湖南省烟草公司郴州市公司

摘要:湖南省烟草公司郴州市公司(以下简称“郴州烟草”)按照国家烟草专卖局、湖南省烟草专卖局关于加强网络安全建设的有关文件要求,基于高质量发展和数字化转型需要,根据公司网络结构特点、网络安全现状和业务需求,分析在网络架构、网络安全、网络管理等方面的不足,并在此基础上设计符合行业特性的网络安全防护方案,从硬件设施、软件系统、安全管理几方面,对郴州烟草网络安全体系进行重构,建设一套切合实际、行之有效的纵深防御的网络安全体系,提高企业网络安全防护能力和水平,达到对网络安全的长期有效管理,确保郴州烟草各项业务正常稳定运行。

企业简介:湖南省烟草公司郴州市公司成立于1984年3月,1996年5月与湖南省郴州卷烟厂联合组建湘南烟草集团(公司),2002年2月湘南烟草集团(公司)撤销,实行工商分设。公司现有正式员工1500余人,职能部门20余个,下辖桂阳县、嘉禾县、永兴县、安仁县、宜章县、临武县6个两烟区和资兴市、汝城县、桂东县3个卷烟纯销区县级局(分公司)设有标准化烟草工作站20个、国家局现代烟草农业基地单元16个,其中国家局特色优质烟叶开发基地单元10个,卷烟物流配送中心1个,物流中转站4个,服务全市1.5万余户烟农、1.7万余户卷烟零售户,年种植收购烟叶100万担左右,年销售卷烟17万余箱。先后荣获全国文明单位、全省烟叶工作优秀单位、全国烟叶生产基础设施建设先进单位、全省卷烟打假特殊贡献奖、省依法办事示范窗口单位等荣誉,成功创建烟草行业商业标准化示范企业。

一、市级烟草商业企业纵深防御的网络安全体系构建与应用的背景

是响应国家政策新要求的需

近几年来,国家先后出台《网络安全法》、《数据安全法》、《个人信息保护法》和《关键基础设施安全保护条例》,共同织起了“三法一条例”网络安全保障网。习近平总书记曾指出:“要加快网络立法进程,完善依法监管措施,化解网络风险”,“三法一条例”的出台落地,使得网络空间法制化有章可循。在新的网络安全要求和形势下,郴州烟草切实担负起网信工作的新使命,推进纵深防御的网络安全体系建设、为企业提供更加有力的信息化支撑和更加可靠的网络安全保障。

是适应行业数字化转型的需要

数字化革命已经改变了传统的产品和服务模式,烟草行业同样需要更好地适应数字化业务的开展,应对瞬息万变的竞争格局。数字化转型必然离不开云计算、大数据、物联网、人工智能等技术的应用,但这些技术的应用总会伴随技术风险,比如带来更多类型的外部网络出口,网络边界变得模糊;各级机构更依赖互联网接入企业网络处理业务,互联网接入风险日趋严峻;企业广域网运用多种方式组网,业务访问关系更复杂,给网络安全防护带来更多的挑战。因此,烟草企业应当完善网络安全体系建设,通过强化网络边界防护、提高网络结构安全、加强网络纵深防御等措施,在保证网络技术安全管理中稳步推进数字化转型与业务发展。

是保障企业高质量发展的需要

实现高质量发展是我国经济发展进入新时代的必然要求,而确保生产安全是实现高质量发展的基础。当前,郴州烟草网络安全防护仍面临着巨大的挑战,应用系统核心软硬件设备严重依赖国外厂商提供的软硬件产品;信息安全防护薄弱,信息安全保障能力不足;一线使用人员应用系统及网络安全方面的知识储备不足,网络安全意识淡薄;突发网络安全事件应急响应不能适应新形势的要求需要进一步完善;网络新技术的飞速发展带来新的安全风险隐患。因此,构建纵深防御的网络安全体系,强化风险意识,全面提升网络安全防护水平,以有效应对当前国内外深刻变化的网络安全形势,对于保障企业高质量发展显得尤为重要。

二、市级烟草商业企业纵深防御的网络安全体系构建与应用的主要做法

(一)做好顶层规划设计,完善网络安全组织制度管理

1.健全网络安全组织机构

公司成立以党组书记、局长(经理)为组长,副局长(副经理)为副组长,相关部门负责人及各县级局(分公司)局长(经理)为成员的网络安全工作领导小组,负责公司网络安全工作的统筹协调。领导小组下设办公室,与公司信息化工作专门机构——信息中心合署办公,负责组织的日常网络安全综合监管。按照“分级管理”和“一岗双责”的原则,建立“市公司-县公司-烟站(工作站)”三级管理体系。公司信息中心设立专职网络安全管理员,各层级设立兼职网络安全管理员,负责各自主管的业务范围内的日常网络安全管理。

