当前位置:CIO新闻中心 → 正文

网络安全管理工作思考和实践

责任编辑:cres |来源:企业网D1Net  2019-01-12 16:49:47 原创文章 企业网D1Net

2019年北京部委央企及大型企业CIO年会于1月12日在北京开启。大会邀请了约150位来自北京部委、央企和知名企业的信息高管出席,围绕“数字化转型的实践落地”,共同探讨数字经济下政府部门和大型企业在政府职能转变及企业业务变革方面的全新机遇,为企业数字化转型出谋划策。
 
以下是现场速记。


国家环保部信息中心处长 徐敏
 
徐敏:各位领导、嘉宾,下午好。我听了一下午的讲座,大家很辛苦,看到群里面林主任说头有点木了,我下面尽量用简洁的汇报给我们介绍一下生态环境部的网络安全的情况,从议程上看到范总很费心思,花了四分之一的议程讲安全,由此可见网络安全在企业、行业、每个人心中的位置,所以我想从这个角度跟大家谈一下一年来我在网络安全方面工作的心得和体会。
 
介绍这个之前,我想介绍一下我自己。我是来自生态环境部网信办网络安全组的徐敏。我想这个角色大家也知道,生态环境部对网络安全的重视。去年成立了网信办,网信办设在办公厅,好多部委可能都有网信办,但像一些单位的网信办基本上都设在信息中心。生态环境部考虑到网信办的综合协调,包括管理职能,我们的网信办设在了办公厅。办公厅的网信办分为三个组,其中一个组是网络安全组,由此可见网络安全在目前国家以及包括部委工作里面的重要性。
 
我想介绍今天的片子之前,想跟大家分享一下整个网络安全的思路。我现在目前在网信办的网络安全组,自然要从国家的安全,从党中央的要求来入手考虑网络安全的思路。大家琅琅上口的都知道,2014年中央成立了网信办,习主席任网信办小组的组长,没有网络安全就国家国家。大家都觉得网络安全跟每个人还是有一定的距离,但是从这个里面大家可以看到网络安全工作事关国家安全、政治安全和经济社会发展。这句话怎么发展,举一个例子大家就很容易理解了。在去年10月份Facebook爆出数据被英国剑桥分析的数据咨询公司利用,最后导致了特朗普大选竞选倾向性的推动。在4月份的时候小扎也向国会解释了一下Facebook在里面怎么影响到了大选,从后续的分析和报道里面大家都能知道,Facebook和微信一样,是社会的一个公众小程序,这里面有一个程序是测试人的心理分析的,这个就是当时剑桥数据在Facebook里面嵌入的小应用,当时拿到了27万人的数据隐私,通过27万再迭代分析,分析出美国8700人的隐私或者对这些人进行了精准的画像。8700万人口是什么量级呢?基本上是美国选民的四分之一,对这些选民怎么样进行选举的影响呢?举个例子,比如说特朗普是拥枪的,他就会精准的投广告,你的自由是要由自己来守护的,对于保守的,对于不支持拥枪的人会说“你的家人需要你来守护”。通过这样的一些方式影响到了政权的安全。从这些案例里面大家就能明白,网络安全事关国家安全、政权安全和经济社会的发展,这也是在2017年国家党委党组的网络安全工作责任制里面的一个很核心的一句话,意思就是说以后的网络安全工作不光是部门履行的重点,它是由党委党组来重点做主体责任进行布置落实的一项工作。还有一句话,在去年的4月20日国家网络安全工作会上习大大提出,“没有网络安全就没有国家安全,就没有经济社会的稳定运行,广大人民群众的利益也难以得到保障”。从这句话又是对上一句话详细的注解和解读。对于行业部门来讲,怎么理解党中央的决策部署呢?这里面也提到了一句话“行政主管监管部门对本行业、本领域的网络安全指负主管责任。
 
围绕刚才提到的网络安全的指导监管责任,作为一个行业监管部门来说要干什么呢?我们要从三个维度,亲自干什么要干什么,带头干要干什么,指导干要干什么。我们分析以后,从党中央的决策部署以及部党委的要求,我们是这样的定位。以落实党中央决策部署和部党组网络安全工作责任制为核心,履行网络安全监管与指导职能,负责统筹协调我部网络安全重大问题,组织网络安全制度建设、风险隐患排查与整治,指导全国生态环境系统网络安全工作。围绕党委党组工作责任制,我们要亲自干网络安全协调工作、风险隐患排查,指导全国的生态环境系统的网络安全的工作,这个就是我们网络安全组的职能定位。
 
