煙草行業(yè)信息安全建設(shè)思路論文

　　1煙草行業(yè)信息安全面臨的挑戰(zhàn)

　　隨著煙草行業(yè)信息化快速發(fā)展及云計(jì)算、虛擬化、移動(dòng)應(yīng)用等新興技術(shù)運(yùn)用，使煙草行業(yè)的信息安全面臨新的挑戰(zhàn)，主要表現(xiàn)在以下幾點(diǎn)。

　　1.1核心軟硬件被國(guó)外壟斷，嚴(yán)重威脅行業(yè)信息安全

　　當(dāng)前，煙草行業(yè)的信息系統(tǒng)基礎(chǔ)設(shè)施，包括主機(jī)、存儲(chǔ)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件等幾乎還很大程度上依賴(lài)于國(guó)外品牌，使得煙草行業(yè)信息系統(tǒng)比較容易被國(guó)外掌控，威脅煙草行業(yè)信息安全。

　　1.2傳統(tǒng)互聯(lián)網(wǎng)威脅向煙草行業(yè)輻射

　　隨著電子商務(wù)的快速發(fā)展，煙草行業(yè)信息系統(tǒng)由半封閉的行業(yè)內(nèi)網(wǎng)向互聯(lián)網(wǎng)轉(zhuǎn)變，網(wǎng)上訂貨、網(wǎng)上營(yíng)銷(xiāo)等新型業(yè)務(wù)與互聯(lián)網(wǎng)結(jié)合日益緊密，同樣面臨的網(wǎng)絡(luò)攻擊和威脅形勢(shì)日益復(fù)雜嚴(yán)峻，傳統(tǒng)互聯(lián)網(wǎng)威脅（如病毒、木馬等）也必將危及行業(yè)信息安全。

　　1.3新技術(shù)的應(yīng)用使行業(yè)信息安全面臨更大挑戰(zhàn)

　　隨著云計(jì)算、虛擬化、移動(dòng)應(yīng)用等新興技術(shù)的快速發(fā)展和應(yīng)用，極大地影響了信息系統(tǒng)的運(yùn)行和服務(wù)方式，互聯(lián)網(wǎng)服務(wù)的開(kāi)放性特點(diǎn)對(duì)煙草行業(yè)信息安全工作提出嚴(yán)峻的挑戰(zhàn)。

　　2煙草行業(yè)信息安全發(fā)展方向

　　近期，為處理好安全和發(fā)展的關(guān)系，適應(yīng)信息技術(shù)發(fā)展形勢(shì)需要，提出以安全保發(fā)展、以發(fā)展促安全是未來(lái)一段時(shí)間信息安全建設(shè)和管理的重要方向。

　　2.1堅(jiān)持自主安全可控，健全行業(yè)信息安全體系

　　信息安全自主可控作為行業(yè)信息化發(fā)展的重要保障，加大安全可靠的先進(jìn)技術(shù)應(yīng)用力度，提升對(duì)核心技術(shù)的自主掌控能力，保障行業(yè)信息化建設(shè)穩(wěn)步推進(jìn)，健全以防為主、軟硬結(jié)合的行業(yè)網(wǎng)絡(luò)安全體系。強(qiáng)化網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全，加大安全可控關(guān)鍵軟硬件的應(yīng)用比例，確保行業(yè)信息化高效安全平穩(wěn)運(yùn)行。

　　2.2堅(jiān)持等級(jí)保護(hù)，提高安全管理水平

　　執(zhí)行國(guó)家信息安全等級(jí)保護(hù)制度，以安全策略為核心，堅(jiān)持技術(shù)和管理相結(jié)合，構(gòu)建與行業(yè)信息化發(fā)展協(xié)調(diào)一致的行業(yè)網(wǎng)絡(luò)安全體系。

　　2.3強(qiáng)化安全運(yùn)維機(jī)制，提升安全保障能力

　　目前，行業(yè)信息安全保障尚未全面融入信息化的“建管用”的各個(gè)環(huán)節(jié)，需要進(jìn)一步建設(shè)、健全行業(yè)網(wǎng)絡(luò)安全保障體系，落實(shí)安全運(yùn)維機(jī)制，提升安全綜合防范能力。

