基于DMAIC模型县级局网络安全“三化六防”规范化管理的研究与实践-2135078

理论与实践经济与社会发展研究基于 DMAIC 模型县级局网络安全“三化六防” 规范化管理的研究与实践湖南省烟草公司长沙市公司信息中心刘湘平李丹摘要：为了解决县级局网络安全管理中存在的基础设施简单，防护能力不足，管理分散、风险高等问题，本文运用精益管理工具 DMAIC 模型，分析县级局网络安全存在的风险，以“实战化、体系化、常态化”理念构建县级局“六防”网络安全规范管理体系，筑牢网络安全“防火墙”，有效提升基层单位网络安全管理的防护水平。关键词：DMAIC 模型；三化六防；网络安全；管理中图分类号：C36 文献标识码：A 文章编号：2095-2570（2021）35-0236-003 一、引言体防护，联防联控”为新举措，构合法权益，促进经济社会信息化健网络安全和信息化是事关国建国家网络安全综合防控系统，深康发展，我国于 2017 年 6 月 1 日家安全和国家发展、事关广大人民入推进等保和关保的积极实践。针正式施行《中华人民共和国网络安群众工作生活的重大战略问题，没对安全管理中心和计算环境安全、全法》，其第 21 条明确规定了“国有网络安全就没有国家安全，没有区域边界安全、通信网络安全的安家实行网络安全等级保护制度，要信息化就没有现代化。目前，烟草全合规进行方案设计，建立以计算求网络运营者应当按照网络安全企业从基层基础管理向市场延伸，环境安全为基础，以区域边界安全、等级保护制度要求，履行安全保护重心下移成立了基层烟站、服务站通信网络安全为保障，以安全管理义务”。所、延伸服务点等一线机构，为了中心为核心的信息安全整体保障体确保基层一线机构正常的经营运系。将行业安全的关注点从原来的转，信息化支撑点多面广，稍有管传统系统安全，拓展到云计算、移理不到位将给网络安全及信息化动互联网、大数据平台等新的技术管理带来隐患。根据全省三级网络领域，更加注重全方位主动防御、近年来，国际国内信息安全形的架构，在每一级网络节点上都有动态防御、整体防控和精准防护。势严峻，重大信息安全事件时有发三、县级局网络安全管理现状及问题分析（一）县级局网络安全管理现状各个局域网相连，县级局的网络安（二）网络安全概述生，“WannaCry”病毒从 2017 年全问题往往是在网络安全管理的计算机网络安全指的是防止 5 月 12 日开始在全球蔓延，该病最末梢，因此，规范化管理就显得信息本身和采集、存贮、加工、传毒利用 NSA 黑客工具包中的“永尤为重要了。输等信息数据出现偶尔甚至是故恒之蓝”0Day 漏洞，通过 445 端二、基本概述意的泄露、破坏和更改，导致计算口（文件共享）在内网进行蠕虫式（一）三化六防新理念新举措机网络信息无法控制和辨认，也就感染传播，事件造成至少有 150 个 2019 年 11 月，公安部网络安是指有效保障计算机内的信息的可国家受到网络攻击，30 万名用户全保卫局总工程师郭启全发表了控性、可用性以及完整。计算机网中招，造成损失达 80 亿美元，严题为《认真落实网络安全等级保护络安全包括两个方面，即物理安全重影响到金融，能源，医疗等众多制度构建新时代国家网络安全综和逻辑安全。物理安全指系统设备行业，成为近年来重要的网络安全合防控体系》的主题报告，强调网及相关设施受到物理保护，免于破事件。尽管 WannaCry 的风头已过，络安全等级保护和关键信息基础坏、丢失等。逻辑安全包括信息的但勒索病毒却并未偃旗息鼓，针设施保护，提出了“三化六防”新 [1] 完整性、保密性和可用性。对大型目标的勒索病毒攻击正日益思想，以”实战化，体系化，常态为保障网络安全，维护网络空化”为新理念，以“动态防御，主间主权和国家安全、社会公共利在这个背景下，烟草行业开动防御，纵深防御，精准防护，整益，保护公民、法人和其他组织的始更多的投入财力、人力进行安全 ·236· 肆虐。理论与实践经济与社会发展研究防护，部署了防火墙等各类安全系网孔机柜内洁净度无法保证。存在及保证产品或服务的质量。换言统，在信息系统建成上线后也进行灰尘超标、无监控设施等不合格因之，DMAIC 模型的原理就是通过了基于等级保护标准的安全测评，素。二是由于县级局单位很少有自分析和检测产品或服务，如发现和并基于安全测评结果不断完善网建的涉及核心业务的信息系统，根最终目标有差距或不足，就可以找络安全管理体系。但是，县级局单据国家局下的网络安全检查通知中出弥补产品或服务的不足，并使其位一般无自建信息系统或仅有少 150 条检查细则及众多的标准制度完美的方法，是六西格玛管理中精量安全保护等级一级的信息系统，中，适用于县级局网络安全管理的益改善的重要工具。DMAIC 模型这样的等级保护对象可不进行安较少，未能形成针对县级局单位网追求的就是无瑕疵、零缺陷，减少全测评和备案审核，而由建设单位络安全管理的指导性规范与细则。