对地市级烟草企业信息安全体系建设的思考.docVIP

对地市级烟草企业信息安全体系建设的思考 　　【摘 要】 一直以来，信息安全都是烟草行业信息化建设工作的重中之重。随着信息化应用的不断深入，各业务对网络和信息系统的依赖程度也逐渐增加，信息安全问题越来越得到各级领导的重视。根据烟草行业信息化发展规划，结合信息安全工作的市级要求，本文以地市级烟草企业为例，浅谈对地市级烟草企业信息安全体系建设的思考。 　　【关键词】 烟草 信息安全 体系 建设 　　随着烟草行业的不断发展，企业对信息化建设的要求越来越高。目前，烟草行业，尤其是以地市级烟草企业为代表的卷烟销售终端企业，在信息安全建设上给予的重视越来越高，资金的投入也越来越大，地市级烟草企业信息安全工作有了保障。 　　1 信息安全体系规划原则 　　根据国家和行业信息安全相关政策和标准，安全体系规划与设计工作遵循以下的建设原则： 　　（1）重点保护原则。针对核心的服务支撑平台，应采取足够强度的安全防护措施，确保核心业务不间断运行。 　　（2）灵活性原则。因信息技术日新月异的发展，而相应的安全标准滞后，应灵活设计相应的防护措施。 　　（3）责任制原则。安全管理应做到“谁主管，谁负责”，注重安全规章制度、应急响应的落实执行。 　　（4）实用性原则。以确保信息系统性能和安全为前提，充分利用资源，保障安全运行。 　　2 信息安全体系管理范围 　　以地市级烟草企业中心机房核心网络和系统为主，覆盖市局（公司）、各县级局（营销部）、基层专卖管理所等，安全体系包括范围：应用安全、网络安全、主机安全、数据安全、终端安全等。 　　3 信息安全体系规划框架 　　按照等级化保护“积极防御、综合防范”的方针，地市级烟草企业信息化建设需要进行整体安全体系规划设计，全面提高信息安全防护能力。 　　在综合评估信息化安全现状的基础上，从管理和技术来进行信息安全管理工作。信息安全体系建设思路是：以保护信息系统为核心，严格参考等级保护的思路和标准，满足地市级烟草企业信息系统在物理层面、网络层面、系统层面、应用层面和管理层面的安全需求，为各项业务的开展提供有力保障。信息安全体系框架如图1所示： 　　4 信息安全管理体系建设 　　从实际情况出发，体系包括安全组织机构、安全管理制度、人员安全、安全教育培训在内的安全管理体系。 　　4.1 组织机构 　　由决策机构、管理机构、和执行机构三个层面组成信息安全组织机构，并通过合理的组织结构设置、人员配备和工作职责划分，对信息安全工作实行全方位管理。 　　4.2 安全制度 　　信息安全规章制度是所有与信息安全有关的人员必须共同遵守的行为准则。应从信息安全组织机构和岗位职责、人员管理制度、信息系统管理制度、机房管理制度、网络管理制度等。 　　4.3 人员安全 　　通过管理控制手段，确保单位内部人员以及第三方人员的安全意识，包括人员的岗前安全技能培训、保密协议的签订等几个方面。 　　4.4 安全教育培训 　　通过有计划培训和教育手段，确保工作人员充分认识信息安全的重要性，具备符合要求的安全意识、知识和技能，提高其进行信息安全防护的主动性、自觉性和能力。 　　5 信息安全技术体系建设 　　按照等级保护方法，对信息系统进行安全区域的划分，并根据保护强度来采用相应的安全技术，实行分区域、分级管理。基础性保护措施实现后，建立地市级烟草企业的信息安全管理平台，对地市级烟草企业整体信息系统的统一安全管理。 　　5.1 划分安全区域 　　根据信息化资产属性，可划分为服务器区域、终端区域。目前，各业务域的服务器直接连接至核心交换机，无法对各个服务器区之间划分明确边界，在服务器区和核心交换机之间增加汇聚交换机，服务器经过汇聚交换机的汇聚再上联至核心交换机。对局域网按照业务功能区建立不同的VLAN，分别赋予相应级别的服务访问权限和安全防护措施。安全域网络拓扑如图2示： 　　一级安全域包括范围：地市级烟草企业办公区域、县公司办公区域、移动访问用户区域。部署上网行为管理、杀毒软件等防护措施。二级安全域包括对象：业务与管理服务器区域、网站服务器区域、公共平台服务器区（防病毒服务器、网管服务器）等。部署操作系统加固、身份认证、漏洞扫描、文件数据加密以及安全审计等措施。三级安全域包括数据服务器区域、存储备份区域以及核心交换机、主干路由器等。部署核心交换设备、链路冗余备份，加载广域网路由QOS策略，采用数据库高强度口令访问等措施。 　　5.2 保护计算环境 　　“云计算”和虚拟化技术的发展，打破了传统意义上按物理位置划分的计算环境。依照不同的保护等级，分别进行加强用户身份鉴别、标记和强制访问控制、系统安全审计、用户数据完整性保护、保密性保护、系统安全监测等措施。 　　5.3 区域边界保护 　　边界保护是