武鋼信息系統(tǒng)整體安全防御體系的研究與應(yīng)用

圖2 武鋼主干網(wǎng)整體安全防御體系的構(gòu)建及系統(tǒng)優(yōu)化結(jié)構(gòu)圖

　　4 信息安全管理制度建設(shè)（ISMS）

　　信息安全保障是一個(gè)動(dòng)態(tài)發(fā)展的過程，不但要貫穿于信息系統(tǒng)的生命周期，也要落實(shí)到信息系統(tǒng)使用的全過程。所以必須建立完善的管理體系來實(shí)現(xiàn)信息安全保障工作的可持續(xù)發(fā)展。

　　信息安全保障的一般原則是“3分技術(shù)，7分管理，以技術(shù)來保證管理手段的落實(shí)”；同時(shí)也是“3分建設(shè)，7 分運(yùn)維，以維護(hù)來保證信息安全的持續(xù)改善”。為此，武鋼從更高的層面進(jìn)行信息安全保障體系的建設(shè)。2006年開始參與國信辦信息安全管理試點(diǎn)工作，參照ISO27001國際標(biāo)準(zhǔn)，在更高水平和更深層次上保障信息安全。

　　雖然從技術(shù)手段上實(shí)施了信息安全工程，但信息系統(tǒng)安全是一個(gè)復(fù)雜的系統(tǒng)工程，信息安全工作是一項(xiàng)長期的工作，必須建立有效的管理制度體系。武鋼成立了公司計(jì)算機(jī)網(wǎng)絡(luò)安全保密領(lǐng)導(dǎo)小組和計(jì)算機(jī)專家組，陸續(xù)建立了《武漢鋼鐵（集團(tuán)）公司新建和技改計(jì)算機(jī)系統(tǒng)建設(shè)規(guī)定》，《計(jì)算機(jī)信息系統(tǒng)安全管理?xiàng)l例》，轉(zhuǎn)發(fā)中共中央保密委員會(huì)《關(guān)于嚴(yán)禁用涉密計(jì)算機(jī)上國際互聯(lián)網(wǎng)的通知》，關(guān)于下發(fā)《公司電視網(wǎng)絡(luò)計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)安全管理辦法》，《武漢鋼鐵（集團(tuán)）公司整體產(chǎn)銷資訊系統(tǒng)授權(quán)管理辦法》，《武漢鋼鐵（集團(tuán)）公司信息化系統(tǒng)事故管理辦法（試行）》，《武漢鋼鐵（集團(tuán)）公司信息系統(tǒng)突發(fā)事件應(yīng)急預(yù)案》，《信息化系統(tǒng)建設(shè)及運(yùn)行管理規(guī)定》，《武鋼涉密計(jì)算機(jī)規(guī)定》，《實(shí)施武鋼生產(chǎn)及管理網(wǎng)與國際互聯(lián)網(wǎng)物理隔離》，《武鋼國際互聯(lián)網(wǎng)上網(wǎng)專用區(qū)建設(shè)與管理辦法》。

　　通過信息安全管理制度建設(shè)，武鋼確定了公司信息安全的方針是：“全員參與 管控兼并 持續(xù)改進(jìn) 確保安全”。

　　明確了公司信息安全的目標(biāo)：

　?。?）實(shí)現(xiàn)公司信息與信息系統(tǒng)的保密性、完整性、可用性；
　　（2）全年重大信息安全事故為零；
　　（3）公司級(jí)信息安全系統(tǒng)功能運(yùn)轉(zhuǎn)率達(dá)到98％；
　　（4）公司級(jí)信息系統(tǒng)作業(yè)率達(dá)到95%以上；
　?。?）公司級(jí)信息系統(tǒng)管理、使用、維護(hù)人員信息安全培訓(xùn)覆蓋率超過60％；
　?。?）遵照PDCA不斷持續(xù)改進(jìn)信息安全管理體系。

　　建立以集團(tuán)公司總經(jīng)理為最高領(lǐng)導(dǎo)的信息安全管理機(jī)構(gòu)，并明確了各部門的信息安全職責(zé)；完成了公司管理手冊(cè)和30 個(gè)信息安全管理程序文件，初步建立公司信息安全管理體系架構(gòu)等。這項(xiàng)工作由科技創(chuàng)新部負(fù)責(zé)，得到了公司領(lǐng)導(dǎo)的重視和支持，公司各職能部門積極參與，付出了艱苦的勞動(dòng)；專業(yè)公司也花費(fèi)大量的心血，同時(shí)得到國家頂級(jí)信息安全專家的指導(dǎo)，取得了豐碩的成果。這是武鋼信息安全建設(shè)的重大成就，也走在全國大型企業(yè)的最前列。

　　5 結(jié)束語

　　信息化也為武鋼發(fā)展注入了后發(fā)勢力，為提高武鋼整體管理水平，促進(jìn)管理現(xiàn)代化，轉(zhuǎn)換經(jīng)營機(jī)制，建立現(xiàn)代企業(yè)制度，都將發(fā)揮巨大的作用。確保武鋼信息系統(tǒng)安全是一個(gè)長期的、復(fù)雜的系統(tǒng)工程，在前期工作的基礎(chǔ)上，狠抓落實(shí)，在遵守國家相關(guān)法令、法規(guī)的前提下，堅(jiān)持技術(shù)與管理并重、堅(jiān)持以安全保發(fā)展、在發(fā)展中求安全，以信息安全管理體系為中心，通過全員參與信息安全管理體系建設(shè)，通過信息安全宣傳、教育與培訓(xùn)，不斷提高公司員工的個(gè)人信息安全素質(zhì)和公司信息系統(tǒng)的安全防范、安全管理能力，保障公司重要業(yè)務(wù)及信息系統(tǒng)的安全穩(wěn)定運(yùn)行；通過不斷地對(duì)公司信息安全管理體系進(jìn)行內(nèi)部審核和管理評(píng)審，使公司信息安全管理體系得以持續(xù)改進(jìn)，按照信息系統(tǒng)“五統(tǒng)一”（統(tǒng)一規(guī)劃、統(tǒng)一審核、統(tǒng)一維修、統(tǒng)一管理、統(tǒng)一標(biāo)準(zhǔn)）的戰(zhàn)略思想，為武鋼的生產(chǎn)和發(fā)展創(chuàng)造安全高效的信息化環(huán)境，促進(jìn)武鋼信息化系統(tǒng)安全、穩(wěn)定、高效運(yùn)行。

　　武鋼實(shí)施信息安全工程以來，有力地保證了武鋼整體產(chǎn)銷資訊系統(tǒng)的安全、高效和穩(wěn)定運(yùn)行，對(duì)武鋼的生產(chǎn)經(jīng)營起到積極作用，通過武鋼信息安全管理體系的建立與實(shí)踐，武鋼人總結(jié)了信息安全的公式，這就是：信息安全＝防范意識(shí)＋先進(jìn)技術(shù)＋完美流程＋嚴(yán)格的制度＋優(yōu)秀的執(zhí)行團(tuán)隊(duì)＋法律保障。