　　2.4完善應(yīng)急處置體系，保證系統(tǒng)安全穩(wěn)定運(yùn)行

　　加強(qiáng)日常信息安全監(jiān)控，進(jìn)一步完善信息安全應(yīng)急處置機(jī)制，充分評(píng)估信息系統(tǒng)面臨的威脅，并制訂覆蓋各類(lèi)信息系統(tǒng)、各種信息安全事件的應(yīng)急預(yù)案并進(jìn)行演練，提升信息系統(tǒng)預(yù)警、應(yīng)急處置和恢復(fù)能力，保障業(yè)務(wù)系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行。

　　2.5煙草行業(yè)信息安全建設(shè)思路

　　隨著國(guó)家、行業(yè)主管單位對(duì)信息安全認(rèn)識(shí)和要求的不斷深入，煙草行業(yè)信息系統(tǒng)綜合安全防范能力需要通過(guò)建立自主可控的信息安全技術(shù)體系；細(xì)化和完善信息安全法規(guī)制度、標(biāo)準(zhǔn)規(guī)范、流程細(xì)則的管理體系；和以“常態(tài)化”為目標(biāo)，包括階段性運(yùn)維、日常運(yùn)維、應(yīng)急工作三個(gè)角度的安全運(yùn)維體系設(shè)計(jì)，從而提高信息系統(tǒng)信息安全綜合防范能力。

　　2.6建立系統(tǒng)安全基線，提升系統(tǒng)基礎(chǔ)防護(hù)能力

　　國(guó)家局針對(duì)信息安全工作下發(fā)了如《信息安全保障體系建設(shè)規(guī)范》《行業(yè)單位等級(jí)保護(hù)建設(shè)規(guī)范》等一系列的規(guī)范標(biāo)準(zhǔn)，同時(shí)以“三全工作”“安全檢查”為抓手推動(dòng)信息安全保障體系的建設(shè)。但由于缺乏具體的操作層面的指南，各行業(yè)單位對(duì)標(biāo)準(zhǔn)規(guī)范和安全建設(shè)尚不能有效落地，不能執(zhí)行到具體的業(yè)務(wù)系統(tǒng)以及所屬的主機(jī)、網(wǎng)絡(luò)設(shè)備等基礎(chǔ)設(shè)施層面。為保證信息系統(tǒng)整體安全水平，防止因?yàn)楦黝?lèi)系統(tǒng)、設(shè)備的安全配置不到位而帶來(lái)安全風(fēng)險(xiǎn)，有必要針對(duì)信息系統(tǒng)建立其基本的安全要求（安全基線），確保信息系統(tǒng)具有基本的安全保護(hù)能力。

　　2.7建立自主可控信息安全技術(shù)體系

　　自主可控是信息安全的根本保障。建立自主可控的信息安全技術(shù)體系可以從以下方面著手：一是制訂行業(yè)信息安全技術(shù)產(chǎn)品準(zhǔn)入要求，啟動(dòng)核心信息技術(shù)產(chǎn)品的信息安全檢查和認(rèn)證工作；二是加強(qiáng)對(duì)產(chǎn)品或系統(tǒng)的漏洞檢測(cè)和代碼審查，及時(shí)發(fā)現(xiàn)系統(tǒng)安全隱患，同時(shí)明確國(guó)外進(jìn)口產(chǎn)品在使用過(guò)程的責(zé)任和義務(wù)；三是建立煙草行業(yè)新技術(shù)的安全標(biāo)準(zhǔn)規(guī)范，明確新技術(shù)的使用、運(yùn)維和管理的方法和范圍。