下面介绍一下去年网络安全工作整体的进展。第一,压实网络安全责任,健全管理体制方面,我们印发了党委党组责任制实施细则,明确了每个单位党委党组主要负责人为网络安全第一责任人,分管网络安全的领导班子成员为直接责任人,上传下达及时处理应急事件起到了很好的协调作用,同时对于网信办本身的顶层设计,包括制度方面也做了一些研究和推进。
 
第二个方面的工作是,把握关键环节,落实网络安全制度。大家都知道,网络安全从国家的要求来讲,涉密网有分保,非密网有等级保护制度,刚才论客老总说到邮件安全系统,从相应制度的要求下,我们也开展了一系列的工作。比如说我们在去年借鉴于前几年的网络安全工作推进的痛处,我们原来一直在文件里面强调,要推广等级保护制度的落实,在2017年6月1日起等级保护制度已经入了法,《网络安全法》里面提到了每个主管必须实行等级保护制度,每个单位从文件到文件的推进力度还是比较弱,尤其是生态环境保护部,如果不是作为一项强制性要求,大家在人员、资金的投入就不是那么有力。去年整个机制调整以后,我们从所谓的打涉要打七寸抓主要矛盾,我们最开始以部机关的归口管理的信息系统定期工作来作为抓手推动网络安全保护工作。定期工作做完以后,网络安全主体责任包括等保的整改以及措施,各单位自己来推进。去年通过定期为切入点,等级保护工作还是有很大的切入点。第二是关键基础设施,大家都知道关键信息基础设施是等级保护要重点进行保护的系统,国家也会对关键基础设施进行认定和保护的政策性投入,我们部里也在关键基础设施做了重点防护,去年围绕着部里的关键基础设施开展了上、下半年两次风险评估工作,也对他们提出了评估要求以及风险的整治。
 
第三,加强日常监管,做好重保时期安全保障工作。去年在春节、两会、上合、进博、物联网大会召开前都向相关部署单位下发了工作部署文件,同时对他们的网络安全工作也有一些专项的部署,比如说要让他们开展漏洞的自查,钓鱼邮件的排查和弱口令的专项整治,我们自己也分析了一下,对于部委网络安全的态势来讲,可能弱口令和邮件是风险的一个薄弱环节,也是我们要关注的重点环节,我们对相关的工作进行了专项部署。在日常我们也加强了安全监管,引入了专业的安服团队进行安全进行7×24小时的安全防护,包括人的驻场的服务。应该说,通过网信办到信息中心的技术支持,到各个单位,从不同的层面,建立了一个立体的生态防御体系。从去年来讲,整个安全被主管部门通报的事件大幅度减少。
 
第四,根据目前存在的风险,从等保的管理和技术两个方面梳理了一些安全的风险,梳理出了48项风险,并且提出了针对性的整改措施,拉条挂账进行整改。同时我们也做好日常的向相关主管部门网络安全通报的工作。去年还做了一次实战的应急风险演练,我想可能有些部委都听说过。国家相关主管部门每年都会对网络安全进行应急演练,去年护网2018是一个实战的演练,我们部委虽然不是在2018护网行动参与的部委,我们自己也对于自己的实战系统进行了应急演练,通过应急演练的方式来锻炼大家技术防护的能力以及人员的水平。
 
第五,在网络安全责任制里面也提到了,要开展安全检查,提高安全防护的水平,去年我们也在行业的安全检查方面开展了三步工作。第一步,要求每个单位来进行自查,我们收集到整个行业应该是全系统每个单位的自查情况,形成了自查报告,报给了相关行业主管部门。同时在8、9月份还对以互联网服务为窗口进行对外服务系统,进行远程渗透发现风险和漏洞,对相关的系统提出整改要求。从去年整个渗透的情况来看,生态环境部的互联网对外服务系统情况还比较良好,后来我也跟相关的主管部门沟通了一下,这次我们情况不错,因为我们当时满分的有20个系统,一共有78个系统,有60多个系统都是90分以上,我说这个情况还是比较乐观的。因为这两年国家对于网络安全的重视,特别是郝总也提到了,对于网站群的安全整治,对于邮件的综合整治,部委网络安全工作意识以及网络安全水平都有了很大的提高,这一块还是比较令人欣慰的。第三,在去年下半年查出有问题或者是在安全意识上不是很重视的单位进行了现场的抽查,通过三步曲以查促改带动整个行业的网络安全工作。
 
