国企、政府、事业单位的IT系统基本上是很多领域和行业的关键信息基础设施,关系到国计民生的正常稳定运转,但是在另外一些人眼里,这些设施都是有极高价值的攻击目标,一旦攻破防线,无论是读取数据还是篡改内容,或是加密勒索,会产生极其恶劣和严重的后果。
安全防线不止需要高超的技术水平,也需要完善的管理制度。前不久,国务院国有资产监督管理委员会新修订的《中央企业负责人经营业绩考核办法》(以下简称《办法》)于2019年4月1日施行。《办法》增加了一个全新的业绩考核指标——网络安全事件,以建立重大事项报告制度等为表现。这意味着央企从价值管理进入网络安全管理的新阶段,利润不再是央企考核的惟一标准。
《办法》中新修订的第五章第三十四条:
建立重大事项报告制度。企业发生较大及以上生产安全责任事故和网络安全事件、重大及以上突发环境事件、重大及以上质量事故、重大资产损失、重大法律纠纷案件、重大投融资和资产重组等,对经营业绩产生重大影响的,应及时向国资委报告。
以及第六章第四十八条中关于如何处理和惩罚
企业法定代表人及相关负责人违反国家法律法规和规定,导致发生较大及以上生产安全责任事故和网络安全事件、重大及以上突发环境事件、重大质量责任事故、重大*和法律纠纷案件、境外恶性竞争、偏离核定主业盲目投资等情形,造成重大不良影响或者国有资产损失的。
非常明确的一点是,此次考核的直接对象就是企业负责人。对于网络安全的要求没有说明,概要的说明一点:企业发生网络安全事件需要及时向国资委进行报告,并且给予降级或者扣分处理,情节严重的,给予纪律处分或者对企业负责人进行调整等。这个处罚可以说相当严厉了,同时把网络安全纳入考核指标也体现了国家在这方面的决心。
总的来说,无论企业具体的网络安全工作如何开展,避免发生网络安全事件始终是核心。如何把握法律精神,做好网络安全的技术和管理工作呢?其实关键点上文已经圈出来了:违反国家法律法规和规定导致的网络安全事件。合法合规永远是开展网络安全工作的第一准则,在《网络安全法》里其实有详细的规定:
第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改……
第三十四条:除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务……
*(限于篇幅就不摘引完整了,读者可自行查阅)*
当然,央企只是国企的一部分,对于其他国企,《办法》也是一样有约束的:
第五十三条:国有资本参股公司、被托管和兼并企业中由国资委管理的企业负责人,其经营业绩考核参照本办法执行。
第五十四条:各省、自治区、直辖市和新疆生产建设兵团国有资产监督管理机构,设区的市、自治州级国有资产监督管理机构对国家出资企业负责人的经营业绩考核,可参照本办法并结合实际制定具体规定。
亡羊补牢犹未为晚,对于企业,特别是《办法》中指出的央企而言,有哪些工作是需要尽快落实完成的呢?
1、及时开展等级保护工作
2、确定网络安全负责人,落实网络安全保护责任
3、配备防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,如增设防火墙、IPS/IDS、防病毒、apt、安全准入、数据库防火墙、身份验证等技术措施
4、留存相关的网络日志不少于六个月,配备专业的日志审计系统
5、做好数据备份及加密
可以看出,等保工作的完成质量,很大程度上决定了企业网络安全的工作质量。为了帮助用户更好地完成等保测评和后续整改,安全狗依托完善的产品体系和专业的服务水平,我们将会根据用户的具体情况,提供建设咨询和测评服务,全程协助用户通过测评并完成整改,最终获得等保测评报告。
作为专业的云安全厂商,安全狗已经积极参与到信息安全等级保护标准制度、政策研究和建设实践的活动中。我们将继续增强对各行业信息安全领域的业务理解和技术服务创新,持续为各行各业输出优质的云安全产品、服务和解决方案。