　　2.8不斷完善行業(yè)信息安全標(biāo)準(zhǔn)規(guī)范體系

　　目前煙草行業(yè)已經(jīng)陸續(xù)發(fā)布了一系列行業(yè)信息安全標(biāo)準(zhǔn)和規(guī)范，但是相對(duì)于信息化的快速發(fā)展來(lái)說(shuō)還存在滯后性。制定、完善和細(xì)化行業(yè)信息安全標(biāo)準(zhǔn)規(guī)范，對(duì)于煙草信行業(yè)信息安全具有重要意義。例如，針對(duì)信息系統(tǒng)的建設(shè)，應(yīng)制訂包含在信息系統(tǒng)規(guī)劃設(shè)計(jì)、開(kāi)發(fā)建設(shè)、運(yùn)行維護(hù)和停用廢棄等全生命周期的安全標(biāo)準(zhǔn)規(guī)范；針對(duì)移動(dòng)應(yīng)用，應(yīng)制訂包含由移動(dòng)終端、移動(dòng)網(wǎng)絡(luò)、移動(dòng)平臺(tái)、業(yè)務(wù)應(yīng)用構(gòu)成的移動(dòng)安全框架和建設(shè)標(biāo)準(zhǔn)規(guī)范，為煙草行業(yè)的移動(dòng)應(yīng)用建設(shè)提供指導(dǎo)；針對(duì)煙草行業(yè)數(shù)據(jù)安全，應(yīng)建立包括數(shù)據(jù)分類(lèi)分級(jí)、數(shù)據(jù)分布、數(shù)據(jù)操作、數(shù)據(jù)備份和恢復(fù)在內(nèi)數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范，為合理保護(hù)和利用行業(yè)數(shù)據(jù)提供指導(dǎo)；針對(duì)第三方服務(wù)外包，制定第三方服務(wù)機(jī)構(gòu)服務(wù)質(zhì)量基本評(píng)價(jià)指標(biāo)體系。

　　2.9建立安全運(yùn)維管理服務(wù)體系

　　一是建立運(yùn)維監(jiān)控指標(biāo)體系。通過(guò)對(duì)信息系統(tǒng)安全運(yùn)維水平的層次化監(jiān)控指標(biāo)的建立，得到該業(yè)務(wù)系統(tǒng)的安全運(yùn)維水平評(píng)級(jí)，以此來(lái)表明該業(yè)務(wù)系統(tǒng)的安全運(yùn)維體系的建設(shè)成熟度。同時(shí)還應(yīng)將表示安全運(yùn)維水平的各個(gè)指標(biāo)項(xiàng)建立針對(duì)某類(lèi)安全事件的度量標(biāo)準(zhǔn)。建立監(jiān)控指標(biāo)不僅應(yīng)當(dāng)包括傳統(tǒng)的各種系統(tǒng)資源使用率、數(shù)據(jù)和應(yīng)用工作狀態(tài)等，同時(shí)要加強(qiáng)對(duì)運(yùn)維監(jiān)控中發(fā)現(xiàn)的各種異�，F(xiàn)象的監(jiān)控分析，對(duì)風(fēng)險(xiǎn)隱患及時(shí)處理，同時(shí)根據(jù)運(yùn)行分析結(jié)果動(dòng)態(tài)評(píng)估系統(tǒng)的處理能力，動(dòng)態(tài)優(yōu)化系統(tǒng)資源配置。二是完善安全運(yùn)維和管理工作。安全運(yùn)維和管理工作應(yīng)包含在信息系統(tǒng)規(guī)劃設(shè)計(jì)、開(kāi)發(fā)建設(shè)、運(yùn)行維護(hù)和停用廢棄等各環(huán)節(jié)，落實(shí)系統(tǒng)建設(shè)全生命周期各環(huán)節(jié)的安全指標(biāo)和流程要求，做到基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)與安全防護(hù)設(shè)施同步規(guī)劃、同步建設(shè)、同步運(yùn)行。三是完善應(yīng)急處置機(jī)制，保障業(yè)務(wù)連續(xù)性。隨著行業(yè)數(shù)據(jù)的集中，各類(lèi)信息系統(tǒng)整合的不斷推進(jìn)，信息系統(tǒng)的技術(shù)體系日趨復(fù)雜，需要在日常運(yùn)維過(guò)程中積累、提高對(duì)各種技術(shù)的把握、優(yōu)化能力。充分評(píng)估各類(lèi)信息系統(tǒng)潛在的威脅，并制訂和完善各類(lèi)信息安全事件的應(yīng)急預(yù)案，并定期開(kāi)展應(yīng)急演練。

