烟草行业信息安全运维管理体系建设的思考

７０２００９．０２

烟草行业信息安全

运维管理体系建设的思考

李益文

（湖南省邵阳市烟草公司）

【摘要】湖南烟草商业系统信息化建设的实施为烟草系统承担的专卖管理和服务实现电子化、网络化和透明、高效开辟了广阔的空间。然而信息系统的安全问题也变得更加突出、严重。认识信息系统安全的威胁，把握系统安全的影响因素和要求，建设系统信息安全运维管理体系，对保证湖南烟草信息系统的有效运行具有重要意义。

【关键词】烟草商业系统安全管理安全运维体系

信息安全已经成为信息化进程中不可或缺的要素，是国家安全、社会安全、经济安全的重要组成部分。但随着信息化应用日益广泛，信息系统中存储的大量有价值的信息和数据已经成为各种ｌ蜘络犯罪组织和恶意势力的攻击目标。网络非法行为日趋复杂，且更为频繁，各种攻击方法相互融合，攻击手段更为隐蔽，破坏性更强，攻击从嘲络层向应用层迁移。黑客攻击行为组织性更强，僵尸网络大量出现；攻击目标从单纯的追求名声向获取多方面实际利益转变。近年来，国外的众多国家开始制汀ｆ言息安全相关的法律法规，强制企业按安全国际标准执行，使合规管理成为信息安全的一大主题。本文以湖南烟草商业系统信息安全运维管理体系建设为例，试图对烟草行业信息化建没中的安全问题进行研究。

一、湖南烟草信息化建设以及信息安全现状

根据国家烟草专卖局的战略部署，湖南省烟草商业系统（以下简称湖南烟草）于２００３年５月顺利进行工商分设体制改革，成立了湖南省烟草专卖局（公司），建立了向上连接中国烟草总公司的业务网络，向下覆盖省公司、１４个市州公司及９０多个县级公司的全新商业信息网络，新的商业系统网络具备了高性能与高可靠性，｜一１时集数字、语音、视频传输于一体。全省业务数据的远程传输采用了电信的覆盖全省ＭＳＴＰ专网线路，另外为了保障业务系统通信的可用性，为业务数据传输在Ｉｎｔｅｒｎｅｔ上建立了业务专用ＶＰＮ通道作为备份链路。

从服务器配置上来看，湖南烟草在省公司及１４个市级分公司分别配置了２台ＩＢＭ小型机作为核心服务器来使用。这螳小型机结合其它相关ＰＣＳｅｒｖｅｒ承载湖南烟草商业系统的多数业务系统。省公司和长沙市公司的服务器部署在白沙物流中心机房，其他１３个市州分公司的服务器部署在当地机房中。

信息中心自成立以来，将安全生产管理作为中心运营建设的头等大事，无论从规范管理、技术支撑，还是客户服务，都取得了突出的成绩，但目前湖南烟草在信息安全方面还存在以下主要问题：

（１）未建立起全面、标准的信息安全管理规范；

（２）未建立信息资产认证；

（３）终端缺乏安全管理；

（４）应用系统缺乏安全管理；

（５）对信息缺乏有效的控制手段；

（６）风险控制措施不够完善；

（７）未建立起可操作、规范的应急响应流程；

（８）安全意识不足；

（９）各市（州）公司安全管理差异性大。

二、湖南烟草对信息安全的需求分析

随着信息化和电子商务的迅猛发展，以及ＩＴ发展蓝图的实施，信息技术在业务创新驱动方面的表现将更加抢眼，但必须清楚地认识到：伴随数据的高度集中，运行风险同样也高度集中。湖南炳草在走上规模经营的同时，磐须建立与之相适应的风险防范管理体系。所以必须建立一个科学的信息安全运维管理体系、完善内控机制、控制操作风险、以持续有效的风险管理体系保障湖南烟草业务的拓展。针对湖南烟草现状及未来发展方向，对安全管理要求如下：

湖南烟草信息安全涉及对外业务服务的整个链条，任一个环节出现ｌ’ⅡＪ题，受损失的都将是湖南烟草，所以为了保障湖南烟草的声誉和效益，必须建立全面的以风险管理为核心的信息安全运维管理体系。

建立科学、完善的相互联动和制约的管理规范和标准化体系，使各项工作形成良性循环，强化内控机制；通过技术和管理手段的实施，使安全管理关Ｅｌ前移，完善风险管理；通过将工作职责、目标的层层分解，明确安全责任，推进湖南烟草军事化、精细化管理进程，强化执行力。

信息科技是湖南烟草业务创新的原动力，面对随需而变的市　万方数据