煙草行業(yè)信息安全建設思路論文

　　1煙草行業(yè)信息安全面臨的挑戰(zhàn)

　　隨著煙草行業(yè)信息化快速發(fā)展及云計算、虛擬化、移動應用等新興技術運用，使煙草行業(yè)的信息安全面臨新的挑戰(zhàn)，主要表現(xiàn)在以下幾點。

　　1.1核心軟硬件被國外壟斷，嚴重威脅行業(yè)信息安全

　　當前，煙草行業(yè)的信息系統(tǒng)基礎設施，包括主機、存儲、操作系統(tǒng)、數(shù)據(jù)庫、中間件等幾乎還很大程度上依賴于國外品牌，使得煙草行業(yè)信息系統(tǒng)比較容易被國外掌控，威脅煙草行業(yè)信息安全。

　　1.2傳統(tǒng)互聯(lián)網(wǎng)威脅向煙草行業(yè)輻射

　　隨著電子商務的快速發(fā)展，煙草行業(yè)信息系統(tǒng)由半封閉的行業(yè)內(nèi)網(wǎng)向互聯(lián)網(wǎng)轉(zhuǎn)變，網(wǎng)上訂貨、網(wǎng)上營銷等新型業(yè)務與互聯(lián)網(wǎng)結(jié)合日益緊密，同樣面臨的網(wǎng)絡攻擊和威脅形勢日益復雜嚴峻，傳統(tǒng)互聯(lián)網(wǎng)威脅（如病毒、木馬等）也必將危及行業(yè)信息安全。

　　1.3新技術的應用使行業(yè)信息安全面臨更大挑戰(zhàn)

　　隨著云計算、虛擬化、移動應用等新興技術的快速發(fā)展和應用，極大地影響了信息系統(tǒng)的運行和服務方式，互聯(lián)網(wǎng)服務的開放性特點對煙草行業(yè)信息安全工作提出嚴峻的挑戰(zhàn)。

　　2煙草行業(yè)信息安全發(fā)展方向

　　近期，為處理好安全和發(fā)展的關系，適應信息技術發(fā)展形勢需要，提出以安全保發(fā)展、以發(fā)展促安全是未來一段時間信息安全建設和管理的重要方向。

　　2.1堅持自主安全可控，健全行業(yè)信息安全體系

　　信息安全自主可控作為行業(yè)信息化發(fā)展的重要保障，加大安全可靠的先進技術應用力度，提升對核心技術的自主掌控能力，保障行業(yè)信息化建設穩(wěn)步推進，健全以防為主、軟硬結(jié)合的行業(yè)網(wǎng)絡安全體系。強化網(wǎng)絡基礎設施安全，加大安全可控關鍵軟硬件的應用比例，確保行業(yè)信息化高效安全平穩(wěn)運行。

　　2.2堅持等級保護，提高安全管理水平

　　執(zhí)行國家信息安全等級保護制度，以安全策略為核心，堅持技術和管理相結(jié)合，構建與行業(yè)信息化發(fā)展協(xié)調(diào)一致的行業(yè)網(wǎng)絡安全體系。

　　2.3強化安全運維機制，提升安全保障能力

　　目前，行業(yè)信息安全保障尚未全面融入信息化的“建管用”的各個環(huán)節(jié)，需要進一步建設、健全行業(yè)網(wǎng)絡安全保障體系，落實安全運維機制，提升安全綜合防范能力。

　　2.4完善應急處置體系，保證系統(tǒng)安全穩(wěn)定運行

　　加強日常信息安全監(jiān)控，進一步完善信息安全應急處置機制，充分評估信息系統(tǒng)面臨的威脅，并制訂覆蓋各類信息系統(tǒng)、各種信息安全事件的應急預案并進行演練，提升信息系統(tǒng)預警、應急處置和恢復能力，保障業(yè)務系統(tǒng)的連續(xù)穩(wěn)定運行。

