姜晓亮 国际法学硕士

counsel@attorney.net.cn

网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性。每年都有一些企业发生服务器被劫持,网络瘫痪,密码被盗等网络安全案件。企业的正常营运离不开网络的支持,而网络安全案件一旦发生,可能会对企业造成灾难性的后果。企业加强网络安全与信息安全的防范,做好应对网络与信息安全突发事件的应急处理工作,最大限度地减轻或消除网络与信息安全突发事件的危害和影响。企业网络和信息安全涵盖企业的网络系统、主机系统,电脑操作系统、应用软件系统;涉及电脑病毒的防范、非法入侵的监控;数据安全与数据传输;以及用户(包括公司职工和外部相关机构人员)为中心的安全管理,包括用户的身份管理、身份认证、授权、审计等等。

企业目前网络安全的不足主要反映在管理和技术两个层面:

从管理层面来说,企业网络安全的不足主要表现在以下方面:网络安全工作涉及企业管理,生产,供应链,信息等多个部门,包括电子数据生产、存储、分享、传输等。如何充分发挥信息部门的监管权力,调动业务部门的积极性,最大化利用信息部门的人员、资金、技术等资源,是首要解决的问题;虽然一些企业制定了《公司网络安全管理规定》,但贯彻落实不够;职工数据安全意识薄弱,存在无意识泄密风险。一些职工常常为方便工作将涉密数据上传到网上或者邮箱中,无意间造成数据泄露。

从技术层面来说,企业网络安全工作存在以下方面的不足:未采取有效并不断更新的数据泄露防护手段;未采用更有针对性的基于内容的数据泄露防护技术,建立数据泄露防护体系来保障敏感数据安全;有些安全产品可能存在漏洞和后门,易造成敏感数据二次泄漏的风险;有些企业选择了单一网络安全供应商的整体解决方案,可能会形成供应商是灵魂而企业变躯体情形。

企业网络安全风险管理必须整合企业管理体系与流程、技术手段及法律手段三个方面,设计适合本企业的完整安全架构、并持续改进,从而获得理想的安全管控效果。具体可以参考网络安全的国家标准《GB∕T 36626-2018 信息安全技术 信息系统安全运维管理指南》。

1. 确定企业管理网络安全的部门与岗位责任

企业安全生产管理委员会全面负责网络安全管理,同时确定企业的具体部门负责日常的网络安全工作,对各类可能引起突发网络与信息安全事件的有关信息的收集、分析、判断和持续监测。

企业的网管部门应当在检查到有网络与信息安全突发事件发生或可能发生时,及时对发生事件或可能发生事件进行调查核实、保存相关证据,并立即向企业安全生产管理委员会报告。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施建议等。

企业根据自身的网络安全的需求制定《公司信息安全管理规定》(参考文本请见《企业与法手册》)。

2. 日常网络安全工作

2.1 设定信息安全等级保护,实行信息安全风险评估

通过相关设备实时监控网络工作与信息安全状况,各基础信息网络和重要网络建设要充分考虑抗毁性和灾难恢复。2019年12月1日起实施国家标准《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019),该标准贯彻了《网络安全法》关于网络安全等级保护制度的最新要求。

2.2 商业秘密数据的保护

商业秘密数据保护流程涉及数据的产生、存储、传输、应用和销毁等过程,做好电子数据防护工作要从数据存储、网络传输和终端应用三方面部署防护产品,实现对电子数据泄露的有效监管。分为管理、应用和工具三方面,防护设备部署在应用层,包括监测阻断设备、邮件数据泄露防护设备与软件、服务器的数据泄露防护设备、存储扫描发现设备与终端数据泄露防护设备;在管理层对所有的防护产品进行统一管理和配置;策略优化、数据分类分级和终端检测工具等作为辅助工具对整体方案的实施提供支持。

