对地市级烟草企业信息安全体系建设的思考
- 格式:doc
- 大小:25.00 KB
- 文档页数:3
对地市级烟草企业信息安全体系建设的思考
【摘 要】 一直以来,信息安全都是烟草行业信息化建设工作的重中之重。随着信息化应用的不断深入,各业务对网络和信息系统的依赖程度也逐渐增加,信息安全问题越来越得到各级领导的重视。根据烟草行业信息化发展规划,结合信息安全工作的市级要求,本文以地市级烟草企业为例,浅谈对地市级烟草企业信息安全体系建设的思考。
【关键词】 烟草 信息安全 体系 建设
随着烟草行业的不断发展,企业对信息化建设的要求越来越高。目前,烟草行业,尤其是以地市级烟草企业为代表的卷烟销售终端企业,在信息安全建设上给予的重视越来越高,资金的投入也越来越大,地市级烟草企业信息安全工作有了保障。
1 信息安全体系规划原则
根据国家和行业信息安全相关政策和标准,安全体系规划与设计工作遵循以下的建设原则:
(1)重点保护原则。针对核心的服务支撑平台,应采取足够强度的安全防护措施,确保核心业务不间断运行。
(2)灵活性原则。因信息技术日新月异的发展,而相应的安全标准滞后,应灵活设计相应的防护措施。
(3)责任制原则。安全管理应做到“谁主管,谁负责”,注重安全规章制度、应急响应的落实执行。
(4)实用性原则。以确保信息系统性能和安全为前提,充分利用资源,保障安全运行。
2 信息安全体系管理范围
以地市级烟草企业中心机房核心网络和系统为主,覆盖市局(公司)、各县级局(营销部)、基层专卖管理所等,安全体系包括范围:应用安全、网络安全、主机安全、数据安全、终端安全等。
3 信息安全体系规划框架
按照等级化保护“积极防御、综合防范”的方针,地市级烟草企业信息化建设需要进行整体安全体系规划设计,全面提高信息安全防护能力。
在综合评估信息化安全现状的基础上,从管理和技术来进行信息安全管理工作。信息安全体系建设思路是:以保护信息系统为核心,严格参考等级保护的思路和标准,满足地市级烟草企业信息系统在物理层面、网络层面、系统层面、应用层面和管理层面的安全需求,为各项业务的开展提供有力保障。信息安全体系框架如图1所示:
4 信息安全管理体系建设
从实际情况出发,体系包括安全组织机构、安全管理制度、人员安全、安全教育培训在内的安全管理体系。
4.1 组织机构
由决策机构、管理机构、和p
通过有计划培训和教育手段,确保工作人员充分认识信息安全的重要性,具备符合要求的安全意识、知识和技能,提高其进行信息安全防护的主动性、自觉性和能力。
5 信息安全技术体系建设
按照等级保护方法,对信息系统进行安全区域的划分,并根据保护强度来采用相应的安全技术,实行分区域、分级管理。基础性保护措施实现后,建立地市级烟草企业的信息安全管理平台,对地市级烟草企业整体信息系统的统一安全管理。
5.1 划分安全区域
根据信息化资产属性,可划分为服务器区域、终端区域。目前,各业务域的服务器直接连接至核心交换机,无法对各个服务器区之间划分明确边界,在服务器区和核心交换机之间增加汇聚交换机,服务器经过汇聚交换机的汇聚再上联至核心交换机。对局域网按照业务功能区建立不同的VLAN,分别赋予相应级别的服务访问权限和安全防护措施。安全域网络拓扑如图2示:
一级安全域包括范围:地市级烟草企业办公区域、县公司办公区域、移动访问用户区域。部署上网行为管理、杀毒软件等防护措施。二级安全域包括对象:业务与管理服务器区域、网站服务器区域、公共平台服务器区(防病毒服务器、网管服务器)等。部署操作系统加固、身份认证、漏洞扫描、文件数据加密以及安全审计等措施。三级安全域包括数据服务器区域、存储备份区域以及核心交换机、主干路由器等。部署核心交换设备、链路冗余备份,加载广域网路由QOS策略,采用数据库高强度口令访问等措施。
5.2 保护计算环境
“云计算”和虚拟化技术的发展,打破了传统意义上按物理位置划分的计算环
境。依照不同的保护等级,分别进行加强用户身份鉴别、标记和强制访问控制、系统安全审计、用户数据完整性保护、保密性保护、系统安全监测等措施。
5.3 区域边界保护
边界保护是一组功能的集合,包括边界的访问控制、包过滤、入侵监测、恶意代码防护以及区域边界完整性保护等。在技术上通过防火墙、入侵防护、病毒过滤、终端安全管理等措施来实现保护。
5.4 通信网络防护
信息系统的互联互通是建立在安全畅通的通信网络基础之上。通讯网络的构成主要包括网络传输设备、软件和通信介质。保护通信网络的安全措施有:网络安全监控、网络审计、网络冗余或备份以及可靠网络设备接入。一是利用入侵防护系统以及UTM在关键的计算环境边界,进行安全监控,防止非法的访问;二是对骨干网中的防火墙设备进行配置,制定安全访问控制策略,设置授信的访问区域;启用安全审计功能,对经过防火墙访问关键的IP、系统或数据进行记录、监控;通过网闸技术,对不同网络进行物理隔离。通过VLAN技术对内部网络进行逻辑隔离。
5.5 数据安全防护
建立数据安全备份和恢复机制,部署数据备份和恢复系统,制定相应的数据备份与恢复策略,完成对数据的自动备份,并建立数据恢复机制。建立异地数据级灾备中心,在系统出现灾难事故时,能够恢复数据使系统应用正常运行。
5.6 信息安全平台
随着信息安全体系的建设,各种安全设备以及安全技术手段的引入,给管理带来极大的挑战,信息安全需要建立一套平台,按照统一安全策略、统一安全管理,来对全网进行统一的安全管理,以最低限度地减少由于安全事件带来的损失。
信息安全体系建设是一项复杂的工作,信息安全工作需要每个人的重视和参与。思想重视、管理到位、技术支撑等各方面的有机结合,才能建立牢固的信息安全防护体系。