完成密码应用的办公平台

在2025年国家网络安全宣传周（9月15—21日）之际，回望新疆有色集团近年来在网络安全领域的深耕与实践，一系列扎实举措成效显著。新疆有色集团践行的“五步走”战略，不仅筑牢了网络安全防线，也为高质量发展提供了坚实保障。

网络安全，责任先行。新疆有色集团将网络安全视为“一把手”工程，持续完善制度体系，健全考核机制。通过修订网络安全考核细则，并将其纳入年度责任制考核，从制度执行、风险防控、应急处置等多维度开展综合评价，构建起“横向到边、纵向到底”的责任机制，确保网络安全工作层层有人抓、事事有人管，形成权责清晰、考核有据的管理闭环。这些细则并非“一刀切”，而是根据生产单位的实际情况进行“量身定制”。喀拉通克公司信息化部副主任陈瑜鑫在工作过程中会时常翻看下发的细则：“这份网络安全考核细则非常贴合我们实际的生产需要，也为我们日常工作开展明确了方向。”

在制度框架下，技术手段成为集团网络安全的又一道坚实屏障。在电信、建行的机房中，庞大的服务器不断运转，轰鸣声中绿灯闪烁——这不是科幻场景，而是新疆有色集团强化技术防护，构建纵深防御体系的关键一环。“有色云”算力存储基础设施依托电信、建行两大高可靠IDC（Internet Data Center 互联网数据中心）机房资源建成，为新疆有色集团信息化平台提供稳定算力与存储支持，保障各部门业务应用系统平稳运行。

配套部署各类安全设备，实施精细化访问控制策略，强化运维全流程追溯。通过定期开展漏洞扫描与渗透测试，主动排查并修复安全隐患，持续提升系统安全防护与抗攻击能力，构建起多层次、立体化防御体系。今年以来，新疆有色集团已开展10余次安全风险排查，涵盖月度机房巡检、特定系统的漏洞扫描等。

根据《网络安全法》要求，网络运营者需要以其网络系统的重要性和受破坏后的危害程度，给安全重要性“分等级”。当前，新疆有色集团正全面推进网络安全等级保护2.0工作，累计完成50余个信息系统的定级、备案与测评，其中，新疆有色集团本部8个系统全部达到相应安全等级标准。在信创领域，积极构建安全可靠的国产化资源池，完成门户网站、OA系统的信创替代，并按计划推进PC终端国产化替换工作，今年以来，新疆有色集团整体替换率达30%，厂矿替换累计1000余台，有效提升了信息系统自主可控能力。新疆有色集团安全环保部的陈智目前正在使用信创系统进行日常化办公，他表示：“系统速度很快，并且全程没有广告弹窗，使用起来比较便捷。”

如果数据是新时代的财富，那么密码则是保护财富的保险箱。新疆有色集团持续深化密码应用，完善风险预警机制。针对门户网站、ERP（Enterprise Resource Planning 企业资源计划）等重要信息系统进行商用密码改造。商用密码改造，就是将现有信息系统中所使用的普通密码技术替换成符合国家《商用密码管理条例》的国产密码算法和技术体系。商用密码改造工作，可以切实提升数据加密传输与存储安全水平；建立健全网络安全预警通报机制，及时发布漏洞信息与风险提示，指导各单位快速响应、修复隐患，有效降低安全事件发生概率。

“软硬兼施”的同时，新疆有色集团强化培训与监督检查，提升全员安全素养。新疆有色集团始终坚持“人防+技防”并重，定期组织网络安全专题培训，覆盖领导干部、技术人员及一线员工，全面提升员工安全意识与应急处置能力；积极参加国家级“护网”行动、攻防演练及CTF（网络安全技术竞赛），以实战化场景检验防护水平、锤炼应急队伍。今年参加了CTF比赛的信息中心技术员张文静还记得连续奋战备赛的那些天：“备赛的时候，我每天晚上都会根据比赛内容学习一小时以上，虽然比赛使我压力陡增，但好在有团队小伙伴的支持协力。”张文静表示，今后会持续学习，紧跟技术前沿，并且研究好行业需要，为新疆有色集团提供更加精准的安全服务。

新疆有色集团信息中心副主任徐明钰介绍：“相关检查部门对新疆有色集团网络安全工作给予了积极评价，特别是在制度建设、等保测评、数据安全管理等关键环节的工作。”他表示，下一步，将根据检查组建议，继续加强数据安全人才队伍建设，配齐配强人员，提升整体管理与应急响应能力。目前，新疆有色集团已连续多年顺利通过网信、工信、公安、保密等多部门现场检查，实现非涉密计算机保密客户端全覆盖，并通过不定期专项检查立行立改，切实筑牢全员参与的网络安全防线。

当前，在“五步走”整体框架的持续推动下，新疆有色集团正加快完善安全监测预警平台三级等保建设，推进3.8亿条数据分类分级工作。下一步，将重点开展数据安全风险评估，搭建数据备份系统，建立健全数据安全管理体系，强化核心数据权限管控与全生命周期可追溯性；按照信息安全应急预案定期组织演练，全面提升敏感信息管理水平与突发事件应急响应能力，推动网络安全工作向更高质量迈进。