文档库 最新最全的文档下载
当前位置:文档库 › 烟草行业信息安全管理的研究与探索

烟草行业信息安全管理的研究与探索

烟草行业信息安全管理的研究与探索

陈宇明

(浙江省平湖市烟草专卖局,浙江 平湖 314200)

摘 要:烟草行业作为国民经济的一个重要产业,在国民经济中占有相当重要的地位。在烟草行业十二五规划“做大、做强、做精”的改革发展愿景中,信息化工作承担着极其重要的角色。如何建立健全行业信息安全管理,对烟草行业的健康稳定发展有着重要意义。从烟草行业信息安全管理的现状入手,对加强烟草行业信息安全管理,推进信息安全体系建设,以及信息风险评估、应急机制完善等方面进行了研究与探索。

关键词:烟草;信息安全;风险评估;管理体系;应急预案

Tobacco Industry Information Security Management Research and Exploration

CHEN Yu-ming

(Tobacco Monopoly Bureau of PingHu ZheJiang ,Pinghu,Zhejiang 314200,China)

Abstract: The tobacco industry as an important national industry, in the national economy plays an important role. How to establish and improve industry information security management, healthy and stable development of the industry has an important significance. This article from the tobacco industry's present situation of information security management, to strengthen the tobacco industry, information security management, and promote information security system other aspects of the research and exploration.

Key words: Tobacco;Information Security;Risk Assessment;Management system;Emergency plan

1 引言

随着国内烟草行业的不断发展,烟草信息化建设的步伐也不断加快,建立在网络架构上的跨部门、跨企业、跨地区的行业系统内部信息网络逐步建立健全,信息化各类应用不断深化,而另一方面,行业信息安全形势不容乐观,影响系统稳定运行的因素不断凸显,因此,通过管理、技术等层面的研究加强对信息系统的安全保护力度,防范安全风险的发生,对于保障烟草行业平稳健康运行、提升竞争实力具有重大意义。

2 烟草行业信息安全管理的优势特征

国内烟草行业在历经几十年的快速发展后,在行业信息化建设方面累积了一定的经验,集聚了一定的信息安全管理的优势特征,主要分析如下:

2.1 安全组织与人员方面

主机服务器管理人员基本具备一定程度的安全意识,大多数设备的维护都已有明确清晰的明文规定,拥有较为详尽的运维管理流程。

2.2 安全管理制度方面

制定了拥有一部分的信息安全规章制度。

2.3 在资产管理方面

制定了信息资产管理制度,实施了严格的措施对信息资产进行了管理。

2.4 物理环境安全方面

对各类机房有基本明确的物理与环境安全管理规定,覆盖物理环境安全所要求的安全区域,设备安全和常规措施等各要点,执行情况良好。

2.5 在主机系统与网络应用系统安全方面

对主机系统状况的评估采用了顾问访谈,人工评估,工具扫描等多种方式,通过措施已消除部分安全隐患,整体安全性较好。

3 烟草行业信息安全管理存在问题的分析

由于烟草行业对系统处理信息的实时性、准确性要求较高、业务流程较为复杂,中间环节产生的

2011.09

2011.0数据量较大。信息系统的安全性、可靠性是影响行业核心工作开展的关键性因素。

行业现状与I S O17799最佳实践对比图如图1所示。

图1 行业现状与ISO17799最佳实践对比图

行业存在以下问题:

3.1 安全政策

1)安全制度的建设没有形成体系,较为零散。2)未制定相应的信息保密制度相关的培训机制。3)没有信息安全策略回顾与更新措施。4)管理制度宣传不到位,员工认识不够。

3.2 组织与人员安全

1)没有系统进行安全培训。

2)缺乏统一的安全规划和安全职责部门,人员配备不足,没有一个专职的安全管理员。

3)运维管理缺乏信息安全体系建设机制,缺少有关信息安全的管理手段和防范措施。

3.3 资产管理

1)信息资产价值和重要性定义不够清晰。2)未明确地规定针对信息资产的安全保护和相关安全行为的责任。

3)缺乏信息资产清单及时维护和更新的机制。

3.4 物理与环境安全

1)缺乏对其报废存储设备中敏感信息的专业处理。

2)重点区域对自然灾害的预防应对措施和条件不足。

3)对于外部防范和环境威胁的应对措施和条件

不足。

3.5 通讯与操作管理

1)系统平台、数据库管理系统均缺乏安全审计等安全措施。

2)对于第三方运维没有进行定期的审计和检查。3)缺乏对备份数据的可用性的检查。

4)对信息的泄露、篡改、丢失应对措施和条件不足,对外部信息交换方式和第三方服务管理缺乏必要的控制手段。

3.6 访问控制

1)主干网上主要采用国外核心交换机,没有采用国内自主产权的核心交换机,接入层部分服务器单点接入,对网络的可靠性有一定的影响。

2)网络之间缺少安全隔离,网络设备采用的SNMP 和TELNET 通信方式,容易被截获,容易暴露信息及恶意利用。未对内部用户的访问权限进行定期检查,内网未作相应的控制策略,容易权限混乱。