保证质量的成本，以提升企业的效实行自主保护。那么，在这种情况三是根据县级局的实际情况，网络益和企业的可持续发展。DMAIC 下县级局的网络及信息化安全工安全建设和投入上很难衡量与把模型主要分为 5 个阶段。由定义阶作就缺乏了严格的标准和规范约握，过多过大都不现实，也无必要。（Defining）、测量阶段 (Measuring)、束，网络安全管理和技术防护呈现在现有的网络安全防范和管理体系分析阶段 (Analyzing)、改进阶段主观性和随意性特点，制度覆盖面下，县级局单位在遇到攻防演练和 (Improving) 和控制阶段（Controlling) 不全、制度执行不到位、网络安全网络重保活动时，往往只能采取断组成，它对改进工作中各阶段过程、专业技术人才缺乏、安全防护较薄互联网、关停非重要系统及应用来调整质量目标以及不断提高产品质弱的情况比较普遍。而全省系统网粗暴应对，无法发现问题更谈不上量起到了积极的作用 [2]。（如图 1）络架构是由省、市、县、烟站四层消除安全隐患，缺乏“物防”，网对于县级局网络安全管理的规范级构成的互联互通一张网，一点失络防护能力跟不上。四是基层网信在众多的标准和制度中很难找到适守，全网皆瘫。在 2019 年公安部专业技术人员较为缺乏，多数身兼合自己的标准规范，行业内还未建组织的“护网行动”中，就有一家数职，职责权限交叉，安全意识不立立门针对县级局单位的网络安县级单位因 FTP 服务器漏洞被公到位，未严格按照运维工作流程，全管理体系。深入开展县级局网络安部点名通报， 2020 年 9 月 8 日，操作不规范，处理问题是往往凭个安全管理规范化的研究少之又少。国家计算机网络应急处理协调中心人经验，缺乏“人防”意识，势必那么，如何精准识别并控制县级局通报某市烟草专卖局互联网服务影响到网络安全制度的落实。可见，及所辖烟站的网络安全风险，如何器对外进行 MYSQL 数据库密码爆县级局烟站网络安全管理已成为整评估其网络安全建设和管理是否破攻击；2020 年 10 月 17 日某烟个行业网络安全管理的薄弱环节，达标，如何构建合理而规范的网络叶复烤公司下属复烤厂发生了勒索因此，迫切需要实行县级局网络安安全管理体系成为痛点和难点。病毒中毒事件。全管理的标准化规范化，不断完善五、县级局网络安全 “三化六防” 规范化管理研究（二）问题分析基层网络安全基础设施建设，规范通过最近几次网络安全事件网络安全管理制度，建立健全基层（一）定义阶段 (D) 来看，事件基本发生于县级局。而网络安全保障体系，有效提升网络需要针对所属区、县级局的信信息化支撑点多面广，稍有管理不安全保障水平。息化设备、网络安全设备设施进行到位将给网络安全及信息化管理四、问题解决对策建议全面的清查模底，在此阶段，将组带来隐患。主要原因有以下几点： 1986 年，Motorolainc 的高级织开展调研讨论会、专家现场诊断，一是县级局机房设备运行环工程师 Bill Smith 提出了 DMAIC 模找出影响网络安全的关键设备及境，机房环境简陋，基础设施简单，型，是一种企业管理的方法和策关键因素，针对已凸显的问题，预供电、监控、消防均不满足《烟草略。它主要强调极致目标的制定、测可能影响网络安全的因素，根据行业信息安全基线管理技术规范》，多方位全过程数据收集、综合结《GBT 20984-2007 信息安全技术两烟区烟站机柜设备线路凌乱、无果的分析，并通过以上步骤发现问信息安全风险评估规范》《信息安气体消防系统、机房与办公区混用、题，来减少产品或服务的不足，以全技术工业控制系统风险评估实 ·237· 理论与实践经济与社会发展研究基层机房基础水平，拟统一建设集配电、制冷、消防、UPS、动环监控于一体的微型智能数据中心，实现全市系统动环系统的集中监控，针对安全攻击的多样化、多变性，构建动态防御能力；针对攻击的复杂性未知性，建设主动防御体系；针对内网的全连通、不设防，构建纵深防御能力；针对终端、主机、设备的重要性，构建精准防护能力；针对防护的碎片化、盲点多，构建整体防护能力；针对行业、省局、图1 DMAIC模型图施指南》《网络安全风险评估实施施保障当中。地市网络连通性和威胁的非对称性，构建联防联控能力。指南》《YCT494-2014 烟草工业企（三）分析阶段（A）六、结语业生产网与管理网网络互联安全规通过上一阶段的数据，已确定通过 DMAIC 模型的实际运用，范》等规范要求，识别区、县级局影响网络安全的因素，可明确网络县级局网络安全管理体系的构建及烟站在终端、收购主机、网络设安全优化方向。并通过对收集的数与研究将大大地改善现有的网络备、基础设施设备、机房和运维管据的统计分析来确定各影响因素的安全现状，管理目标会更加清晰，理上