冶金行业是国民经济的重要基础产业,是技术、资金、资源、能源密集型产业。目前,我国大部分冶金企业已基本实现管理信息系统,极大地提高了企业生产效率,更加适应日益激烈的市场竞争,随之带来数据安全问题。一旦冶金企业设计、生产等核心数据遭到泄露,会对企业的利益造成直接损失。
《中国制造2025》等强国战略背景下,冶金企业身处数字化转型的浪潮中,向“中国智造”转变。冶金企业在安全意识方面,目前存在两个问题:一是对企业信息安全怎么做、信息安全应该做到何种程度、达到怎样的预期效果等企业预计投入比较模糊,需要专业机构提供安全风险评估及规划服务;二是大多数安全厂商对行业流程及深度理解不够、沟通成本较高、行业解决方案千篇一律。数字化、智能化已成为当前时代的主旋律,冶金行业作为国家经济的支柱性产业,需要积极落实企业数字化转型,真正实现工业互联网,走向智造未来。
● 1994年,国务院第147号令《中华人民共和国计算机信息系统安全保护条例》明确我国计算机信息系统实行安全等级保护;公安部与国家保密局、国家秘密管理局、原国务院信息化工作办公室先后出台了《关于印发<信息安全等级保护管理办法>的通知》、《关于开展全国重要信息系统安全等级保护定级工作的通知》等一系列指导意见和规范。
● 2005年,国家网络与信息安全协调小组正式通过了《关于开展信息安全风险评估的若干意见》,规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则,适用于信息系统的使用单位进行自我风险评估,以及风险评估机构对信息系统进行独立的风险评估。
● 2013年,工业和信息化部关于印发《信息化和工业化深度融合专项行动计划(2013-2018年)》,推动信息化和工业化深度融合,以信息化带动工业化,以工业化促进信息化,对于破解当前发展瓶颈,实现工业转型升级。
● 2015年,工业和信息化部关于印发贯彻落实《国务院关于积极推进“互联网+”行动的指导意见》行动计划(2015-2018年),促进互联网和经济社会融合发展,拓展网络经济空间,提高发展质量和效益。
● 2016年,《网络安全法》出台,明确国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、冶金等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
● 2017年,国务院印发《关于深化“互联网+先进制造业”发展工业互联网的指导意见》,提出夯实网络基础,打造平台体系、加强产业支撑、促进融合应用、完善生态体系、强化安全保障、推动开放合作等七项主要任务,以指导和规范我国工业互联网的发展。
● 2018年,工信部发布《工业互联网发展行动计划(2018-2020年)》《工业互联网专项工作组2018年工作计划》;网络安全管理局重新修订《公共互联网网络安全威胁监测与处置办法》《公共互联网网络安全突发事件应急预案》,规范了相关的监测和处置,以及信息通报应急处置办法。
(一)数据防泄漏需求
在数字化转型的当下,冶金行业积累的数据资源呈级数增长,形成了海量的数据源,数据在采集、存储、流转过程中存在较大的安全隐患。冶金行业属于技术、资金、资源、能源密集型产业,对核心的技术机密、专利等进行有效安全管理至关重要。如何确保企业财务报表、计划、技术文件等资料安全交互,防止与外协人员、合作伙伴等数据交互发生泄漏,保障移动设备、存储介质的数据安全等内网安全问题迫在眉睫。
(二)业务系统数据安全建设需求
随着信息化建设程度不断加深,冶金企业大多使用EMS、DMS、财务管理等业务系统。目前冶金行业的各业务应用系统均有权限管理机制,可根据安全域的划分控制用户对在线数据的使用和操作,但是当一些数据以电子文档形态从应用系统被下载到用户终端时,由于被下载文档已经脱离了应用系统的安全管控范围,缺乏一种安全、有效的保护和管理机制。
