从企业信息安全的总体大局出发,综合考虑企业信息安全的各个环节,从组织、管理、技术三个维度构建多业态集团型企业信息安全管理体系。
文/于瑾
关键词:徽商集团 多维度 信息安全管理体系 多业态集团型企业
徽商集团前身是安徽省物资局,目前是国家重点培育的15家大型流通企业之一。徽商集团现有直属(控股)公司12家,除大宗商品批发贸易、商业连锁经营、商业地产等主业外,还有现代物流、资源再生、专业市场开发运营、期货经纪、酒店、旅游服务等业务板块,营业网点覆盖50多个大中城市和40多个国家。
多业态集团型企业的信息资产种类多、层次丰富,如果不对影响信息安全的各个维度进行全面综合分析,就难以实现企业信息安全。因此,需要从企业信息安全的总体大局出发,综合考虑企业信息安全的各个环节,从组织、管理、技术三个维度构建多业态集团型企业信息安全管理体系。
一、组织维度
1.组织架构清晰
集团公司组建了由首席信息师、信息化指导委员会、跨部门实施团队和信息化专业团队组成的全集团性推进组织。2011年,徽商集团设立了首席信息官(CIO)。徽商集团的信息化指导委员会由集团公司董事长亲自担任主任。信息中心为徽商集团该体系建设的归口管理部门。每个直属控股公司设立协同信息平台专职管理员。
2.核心团队有力
徽商集团信息中心和带头人均有较强的技术攻关能力和实践经验。2013年,该团队被中国企联评为“全国企业信息工作先进集体”,先后获得了1项省级信息化优秀工程、1项省级信息化示范工程。此外,部门主要负责人还荣获“十四届省青年科技奖”和“第四批省学术和技术带头人”“安徽省新型战略产业领军人才”称号,是安徽省网络安全与信息化委员会专家委员。
3.各层级职能明确
高层管理人员,如董事长、总经理、CIO等负责信息安全管理体系建设的重大决策,如制定集团管理制度、整体方案的审批、根据企业实际情况确定投入进度,资金的调度及支持等。中层管理人员,负责整体方案的具体制定、技术支持、具体推进和过程咨询服务。基层管理人员,立足本岗,各司其职,在日常工作中贯彻企业信息安全思想,遵守相关制度,严格规范自身行为等。
4.业务流程规范
业务流程的集合组成了企业管理经营的整体。徽商集团信息安全体系建设以集团的业务流程为抓手,将制度和理念落地,贯穿到经营管理业务的方方面面。
全集团共计5000多个业务流程,均在集团协同办公平台ECO中实现,每个业务流程有规范的流程图、节点、发起人和审批人。业务流程从发起到归档,全过程每个节点的负责人权限也有明确规定。
5.积极借用外脑
徽商集团大力推动产学研一体化建设,加快引进、消化、吸收国内外先进的信息技术与管理经验。先后与中国科学技术大学、合肥工业大学、安徽大学、合肥学院、安徽农业大学等相关院校建立了长期的产学研合作关系。
6.组织文化保障
徽商集团积极建设信息安全的企业文化,由集团信息中心牵头组织,进行了多层次的培训。在集团层面进行全员信息安全讲座,普及信息安全知识和协同系统的使用安全注意事项;对配备移动终端的中层以上领导进行阶段性和一对一辅导,针对不同的设备类型和程序特点,强调使用上的保密性和安全性;利用企业内部宣传载体,如ECO学习平台、内刊、网站、宣传栏等宣传企业信息安全知识和理念。全方位建设信息安全管理的企业文化。
二、管理维度
徽商集团安全体系建设的管理维度,涉及安全管理制度、控制机制、决策机制、应急响应等内容。
1.管理制度完善
制度是管理的基础和保障。在安全体系的建设的管理维度中,首先要建立健全完善的安全管理制度。徽商集团陆续出台了《安徽省徽商集团有限公司信息化指导委员会工作细则》《安徽省徽商集团有限公司信息化工作奖励管理暂行办法》《安徽省徽商集团有限公司总部计算机管理办法》《安徽省徽商集团有限公司网站管理办法》等。先后修订、补充、规范了《信息中心机房管理制度》《信息中心安全保密制度》《中心机房数据备份制度》和《信息中心系统管理员道德规范》等多项规章制度。从多方面规范了安全管理内容。制度文件均公布在集团内部办公平台ECO上,全体员工可以随时查看,做到人人了解,全员参与。制度文件在全集团层面的培训中进行宣传和多次强调。日常信息管理制度上墙,时时对照,自我检查。制度的执行过程中,做到有过程、有跟踪、有记录。执行人互相监督和上级领导定期检查为机制,确保制度执行到位。
2.决策机制高效
徽商集团建立了高效、优化的决策机制。徽商集团信息化管理委员会每年召开全体委员会议,制定全年信息工作计划和方案。在定期召开的办公会、党委会上,有关信息安全提议能够被及时上会讨论,通过群体决策优化决策结果。信息中心每周进行3次以上技术讨论会,对信息安全体系建设中的进度进行确认,对遇到的问题进行研讨。在具体分项目的建设上,邀请高水平集团外部专家,如高校教授、研究机构资深专家等参加项目评审会,对项目的建设结果进行评审和验收,确保项目质量。
3.过程严格受控
在控制机制方面,以权限最小化原则,信息权限严格受控。以徽商集团协同办公平台通知公告发布为例,创建文档后,均设置了共享级别、安全级别的选项,需要针对不同的信息选择不同级别。共享级别以角色、部门、人员、机构为划分方式,可以精确选择到单个人员、部门、下属企业机构等。满足了多业态集团型企业对不同信息公告的分类管理。安全级别选项设置1-10个级别,对编辑、查看等权限有明确划分。在具体的信息发布时,徽商集团以权限最小化为原则,满足最小必要覆盖性,坚决杜绝不必要的信息扩散。
