会议结束,小张一边收拾材料一边叹气,“林姐,这事儿听着都后怕。谁能想到就图个方便……”
“后怕没用,得长记性。”我站起身,“走,回办公室。庄总那边还等着汇报。”
刚进门,内线电话就响了。我朝小张摆摆手,她立刻退出去带上了门。
“庄总。”
“晓阳,会开完了?情况怎么样?”
“刚结束。已经把总部的精神和事件的严重性都传达下去了,要求各所属单位立刻开展全员网络安全自查和警示教育。”
“嗯。动作要快,不能走过场。王磊那边呢?”
“安全部的周伟还在按程序走。初步看,他本人是被境外机构精准钓鱼了,利用他贪图方便、安全意识薄弱的心理,一步步套取信息。目前看没有主观恶意,但过失和责任跑不掉。”
“唉,教训啊。”庄总叹了口气,“总部李处刚才也和我通了气。这件事,暴露了我们管理上的漏洞,光有制度不够,还得让每个人脑子里真正绷紧这根弦。”
“是。特别是技术研发部门,接触的核心信息多,压力大,有时候就容易在细节上松懈。”
“所以,光处理一个人、开一次会不够。”庄总的话调严肃起来,“晓阳,这件事给我们敲响了警钟。后续的整改,你亲自盯一下。”
“这血淋淋的案例比一百次说教都管用。我会让办公室牵头,准备相关材料,下周起分批组织全员学习。”
“嗯。这件事,你多费心。总部盯着,分公司不能在这个问题上再栽跟头。我们搞创新、争速度,前提是必须安全可靠。”
“不然研发出来的东西,到底是我们的成果,还是给别人做的嫁衣,就不好说了。”
“您放心,庄总。我一定把这件事抓实,彻底清除隐患,加固防线。”
挂了电话,我立刻按了内部通讯:“小张,进来一下。”
门开了,小张拿着笔记本快步进来。
“立刻以分公司办公室名义发个通知,成立数据安全专项整改临时工作小组,我任组长,组员单位包括信息中心、安全部驻沪办、技术发展部、各研发部一把手。明天上午九点,第一会议室开启动会。”
“好的,林姐。”
“另外,帮我约一下技术发展部负责数据运维的同事,今天下午,越快越好。”
“就说我急需了解我们现有网络和数据防护措施的详细情况。”
“明白,马上办。”
我翻开笔记本,开始罗列工作小组要议的几个关键问题:数据分级标准修订、权限审批流程细化、外部协作数据传递规范、技术防护升级选项……
看看窗外,上海的天空灰蒙蒙的,但我知道,在不同的地方,有很多人都在各自的岗位上守着。
小张的内线电话又来了:“林姐,技术发展部的冯工说他现在就有空,问您方不方便过去一趟?”
“方便。我这就过去。”
拿起笔记本和笔,我快步走出办公室。
得抓紧了。清除隐患,一刻也不能多等。加固防线,是我们每个人肩上的担子。
冯工,冯明,一个头发有点乱但眼神锐利的资深工程师,已经在他们小组的会议室等着我了。
“林主管,您电话里说急事?”他直接问道。
我把笔记本打开,“我们得在一周内,拿出新的数据安全管理制度草案,重点是研发数据。”
“时间紧,任务重,得先听听你们专业的意见。我们现在最大的漏洞在哪?”
冯明一点没含糊,拿出自己的平板划了几下,调出几张拓扑图。
“说实话,漏洞不少。最大的问题在‘便利’和‘安全’的平衡没做好。”
“比如,研发那边抱怨内网传输慢,加密流程繁琐,有些人为了赶进度,就会用一些……嗯……变通的办法。”
他指了指图上的几个点,“我们现有的外发检测系统,对经过压缩加密或者格式转换的文件,识别率会下降。”
“而且,权限管理有点粗放,一个项目组内部,访问权限很多时候是共享的,一旦账号被盗,损失面就大了。”
“王磊的事,就是例子。”我点了点笔记本,“技术层面,有什么立竿见影能加固的办法?”
“短期能上的。”冯明想了想,“可以立刻强制所有涉密岗位的电脑安装更严格的终端管理软件。”
“禁止未经批准的云盘软件安装和运行,对所有外发文件强制叠加无法简单去除的专属水印,记录操作日志。”
“中长期,需要升级我们的数据泄露防护系统,引入更智能的内容识别算法,哪怕文件被切分、重命名也能嗅探出来。但这需要投入预算。”
“预算我去申请。安全投入不能省。”我记下要点,“权限管理呢?怎么细化?”
“这个得和业务部门一起捋。”冯明说,“得把研发数据流掰开了揉碎了看。”
“比如,一个催化剂项目,实验员产生的原始数据、分析员做的初步报告、项目负责人手里的汇总研判,密级应该不同,访问权限也要分级。”
“不能再是一个项目组一个通用权限。审批流程也得电子化、线上留痕,谁在什么时候因为什么原因申请了权限,批准人是谁,必须清清楚楚。”
“对,就是这样。”我赞同道,“我们必须假设任何一个环节都可能被突破,然后用制度和技术把每个环节都框起来,即使一个点破了,也不至于全线崩溃。”
“你们技术部尽快拿一个技术加固的初步方案,包括立即能执行的应急措施和需要招标采购的长期方案。”
“明白。我今晚就组织人手开始弄。”冯明点头说道。
离开技术部,我直接去了信息中心。
他们的主任老赵一听来意,脸色就苦了。“林主管,又要改制度?下面的人肯定抱怨,本来流程就不少了。”
“抱怨比出事好。”我没客气,“老赵,这次不是小打小闹。总部盯着,王磊的事就是前车之鉴。”
“信息中心是关键,你们掌握着所有系统的后台权限和日志。新的权限管理体系,需要你们提供技术支持,实现精细化的权限分配和日志审计功能。”
“以后,任何一个非授权访问,系统要能预警,日志要能快速溯源。”
老赵叹了口气,“道理我懂。就是活儿……唉,行吧,我全力配合。需要什么,你让工作组下正式需求。”
“会的。以后咱们的流程,可能每一步都会多花几分钟,但这几分钟,可能就是保护我们核心技术的防火墙。”
我看着他,“咱们辛苦点,把墙砌高砌结实,让想偷东西的人无从下手。”
跑完这两个关键部门,技术上有方向,执行上有抓手。回到办公室,小张已经把工作小组的正式通知拟好发了出去。
不仅要解决问题,更要让参会的各部门负责人真正理解,数据安全不是哪一个人、哪一个部门的事,而是所有人共同的防线。
安全,从来就在于每一个细节的坚守。
桌上的电话又响了,是庄总。
“晓阳,方案初步有头绪了吗?”
“庄总,刚和技术部、信息中心初步沟通了,已经有了一些加强防护的具体思路和技术选择,明天工作小组第一次会就会集中讨论。请您放心,我们会拿出一套切实可行的方案,堵住漏洞。”
“好。要快,要实。”
“明白。”
清除旧的隐患,加固新的防线,这场战斗,才刚刚开始。但每一步,都必须踏踏实实,走稳走牢。