2.落实网络安全工作目标

公司确定总体网络安全方针为:强化意识、规范行为、数据保密、信息完整、纵深防御。

总体网络安全目标为:全年无重大网络安全责任事故发生,具体内容包括信息网络的硬件、软件及其系统中的数据受到保护;电子文件能够永久保存而不受偶然的或者恶意的原因而遭到破坏、更改、泄露;系统连续可靠正常地运行,信息服务不中断。

主要网络安全管理指标包括:一般性网络安全事件次数≤3;一般事故隐患年度网络安全教育培训率100%,合格率100%;网络安全隐患整改及时率100%;新、该、扩信息化项目建设“三同时”执行率100%等。所有指标按照“业务谁主管、安全谁负责”的原则纳入各县公司(各部门)月度和年度绩效考核。各层级由上至下层层签订网络安全责任书,把网络安全工作目标落实到各层级员工,确保网络安全目标传递到每一个工作岗位。

3.完善网络安全制度体系

根据有关国家法律法规、行业标准规范和上级有关要求,修改和完善了网络安全管理与技术系列制度和标准,主要的制度包括《网络安全和信息化工作管理办法》、《个人信息安全管理办法》和《信息系统数据安全管理规定》等;主要的标准包括《信息系统维护管理规范》、《信息设备维护管理规范》、《网络安全管理规范》、《突发信息网络事件应急预案》及工业控制系统实施、管理和评估指南》等同时,根据公司年度工作计划,每年初下发网络安全工作要点,分解重点工作清单,将每项网络安全工作落实到各层级责任单位和责任人。

4.加强网络安全责任考核

建立覆盖全业务的网络安全责任追究制度,开展月、季、年度定期考核。月度考核和年度考核由企管部门根据信息中心提出的日常网络安全要求和年度安全总要求分别进行考核;季度考核由信息中心每季度对市公司各部门和各县公司开展“四不两直”(即不发通知、不打招呼、不听汇报、不用陪同、直奔基层、直插现场)飞行检查,看现场、上设备、查记录,根据检查情况向网络安全工作领导小组汇报后下发网络与信息安全季度通报,实现奖优罚劣。

严格落实网络安全 “两个责任”追究。一是严格落实主体主责,谁使用谁负责,凡是涉网络行为都要承担网络安全主体责任;二是严格落实主管主责,谁主管谁负责,做好主体责任和监管责任的部门、人员职责划分;三是严格规范“两个责任”追究,强化红线意识,严肃责任追究,实行网络安全的一票否决。

(二)推进安全文化建设,提升员工网络安全意识水平

要确保网络安全,首先在思想上就要时刻绷紧安全之弦,不断提升广大员工的网络安全意识,筑牢网络安全思想根基。

1.培育全员网络安全意识

1)信息技术人员主动出击,提前防范的意识

信息技术人员首先要提升自身的网络安全防范意识,不能只像普通员工一样,只考虑自己不发生信息安全事件就行,而要更有主动出击作为思想。一是主动承担起企业网络安全防护工作,不要只是被动的接收领导或上级单位分配的任务。二是主动出击作为,对信息系统及基础设施进行隐患排查、查缺补漏。三是主动宣传、教育,为广大员工普及网络安全知识,提升企业全员网络安全意识,为企业网络安全提前做好防范工作。

2)管理人员及时督察,亡羊补牢的意识

各级管理人员要切实履行网络安全督察职责。针对网络安全事件,事前注重日常事故隐患督察整改。事中做到及时补救事件造成的危害,将网络安全事件的损失和危害降低到最小。事后善于总结,客观分析事件发生的原因,是人为的错误要及时纠正,是系统的漏洞要及时封堵,是设备的缺陷要及时消缺,是人员的责任要及时教育,不推卸责任,谨记亡羊补牢,为时不晚。

3)普通员工不越雷池,不触红线的意识

普通员工虽然不能全面掌握网络安全技术,但必须具备较强的网络安全意识。一是做到将网络安全等同生产安全同样重要看待。二是做到牢记关于网络安全方面的规定和要求,如:密码一定要用强的,一机一定不能两用,涉密信息一定不能上网,上网信息一定不能涉密。三是坚守网络安全红线,不抱侥幸心理,不越入网络安全雷池半步。

4)企业领导重视网络,重视安全的