第六,组织网络安全教育培训。大家都说,网络安全是三分技术七分管理,的确是,如果安全意识有问题的话,整个的网络安全就像一个筛子一样,在每个环节点上都有可能被人攻击进来,导致系统的崩溃。去年在“国家安全教育日”部里通过平面和立体、通过网上和网下进行了整个网络安全的宣传和教育,我们去年结合等级保护定期工作的开展进行了专项培训,同时在培训班里也对网络安全工作进行了部署和传达。
 
以上就是去年的网络安全工作。一叶知秋,举一反三,大家可以看到整个网络安全在一个部委里面重要的部署,也可以看到下一步的重点。
 
下一步,基于今年还是要开展几方面的工作,我归纳了二十个字体,压实责任、健全机制、把握关键、加强监管、提升能力。所谓压实责任,围绕党委党组网络安全责任制的落实,量化考核指标,形成一个网络安全的考评机制。所谓健全机制,要印发自己的网络安全事件应急预案,以及部里的通报管理规定,我们会以技术和管理相结合的方式,通过平台来检查落地制度的实施。所谓把握关键,刚才提到了等级保护的定级,根据去年的工作成果,推进今年全面等保工作在部委整个工作的推广。所谓加强工作,我们的重点工作是要开展日常的监管,提高自己的早发现、早预警以及快速响应的水平,我们今年的重点还会在加强监管上下大力气。所谓提升能力,对于人员,对于技术防护,在下一步也是我们的一个要重点加强的方向。
 
以上就是我想跟大家分享的,我们作为生态环境部网络安全工作的整体情况。借范总的平台,提前给大家拜个年。借用习大大的一句话,我们都在奔跑,我们都是追梦人,2019年祝在座的各位新年快乐、身体健康、梦想城真、心想事成。谢谢大家!

关键字:CIO数字化转型

原创文章 企业网D1Net

x 网络安全管理工作思考和实践 扫一扫
分享本文到朋友圈
当前位置:CIO新闻中心 → 正文

网络安全管理工作思考和实践

责任编辑:cres |来源:企业网D1Net  2019-01-12 16:49:47 原创文章 企业网D1Net

2019年北京部委央企及大型企业CIO年会于1月12日在北京开启。大会邀请了约150位来自北京部委、央企和知名企业的信息高管出席,围绕“数字化转型的实践落地”,共同探讨数字经济下政府部门和大型企业在政府职能转变及企业业务变革方面的全新机遇,为企业数字化转型出谋划策。
 
以下是现场速记。


国家环保部信息中心处长 徐敏
 
徐敏:各位领导、嘉宾,下午好。我听了一下午的讲座,大家很辛苦,看到群里面林主任说头有点木了,我下面尽量用简洁的汇报给我们介绍一下生态环境部的网络安全的情况,从议程上看到范总很费心思,花了四分之一的议程讲安全,由此可见网络安全在企业、行业、每个人心中的位置,所以我想从这个角度跟大家谈一下一年来我在网络安全方面工作的心得和体会。
 
介绍这个之前,我想介绍一下我自己。我是来自生态环境部网信办网络安全组的徐敏。我想这个角色大家也知道,生态环境部对网络安全的重视。去年成立了网信办,网信办设在办公厅,好多部委可能都有网信办,但像一些单位的网信办基本上都设在信息中心。生态环境部考虑到网信办的综合协调,包括管理职能,我们的网信办设在了办公厅。办公厅的网信办分为三个组,其中一个组是网络安全组,由此可见网络安全在目前国家以及包括部委工作里面的重要性。
 
