煙草行業信息安全建設思路
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了煙草行業信息安全建設思路范文,希望能給你帶來靈感和參考,敬請閱讀。
隨著煙草行業信息化快速發展及云計算、虛擬化、移動應用等新興技術運用,使煙草行業的信息安全面臨新的挑戰,主要表現在以下幾點。
1.1核心軟硬件被國外壟斷,嚴重威脅行業信息安全
當前,煙草行業的信息系統基礎設施,包括主機、存儲、操作系統、數據庫、中間件等幾乎還很大程度上依賴于國外品牌,使得煙草行業信息系統比較容易被國外掌控,威脅煙草行業信息安全。
1.2傳統互聯網威脅向煙草行業輻射
隨著電子商務的快速發展,煙草行業信息系統由半封閉的行業內網向互聯網轉變,網上訂貨、網上營銷等新型業務與互聯網結合日益緊密,同樣面臨的網絡攻擊和威脅形勢日益復雜嚴峻,傳統互聯網威脅(如病毒、木馬等)也必將危及行業信息安全。
1.3新技術的應用使行業信息安全面臨更大挑戰
隨著云計算、虛擬化、移動應用等新興技術的快速發展和應用,極大地影響了信息系統的運行和服務方式,互聯網服務的開放性特點對煙草行業信息安全工作提出嚴峻的挑戰。
2煙草行業信息安全發展方向
近期,為處理好安全和發展的關系,適應信息技術發展形勢需要,提出以安全保發展、以發展促安全是未來一段時間信息安全建設和管理的重要方向。
2.1堅持自主安全可控,健全行業信息安全體系
信息安全自主可控作為行業信息化發展的重要保障,加大安全可靠的先進技術應用力度,提升對核心技術的自主掌控能力,保障行業信息化建設穩步推進,健全以防為主、軟硬結合的行業網絡安全體系。強化網絡基礎設施安全,加大安全可控關鍵軟硬件的應用比例,確保行業信息化高效安全平穩運行。
2.2堅持等級保護,提高安全管理水平
執行國家信息安全等級保護制度,以安全策略為核心,堅持技術和管理相結合,構建與行業信息化發展協調一致的行業網絡安全體系。
2.3強化安全運維機制,提升安全保障能力
目前,行業信息安全保障尚未全面融入信息化的“建管用”的各個環節,需要進一步建設、健全行業網絡安全保障體系,落實安全運維機制,提升安全綜合防范能力。
2.4完善應急處置體系,保證系統安全穩定運行
加強日常信息安全監控,進一步完善信息安全應急處置機制,充分評估信息系統面臨的威脅,并制訂覆蓋各類信息系統、各種信息安全事件的應急預案并進行演練,提升信息系統預警、應急處置和恢復能力,保障業務系統的連續穩定運行。
2.5煙草行業信息安全建設思路
隨著國家、行業主管單位對信息安全認識和要求的不斷深入,煙草行業信息系統綜合安全防范能力需要通過建立自主可控的信息安全技術體系;細化和完善信息安全法規制度、標準規范、流程細則的管理體系;和以“常態化”為目標,包括階段性運維、日常運維、應急工作三個角度的安全運維體系設計,從而提高信息系統信息安全綜合防范能力。
2.6建立系統安全基線,提升系統基礎防護能力
國家局針對信息安全工作下發了如《信息安全保障體系建設規范》《行業單位等級保護建設規范》等一系列的規范標準,同時以“三全工作”“安全檢查”為抓手推動信息安全保障體系的建設。但由于缺乏具體的操作層面的指南,各行業單位對標準規范和安全建設尚不能有效落地,不能執行到具體的業務系統以及所屬的主機、網絡設備等基礎設施層面。為保證信息系統整體安全水平,防止因為各類系統、設備的安全配置不到位而帶來安全風險,有必要針對信息系統建立其基本的安全要求(安全基線),確保信息系統具有基本的安全保護能力。
2.7建立自主可控信息安全技術體系
自主可控是信息安全的根本保障。建立自主可控的信息安全技術體系可以從以下方面著手:一是制訂行業信息安全技術產品準入要求,啟動核心信息技術產品的信息安全檢查和認證工作;二是加強對產品或系統的漏洞檢測和代碼審查,及時發現系統安全隱患,同時明確國外進口產品在使用過程的責任和義務;三是建立煙草行業新技術的安全標準規范,明確新技術的使用、運維和管理的方法和范圍。
