构建信息安全体系 调提升企业信息化管理水平.doc

构建信息安全体系 提升企业信息化管理水平 　　近年来， 随着烟草行业信息化进程的不断推进，信息系统在行业中得到了日益广泛的应用。各部门对信息系统的依赖性不断增长，信息系统的脆弱性也日益暴露。如何规范日趋复杂的信息系统安全保障体系建设，如何进行信息系统风险评估保护企业的信息资产不受侵害，已成为当前行业实现信息化运作亟待解决的问题。 　　信息安全风险评估 　　笔者结合工作实践，对当前烟草行业信息安全体系可能面临的安全威胁、存在的安全隐患、以及由此带来的风险进行评估。 　　1.可能面临的安全威胁 　　物理安全威胁。物理安全的威胁主要表现在：烟企的软件资产(应用软件、操作系统、数据库等)和硬件资产(计算机及外设、网络设备、UPS设备、打扫码设备、烟草站视频监控设备等)、面临自然灾害(如火灾、雷击)、环境事故(如断电、鼠患)及不法分子通过物理手段进行的违法犯罪等威胁。 　　网络安全威胁。网络安全威胁主要表现在：病毒、木马造成网络拥塞与瘫痪;内部ARP攻击、洪水攻击、DDOS攻击;VLAN划分不当形成大量的冲突域造成网络风暴;黑客的入侵造成内部数据的泄密和丢失等。 　　数据安全威胁。数据安全威胁主要表现在：烟叶收购期间烟叶收购量及进出库盘点数据丢失;营销中心客户信息及订单数据被破坏或删除;财务账务数据及审计信息被窃取;海晟连锁店销售数据备份及卷烟价格调动数据被人恶意篡改;不可预测的灾难导致数据库的崩溃等。这些风险都可能造成公司业务的中断,甚至破坏公司的品牌和信誉。 　　2.可能存在的安全隐患 　　网络规划不完善。信息网络建设的初期，主要是以保障公司应用的功能和性能为主，没有把构建信息安全体系作为主要的功能来实现。虽然以后采取了一些安全措施，但安全措施较为零散，缺乏整体性和系统性。 　　技术设计不完善。随着电脑技术的不断发展，一些技术上的漏洞和设计方面的缺陷也就随之而来。这些缺陷主要表现在计算机操作系统、数据库、网络软件及应用软件等各个层次及网络设备本身存在的技术安全漏洞等。 　　安全管理不完善。目前烟草信息系统主要由三大业务系统(生产、专卖、销售)及OA系统构成。由于信息安全管理制度不健全或贯彻落实不够;员工的安全防范意识不强;构建安全体系的资金投入与运维现状需求存在矛盾等因素，导致安全管理层面的安全措施及安全技术难以有效实施。 　　针对上述分析，笔者认为，构建一个规范的信息安全保障体系必须从管理、技术两方面着手，通过有效的措施把可能面临的安全威胁最大限度地弱化，同时针对信息系统的“弱点”进行改进，以此降低潜在的安全危险。 　　信息安全体系建设 　　烟草行业需要一个怎样的信息安全保障体系?用信息化改变传统生产经营模式，通过实施行业一体化管理，实现资源优化配置、确保行业平稳健康发展。制定完善的信息安全管理制度、借助智能、深度的安全防御技术手段，构建一个管理与技术相辅相成、安全、有效、可控的安全防范体系尤为重要。 　　1.建立安全体系结构框架 　　根据行业信息安全的需求，结合《烟草行业计算机网络和信息安全技术管理规范》。笔者从信息安全技术体系和信息安全管理体系两个方面提出构建安全体系的总体架构。 　　俗话说“三分技术，七分管理”，任何技术措施只能起到增强信息安全防范的作用。只有管理到位，才能保障技术措施充分发挥作用。为此，管理部门首先需借助相应的行政手段制定适合本单位的信息安全管理制度，建立一个长期有效的安全管理机制。加强安全技术的管理和人员的培训，提高员工的信息化应用水平。其次，技术部门要加强物理场所的安全管理，制定相应的访问控制策略规范网络应用安全，部署防火墙、防病毒、入侵检测等安全保护产品，配置安全网关(一体化安全网关)，整合现有资源实现能够支撑边界安全和访问控制的要件，同时实现从终端——行为——主机全过程的完整安全，实现公司业务正常有序的运行。 　　2.安全审计与入侵检测 　　目前，一些安全意识不高的员工利用上班时间，聊天、炒股、BT下载、玩网络游戏、在线视频等网络违规行为及黑客非法入侵访问的现象时有发生，严重的损害公司业务的正常运行。如何进行有效的信息安全审计和入侵检测，保障业务系统安全。除了从内部制度约束，规范上网行为管理的同时，我们更需要采用一定的技术措施和手段来管控。 　　首先，采用基于角色的访问控制与审计机制，通过控制网关，为不同的部门、不同职位的员工设置差异化的网络访问策略和网络访问权限。保障访问控制措施的有效性。 　　其次，加强日常检查机制，对业务流量实时监控与审计事件统计分析。特别是系统维护、访问量、业务流量、业务访问分布、数据库访问分布等重要信息。 　　最后，部署入侵检测系统，建立完善的安全预警和灵活多样的安全应急反应体系。对出现的入侵行为进行实时报警和阻断。 　　3.建立动态的闭环管理 　　单纯的安全体系框架建设和