风险管控方案

1

网络风险管控工作方案

为进一步落实网络信息安全生产主体责任，建立网络安

全生产长效机制，防止和减少各类事故，依据《中华人民共

和国网络安全法》（2017年6月1日起施行）等法律法规及指

导意见，结合业务属性与安全管理实际需要，对网络风险进

行管控。

一、风险描述

信息安全管理包含了物理安全管理、网络安全管理、主

机安全管理、应用安全管理和数据安全管理等多方面，上述

任一环节发生了问题,都会造成企业整个信息网络的系统安

全受到严重的威胁并且造成较大的损失。

1。物理安全管理风险环境。系统载体和线路等故障导

致的网络瘫痪属于物理风险，如水灾、火灾、自然灾害、人

为过失等造成的数据丢失和线路破坏以及环境内的电磁干

扰导致系统的线路无法正常的运转等。

2。网络安全管理风险。由于信息化的发展，网络、互

联互通是电力系统今后发展的趋势。然而系统安全的配置不

够合理或操作人员的不当操作都会引发安全漏洞进而带来

计算机安全威胁,病毒或其他攻击通过网络内部交叉感染，

最终致使整个网络受到攻击并崩溃。许多设备厂家或设备维

保厂家为了编程和维保的便利设置了后门，也会引发的黑客

2

攻击,威胁信息网络的安全。此外,有的企业会将公司内部网

络与互联网连接，方便办公，最终受到来自外部网络对信息

系统实行的选择性刻意破坏。

3.主机安全管理风险。主机系统安全保护措施不够全面

或者措施执行不到位都会造成系统被入侵，破坏者通过采取

一定的技术手段获取超级权限而进入系统，威胁系统信息安

全。攻击者往往是利用系统漏洞来编写定向或非定向的病

毒、木马，再通过各种手段在工控系统网络内传播、交叉感

染。而不必要的模块安装造成了多余的端口开放、安全配置

不到位和未及时修复漏洞而造成外来入侵。

4.应用安全管理风险。伴随着东航信息化的发展，ERP

系统、MES系统、办公系统等网络连接,形成覆盖企业的一张

大网,伴随着各种应用系统的叠加使用，网络安全也有了更

多的隐患，必须要有强大的网络安全管理系统作为支撑，才

可以实现信息管理模式的安全和有效运行.受到企业自身发

展和外界信息化发展影响，这些应用系统往往是由不同厂家

实现开发，这些系统往往需要不同的接口，这些接口也为外

部攻击者留下了攻击的途径和渠道。而且企业中的员工信息

化水平参差不齐,有的年轻职员，操作经验不足,缺少对突发

时间的处理能力和经验；而老职工没有及时跟上时代的步

伐，对新形势下的网络技术并未及时掌控，这些都可能导致

企业网络受到攻击。

3

5.数据安全管理风险。信息和数据管理尚未在公司构建

比较完备的体系，企业的信息管理还有诸多的问题。如对数

据不加以特别保护，很有可能造成数据的丢失或者被窃取，

轻则泄露企业数据，严重的将引起系统数据被修改,导致系

统崩溃.网络中传输的数据如果没有安全保护手段，容易被

攻击者或者黑客非法拦截或串改.数据备份往往存储在磁、

光介质中,这些设备对物理环境要求较高，且如果不经常备

份，有可能造成数据丢失的风险。病毒的侵扰也会导致信息

系统中数据被破坏。

二、防范措施

加强计算机网络信息管理建设的安全研究对保证公司

的正常运转具有十分重要的意义，针对网络安全管理风险的

防护策略也是重点工作。

1.增强安全意识.进一步提升员工的计算机信息网络安

全知识和技术，提升其安全防护综合水平,防止发生内部机

密泄露。不断落实计算机网络信息的安全责任，加强员工的

网络安全意识，持续和定期检查网络信息安全，及时发现并

处理计算机网络安全隐患,保证计算机网络安全。加大内部

信息安全教育力度，提升内部人员保密信息、敏感信息保护

等信息安全保护意识。

2。防火墙拦截。通过安装部署防火墙，可以有效的阻

止未授权的访问，记录各类访问信息，有效阻止攻击数据包

4

和恶意软件在网络之间传播，监测网络上的敏感数据，阻止

未经授权的系统访问.

3.采取防病毒措施。必须采取网络和企业实际结合的方

式来实现病毒防护；必须定期升级病毒库,及时对终端进行

升级，避免携带新型病毒的文件、软件和邮件等媒介在内传

播。通过对恶意行为的监控，对木马病毒传播行为的分析,

防病毒软件可有效阻止其通过U盘、光盘等入侵用户电脑，

阻断其利用可移动存储介质传播的通道,将木马病毒威胁拦

截在电脑之外.

4。强化密码管理。加强密码管理，公司员工在设置或

使用密码时，没有较强的防范意识和安全意识,复杂程度不

够，往往会成为攻击者进行入侵的捷径。在设置计算机网络

密码时，不能设置默认密码,并对密码进行定期修改，设置

密码复杂程度,最好是数字、字母、特殊字符结合，且长度

不低于8位.通过科学和规范的手方法加强密码管理强度,杜

绝攻击者破解密码获得系统使用权限的可能。

依据《网络安全法》和东航集团网络信息安全管理的相

关工作要求,严格落实“谁主管谁负责、谁运行谁负责、谁

使用谁负责"责任制，全流程全面强化公司网络信息安全管

理机制,确保重要网络和信息系统运行正常、重要信息不泄

露、网站内容不篡改,坚决杜绝发生网络安全事件.

5

5。加强系统管控。对于集团公司统一建设推广的IT系

统，公司配合集团公司进行网络信息安全管理；对于公司自

建的IT系统，在建设前须明确信息安全保护方案，建成后须

进行信息安全专项评测.完整全面完成集团部署的关键信息

基础设施保护、系统等级保护评测工作、重保期间信息安全

保障、软件正版化等信息安全工作.建立网络信息安全防护

技术手段，及时修补安全补丁，提高日常安全防范能力.加

强终端安全管理，使用正版软件和安装安全防护工具,避免

因员工违规操作导致病毒、木马感染传播。加强微信、微博

等新媒体应用的信息安全工作.

6.严格执行信息上报制度。一旦发现信息系统和网站被

入侵攻击，应及时按应急程序进行处置，并第一时间向集团

公司安委会和上级监管单位报送相关情况。