当前，企业重要的IT信息系统特别是金融、生产、营销等核心数据，极易受到外部网络攻击，同时也容易出现内部管理员的恶意泄密、篡改。因此，企业数据安全面临较大的防控风险，如何提升防护能力显得尤为重要。国航信息管理部重庆分部（以下简称“重庆信息分部”）根据实际生产情况，从建立分责管理体系、搭建网络防控平台、完善数据访问策略三个方面着手，通过“制度+技术”手段，规范各级管理员的权限和操作，以提升数据安全和风险防控能力。

首先，梳理流程，建立分责管理体系。建立科学有效的风险防控机制，制定相关制度、流程，明确各级管理员的职责权限，从而建立分责管理体系。一是根据系统的分级制度，将优先级别较高的信息系统纳入风险管控范围。二是采用权限分离的办法，合理设置分级操作与监督的关键岗位，明确各级管理员的职责权限，采取相应的分离措施，不同岗位的管理员不得相互告知口令，以建立相互制约、相互监督的工作机制。三是定期结合人工检查及系统对账功能，对发现的问题及风险漏洞进行跟踪排查，将流程管理、信息技术与廉政风险防控深度融合。

其次，防范外侵，搭建网络防控平台。通过现有软硬件设施，搭建立体式网络防控平台，及时阻止非法入侵行为，提升安全防控能力。加强对上网行为的管理，建立对路由器与交换机的ACL访问控制列表；针对不同资源提供不同安全级别的保护，建立DMZ安全服务区，用于公司内部网络与外部网络之间的安全缓冲；开通网络行为监测审计功能。将入侵检测、网络监控、预警提示、访问审计等多个系统的数据进行整合，从而实现多维度监控、多层级预警防控。

最后，严格内部控制，完善数据访问策略。通过多种措施对数据进行内部控制，实时掌握数据库存在的风险，加强对敏感信息的访问审计监控，确保数据库访问合法合规。包括关闭所有系统的远程数据库连接，关闭操作系统远程登录功能；开发监控程序，减少人为误操作带来的影响，对人为越权操作等不可预知的行为制定预防和恢复措施；严控后台管理员权限，防止数据库高危操作；定期对数据库、操作系统的安全配置进行检测；通过了解业务系统的特性，进行有针对性的策略配置，定期进行修正。

上述重点措施的逐步落实，有助于信息安全体系和风险防控平台的建设。同时，针对重点对象、重点领域和关键环节，还要不断健全动态管理机制、风险预警机制和内外监督机制。基于此，重庆信息分部最终建成了一套强有力的廉政风险防控体系，既能防止来自网络外部的恶意攻击，又能最大限度杜绝系统内部的人为泄露，为公司各项生产运营和管理工作提供了更安全、更高效的信息系统支持，实现了对信息风险的充分防控。（《中国民航报》、中国民航网 评论员刘刚）