小企业自主创新可行性分析(2020-02)
            ·阳明心学打造当代心力(2020-02)
            ·闲置专利的唤醒与使用(2020-02)
             
             
             
             
            国务院国有资产监督管理委员会 国家发展和改革委员会 中华人民共和国商务部 中企联合网 中国投资协会 中国工商协会 中国钢铁工业协会 中国国家企业网
            中国电力企业联合会 中国经济网 人民网 新华网 中国网 央视国际 中青网 中国日报 中经网 《经济管理》杂志
             
            加入理事会 | 市场活动 | 刊登广告 | 杂志订阅 | 联系我们 | 关于我们
            投稿邮箱 :qyglzz@263.net.cn    Copyright 2011, 版权所有 www.cecm.net
            京ICP备12008127

            京公网安备 11010802023979号

                      1分快3