　　2.5煙草行業(yè)信息安全建設思路

　　隨著國家、行業(yè)主管單位對信息安全認識和要求的不斷深入，煙草行業(yè)信息系統(tǒng)綜合安全防范能力需要通過建立自主可控的信息安全技術體系；細化和完善信息安全法規(guī)制度、標準規(guī)范、流程細則的管理體系；和以“常態(tài)化”為目標，包括階段性運維、日常運維、應急工作三個角度的安全運維體系設計，從而提高信息系統(tǒng)信息安全綜合防范能力。

　　2.6建立系統(tǒng)安全基線，提升系統(tǒng)基礎防護能力

　　國家局針對信息安全工作下發(fā)了如《信息安全保障體系建設規(guī)范》《行業(yè)單位等級保護建設規(guī)范》等一系列的規(guī)范標準，同時以“三全工作”“安全檢查”為抓手推動信息安全保障體系的建設。但由于缺乏具體的操作層面的指南，各行業(yè)單位對標準規(guī)范和安全建設尚不能有效落地，不能執(zhí)行到具體的業(yè)務系統(tǒng)以及所屬的主機、網(wǎng)絡設備等基礎設施層面。為保證信息系統(tǒng)整體安全水平，防止因為各類系統(tǒng)、設備的安全配置不到位而帶來安全風險，有必要針對信息系統(tǒng)建立其基本的安全要求（安全基線），確保信息系統(tǒng)具有基本的安全保護能力。

　　2.7建立自主可控信息安全技術體系

　　自主可控是信息安全的根本保障。建立自主可控的信息安全技術體系可以從以下方面著手：一是制訂行業(yè)信息安全技術產(chǎn)品準入要求，啟動核心信息技術產(chǎn)品的信息安全檢查和認證工作；二是加強對產(chǎn)品或系統(tǒng)的漏洞檢測和代碼審查，及時發(fā)現(xiàn)系統(tǒng)安全隱患，同時明確國外進口產(chǎn)品在使用過程的責任和義務；三是建立煙草行業(yè)新技術的安全標準規(guī)范，明確新技術的使用、運維和管理的方法和范圍。

　　2.8不斷完善行業(yè)信息安全標準規(guī)范體系

　　目前煙草行業(yè)已經(jīng)陸續(xù)發(fā)布了一系列行業(yè)信息安全標準和規(guī)范，但是相對于信息化的快速發(fā)展來說還存在滯后性。制定、完善和細化行業(yè)信息安全標準規(guī)范，對于煙草信行業(yè)信息安全具有重要意義。例如，針對信息系統(tǒng)的建設，應制訂包含在信息系統(tǒng)規(guī)劃設計、開發(fā)建設、運行維護和停用廢棄等全生命周期的安全標準規(guī)范；針對移動應用，應制訂包含由移動終端、移動網(wǎng)絡、移動平臺、業(yè)務應用構成的移動安全框架和建設標準規(guī)范，為煙草行業(yè)的移動應用建設提供指導；針對煙草行業(yè)數(shù)據(jù)安全，應建立包括數(shù)據(jù)分類分級、數(shù)據(jù)分布、數(shù)據(jù)操作、數(shù)據(jù)備份和恢復在內(nèi)數(shù)據(jù)安全標準規(guī)范，為合理保護和利用行業(yè)數(shù)據(jù)提供指導；針對第三方服務外包，制定第三方服務機構服務質(zhì)量基本評價指標體系。

