网络风险管控工作方案.docx

网络风险管控工作方案为进一步落实网络信息安全生产主体责任，建立网络安 全生产长效机制，防止和减少各类事故，依据《中华人民共 和国网络安全法》（2017年6月1日起施行）等法律法规及指 导意见，结合业务属性与安全管理实际需要，对网络风险进 行管控一、风险描述信息安全管理包含了物理安全管理、网络安全管理、主 机安全管理、应用安全管理和数据安全管理等多方面，上述 任一环节发生了问题，都会造成企业整个信息网络的系统安 全受到严重的威胁并且造成较大的损失1.物理安全管理风险环境系统载体和线路等故障导致 的网络瘫痪属于物理风险，如水灾、火灾、自然灾害、人为 过失等造成的数据丢失和线路破坏以及环境内的电磁干扰 导致系统的线路无法正常的运转等2.网络安全管理风险由于信息化的发展，网络、互联 互通是电力系统今后发展的趋势然而系统安全的配置不够 合理或操作人员的不当操作都会引发安全漏洞进而带来计 算机安全威胁，病毒或其他攻击通过网络内部交叉感染，最 终致使整个网络受到攻击并崩溃许多设备厂家或设备维保 厂家为了编程和维保的便利设置了后门，也会引发的黑客攻 击，威胁信息网络的安全此外，有的企业会将公司内部网 络与互联网连接，方便办公，最终受到来自外部网络对信息 系统实行的选择性刻意破坏。

3.主机安全管理风险主机系统安全保护措施不够全面 或者措施执行不到位都会造成系统被入侵，破坏者通过采取 一定的技术手段获取超级权限而进入系统，威胁系统信息安 全攻击者往往是利用系统漏洞来编写定向或非定向的病 毒、木马，再通过各种手段在工控系统网络内传播、交叉感 染而不必要的模块安装造成了多余的端口开放、安全配置 不到位和未及时修复漏洞而造成外来入侵4•应用安全管理风险伴随着东航信息化的发展，ERP 系统、MES系统、办公系统等网络连接，形成覆盖企业的一 张大网，伴随着各种应用系统的叠加使用，网络安全也有了 更多的隐患，必须要有强大的网络安全管理系统作为支撑， 才可以实现信息管理模式的安全和有效运行受到企业自身 发展和外界信息化发展影响，这些应用系统往往是由不同厂 家实现开发，这些系统往往需要不同的接口，这些接口也为 外部攻击者留下了攻击的途径和渠道而且企业中的员工信 息化水平参差不齐，有的年轻职员，操作经验不足，缺少对 突发时间的处理能力和经验；而老职工没有及时跟上时代的 步伐，对新形势下的网络技术并未及时掌控，这些都可能导 致企业网络受到攻击5.数据安全管理风险信息和数据管理尚未在公司构建 比较完备的体系，企业的信息管理还有诸多的问题。

如对数 据不加以特别保护，很有可能造成数据的丢失或者被窃取， 轻则泄露企业数据，严重的将引起系统数据被修改，导致系 统崩溃网络中传输的数据如果没有安全保护手段，容易被 攻击者或者黑客非法拦截或串改数据备份往往存储在磁、 光介质中，这些设备对物理环境要求较高，且如果不经常备 份，有可能造成数据丢失的风险病毒的侵扰也会导致信息 系统中数据被破坏二、防范措施加强计算机网络信息管理建设的安全研究对保证公司 的正常运转具有十分重要的意义，针对网络安全管理风险的 防护策略也是重点工作1.增强安全意识进一步提升员工的计算机信息网络安 全知识和技术，提升其安全防护综合水平，防止发生内部机 密泄露不断落实计算机网络信息的安全责任，加强员工的 网络安全意识，持续和定期检查网络信息安全，及时发现并 处理计算机网络安全隐患，保证计算机网络安全加大内部 信息安全教育力度，提升内部人员保密信息、敏感信息保护 等信息安全保护意识2.防火墙拦截通过安装部署防火墙，可以有效的阻止 未授权的访问，记录各类访问信息，有效阻止攻击数据包和 恶意软件在网络之间传播，监测网络上的敏感数据，阻止未 经授权的系统访问3.采取防病毒措施。

必须采取网络和企业实际结合的方 式来实现病毒防护；必须定期升级病毒库，及时对终端进行 升级，避免携带新型病毒的文件、软件和邮件等媒介在内传 播通过对恶意行为的监控，对木马病毒传播行为的分析， 防病毒软件可有效阻止其通过U盘、光盘等入侵用户电脑， 阻断其利用可移动存储介质传播的通道，将木马病毒威胁拦 截在电脑之外4.强化密码管理加强密码管理，公司员工在设置或使 用密码时，没有较强的防范意识和安全意识，复杂程度不够， 往往会成为攻击者进行入侵的捷径在设置计算机网络密码 时，不能设置默认密码，并对密码进行定期修改，设置密码 复杂程度，最好是数字、字母、特殊字符结合，且长度不低 于8位通过科学和规范的手方法加强密码管理强度，杜绝 攻击者破解密码获得系统使用权限的可能依据《网络安全法》和东航集团网络信息安全管理的相 关工作要求，严格落实“谁主管谁负责、谁运行谁负责、谁 使用谁负责”责任制，全流程全面强化公司网络信息安全管 理机制，确保重要网络和信息系统运行正常、重要信息不泄 露、网站内容不篡改，坚决杜绝发生网络安全事件5•加强系统管控对于集团公司统一建设推广的IT系 统，公司配合集团公司进行网络信息安全管理；对于公司自 建的IT系统，在建设前须明确信息安全保护方案，建成后须 进行信息安全专项评测。

完整全面完成集团部署的关键信息 基础设施保护、系统等级保护评测工作、重保期间信息安全 保障、软件正版化等信息安全工作建立网络信息安全防护 技术手段，及时修补安全补丁，提高日常安全防范能力加 强终端安全管理，使用正版软件和安装安全防护工具，避免 因员工违规操作导致病毒、木马感染传播加强、微博 等新媒体应用的信息安全工作6•严格执行信息上报制度一旦发现信息系统和网站被 入侵攻击，应及时按应急程序进行处置，并第一时间向集团 公司安委会和上级监管单位报送相关情况。