(三)风险评估及安全体系规划需求
冶金企业的网络与信息化安全问题直接关系到钢铁冶金、环境能源等企业核心业务的顺利开展。在不断加强信息化建设的同时,网络与信息化安全也成为冶金企业必须努力解决的首要问题。冶金企业在信息安全实践方面尚处于探索阶段,希望有专门从事信息安全体系规划及风险评估的机构能为其提供专业性的指导建议。
(四)文件安全管理需求
长期以来,冶金行业信息化建设偏重业务管理方面建设,对个人文件的安全保护不够重视。随着网络的发展与完善,个人文件信息爆炸性增长,同时也带来了个人文件安全保护的问题。如何使这些数据资源管理更便捷、更规范,使用更安全,可靠性更高,提高数据资源共享效率,充分发挥知识仓库的作用,以提高企业的综合竞争力,是管理者面临重要问题。
(五)数据保密系统管理溯源审计需求
传统管理制度不能约束和追踪审计员工行为,发生泄密事件后无法进行事后追溯,需要建立数据安全监督管理机制,实现用户授权、身份认证、访问控制、重要信息敏感性和完整性保护等全过程认证、监控、审核、管理机制的有效实施。
(一)数据加密防泄漏
应冶金企业文件加密需求,采用数据实时加密技术对计算机正在运行的涉密数据进行智能识别,通过对电子文档的创建、修改、传输、归档、分发、销毁等全过程的加密管理,以达到电子文档的保护目标。企业内的电子文件只能在授权许可的范围内使用,在没有经过授权许可的情况下,无论以何种方式脱离授权应用范围,电子文件都将不可使用,从信息的源头进行加密保护。并对所有USB设备(移动硬盘、U盘、移动光驱、无线网卡等)的运行实施管控,帮助冶金行业客户从事前预防、事中控制和事后审计对系统数据进行全生命周期的安全防护。
(二)文档高效安全协同管理
针对个人文件安全保护的需求,为企业搭建了一个电子文档集中管理的平台。企业文件库、个人文档库、在线文档协作、文档版本管理、评论、标签、细粒度文档安全管控、系统安全审计等功能,对电子文档在企业中的全生命周期过程进行集中管理和安全管控,能够极大地提升员工的工作效率、提高文档安全性。
(三)信息安全风险评估及安全体系规划咨询服务
信息安全咨询服务方案对冶金企业信息系统可能面临的风险进行分析、控制,通过信息安全漏洞扫描、信息安全风险评估、信息安全管理体系规划等,有效地避免黑客的攻击行为,提高系统的安全防护能力、隐患发现能力和应急响应能力。
(四)数据溯源审计统一分析
对冶金企业的系统安全事件进行多方位、多视角、大跨度、细粒度的监测,可全面监控和处理应用程序中的另存为、打印、拷贝粘贴、发送邮件等会引起泄密的行为,并对企业数据安全状况的进行统计分析,并提供数据统计柱形图可视化地展示数据安全状况,做到可预防、可定位、可追溯。
(一)解决数据泄密问题
通过敏捷数据安全卫士DGS这一数据安全与数据管理统一平台,为客户构建集事前主动预防、事中实时控制、事后安全审计为一体的多重防护体系,细粒度的权限管理、主动的加密策略、安全可视化的管控、水印溯源等功能增强了冶金企业抵御网络安全威胁的能力,与冶金企业业务系统良好集成,避免内部员工有意或无意的泄密,避免了与合作单位数据交互导致的二次泄密,保障了移动设备、存储介质的数据安全。
(二)提高客户文档协同效率
敏捷文档管理系统DM结合冶金客户日常文档管理中的各种需求,为企业搭建电子文档集中管理的平台,对企业电子文档进行集中管理和安全管控,极大地提升员工的工作效率、提高文档安全性。支持文档的内部共享和链接外发,确保文档协同高效;采用ElasticSearch智能搜索引擎,使文档管理更加智能化、多元化。
(三)帮助客户提升信息系统安全防护能力
通过信息安全风险评估及安全体系规划咨询项目的实施和成果应用,明确了企业当前安全状况,防患于未然,同时为建立起一套适应于企业成长需求且行之有效的信息安全管理体系,提高了客户系统的安全防护能力、隐患发现能力和应急响应能力。