我想介绍今天的片子之前,想跟大家分享一下整个网络安全的思路。我现在目前在网信办的网络安全组,自然要从国家的安全,从党中央的要求来入手考虑网络安全的思路。大家琅琅上口的都知道,2014年中央成立了网信办,习主席任网信办小组的组长,没有网络安全就国家国家。大家都觉得网络安全跟每个人还是有一定的距离,但是从这个里面大家可以看到网络安全工作事关国家安全、政治安全和经济社会发展。这句话怎么发展,举一个例子大家就很容易理解了。在去年10月份Facebook爆出数据被英国剑桥分析的数据咨询公司利用,最后导致了特朗普大选竞选倾向性的推动。在4月份的时候小扎也向国会解释了一下Facebook在里面怎么影响到了大选,从后续的分析和报道里面大家都能知道,Facebook和微信一样,是社会的一个公众小程序,这里面有一个程序是测试人的心理分析的,这个就是当时剑桥数据在Facebook里面嵌入的小应用,当时拿到了27万人的数据隐私,通过27万再迭代分析,分析出美国8700人的隐私或者对这些人进行了精准的画像。8700万人口是什么量级呢?基本上是美国选民的四分之一,对这些选民怎么样进行选举的影响呢?举个例子,比如说特朗普是拥枪的,他就会精准的投广告,你的自由是要由自己来守护的,对于保守的,对于不支持拥枪的人会说“你的家人需要你来守护”。通过这样的一些方式影响到了政权的安全。从这些案例里面大家就能明白,网络安全事关国家安全、政权安全和经济社会的发展,这也是在2017年国家党委党组的网络安全工作责任制里面的一个很核心的一句话,意思就是说以后的网络安全工作不光是部门履行的重点,它是由党委党组来重点做主体责任进行布置落实的一项工作。还有一句话,在去年的4月20日国家网络安全工作会上习大大提出,“没有网络安全就没有国家安全,就没有经济社会的稳定运行,广大人民群众的利益也难以得到保障”。从这句话又是对上一句话详细的注解和解读。对于行业部门来讲,怎么理解党中央的决策部署呢?这里面也提到了一句话“行政主管监管部门对本行业、本领域的网络安全指负主管责任。
 
围绕刚才提到的网络安全的指导监管责任,作为一个行业监管部门来说要干什么呢?我们要从三个维度,亲自干什么要干什么,带头干要干什么,指导干要干什么。我们分析以后,从党中央的决策部署以及部党委的要求,我们是这样的定位。以落实党中央决策部署和部党组网络安全工作责任制为核心,履行网络安全监管与指导职能,负责统筹协调我部网络安全重大问题,组织网络安全制度建设、风险隐患排查与整治,指导全国生态环境系统网络安全工作。围绕党委党组工作责任制,我们要亲自干网络安全协调工作、风险隐患排查,指导全国的生态环境系统的网络安全的工作,这个就是我们网络安全组的职能定位。
 
下面介绍一下去年网络安全工作整体的进展。第一,压实网络安全责任,健全管理体制方面,我们印发了党委党组责任制实施细则,明确了每个单位党委党组主要负责人为网络安全第一责任人,分管网络安全的领导班子成员为直接责任人,上传下达及时处理应急事件起到了很好的协调作用,同时对于网信办本身的顶层设计,包括制度方面也做了一些研究和推进。
 
第二个方面的工作是,把握关键环节,落实网络安全制度。大家都知道,网络安全从国家的要求来讲,涉密网有分保,非密网有等级保护制度,刚才论客老总说到邮件安全系统,从相应制度的要求下,我们也开展了一系列的工作。比如说我们在去年借鉴于前几年的网络安全工作推进的痛处,我们原来一直在文件里面强调,要推广等级保护制度的落实,在2017年6月1日起等级保护制度已经入了法,《网络安全法》里面提到了每个主管必须实行等级保护制度,每个单位从文件到文件的推进力度还是比较弱,尤其是生态环境保护部,如果不是作为一项强制性要求,大家在人员、资金的投入就不是那么有力。去年整个机制调整以后,我们从所谓的打涉要打七寸抓主要矛盾,我们最开始以部机关的归口管理的信息系统定期工作来作为抓手推动网络安全保护工作。定期工作做完以后,网络安全主体责任包括等保的整改以及措施,各单位自己来推进。去年通过定期为切入点,等级保护工作还是有很大的切入点。第二是关键基础设施,大家都知道关键信息基础设施是等级保护要重点进行保护的系统,国家也会对关键基础设施进行认定和保护的政策性投入,我们部里也在关键基础设施做了重点防护,去年围绕着部里的关键基础设施开展了上、下半年两次风险评估工作,也对他们提出了评估要求以及风险的整治。
 