2.8不斷完善行業信息安全標準規范體系
目前煙草行業已經陸續了一系列行業信息安全標準和規范,但是相對于信息化的快速發展來說還存在滯后性。制定、完善和細化行業信息安全標準規范,對于煙草信行業信息安全具有重要意義。例如,針對信息系統的建設,應制訂包含在信息系統規劃設計、開發建設、運行維護和停用廢棄等全生命周期的安全標準規范;針對移動應用,應制訂包含由移動終端、移動網絡、移動平臺、業務應用構成的移動安全框架和建設標準規范,為煙草行業的移動應用建設提供指導;針對煙草行業數據安全,應建立包括數據分類分級、數據分布、數據操作、數據備份和恢復在內數據安全標準規范,為合理保護和利用行業數據提供指導;針對第三方服務外包,制定第三方服務機構服務質量基本評價指標體系。
2.9建立安全運維管理服務體系
一是建立運維監控指標體系。通過對信息系統安全運維水平的層次化監控指標的建立,得到該業務系統的安全運維水平評級,以此來表明該業務系統的安全運維體系的建設成熟度。同時還應將表示安全運維水平的各個指標項建立針對某類安全事件的度量標準。建立監控指標不僅應當包括傳統的各種系統資源使用率、數據和應用工作狀態等,同時要加強對運維監控中發現的各種異常現象的監控分析,對風險隱患及時處理,同時根據運行分析結果動態評估系統的處理能力,動態優化系統資源配置。二是完善安全運維和管理工作。安全運維和管理工作應包含在信息系統規劃設計、開發建設、運行維護和停用廢棄等各環節,落實系統建設全生命周期各環節的安全指標和流程要求,做到基礎信息網絡、重要信息系統與安全防護設施同步規劃、同步建設、同步運行。三是完善應急處置機制,保障業務連續性。隨著行業數據的集中,各類信息系統整合的不斷推進,信息系統的技術體系日趨復雜,需要在日常運維過程中積累、提高對各種技術的把握、優化能力。充分評估各類信息系統潛在的威脅,并制訂和完善各類信息安全事件的應急預案,并定期開展應急演練。
2.10開展信息安全風險態勢感知體系研究
風險態勢感知體系是具有宏觀的角度對行業的整體網絡安全防護能力進行評估,同樣也應對整體安全管理水平進行評估,為提升信息系統整體安全防護能力提供決策支持;同時風險態勢感知體系應具備兩個維度的態勢感知能力。一方面,從安全本身的發展變化入手,通過對事件和威脅的分析來評估當前網絡的整體安全態勢,包括地址熵態勢分析、熱點事件分析和威脅態勢分析;另一方面,從信息系統所需要達成的安全管理水平入手,通過對一系列管理指標的度量,來評估當前信息系統的安全管理水平;建設完備的信息安全風險感知體系,是提高煙草領域信息安全的重要途徑之一。風險態勢感知體系的建設應按照信息安全等級保護的相關要求,建設針對信息系統所有的基礎設施包括終端、網絡、應用、系統、物理各個方面,以及信息系統在業務處理過程中的身份認證、訪問控制、數據與內容安全、監控審計、備份恢復等各個環節的信息安全風險態勢感知體系,提高信息系統的信息安全保障能力,提高信息安全事件的預警及防范能力。
3結語
煙草行業信息化建設及業務的高速發展將帶來新的信息技術風險和威脅,信息安全建設尤為重要。信息安全保障體系建設具有動態性、長期性的特點,為業務運行和信息化建設提供支撐是信息安全建設最終目標,需要緊密跟蹤行業信息化發展變化情況與網絡安全攻防技術的發展狀況,適時調整、完善和創新安全管理方法和建設思路。煙草行業信息安全建設和管理方法也可借鑒其他重點行業如能源行業、運營商行業、金融行業的有效經驗,以進一步完善煙草行業自身的信息安全能力,使信息安全工作能夠有力地保障國家局提出的建設一體化“數字煙草”的戰略目標,推動信息化與煙草業務深度融合。
作者:辛友順 單位:安徽省煙草專賣局