传统行业信息安全建设

传统行业信息安全建设（共3篇）

传统行业信息安全建设 篇1

1 背景

近年来, 在国家烟草专卖局 (以下简称国家局) “数字烟草”政策的引导下, 烟草行业的业务应用系统建设近年来日趋完善, 信息化的业务系统已经覆盖行业生产经营管理的各个领域。随着卷烟生产经营决策管理系统、网站系统、协同办公平台、网上订货系统等重要业务系统的上线, 业务应用系统已成为烟草行业生产、经营、管理的关键要素和核心资产。

目前, 网络安全已真正上升为国家发展战略。2014年2月27日, 中共中央成立国家网络安全和信息化领导小组, 并由国家最高领导人任组长, 说明“网络安全和信息化”是排在政治经济体制改革、国家安全之后的国家重大事项。作为国民经济支柱的重要行业, 烟草行业的经济地位不言而喻, 其行业信息化的发展必须遵循国家信息化相关要求。保证业务系统服务的持续稳定运行和业务信息的安全, 是保证烟草行业各项业务正常开展的前提条件。

随着烟草行业信息化建设的深入开展, 信息化建设逐步从初期的基础建设逐渐提升到体系规划和建设水平上来。在信息化建设过程中运用了大量的新兴技术、新产品, 确实有力地提升了烟草行业信息化的发展水平。但新兴技术的应用在为用户提供快捷服务的同时, 其在网络边界模糊化、系统环境开放化、服务方式多样化等方面的特点, 也不可避免地带来了新的安全问题, 并对当前信息安全防护能力提出新的考验, 使得烟草行业的业务系统面临着新形式的非法访问控制、不当操作、恶意代码、攻击入侵, 以及违规与信息泄露等信息安全问题。因此, 信息安全自主可控是当前烟草行业信息化建设过程中亟待解决的重要问题之一。

2 烟草行业信息安全面临的挑战

随着烟草行业信息化快速发展及云计算、虚拟化、移动应用等新兴技术运用, 使烟草行业的信息安全面临新的挑战, 主要表现在以下几点。

2.1 核心软硬件被国外垄断, 严重威胁行业信息安全

当前, 烟草行业的信息系统基础设施, 包括主机、存储、操作系统、数据库、中间件等几乎还很大程度上依赖于国外品牌, 使得烟草行业信息系统比较容易被国外掌控, 威胁烟草行业信息安全。

2.2 传统互联网威胁向烟草行业辐射

随着电子商务的快速发展, 烟草行业信息系统由半封闭的行业内网向互联网转变, 网上订货、网上营销等新型业务与互联网结合日益紧密, 同样面临的网络攻击和威胁形势日益复杂严峻, 传统互联网威胁 (如病毒、木马等) 也必将危及行业信息安全。

2.3 新技术的应用使行业信息安全面临更大挑战

随着云计算、虚拟化、移动应用等新兴技术的快速发展和应用, 极大地影响了信息系统的运行和服务方式, 互联网服务的开放性特点对烟草行业信息安全工作提出严峻的挑战。

3 烟草行业信息安全发展方向

近期, 为处理好安全和发展的关系, 适应信息技术发展形势需要, 提出以安全保发展、以发展促安全是未来一段时间信息安全建设和管理的重要方向。

3.1 坚持自主安全可控, 健全行业信息安全体系

信息安全自主可控作为行业信息化发展的重要保障, 加大安全可靠的先进技术应用力度, 提升对核心技术的自主掌控能力, 保障行业信息化建设稳步推进, 健全以防为主、软硬结合的行业网络安全体系。强化网络基础设施安全, 加大安全可控关键软硬件的应用比例, 确保行业信息化高效安全平稳运行。