第三,加强日常监管,做好重保时期安全保障工作。去年在春节、两会、上合、进博、物联网大会召开前都向相关部署单位下发了工作部署文件,同时对他们的网络安全工作也有一些专项的部署,比如说要让他们开展漏洞的自查,钓鱼邮件的排查和弱口令的专项整治,我们自己也分析了一下,对于部委网络安全的态势来讲,可能弱口令和邮件是风险的一个薄弱环节,也是我们要关注的重点环节,我们对相关的工作进行了专项部署。在日常我们也加强了安全监管,引入了专业的安服团队进行安全进行7×24小时的安全防护,包括人的驻场的服务。应该说,通过网信办到信息中心的技术支持,到各个单位,从不同的层面,建立了一个立体的生态防御体系。从去年来讲,整个安全被主管部门通报的事件大幅度减少。
 
第四,根据目前存在的风险,从等保的管理和技术两个方面梳理了一些安全的风险,梳理出了48项风险,并且提出了针对性的整改措施,拉条挂账进行整改。同时我们也做好日常的向相关主管部门网络安全通报的工作。去年还做了一次实战的应急风险演练,我想可能有些部委都听说过。国家相关主管部门每年都会对网络安全进行应急演练,去年护网2018是一个实战的演练,我们部委虽然不是在2018护网行动参与的部委,我们自己也对于自己的实战系统进行了应急演练,通过应急演练的方式来锻炼大家技术防护的能力以及人员的水平。
 
第五,在网络安全责任制里面也提到了,要开展安全检查,提高安全防护的水平,去年我们也在行业的安全检查方面开展了三步工作。第一步,要求每个单位来进行自查,我们收集到整个行业应该是全系统每个单位的自查情况,形成了自查报告,报给了相关行业主管部门。同时在8、9月份还对以互联网服务为窗口进行对外服务系统,进行远程渗透发现风险和漏洞,对相关的系统提出整改要求。从去年整个渗透的情况来看,生态环境部的互联网对外服务系统情况还比较良好,后来我也跟相关的主管部门沟通了一下,这次我们情况不错,因为我们当时满分的有20个系统,一共有78个系统,有60多个系统都是90分以上,我说这个情况还是比较乐观的。因为这两年国家对于网络安全的重视,特别是郝总也提到了,对于网站群的安全整治,对于邮件的综合整治,部委网络安全工作意识以及网络安全水平都有了很大的提高,这一块还是比较令人欣慰的。第三,在去年下半年查出有问题或者是在安全意识上不是很重视的单位进行了现场的抽查,通过三步曲以查促改带动整个行业的网络安全工作。
 
第六,组织网络安全教育培训。大家都说,网络安全是三分技术七分管理,的确是,如果安全意识有问题的话,整个的网络安全就像一个筛子一样,在每个环节点上都有可能被人攻击进来,导致系统的崩溃。去年在“国家安全教育日”部里通过平面和立体、通过网上和网下进行了整个网络安全的宣传和教育,我们去年结合等级保护定期工作的开展进行了专项培训,同时在培训班里也对网络安全工作进行了部署和传达。
 
以上就是去年的网络安全工作。一叶知秋,举一反三,大家可以看到整个网络安全在一个部委里面重要的部署,也可以看到下一步的重点。
 
下一步,基于今年还是要开展几方面的工作,我归纳了二十个字体,压实责任、健全机制、把握关键、加强监管、提升能力。所谓压实责任,围绕党委党组网络安全责任制的落实,量化考核指标,形成一个网络安全的考评机制。所谓健全机制,要印发自己的网络安全事件应急预案,以及部里的通报管理规定,我们会以技术和管理相结合的方式,通过平台来检查落地制度的实施。所谓把握关键,刚才提到了等级保护的定级,根据去年的工作成果,推进今年全面等保工作在部委整个工作的推广。所谓加强工作,我们的重点工作是要开展日常的监管,提高自己的早发现、早预警以及快速响应的水平,我们今年的重点还会在加强监管上下大力气。所谓提升能力,对于人员,对于技术防护,在下一步也是我们的一个要重点加强的方向。
 
以上就是我想跟大家分享的,我们作为生态环境部网络安全工作的整体情况。借范总的平台,提前给大家拜个年。借用习大大的一句话,我们都在奔跑,我们都是追梦人,2019年祝在座的各位新年快乐、身体健康、梦想城真、心想事成。谢谢大家!

关键字:CIO数字化转型

原创文章 企业网D1Net

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^