实现行为可追溯。在ECO中进行的业务流程,责任人登录系统的时间与方式,操作的内容、过程时间均有明确记录,前台可通过相关选项进行查看,后台也有日志可查。全面实现了信息管理的行为可追溯。
实物信息的控制方面,严格遵守机要档案管理制度,对需要销毁的文件进行粉碎。除了纸质文件,如光盘、硬盘等其他信息载体的销毁也完备彻底。并建立了抽查机制,定期抽查销毁文件的流向和结果。
对离职人员严格管理。所有离职人员,在办理相关离职手续时,同时清查ECO的流程情况。在离职后,立刻注销其ECO账号,确保信息不外泄。
4.应急响应高效
应急响应是指出现紧急情况时的行动,对一旦出现紧急情况时人员行动做出规定,有秩序地进行救援,以减少损失。徽商集团为防止各种信息安全事故发生而提前做好多项防御准备,如视频监控体系、机房温度监控及自动预警、火灾消防装置、数据备份系统等等。事故发生后,能够采取相应的解决措施,尽量将事故带来的损失降到最低。消除事件后,信息部门还对事故原因进行分析,做好详细记录,并对信息系统进行全面检查,将隐藏的安全隐患彻底消灭。此外,将整个应急响应事件作为信息部门技术会议的研讨内容之一,进行深入研讨和知识沉淀,以避免此类事件再次发生。
三、技术维度
1.基础设施建设
布点完备的视频监控系统。集团视频监控系统共设置41路摄像,对集团7个楼层、东西2个走道、大厅、办公楼外围及广场,全方位无死角监控。视频采用高清画质,定期存储。视频系统可以设置画面或定点自动预警。预警信息能够自动发送到指定移动终端。此外,视频内容均集合在手机等智能终端上,通过安装相应的程序,可以实时查看集团周边和内部情况,该查看权限亦严格受限。
机房物理环境安全方面,一是对机房温度、湿度、漏水和电源情况等进行实时监控。保证服务器所处环境的电源和温湿度安全适宜。二是开启机房火灾自动消防系统。在发生火灾等极端紧急情况时,能够自动开启无氧状态,切断机房氧气,防止火灾蔓延。
2.网络安全建设
定期升级网络设备。对核心网络设备的IOS软件系统全面升级,有力地保障了集团网络的稳定。
上网行为管理。对集团内部用户进行身份验证、MAC地址和IP地址绑定,并在PC终端安装上网行为管理插件,对集团范围内用户的上网行为进行记录和管理。
防火墙建设。现有防火墙采用1台ASA5510,外网口用光纤连接运营商网络作为整个网络的一个出口;DMZ口用千兆双绞线连接一台交换机及DMZ区中各类服务器,以NAT映射方式对内和对外提供 Web服务;2个内网口分别用千兆双绞线连接核心交换机A和B,以支撑网内所有用户以PAT方式访问DMZ区内服务及互联网服务。同时,为应对新的信息网络环境,信息中心不断推进下一代防火墙测试、选型等相关工作。
在集团范围一律禁止私自使用WiFi。对私设WiFi的行为进行严格监控、杜绝,改进现有管理软件,对360等随身WiFi设备的使用亦做到监管有效。对行为人进行自动弹窗提示和预警,必要时自动断开网络以警示。
3.系统安全建设
对所有外部软件进行全方位研究和测试,坚决杜绝软件后门情况。对私设后门的软件方进行严肃沟通,必要时终止合作。
移动终端防盗。通过用户在手机客户端从企业数据服务器上下载、安装应用程序,并在企业数据服务器中进行注册,保存手机的IMEI和IMSI,注册后企业推送服务器将防盗推送服务程序推送到用户手机中进行安装,实现移动终端的防盗功能。
终端丢失自毁机制。通过在移动终端人工或强制设置密码以及密码长度、自动锁定时间等信息,使得移动终端锁定后必须输入密码才可以操作,超过10次错误输入,移动终端将自行清除内部数据,也可以在服务器端强行擦除终端数据,确保终端丢失时数据不会泄露。
4.应用安全建设
集团内部办公均在ECO中实现,对个人用户准入进行严格控制。对用户操作过程详细记录。并在系统中设置安全性提醒,定期提醒员工更改密码。此外,还定期收集并整理各直属(控股)公司ECO应用存在问题和改进建议情况,完成总结报告拟写并在企业经营会上通报。通过自主实践与测试,对ECO文档宏病毒进行定期全面查杀。
集团内部线上沟通以腾讯通(RTX)实现,减少使用QQ等公用IM作为交流工具。RTX的服务器设在集团内部,使得沟通文字信息、传输的数据文件不被外部服务器记录,减少企业信息无意中向第三方服务商泄露的情况。
5.数据安全建设
信息中心注重数据的管理,一方面建立配套的《中心机房数据备份制度》等管理制度和规范,保证数据的正常采集和入库。另一方面采取周密的数据安全保密措施,使信息安全得以保障。在技术上采用虚拟用户、分级授权、密码安全存储、用户日志跟踪等技术,在管理上采取注册用户审批、用户授权管理、数据安全备份等制度,从多方位、多层次保证数据的安全性。
运用企业自主研发的“基于多业态企业多业务平台关键数据的网络备份技术”,利用企业现有资源,搭建实用的关键数据备份平台。该平台实现了跨系统、跨平台、跨数据库的实时备份。备份过程中设置了自检功能,对错误数据进行自纠错。应用该系统对企业重要数据形成同城双中心备份。该系统运行效果良好,其网络备份动态配额技术达到了国内领先水平。■
|
京ICP备12008127