3.2 坚持等级保护, 提高安全管理水平

执行国家信息安全等级保护制度, 以安全策略为核心, 坚持技术和管理相结合, 构建与行业信息化发展协调一致的行业网络安全体系。

3.3 强化安全运维机制, 提升安全保障能力

目前, 行业信息安全保障尚未全面融入信息化的“建管用”的各个环节, 需要进一步建设、健全行业网络安全保障体系, 落实安全运维机制, 提升安全综合防范能力。

3.4 完善应急处置体系, 保证系统安全稳定运行

加强日常信息安全监控, 进一步完善信息安全应急处置机制, 充分评估信息系统面临的威胁, 并制订覆盖各类信息系统、各种信息安全事件的应急预案并进行演练, 提升信息系统预警、应急处置和恢复能力, 保障业务系统的连续稳定运行。

3.5 烟草行业信息安全建设思路

随着国家、行业主管单位对信息安全认识和要求的不断深入, 烟草行业信息系统综合安全防范能力需要通过建立自主可控的信息安全技术体系;细化和完善信息安全法规制度、标准规范、流程细则的管理体系;和以“常态化”为目标, 包括阶段性运维、日常运维、应急工作三个角度的安全运维体系设计, 从而提高信息系统信息安全综合防范能力。

3.6 建立系统安全基线, 提升系统基础防护能力

国家局针对信息安全工作下发了如《信息安全保障体系建设规范》《行业单位等级保护建设规范》等一系列的规范标准, 同时以“三全工作”“安全检查”为抓手推动信息安全保障体系的建设。但由于缺乏具体的操作层面的指南, 各行业单位对标准规范和安全建设尚不能有效落地, 不能执行到具体的业务系统以及所属的主机、网络设备等基础设施层面。为保证信息系统整体安全水平, 防止因为各类系统、设备的安全配置不到位而带来安全风险, 有必要针对信息系统建立其基本的安全要求 (安全基线) , 确保信息系统具有基本的安全保护能力。

3.7 建立自主可控信息安全技术体系

自主可控是信息安全的根本保障。建立自主可控的信息安全技术体系可以从以下方面着手:一是制订行业信息安全技术产品准入要求, 启动核心信息技术产品的信息安全检查和认证工作;二是加强对产品或系统的漏洞检测和代码审查, 及时发现系统安全隐患, 同时明确国外进口产品在使用过程的责任和义务;三是建立烟草行业新技术的安全标准规范, 明确新技术的使用、运维和管理的方法和范围。

3.8 不断完善行业信息安全标准规范体系

目前烟草行业已经陆续发布了一系列行业信息安全标准和规范, 但是相对于信息化的快速发展来说还存在滞后性。制定、完善和细化行业信息安全标准规范, 对于烟草信行业信息安全具有重要意义。例如, 针对信息系统的建设, 应制订包含在信息系统规划设计、开发建设、运行维护和停用废弃等全生命周期的安全标准规范;针对移动应用, 应制订包含由移动终端、移动网络、移动平台、业务应用构成的移动安全框架和建设标准规范, 为烟草行业的移动应用建设提供指导;针对烟草行业数据安全, 应建立包括数据分类分级、数据分布、数据操作、数据备份和恢复在内数据安全标准规范, 为合理保护和利用行业数据提供指导;针对第三方服务外包, 制定第三方服务机构服务质量基本评价指标体系。

3.9 建立安全运维管理服务体系

一是建立运维监控指标体系。通过对信息系统安全运维水平的层次化监控指标的建立, 得到该业务系统的安全运维水平评级, 以此来表明该业务系统的安全运维体系的建设成熟度。同时还应将表示安全运维水平的各个指标项建立针对某类安全事件的度量标准。建立监控指标不仅应当包括传统的各种系统资源使用率、数据和应用工作状态等, 同时要加强对运维监控中发现的各种异常现象的监控分析, 对风险隐患及时处理, 同时根据运行分析结果动态评估系统的处理能力, 动态优化系统资源配置。

二是完善安全运维和管理工作。安全运维和管理工作应包含在信息系统规划设计、开发建设、运行维护和停用废弃等各环节, 落实系统建设全生命周期各环节的安全指标和流程要求, 做到基础信息网络、重要信息系统与安全防护设施同步规划、同步建设、同步运行。

