烟草行业网络信息安全保障体系构建

【网络信息安全】烟草行业网络信息安全保障体系构建

网络信息安全保障体系建设包括三个体系，即安全管理，技术保障，安全运维，这三个体系是不可分割的，相互补充。只有这三个体系安全完善，才能确保烟草行业网络信息安全得到保障。

(一)安全管理体系建设

安全管理是系统安全的重要组成部分，负责对安全架构的其它几个部分进行协调和监管，以实现安全保密架构的整体安全防范职能。安全保密管理部分在很大程度上涉及到人员管理和资源调配等管理层面的内容，因而也是整个安全保密架构中技术手段和管理手段结合较紧密的一个部分。参照iso/iec 17799信息安全管理标准的思路以及有关内容，烟草信息安全管理体系的建设包括风险评估机制的确定、安全管理策略的制定、安全管理组织架构的建设、安全管理技术平台的建设以及日常安全管理制度的建设等。由于烟草行业计算机网络与信息安全系统架构的建立和实施将涉及到整个烟草系统从管理、技术到一般工作人员的各个层面，并需要各方面资源的有力支持，并从管理体制上进行必要的调整以适应安全系统建设的需要。

(二)技术保障体系建设

1.确保物理安全。物理安全的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限，防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

2.实行访问控制。为了实现网络访问控制，可以在内部网络和外部网络之间设置一个netscreen或cisco pix防火墙。防火墙的一块网卡连接在内部交换机上，另一块网卡连接在路由器上。所有从internet访问烟草行业计算机信息网络内部网络的访问请求都首先到达防火墙，防火墙可以通过分析这些数据包的性质控制对主机的访问;同时，防火墙还可以针对internet制定安全策略，只允许与业务有关的通讯进入烟草行业网络，其他的网络服务请求都加以拒绝，来自外网的攻击行为就不能到达网络的主机。

3.有效防范计算机病毒。从病毒发展趋势来看，现在的病毒已经由单一传播、单种行为，变成依赖互联网传播，集电子邮件、文件传染等多种传播方式，融黑客、木马等多种攻击手段为一身的广义的“新病毒”。因此，在烟草行业内网考虑防病毒时选择产品需要重点考虑以下几点：防杀毒方式需要全面地与互联网结合，不仅有传统的手动查杀与文件监控，还必须对网络层、邮件客户端进行实时监控，防止病毒入侵;产品应有完善的在线升级服务，使用户随时拥有最新的防病毒能力;对病毒经常攻击的应用程序提供重点保护;产品厂商应具备快速反应的病毒检测网，在病毒爆发的第一时间即能提供解决方案;厂商能提供完整、即时的反病毒咨询，提高用户的反病毒意识与警觉性，尽快地让用户了解到新病毒的特点和解决方案。

4.实行密码加密处理。密码技术的基本思想是伪装信息，密码技术由明文、密文、算法和密钥构成。其中密钥管理是—个非常重要的问题，是一个综合性的技术，涉及到密钥的产生、检验、分配、传递、保存、使用、消钥的全过程。在实际加密过程中，—般不单独使用一种密码，而是将上述3种密码经过多次变换迭代生成。采用网络加密技术，对公网中传输的ip包进行加密和封装实现数据传输的保密性、完整性，它可解决网络在公网上数据传输的安全性问题也可解决远程用户访问内网的安全问题。

(三)安全运维体系建设

安全运维体系是保证管理措施和技术措施有效实施的支撑。运维工作促进技术措施和管理措施的融合，可以发挥强力作用，运维流程要以安全控制为落脚点。要通盘考虑谁来管、管什么、怎么管、靠什么管、管的怎样、是否符合要求等环节，做到“可视、可控”，确实保障信息安全工作落到实处。烟草行业运维的主要工作就是按照规定的程序保证系统的正常运行。最重要的一是要保证有“规定的程序”，二是要保证能“按照程序去做”。烟草行业信息中心首先要和有关合作单位制订好“规定的程序”，再制订如何检查落实的规定，进行检查、督促。三是要保障运维的技术水平，要有通用的安全操作规范来保障运维工作的一致性。“规定的程序”一是每个系统(如网络、办公自动化系统等)的日常运行维护流程，包括：(1)每天、每周、每月要做的工作及检查、测试的内容;(2)所做工作、检查、测试的情况要有记录;(3)要规定日常一般情况如何处理;(4)要规定特殊、应急情况如何处理;(5)要规定需报告的事项和时间要求。支持日常运行维护流程工作，还要有相应的每个系统的操作手册，包括开关机、检查、一般操作所需的命令等。二是系统变更时所需流程：包括申请、变更方案、审批、实施、变更情况确认。

三是应急预案，应急预案只需规定可能出现的主要情况，程序要简明、易实施，不需其他协助即可完成。“检查落实”一是要通过一些控制手段来检查运维人员是否“按照规定”去做工作，二是要承担相关的审核、检查工作。“运维安全性控制”一是控制对系统操作的权限，避免特权用户的产生，将最高权限分散。二是提供技术保障：(1)要有必要的监控手段来监视系统运行情况，而不是依赖于运维人员的主观活动;(2)统一运维操作平台，减少运维人员进入机房操作，加强操作控制;(3)测试环境与运行环境分开：系统新上线或变更时测试可行性，进行应急演练，紧急情况下可代替原系统运行;(4)通过运维管理平台为规范管理流程、加强安全运维管理提供技术保障。