張?zhí)m蘭

舒泰神（北京）生物制藥股份有限公司（以下簡稱“舒泰神”）是以研發(fā)、生產(chǎn)和銷售生物制品為主的制藥企業(yè)，公司現(xiàn)有員工700余人，其中研發(fā)人員300余人。未來三至五年內(nèi)，公司將有多個(gè)具有自主知識產(chǎn)權(quán)的新產(chǎn)品陸續(xù)投入市場。

公司于2008年12月被認(rèn)定為北京市高新技術(shù)企業(yè)、中關(guān)村高新技術(shù)企業(yè)；2009年12月被北京市政府、科技部和中國科學(xué)院聯(lián)合命名為中關(guān)村國家自主創(chuàng)新示范區(qū)創(chuàng)新性企業(yè)，承擔(dān)多項(xiàng)國家級、市級科技創(chuàng)新及產(chǎn)業(yè)化項(xiàng)目。

信息安全建設(shè)與挑戰(zhàn)

舒泰神文檔曾面臨以下風(fēng)險(xiǎn)。

第一，無法防范人員主動泄密，包括將企業(yè)內(nèi)部文檔私自拷貝外帶及復(fù)用泄密；越權(quán)訪問非授權(quán)數(shù)據(jù)泄密；盜用他人賬號及設(shè)備非法訪問數(shù)據(jù)泄密；通過打印機(jī)、傳真機(jī)等將敏感數(shù)據(jù)進(jìn)行介質(zhì)轉(zhuǎn)換泄密；敏感數(shù)據(jù)的惡意傳播及擴(kuò)散泄密；人員離職時(shí)將數(shù)據(jù)資產(chǎn)帶離公司環(huán)境造成損失；核心數(shù)據(jù)授權(quán)帶離企業(yè)后面臨外部擴(kuò)散泄密風(fēng)險(xiǎn)。

第二，無法防范人員被動泄密，包括在無意識或不知情的情況下所發(fā)生的泄密隱患。目前存在的被動泄密隱患包括：移動筆記本、USB存儲設(shè)備遺失或失竊導(dǎo)致數(shù)據(jù)泄密；郵件或網(wǎng)絡(luò)誤操作、誤發(fā)送引起的泄密；保密意識淡薄對敏感數(shù)據(jù)保管不當(dāng)引起的泄密，如隨意共享等；感染病毒、木馬后引發(fā)的敏感數(shù)據(jù)泄密；將存放重要數(shù)據(jù)的機(jī)器、存儲介質(zhì)隨意交與他人使用引發(fā)的泄密。

第三，終端行為不可控。USB存儲介質(zhì)、外設(shè)端口使用權(quán)限開放存在重大數(shù)據(jù)泄密隱患等。

第四，管理風(fēng)險(xiǎn)。核心數(shù)據(jù)以明文方式分散儲存，難于管理；核心數(shù)據(jù)傳輸環(huán)節(jié)有較多合法或非法的輸出途徑且無法有效監(jiān)管；現(xiàn)有安全管控措施不能有效預(yù)防核心數(shù)據(jù)主動、被動泄密風(fēng)險(xiǎn)；合法授權(quán)用戶對核心數(shù)據(jù)的使用無法審計(jì)；出現(xiàn)信息安全事件后不能快速定位責(zé)任人；缺乏有效的技術(shù)手段或平臺落實(shí)核心數(shù)據(jù)資產(chǎn)的保護(hù)政策等。

信息化建設(shè)規(guī)范有保障

舒泰神這兩年主要推進(jìn)的是信息安全項(xiàng)目。自2015年年初，舒泰神公司通過外部調(diào)研，內(nèi)部溝通，需求分析，采用科學(xué)的信息安全規(guī)劃方法論，充分進(jìn)行信息安全現(xiàn)狀分析與評估，設(shè)計(jì)信息安全總體架構(gòu)，建立了《舒泰神信息安全體系架構(gòu)》，明確信息安全推進(jìn)方案。

