在萬物互聯的時代,沒有任何一張網絡可以置身於安全事外。江蘇有線為全省超千萬規模用戶提供有線廣播電視、個人和專線寬帶、5G通信等全業務服務,是江蘇“數字産業化”和“産業數字化”的重要力量。就傳統廣播電視業務而言,江蘇有線是行業翹楚,在安全播出安全傳輸方面積累了豐富經驗;在新興光網寬帶和5G通信等領域,作為新生力量,江蘇有線正對標對表最嚴格的行業標準,堅持系統思維、問題導向,疊加技防、人防多重手段,落實做細各項舉措,力爭闖出一條符合行業準則又具有鮮明廣電特色的網絡安全建設之路來。
堅持系統思維,從“一根線”進階到“一棵樹”。進入全業務發展階段後,江蘇有線繼承併發揚優良傳統,持續強化“萬無一失、一失萬無”的安全發展觀,一手抓發展,一手抓安全,兩手抓兩手硬,以安全保發展,用發展促安全。
一是統籌兼顧,踐行“大安全”理念。着眼於本質安全,全方位加強物理網絡、信息數據安全和反電詐體系建設,補齊短板,堵塞漏洞,通過苦練內功打造“金剛不壞之身”。在網絡安全方面:建立健全全省安全檢查整改閉環聯動機制,將安全責任落實到位。常態化開展“拉網式”安全防護、檢查工作,精心組織開展對營業廳終端問題隱患排查、安全威脅應對和處置,對互聯網資産的不間斷監測、掃描等常態化工作,對於掃出的漏洞均實現了“動態清零”。此外,每月及時上傳下達最新網絡安全動態、漏洞補丁情況,針對發現的問題,快速響應,第一時間修訂完善應急措施,提升了突發事件的應急處置能力。在數據安全方面:通過建立健全管理制度、開展數據分級分類並對重要數據和核心數據進行備案、實施“找茬式”安全自檢評估等有效手段,全方位、立體式加強風險管控,紮緊籬笆樁、織密防護籠。先後梳理編制了《數據安全管理辦法》等制度規範文件12份,使數據安全管理實現了“有法可依”。盤整業務系統敏感數據,先後使用工具進行了4次數據庫掃描,並結合人工審核,對系統數據資産清單進行了全面梳理,摸清了安全底數;按照省通管局下發的“數安護航”專項檢查要求,組織開展了自查評估,檢驗了安全成色。在反電詐方面:組建了工作專班,制訂了《防範治理電信網絡詐騙工作管理辦法》等7項5G運營管理和業務規範文件。進一步強化實名制工作落實,明確要求實體渠道、網絡渠道電話用戶必須實名登記,入網後必須人工二次審核實名制信息,工號信息必須實名備註,開展了內部人員的行業法規、業務規範的常態化培訓和警示教育,&&考核細則,形成了事前入網管控、事中監督檢查和事後考核問責的實名制閉環管理體系。
二是突出重點,聚焦“關鍵項”任務。緊盯關鍵時間節點、上級重大部署任務、重點工作環節,開展“點穴式”網絡安全壓力測試。重保期間安排應急支撐單位24小時駐場保障,嚴格執行每日“零報告”,圓滿完成安播保障任務。重點對技術手段實行提檔升級,先後完成了主機檢測、態勢感知擴容項目部署,態勢感知&&服務器擴容,接入了地市分公司態勢感知&&實時數據。引入了“網頁防篡改系統”,對暴露在公網上的web應用進行重點防護。針對公司內網網絡安全防護情況,既實行靜態“沙盤推演”,又在不影響業務正常使用的前提下,模擬機頂盒用戶真實環境對公司業務系統進行模擬攻擊,提高各業務系統運營單位的安全防護意識,督促各責任主體及時修補漏洞,消除各類風險隱患,提升防護技術能力。