3)对远程工作和移动办公缺乏统一的安全规范策略,没有措施规范通过V P N 开展远程工作、工作时间、可以保管的信息种类以及远程工作人员有权访问的内部系统和服务。

4)缺乏对网络环境的监视和对网络安全的评估,网络服务安全控制和保护难以实施。

5)防火墙、逻辑隔离网关、物理隔离网关、网络防病毒体系等比较薄弱。

6)缺乏统一的部署安全策略和技术手段,进行安全风险控制。

7)访问控制配置复杂,存在核心业务系统的访问无法控制的可能,给业务系统带来较大的安全隐患。

8)网络设备的配置记录没有定期更新,没有保存接入层交换机的配置表,也没有常规日志审计,维护记录不全。

3.7 信息系统的获取、开发与维护

1)信息系统缺乏加密技术来保护机密信息和敏感信息。

2)信息系统缺乏审计功能的设计。

3)对外包软件的开发没有相应的安全控制措施。

4)外包软件开发商基本未考虑安全方面的需求。

5)信息系统在上线前未进行有效的安全测试。3.8 信息安全事件管理

1)缺少安全证据收集的流程和方式。

2)安全事件的汇报和响应流程执行力不强,应急情况下往往得不到有效执行。

3)缺少安全漏洞和安全事件的报告流程。

4)缺少机制和流程来分析安全事件和故障的类型、大小和造成的损失。

5)目前绝大多数用户不具备安全事件发生时收集安全相关证据的能力。

6)缺乏对安全事件明确定义及有效宣导,缺乏对集成商等第三方人员安全事件管理的宣导。

3.9 业务连续性管理

1)集成商系统服务管理不到位,没有对集成商技术服务的管理制度支持。

2)缺乏完整、全面的业务连续性计划,没有突发事故的处理管理制度,缺乏突发事故的处理流程预案。

3)对连续性的业务计划没有常规的测试和及时更新演练。

4)大部分企业未建立异地容灾系统,在发生地震、火灾等灾害时,不能有效地保存数据。

3.10 法律法规符合性控制

1)没有出台软件版权符合性的策略,对合法使用软件和信息产品进行明确规定。

2)没有相应的措施确保在使用软件和资料时遵守知识产权保护法。

3)没有对信息资产的所有者或责任维护人,普通员工以及管理层,系统供应商和集成商进行定期评审,保证其符合安全策略和标准。

4)没有经常核对信息系统的技术是否遵循安全标准。

4 烟草行业信息安全管理对策分析

通过对行业信息化现状的分析,掌握目前管理中的不足和存在的安全隐患,分析对策,落实整改保障措施:

(1)在安全政策方面,通过建立完备的安全政策,使信息安全管理制度得到有效执行,规范员工及相关人员,避免出现违规行为指导各项工作的开展[1]。

制订清晰完整的信息安全政策,用于指导行业企业信息安全建设。定期对员工进行安全意识培训。通过电子杂志等各种灵活形式进行安全知识传授。通过问卷、考试方式对信息安全管理制度的执行情况进行检查。建立安全制度与绩效考核相关联机制,对违反制度的行为进行惩罚。

(2)资产管理,根据资产的重要程度来对资产进行分类和重点保护。

明确规定对资产采取安全保护行为的责任,加强信息资产的保护力度:结合烟草自身特点,制定符合烟草的信息资产分类标准,其中包含资产的识别、赋值、标识以及资产在整个生命周期内的处理方式等规定。制定相关的制度规范烟草企业在日常信息安全风险管理,包括资产识别和评价、弱点识别和评价、威胁识别和评价、风险评价以及风险处理等。

(3)物理与环境安全,加强信息资产保护,避免减轻自然灾害等可能导致灾难性后果的发生:完善现有机房安全管理规定和现有I T设备安全管理规定,对于烟草设备进行统一标识,并明确对应责任人归属,制定符合烟草实际的I T设备弃用或报废前敏感信息处理制度和流程。

2011.09

(4)通讯与操作管理

完善操作管理、备份制度,建立相应的审计系统,制定介质管理规定和程序,完善介质管理,对系统文档和日志文件等重要信息加强保护控制措施。

(5)访问控制

加密数据传输,做好网络服务安全控制和实施,加强和完善访问控制制度和策略,完善权限管理,建立桌面清理和屏幕保护策略,加强登录终端、路由及其他设备的安全控制,建立口令管理系统[2],制定移动计算机设备和远程办公的相应的管理策略。

(6)信息系统获取、开发与维护

加强软件开发过程管理,减少开发维护成本,及时发现潜在的安全隐患:越权滥用,非法修改等情况,防患于未然。制定应用系统开发信息安全管理规定和信息系统风险评估流程,并执行定期的风险评估。制定应用系统安全开发标准。

(7)信息安全事件处理,加强对安全事件发生时第一反应的正确性,提升事故处理效率,减少损失:实施各类信息安全事件的影响性分析及信息安全事件总结,保证安全证据的处理,建立内部风险评估制度。