建立数据泄露防护流程要明确什么样的数据是敏感数据,即数据的分类分级,在明确敏感数据范围后,可以制定敏感数据防护策略,根据制定的策略对部署的防护设备进行配置,匹配策略的敏感数据外发事件上报管理员进行审计。防护工作同管理手段结合,实现对数据外发行为的综合管理。

2.3 建立容灾备份系统

容灾备份系统,容灾是为了在遭遇灾害时能保证信息系统能正常运行,帮助企业实现业务连续性;备份是为了应对灾难来临时造成的数据丢失。容灾备份的目标是帮助企业应对人为误操作、软件错误、病毒入侵等软件灾害以及硬件故障、自然灾害等硬件灾害。

重要网络均应建立容灾备份系统和相关工作机制,保证重要数据在遭到破坏后,可紧急恢复。各容灾备份系统应具有一定的兼容性,在特殊情况下各系统间可互为备份。

3. 网络安全检查

聘请有资质的网络安全服务商,对企业的网络安全进行检查,包括:

1)系统漏洞检查;:扫描企业网络系统,检测存在的弱点与漏洞;并提出相应的修补方案。

2)数据库安全检查:对数据库配置的安全进行检测。

3)主机安全检查:通过提取操作系统的关键机制,如系统服务,注册表,启动进程,检测操作系统的访问控制,授权与审计;反馈系统的安全配置,文件访问,引导等系统深度信息。

4)网络安全检查:通过对目标网站进行完整扫描,检测WEB应用安全弱点;对网页木马和各类网页被篡改后植入恶意代码进行检测分析等。

4.制定并不断完善公司网络安全应急预案

针对信息网络的突发性安全案件,建立制度优化、程序化的处理流程,制定《公司网络安全应急预案》 (参考文本请见《企业与法手册》)。

企业需要建立控制系统防病毒和恶意软件入侵管理机制,对控制系统及临时接入的设备采用必要的安全预防措施。安全预防措施包括定期扫描病毒和恶意软件、定期更新病毒库、查杀临时接入设备(如临时接入U盘、移动终端等外设)等。

具体可以参考《企业与法手册》中的《企业如何开展网络安全事件应急演练》一文。

5. 法律风险管理

按照《网络安全法》、《计算机信息网络国际联网安全保护管理办法》、《商用密码管理条例》、《计算机网络国际联网保密管理规定》等法律法规的规定,完善企业与客户的用户协议;与供应商的采购合同,网络服务合同;企业与职工的保密协议与竞业限制协议,预防信息安全的法律风险。

对涉及公司商业秘密等敏感网络内容进行外包时,应根据风险控制和实际需要,进行评估审核与监督管理。对承包方财务状况、技术实力、安全资质、风险控制水平和诚信记录等进行评估,确保其设施和能力满足外包要求。更新完善信息安全外包服务合同,特别是合同中的安全保密、知识产权、服务连续性要求、争议解决、违约责任等条款,应当有利于企业的信息安全管理。

6

. 刑法的司法保护

发生严重的网络安全事件,需根据刑法的相关规定,即时固定证据,并向司法机关报案。刑法中关于网络信息安全的罪名主要有以下三种:

1)非法侵入计算机网络罪,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机网络的行为。

2)非法获取计算机网络数据、非法控制计算机网络罪,是指违反国家规定,侵入前款规定以外的计算机网络或者采用其他技术手段,获取该计算机网络中存储、处理或者传输的数据,或者对该计算机网络实施非法控制,情节严重的行为。

3) 提供侵入、非法控制计算机网络程序、工具罪是指提供专门用于侵入、非法控制计算机网络的程序、工具,或者明知他人实施侵入、非法控制计算机网络的违法犯罪行为而为其提供程序、工具,情节严重的行为。

总之,企业应加强安全性风险和薄弱环节的评估及管理,分析网络所可能面临的威胁,制定并实施正确的应对策略,预防和减少网络安全案件的发生。

自动测量仪

ogp官网

轴类测量机

光学测量仪器