三是狠抓細節,嚴防“燈下黑”現象。江蘇有線注重抓日常、摳細節,從小處着眼,於微末處下功夫,不折不扣地落實意識形態責任制目標要求和任務清單,嚴格執行“三審三校”制度,提升了內容生態安全水平。強化細化領導幹部帶班和重點部位值班制度,紀檢監察部門加大對安全保障任務的專項監督力度,對重保期內不認真履職盡責的極個別員工動真碰硬、嚴肅問責。在個人信息保護方面,貫徹落實《數據安全法》《個人信息保護法》相關要求,根據省委網信辦年度工作任務安排,條分縷析、多措並舉,加強個人信息保護,先後對涉及超過100萬人個人信息的系統進行了詳實調查,並成功建立了系統目錄,還制定了人臉識別技術應用清單,明確記錄了每項技術應用的目的、範圍、數據流動等方面的完整具體細節,確保該技術應用的透明度和可追溯性。在弱口令治理方面,對基礎設施、門戶網站、郵件系統、辦公系統、重要業務系統、雲&&、大數據&&、數據庫系統、LED 電子顯示屏系統等進行了廣泛、嚴密、細緻排查,對賬號管理、密碼策略、監控與審計等環節流程進行了全鏈條補強優化。
強化問題意識,將“知不足”內化為“勇毅進”。儘管在網絡安全領域內取得了一定成績,但與上級部門的要求、與廣大用戶的期待、與兄弟同行的水平還有不小差距。為此,江蘇有線將切實激發內生動力,進一步調整優化組織機構、充實精幹力量、鞏固前期成果、提高總體安全水準。在接下來的工作中,具體要抓好4大任務:
落實等保要求,持續推進等保測評。根據省廣電局、省公安廳等上級主管、監管部門要求,及時評估新建在建信息系統的重要性和安全性,及時開展等保備案和測評工作。按照《信息安全等級保護管理辦法》要求開展測評和復測,根據測評結果對各系統進行網絡安全整改優化。
實行以賽代練,加緊培養實用人才。積極組織專業人員參加各項網絡信息安全專項技能競賽, 以賽代練,以練促學,提高網絡信息安全管理能力和技術水平。把競賽、培訓、宣貫結合起來,更加廣泛和深入地開展網絡安全培訓、教育工作,引導全員認識網絡安全風險危害,讓網絡安全意識和相關要求在全公司深入人心。
檢視反饋問題,做好整改“後半篇”文章。根據省通管局“數安護航”專項檢查的反饋結果,結合對全省13家設區市分公司以及部分縣(區)公司的網絡安全工作現場檢查情況,有計劃地推進整改工作,對所有不合格項,分門別類、逐項分析,做到見微知著、舉一反三,有針對性提出整改方案,按照緊急程度和實際情況確定優先級,制定周密合理計劃,按照預設目標、既定步驟全面完成整改工作。
深化“百日行動”,確保反電詐落實見效。按照聯席會議以及省通管局打擊治理電信網絡詐騙犯罪“百日行動”方案要求,明確各條線和13家設區市分公司目標任務,細化工作舉措,抓實抓細各項措施,堅決打贏反電詐“百日行動”攻堅戰。加快建設反電詐系統新功能模塊,儘早實現省內詐騙信息一鍵關停、通話信令實時拆線、106短信端口業務溯源倒查和關停、垃圾短信監控攔截、“渠道網點、工號、號卡”等數據信息自動上報以及“互聯網涉詐處置四項功能”等一系列先進功能。
江蘇有線將牢牢把握新型廣電媒體傳播網、國家文化專網、國家新型基礎設施網和國家移動政務專網“新四網”定位,始終堅持以人為中心的發展理念,牢固樹立用戶至上、安全第一的責任意識,傾力打造“兼具宣傳文化和綜合信息服務特色、可管可控、安全可靠的新型融合網絡”,承擔社會責任,彰顯國企擔當,讓黨和政府放心,讓用戶群眾滿意。(沐晨)