根據(jù)《舒泰神信息安全體系架構(gòu)》計(jì)劃，考慮到舒泰神是一個(gè)重研發(fā)的企業(yè)，尤其企業(yè)的配方數(shù)據(jù)及生產(chǎn)工藝文檔是企業(yè)的命脈。公司從研發(fā)文檔安全入手，著手推進(jìn)舒泰神文檔加密項(xiàng)目。作為一家高科技企業(yè)，公司內(nèi)很多重要數(shù)據(jù)都是以電子化的方式散布在辦公網(wǎng)絡(luò)的終端，不利于集中管理；同時(shí)由于連接互聯(lián)網(wǎng)，對企業(yè)內(nèi)部數(shù)據(jù)的保護(hù)也存在較大的風(fēng)險(xiǎn)。因此為了保護(hù)企業(yè)內(nèi)部數(shù)據(jù)安全，需要采取多種安全手段對電子文檔、終端行為進(jìn)行集中管控。因此，加強(qiáng)終端文檔安全勢在必行。

為保障安全可控，在系統(tǒng)采購和實(shí)施過程中，在需求分析階段充分考慮需求，在設(shè)計(jì)和開發(fā)階段施行必要的安全措施，在測試和驗(yàn)收階段對安全性進(jìn)行測評。

采購和實(shí)施管理是指通過建立相應(yīng)安全管理機(jī)制，在信息系統(tǒng)涉及的產(chǎn)品和服務(wù)的采購與實(shí)施過程中加強(qiáng)其安全性。在信息化建設(shè)的采購和實(shí)施過程中，要明確信息系統(tǒng)的安全需求、安全指標(biāo)和規(guī)范，對用于保護(hù)信息系統(tǒng)安全的投入予以充分考慮和合理分配并對采購對象的安全性進(jìn)行嚴(yán)格的控制，以避免由于采購和實(shí)施的不當(dāng)造成的安全隱患。

項(xiàng)目建設(shè)過程中，在采購和實(shí)施的軟硬件產(chǎn)品正式上線前，對其安全性進(jìn)行測試和評估，確定系統(tǒng)的安全性，為項(xiàng)目的驗(yàn)收提供依據(jù)。

在制度保障基礎(chǔ)上，信息部組織26場培訓(xùn)會，以保證所有員工能夠充分理解、掌握系統(tǒng)的使用。這一系列的調(diào)研工作和制度重復(fù)滿足業(yè)務(wù)部門不同的管理需求，也真正滿足公司的管理要求。

截至2016年12月，舒泰神共加密文檔20多萬份，申請加密和解密流程2萬多條，外發(fā)文件每月1萬份，自動備份文件每月50萬份。部門內(nèi)或部門間文檔流轉(zhuǎn)問題反饋約120人次，沒有出現(xiàn)文檔無法打開等問題。通過信息安全的建設(shè)和改造，公司生產(chǎn)經(jīng)營安全管理手段明顯提升，運(yùn)行平臺得到有效保障，使打造安全可控的辦公環(huán)境、提高公司信息安全水平不再是一句口號。

企業(yè)信息化應(yīng)用現(xiàn)狀

舒泰神自2009年以來累計(jì)投資5000多萬元用于信息化和自動化建設(shè)。在公司內(nèi)部管理方面，公司采用了財(cái)務(wù)管理軟件、OA協(xié)同辦公軟件、財(cái)務(wù)的進(jìn)銷模塊、郵件管理系統(tǒng)等。2014年10月開始實(shí)施公司系統(tǒng)化的信息化規(guī)劃管理項(xiàng)目。

網(wǎng)絡(luò)平臺的建立是實(shí)施公司管理軟件系統(tǒng)以及自動化控制平臺集 成項(xiàng)目的基礎(chǔ)。公司巳建成了覆蓋全公司的計(jì)算機(jī)局域網(wǎng)和WiFi覆蓋，實(shí)現(xiàn)了網(wǎng)絡(luò)主干道千兆光纖布線、百兆網(wǎng)線到用戶。

加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，采用網(wǎng)絡(luò)版殺毒軟件、防火墻、硬件防火墻、上網(wǎng)行為管理器、VPN、文檔加密等技術(shù)，對公司各個(gè)終端計(jì)算機(jī)進(jìn)行IP與物理地址的綁定，按不同部門制定不同的上網(wǎng)行為管理策略。同時(shí)對所有部門所有人員實(shí)施文檔加密系統(tǒng)，保障公司的重要文件、關(guān)鍵部門的計(jì)算機(jī)文檔安全可控。同時(shí)對公司研發(fā)文檔進(jìn)行文件存儲備份。

