落實主體責任 保障網路安全
沒有網路安全就沒有國家安全。今年以來,廣西壯族自治區菸草專賣局(公司)黨組高度重視網路安全工作,以開展全員學習和貫徹落實《網路安全法》活動為契機,認真落實網路安全主體責任,著力加強管理體系和技術體系建設,定期開展網路安全應急實戰演練,深入推進網路安全工作,全力保障廣西菸草商業高質量發展。
層層傳導,全面落實網路安全主體責任
繼去年《網路安全法》宣傳週活動之後,廣西區局(公司)今年繼續深入開展全員網路安全活動,層層落實、全員參與,進一步提高了全員網路安全意識,初步形成了“人人都重視、人人都遵守、人人都維護”的網路安全氛圍。
廣西區局(公司)及各直屬單位相繼印發《黨組網路安全工作責任制實施辦法》,明確黨組對本單位網路安全工作負主體責任,主要負責人是第一責任人,網路安全的分管領導是直接責任人;簽訂網路安全責任書,層層傳導壓力,逐級落實責任;將網路安全納入年度考核內容,實行網路安全一票否決。下發網路安全和資訊化工作要點,突出以“整合共享、資料驅動、融合創新、服務高效、安全保障”為主線,進一步明確全區菸草商業網路安全工作的方向和目標。召開2018年廣西菸草商業網路安全和資訊化工作會議,要求以加強全員網路安全觀為根本,提升網路安全防護水平,以全面防護、嚴控資料、整合資源、安全運維、建設隊伍為導向,全力保障廣西菸草商業高質量發展。
建章立制,大力提升網路安全管理水平
認真落實網路安全等級保護制度,廣西菸草商業共梳理資訊系統122個,其中三級系統17個、二級系統46個、一級系統24個。廣西區局(公司)要求自建資訊系統等級保護備案率必須達到80%以上,等保測評率必須達到50%以上。
嚴格執行網路安全制度和標準,廣西菸草商業突出對系統建設、系統安全、機房、介質、防病毒、密碼、變更控制、備份恢復、安全事件等內容的管理和監控;制定資料安全管理辦法,落實資料分級分類管理,加強重要資料防護。
7月16日至20日,廣西區局(公司)組織開展了半年網路安全交叉檢查,覆蓋15家直屬單位。檢查結束後,及時召開網路安全檢查情況彙報會,通報各單位網路安全隱患和問題,並督促限時整改,進一步增強網路安全防護能力。通過定期開展漏洞掃描、滲透測試、安全配置核查等工作,定期開展工控系統安全評估,定期開展伺服器和計算機終端感染病毒、木馬等情況的檢測和排查,及時處置網路安全突發事件,確保了全區菸草商業系統資訊系統和網路安全執行。
嚴防死守,努力完善網路安全技術體系
廣西區局(公司)加強網路安全防護設施建設,先後部署入侵檢測、防病毒、資料庫審計、防毒牆、資料備份、運維管理、資料流量分析以及桌面管理等8個系統建設;完成網際網路系統安全裝置升級完善,實現了系統性的分級分域、整體防護、積極防禦以及動態管理;聘請第三方專業公司共同組成比較完整的安全防護技術體系,增強安全防護能力。
落實網路安全措施,廣西菸草商業認真抓好網路安全分級分域管理,積極採取防護措施,努力做到“防攻擊、防篡改、防病毒、防癱瘓、防洩密”。加強對基礎設施和新技術應用安全技術防護,在網際網路出口、網上訂貨系統等關鍵基礎設施系統部署防火牆、防毒牆、抗DDoS裝置、入侵檢測系統、WAF防火牆、日誌審計、資料庫安全審計等,進一步加強安全防護;針對當前雲端計算、大資料、物聯網、移動網際網路等新技術的發展,逐步建立全區商業系統漏洞預警及加固管理平臺、網路日常資料梳理及預警平臺,切實加強新技術應用方面的安全防護能力。
堅持演練,著力增強應急處置能力
通過修訂《廣西菸草商業網路安全事件應急預案》,廣西區局(公司)進一步規範全區網路安全事件應急處置工作,提高應對網路安全事件能力,預防和減少網路安全事件造成的損失和危害,保障行業網路安全。
上半年,他們分別開展了外網網站被DDoS攻擊導致網站癱瘓、廣西菸草零售終端資訊系統資料庫宕機應急保障應急演練工作,進一步增強了應急事件實戰處置能力。認真落實網路安全資訊通報和預警機制,及時響應和處置完成國家菸草專賣局網路安全資訊通報事件9次,包括思科IOS和IOS-XE系統高危漏洞處置工作、所屬單位IP疑似感染病毒處置等。突出“思想認識、安全責任、檢測整改、值班值守、資訊報送”五個強化,順利完成了春節及全國“兩會”期間的網路安全重保工作;參加國家局組織的北京主中心和上海容災中心業務系統切換演練,積極準備和應對,確保切換的6個業務系統執行正常。