　　2.10開(kāi)展信息安全風(fēng)險(xiǎn)態(tài)勢(shì)感知體系研究

　　風(fēng)險(xiǎn)態(tài)勢(shì)感知體系是具有宏觀的角度對(duì)行業(yè)的整體網(wǎng)絡(luò)安全防護(hù)能力進(jìn)行評(píng)估，同樣也應(yīng)對(duì)整體安全管理水平進(jìn)行評(píng)估，為提升信息系統(tǒng)整體安全防護(hù)能力提供決策支持；同時(shí)風(fēng)險(xiǎn)態(tài)勢(shì)感知體系應(yīng)具備兩個(gè)維度的態(tài)勢(shì)感知能力。一方面，從安全本身的發(fā)展變化入手，通過(guò)對(duì)事件和威脅的分析來(lái)評(píng)估當(dāng)前網(wǎng)絡(luò)的整體安全態(tài)勢(shì)，包括地址熵態(tài)勢(shì)分析、熱點(diǎn)事件分析和威脅態(tài)勢(shì)分析；另一方面，從信息系統(tǒng)所需要達(dá)成的安全管理水平入手，通過(guò)對(duì)一系列管理指標(biāo)的度量，來(lái)評(píng)估當(dāng)前信息系統(tǒng)的安全管理水平；建設(shè)完備的信息安全風(fēng)險(xiǎn)感知體系，是提高煙草領(lǐng)域信息安全的重要途徑之一。風(fēng)險(xiǎn)態(tài)勢(shì)感知體系的建設(shè)應(yīng)按照信息安全等級(jí)保護(hù)的相關(guān)要求，建設(shè)針對(duì)信息系統(tǒng)所有的基礎(chǔ)設(shè)施包括終端、網(wǎng)絡(luò)、應(yīng)用、系統(tǒng)、物理各個(gè)方面，以及信息系統(tǒng)在業(yè)務(wù)處理過(guò)程中的身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)與內(nèi)容安全、監(jiān)控審計(jì)、備份恢復(fù)等各個(gè)環(huán)節(jié)的信息安全風(fēng)險(xiǎn)態(tài)勢(shì)感知體系，提高信息系統(tǒng)的信息安全保障能力，提高信息安全事件的預(yù)警及防范能力。

　　3結(jié)語(yǔ)

　　煙草行業(yè)信息化建設(shè)及業(yè)務(wù)的高速發(fā)展將帶來(lái)新的信息技術(shù)風(fēng)險(xiǎn)和威脅，信息安全建設(shè)尤為重要。信息安全保障體系建設(shè)具有動(dòng)態(tài)性、長(zhǎng)期性的特點(diǎn)，為業(yè)務(wù)運(yùn)行和信息化建設(shè)提供支撐是信息安全建設(shè)最終目標(biāo)，需要緊密跟蹤行業(yè)信息化發(fā)展變化情況與網(wǎng)絡(luò)安全攻防技術(shù)的發(fā)展?fàn)顩r，適時(shí)調(diào)整、完善和創(chuàng)新安全管理方法和建設(shè)思路。煙草行業(yè)信息安全建設(shè)和管理方法也可借鑒其他重點(diǎn)行業(yè)如能源行業(yè)、運(yùn)營(yíng)商行業(yè)、金融行業(yè)的有效經(jīng)驗(yàn)，以進(jìn)一步完善煙草行業(yè)自身的信息安全能力，使信息安全工作能夠有力地保障國(guó)家局提出的建設(shè)一體化“數(shù)字煙草”的戰(zhàn)略目標(biāo)，推動(dòng)信息化與煙草業(yè)務(wù)深度融合。

【煙草行業(yè)信息安全建設(shè)思路論文】相關(guān)文章：

交通檔案管理信息化建設(shè)思路論文10-09

云時(shí)代信息安全建設(shè)探討的論文10-09

檔案信息安全平臺(tái)建設(shè)初探論文10-11

稅務(wù)系統(tǒng)網(wǎng)絡(luò)的信息安全建設(shè)論文10-09

關(guān)于圖書(shū)館建設(shè)信息安全的論文10-09

新時(shí)期人事檔案管理信息化建設(shè)思路論文10-09

國(guó)知局信息安全建設(shè)對(duì)策論文10-11

小學(xué)數(shù)學(xué)信息技術(shù)整合思路論文10-09

檔案信息化建設(shè)安全問(wèn)題分析論文10-11

宿舍文化建設(shè)思路論文（通用12篇）08-03