在信息化系統(tǒng)的安全方面建立了統(tǒng)一數(shù)據(jù)庫存儲項(xiàng)目，將信息系統(tǒng)的數(shù)據(jù)庫數(shù)據(jù)實(shí)施了統(tǒng)一存儲項(xiàng)目。為保障外部員工訪問信息系統(tǒng)的安全性，實(shí)施數(shù)據(jù)安全傳輸通道（VPN）。

公司與致遠(yuǎn)合作，成功地開發(fā)和實(shí)施了協(xié)同辦公自動化系統(tǒng)。自動化辦公系統(tǒng)實(shí)現(xiàn)了公告通知、日程安排、通訊錄、考勤管理、工資管理、辦公用品管理、會議管理、車輛管理、圖書管理、手機(jī)短信等功能。目前日常并發(fā)在線人數(shù)達(dá)90人，流程發(fā)起數(shù)量達(dá)10萬多條。

公司與用友軟件合作對多平臺的管理軟件進(jìn)行融合、集成， 建立一個(gè)更加完整的ERP管理系統(tǒng)。公司的信息化建設(shè)分三個(gè)階段：第一階段是分析公司的生產(chǎn)和管理流程，根據(jù)公司的實(shí)際情況，建立項(xiàng)目實(shí)施規(guī)劃；第二階段對現(xiàn)有的管理軟件、財(cái)務(wù)管理軟件進(jìn)行數(shù)據(jù)鏈接，在一個(gè)軟件平臺上實(shí)現(xiàn)生產(chǎn)數(shù)據(jù)、生產(chǎn)計(jì)劃、庫存管理、采購管理、銷售管理、財(cái)務(wù)管理；第三階段在新的軟件平臺上，增加預(yù)算管理、成本管理、績效考核管理，解決了公司內(nèi)部管理軟件之間信息傳輸與共享問題，實(shí)現(xiàn)了資源共享， 杜絕數(shù)據(jù)錄入操作的重復(fù)性，降低了管理成本，為公司的快速發(fā)展建立了可靠信息保證。

目前，通過實(shí)施0A系統(tǒng)，借助網(wǎng)絡(luò)信息技術(shù)來整合和規(guī)范企業(yè)日常辦公流程，企業(yè)的管理水平和內(nèi)部協(xié)調(diào)能力得以有效提升，已初步實(shí)現(xiàn)了無紙化辦公，降低了企業(yè)管理成本，強(qiáng)化了企業(yè)競爭能力。此前公司各系統(tǒng)彼此孤立，數(shù)據(jù)分散，各個(gè)部門各自為政的問題基本得到解決。這些軟件給公司的管理帶來了方便和效率，也讓公司各管理系統(tǒng)彼此間實(shí)現(xiàn)了數(shù)據(jù)共享和鏈接，管理層能夠及時(shí)準(zhǔn)確地得到整個(gè)公司的生產(chǎn)經(jīng)營狀況、財(cái)務(wù)數(shù)據(jù)，產(chǎn)品成本得到有效控制。

信息化未來發(fā)展規(guī)劃

舒泰神未來兩化融合主要集中在系統(tǒng)建設(shè)和安全建設(shè)兩個(gè)方面，到2017年建立信息安全運(yùn)維體系，建立了滿足業(yè)務(wù)需要的營銷管理系統(tǒng)。到2018年建立完備的信息安全管理體系，推進(jìn)各業(yè)務(wù)系統(tǒng)間數(shù)據(jù)整合，解決數(shù)據(jù)孤島，建立滿足管理需要的報(bào)表系統(tǒng)。到2019年建立從基礎(chǔ)安全、系統(tǒng)安全、運(yùn)維安全、管理安全全方位的信息安全管理體系。建立規(guī)范的業(yè)務(wù)流程體系，構(gòu)建全面支持營銷運(yùn)營與管理決策的業(yè)務(wù)系統(tǒng)。

經(jīng)過2014年到2018年的建設(shè)，舒泰神希望信息安全在“防御能力、感知能力、管理能力”三個(gè)層面得到有效提升，真正讓企業(yè)內(nèi)部的信息實(shí)現(xiàn)可防范、可控制、能管理。