三是完善应急处置机制, 保障业务连续性。随着行业数据的集中, 各类信息系统整合的不断推进, 信息系统的技术体系日趋复杂, 需要在日常运维过程中积累、提高对各种技术的把握、优化能力。充分评估各类信息系统潜在的威胁, 并制订和完善各类信息安全事件的应急预案, 并定期开展应急演练。

3.1 0 开展信息安全风险态势感知体系研究

风险态势感知体系是具有宏观的角度对行业的整体网络安全防护能力进行评估, 同样也应对整体安全管理水平进行评估, 为提升信息系统整体安全防护能力提供决策支持;同时风险态势感知体系应具备两个维度的态势感知能力。一方面, 从安全本身的发展变化入手, 通过对事件和威胁的分析来评估当前网络的整体安全态势, 包括地址熵态势分析、热点事件分析和威胁态势分析;另一方面, 从信息系统所需要达成的安全管理水平入手, 通过对一系列管理指标的度量, 来评估当前信息系统的安全管理水平;建设完备的信息安全风险感知体系, 是提高烟草领域信息安全的重要途径之一。风险态势感知体系的建设应按照信息安全等级保护的相关要求, 建设针对信息系统所有的基础设施包括终端、网络、应用、系统、物理各个方面, 以及信息系统在业务处理过程中的身份认证、访问控制、数据与内容安全、监控审计、备份恢复等各个环节的信息安全风险态势感知体系, 提高信息系统的信息安全保障能力, 提高信息安全事件的预警及防范能力。

4 结语

烟草行业信息化建设及业务的高速发展将带来新的信息技术风险和威胁, 信息安全建设尤为重要。信息安全保障体系建设具有动态性、长期性的特点, 为业务运行和信息化建设提供支撑是信息安全建设最终目标, 需要紧密跟踪行业信息化发展变化情况与网络安全攻防技术的发展状况, 适时调整、完善和创新安全管理方法和建设思路。烟草行业信息安全建设和管理方法也可借鉴其他重点行业如能源行业、运营商行业、金融行业的有效经验, 以进一步完善烟草行业自身的信息安全能力, 使信息安全工作能够有力地保障国家局提出的建设一体化“数字烟草”的战略目标, 推动信息化与烟草业务深度融合。

参考文献

[1]沈羿.论烟草行业网络信息安全保障体系构建[J].信息技术应用研究, 2010 (10) .

[2]李益文.烟草行业信息安全运维管理体系建设的思考[J].实践与探讨, 2009 (2) .

[3]赵建翊.浅谈烟草商业企业信息安全基线建设[J].计算机安全, 2013 (8) .

[4]张伟丽.新形势下我国金融行业的信息安全[J].中国经济时报, 2014 (4) .

传统行业信息安全建设 篇2

2015年6月5-6日，在温州美丽的雁荡山山庄一场围绕“互联网+”时代中国制造业的高峰论坛如期举行，烽火星空与百余名来自制造业的专家、企业界代表、CIO等嘉宾一起参与了此次制造业论坛的活动，进行了深度的探讨与交流。

6月5日下午，北京大学教授、工业和信息化部原部长杨学山先生与各位制造业企业家代表、CIO探讨了未来工业发展走向以及自身企业信息化发展难题。杨部长谈到：不管是工业4.0，还是互联网+，企业应该慎重的思考如何利用这些新技术、新模式，在降低成本、提升效率、扩大市场方面能够做什么。做好事情有很多不同的路径，互联网时代，不变肯定不行，不管是转型还是升级，选择最合适的路径很重要!在发生重大变革的事情，企业的领导者应该弄清楚变革的本质，直追概念、只追潮流、盲目跟风，最终还是会输。