(8)业务连续性管理,保障所有业务系统的连续性,维护正常企业生产:

在现有应急措施的基础上,制定完善业务连续性计划,定期对业务连续性计划培训、宣导和演练,保证业务连续性计划的有效性,建立异地容灾系统,在发生自然灾害时,能够保障业务的正常运行。

(9)法律法规符合性控制,加强有关安全措施的有效性,减少不必要的法律纠纷:

制定法律符合性管理规定,明确应遵循的国家法律法规、行业规定及公司内部的信息安全管理规定,定期检查信息安全标准的落实和执行情况,定期对信息系统的技术合规性进行检查,及时修补系统自身存在的弱点。

(10)核心网络安全,加强技术类安全措施保障:

对核心业务服务器进行I P,M A C绑定,防止

A R P攻击,划分安全域,建议划分独立的运维区,对安全级别较高的服务器做必要的访问控制与隔离。采用S S H的方式对网络设备进行管理,建立完善的Q O S策略,对各业务系统的流量,带宽进行合理的分配,建立完善的日志审计系统,结合公司管理制度,建立完善的信息审计机制,在核心设备上对端口进行流量监控,建立网络监控措施,采用国内产权的核心交换机、防火墙等硬件设备[3]。

(11)主要服务平台的信息安全管理:

建立主要网站监控管理体制,做好漏洞扫描机制,对操作系统进行优化配置,建立重要数据备份管理,加强设备、线路在物理上的安全管理、包括链路加密、门禁系统、机房环境、电源保障、防火防雷、机房屏蔽、设备干扰防窃听等安全管理,建立统一的安全策略和严格的加密措施。

5 运用科学的风险评估模型开展风险评

估研究,加强预警和应急机制的建设运行信息安全风险分析与评估,找准问题,完善预警及应急预案 并通过制定信息安全政策与规章制度,切实运用合适的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。通过风险评估,找出隐患,进行加固与优化,建立安全紧急响应预案等,是信息安全工作中的重要一环。

5.1 信息安全风险评估

信息安全风险评估的目标是了解企业关键业务运作的信息系统的安全状况,评估核心信息资源所面临的风险。关键就是立足于行业整体的信息安全管理体系,结合评估流程,通过审核现有的信息安全等策略、程序及控制措施的效力,分析现状,进行对策研究, 增强安全性和抗攻击性,提高网络与

2011.0

2011.09

信息系统的安全保障能力,确保烟草信息系统的安全稳定运行[4](见图2)。

图2 风险评估分析流程图

风险评估要运用科学的评估模型来识别风险大小,找准问题, 并通过制定政策与制度,运用合适的控制目标与方式对风险进行控制,有针对性地进行目标整改,使风险被避免、转移或降至一个可被接受的水平,提高安全保障能力(见图3)。

图3 风险评估模型图

5.2 应急响应措施机制研究

为提高系统处置网络与信息安全突发事件能力,加强网络与信息安全保障工作,形成科学、有效、反应迅速的应急工作机制,要建立健全烟草行业信息安全应急响应机制,有效预防、最大限度地消除信息安全各类突发事件的危害和影响[5]。

(1)建立系统、分层次的应急组织和指挥体系,组织开展网络与信息系统事件预防、应急处置、恢复运行、事件通报等各项应急工作。妥善处置各类重大信息安全突发事件。

(2)加强网络与信息系统突发事件预警和应急

机制的建设。做好应对突发事件的预案、应急资源、保障措施、编制现场处置预案,形成定期应急培训和演练的常态机制。对关键网络和重要信息系统加大应急监控处理力度,为信息安全提供强有力的支撑。

(3)完善应急措施。加强与网络与信息系统应急部门的沟通协作及纵向信息报送,健全互相协作、上下联动的快速响应机制,整合应急资源,协同处

置突发事件,尽可能避免或者减少网络突发事件带来的影响。

6 结束语

信息安全是一项涉及技术、设备、管理等多方面复杂的系统工程,通过开展对烟草行业信息安全管理的研究与探索,加强行业信息安全的管理力度,建立健全合理的机制措施,制定标准的信息安全体系结构,以安全技术结合管理手段,整体的角度,系统的方法,综合应用,从而为实现整个烟草行业信息网络的安全,为烟草行业十二五工作全面上水平保驾护航。

参考文献:

[1]沈昌祥编著.关于强化信息安全保障体系的思考.北京:

信息安全与通信保密,2003年第6期:l5-17.

[2]林柏钢编著.网络与信息安全现状分析与策略控制.北京:信息安全与通信保密,2003年第6期:323一326.[3]范红编著.信息安全风险评估规范国家标准理解与实施.北京:中国标准出版社,2008: 26-28.

[4]赵燕敏,李明禄等编著.基于风险评估的企业信息化项目管理方法.北京:计算机应用与软件, 2008第1期:112-114.

[5]向宏, 傅鹂, 詹榜华等编著.信息安全测评与风险评估.北京:电子工业出版社,2009: 35-39.

收稿日期:2011-07-18

相关文档
相关文档 最新文档