　　2.9建立安全運維管理服務體系

　　一是建立運維監(jiān)控指標體系。通過對信息系統(tǒng)安全運維水平的層次化監(jiān)控指標的建立，得到該業(yè)務系統(tǒng)的安全運維水平評級，以此來表明該業(yè)務系統(tǒng)的安全運維體系的建設成熟度。同時還應將表示安全運維水平的各個指標項建立針對某類安全事件的度量標準。建立監(jiān)控指標不僅應當包括傳統(tǒng)的各種系統(tǒng)資源使用率、數(shù)據(jù)和應用工作狀態(tài)等，同時要加強對運維監(jiān)控中發(fā)現(xiàn)的各種異�，F(xiàn)象的監(jiān)控分析，對風險隱患及時處理，同時根據(jù)運行分析結(jié)果動態(tài)評估系統(tǒng)的處理能力，動態(tài)優(yōu)化系統(tǒng)資源配置。二是完善安全運維和管理工作。安全運維和管理工作應包含在信息系統(tǒng)規(guī)劃設計、開發(fā)建設、運行維護和停用廢棄等各環(huán)節(jié)，落實系統(tǒng)建設全生命周期各環(huán)節(jié)的安全指標和流程要求，做到基礎信息網(wǎng)絡、重要信息系統(tǒng)與安全防護設施同步規(guī)劃、同步建設、同步運行。三是完善應急處置機制，保障業(yè)務連續(xù)性。隨著行業(yè)數(shù)據(jù)的集中，各類信息系統(tǒng)整合的不斷推進，信息系統(tǒng)的技術體系日趨復雜，需要在日常運維過程中積累、提高對各種技術的把握、優(yōu)化能力。充分評估各類信息系統(tǒng)潛在的威脅，并制訂和完善各類信息安全事件的應急預案，并定期開展應急演練。

　　2.10開展信息安全風險態(tài)勢感知體系研究

　　風險態(tài)勢感知體系是具有宏觀的角度對行業(yè)的整體網(wǎng)絡安全防護能力進行評估，同樣也應對整體安全管理水平進行評估，為提升信息系統(tǒng)整體安全防護能力提供決策支持；同時風險態(tài)勢感知體系應具備兩個維度的態(tài)勢感知能力。一方面，從安全本身的發(fā)展變化入手，通過對事件和威脅的分析來評估當前網(wǎng)絡的整體安全態(tài)勢，包括地址熵態(tài)勢分析、熱點事件分析和威脅態(tài)勢分析；另一方面，從信息系統(tǒng)所需要達成的安全管理水平入手，通過對一系列管理指標的度量，來評估當前信息系統(tǒng)的安全管理水平；建設完備的信息安全風險感知體系，是提高煙草領域信息安全的重要途徑之一。風險態(tài)勢感知體系的建設應按照信息安全等級保護的相關要求，建設針對信息系統(tǒng)所有的基礎設施包括終端、網(wǎng)絡、應用、系統(tǒng)、物理各個方面，以及信息系統(tǒng)在業(yè)務處理過程中的身份認證、訪問控制、數(shù)據(jù)與內(nèi)容安全、監(jiān)控審計、備份恢復等各個環(huán)節(jié)的信息安全風險態(tài)勢感知體系，提高信息系統(tǒng)的信息安全保障能力，提高信息安全事件的預警及防范能力。

　　3結(jié)語

　　煙草行業(yè)信息化建設及業(yè)務的高速發(fā)展將帶來新的信息技術風險和威脅，信息安全建設尤為重要。信息安全保障體系建設具有動態(tài)性、長期性的特點，為業(yè)務運行和信息化建設提供支撐是信息安全建設最終目標，需要緊密跟蹤行業(yè)信息化發(fā)展變化情況與網(wǎng)絡安全攻防技術的發(fā)展狀況，適時調(diào)整、完善和創(chuàng)新安全管理方法和建設思路。煙草行業(yè)信息安全建設和管理方法也可借鑒其他重點行業(yè)如能源行業(yè)、運營商行業(yè)、金融行業(yè)的有效經(jīng)驗，以進一步完善煙草行業(yè)自身的信息安全能力，使信息安全工作能夠有力地保障國家局提出的建設一體化“數(shù)字煙草”的戰(zhàn)略目標，推動信息化與煙草業(yè)務深度融合。

【煙草行業(yè)信息安全建設思路論文】相關文章：

交通檔案管理信息化建設思路論文10-09

云時代信息安全建設探討的論文10-09

檔案信息安全平臺建設初探論文10-11

稅務系統(tǒng)網(wǎng)絡的信息安全建設論文10-09

關于圖書館建設信息安全的論文10-09

新時期人事檔案管理信息化建設思路論文10-09

國知局信息安全建設對策論文10-11

小學數(shù)學信息技術整合思路論文10-09

檔案信息化建設安全問題分析論文10-11

宿舍文化建設思路論文（通用12篇）08-03