6月6日，“2015互联网+中国制造业高峰论坛”正式开启。本次活动由第四届北大CIO同学会副会长刘晓军先生主持。温州市经济和信息化委员会副主任毛必土先生为本次制造业高峰论坛活动致辞，为大家介绍了温州的经济、产业结构等总体情况，又特别提到了信息化的建设以及智慧城市的建设情况，市政府的五大战略中，信息化战略起到了引领的作用。他希望通过这样的高峰论坛揭起温州产业拥抱互联网的热潮。

北京大学教授、原工业和信息化部副部长杨学山先生在论坛上为大家分享了题为“互联网+时代的中国制造”的主题演讲，围绕互联网+时代中国制造业的发展，他从三个方面展开阐述：第一为什么发生变化?他谈到：每一次重大变革，都要寻本溯源，要弄清楚是什么力量推动着制造业朝新方向发展。显而易见，信息技术特别是感知技术在这个过程中起到了至关重要的作用。第二会产生什么影响?影响一定是全方位的，制造、流通、销售、服务、供应链、生态链都会受到影响，企业的组织架构、管理模式、边界都会受到影响，但是供给决定需求的主体一直没有发生变化。第三怎么办?杨老师提到：变化是全方位的，不变也是全方位的，核心就是转变观念、提高认识，要把变的本质和不变的本质结合起来，进而提升劳动生产力、提升效率、提升质量品牌、提升市场扩展率。

烽火星空产品总监朱晶晶先生在本次活动上分享的主题为：互联网+时代，移动信息化如何提高生产效率。他提到CIO们焦虑主要有四个方面，一是免费，二是扁平化，三是快速，四是粉丝。而移动化能够为企业带来什么?首先是优化和改善业务流程，其次是提升效率和降低成本，第三是及时高效准确的数据。紧接着朱晶晶先生为大家制定移动化规划的五大步骤：理解业务需求，寻找业务场景;排定业务的优先期;确定移动开发技术;明确应用的分发手段;明确管理及安全策略。

在下午的论坛上，有两场互动环节，第一场为互动对话，对话主题为：“互联网+给传统制造业带来的机会。参与对话的嘉宾有：华帝股份信息管理部经理冯良波、德力西CIO鲁晓冬、红蜻蜓CIO姚跃朋、江南布衣CIO王歆、浙江天正电气信息总监李书育。各位嘉宾分别从自己企业与所处行业的角度分析了互联网+时代传统企业面临的新机遇。第二场是案例研讨PK，欧拉姆阀门董事长金志远先生介绍了企业的基本情况，涉及到O2O、信息化、互联网+等问题，PK的两组为温州队与北大队，温州队的成员有：德力西CIO鲁晓冬、红蜻蜓CIO姚跃朋、红黄蓝集团有限公司彭文昌、夏梦.意杰服饰有限公司，IT&物流总监庄瑞强。北大队成员有：华帝股份信息管理部经理冯良波、江南布衣CIO王歆、浙江天正电气信息总监李书育、江苏海宝软件股份有限公司副总经理李檀、中国电子系统工程总公司副总工程师郝新兵。两队成员分小组讨论之后，大家就欧拉姆阀门未来的O2O战略发展都给出了自己的建议，两组队员进行了激烈的PK与讨论，最后欧拉姆阀门董事长金志远先生认为北大组提出的建议与规划会更加适合自己企业的发展，宣布北大组获得PK的胜利。

传统行业信息安全建设 篇3

编者按:当前, 国家正深入实施“互联网+”行动计划、中国制造2025, 加快向网络强国、制造强国迈进。我省也制定了加快发展平台经济、互联网经济的措施、中国制造2025江苏行动纲要, 积极抢抓互联网发展机遇。在此过程中, 随着大数据、移动互联网、云计算、物联网等新技术新业务的广泛应用, 网络安全形势更加严峻, 网络安全对经济社会、国家安全的重要性将更加凸显。作为处在全国互联网发展第一方阵的江苏, 始终把加强互联网发展与安全作为社会管理创新工程的重要任务, 紧紧围绕“一条主线、两项重点”, 不断创新思路、创新机制、创新方法, 促进互联网持续健康的发展。