1烟草行业信息安全面临的挑战
随着烟草行业信息化快速发展及云计算、虚拟化、移动应用等新兴技术运用,使烟草行业的信息安全面临新的挑战,主要表现在以下几点。
1.1核心软硬件被国外垄断,严重威胁行业信息安全
当前,烟草行业的信息系统基础设施,包括主机、存储、操作系统、数据库、中间件等几乎还很大程度上依赖于国外品牌,使得烟草行业信息系统比较容易被国外掌控,威胁烟草行业信息安全。
1.2传统互联网威胁向烟草行业辐射
随着电子商务的快速发展,烟草行业信息系统由半封闭的行业内网向互联网转变,网上订货、网上营销等新型业务与互联网结合日益紧密,同样面临的网络攻击和威胁形势日益复杂严峻,传统互联网威胁(如病毒、木马等)也必将危及行业信息安全。
1.3新技术的应用使行业信息安全面临更大挑战
随着云计算、虚拟化、移动应用等新兴技术的快速发展和应用,极大地影响了信息系统的运行和服务方式,互联网服务的开放性特点对烟草行业信息安全工作提出严峻的挑战。
2烟草行业信息安全发展方向
近期,为处理好安全和发展的关系,适应信息技术发展形势需要,提出以安全保发展、以发展促安全是未来一段时间信息安全建设和管理的重要方向。
2.1坚持自主安全可控,健全行业信息安全体系
信息安全自主可控作为行业信息化发展的重要保障,加大安全可靠的先进技术应用力度,提升对核心技术的自主掌控能力,保障行业信息化建设稳步推进,健全以防为主、软硬结合的行业网络安全体系。强化网络基础设施安全,加大安全可控关键软硬件的应用比例,确保行业信息化高效安全平稳运行。
2.2坚持等级保护,提高安全管理水平
执行国家信息安全等级保护制度,以安全策略为核心,坚持技术和管理相结合,构建与行业信息化发展协调一致的行业网络安全体系。
2.3强化安全运维机制,提升安全保障能力
目前,行业信息安全保障尚未全面融入信息化的“建管用”的各个环节,需要进一步建设、健全行业网络安全保障体系,落实安全运维机制,提升安全综合防范能力。
2.4完善应急处置体系,保证系统安全稳定运行
加强日常信息安全监控,进一步完善信息安全应急处置机制,充分评估信息系统面临的威胁,并制订覆盖各类信息系统、各种信息安全事件的应急预案并进行演练,提升信息系统预警、应急处置和恢复能力,保障业务系统的连续稳定运行。
2.5烟草行业信息安全建设思路
随着国家、行业主管单位对信息安全认识和要求的不断深入,烟草行业信息系统综合安全防范能力需要通过建立自主可控的信息安全技术体系;细化和完善信息安全法规制度、标准规范、流程细则的管理体系;和以“常态化”为目标,包括阶段性运维、日常运维、应急工作三个角度的安全运维体系设计,从而提高信息系统信息安全综合防范能力。
2.6建立系统安全基线,提升系统基础防护能力
国家局针对信息安全工作下发了如《信息安全保障体系建设规范》《行业单位等级保护建设规范》等一系列的规范标准,同时以“三全工作”“安全检查”为抓手推动信息安全保障体系的建设。但由于缺乏具体的操作层面的指南,各行业单位对标准规范和安全建设尚不能有效落地,不能执行到具体的业务系统以及所属的主机、网络设备等基础设施层面。为保证信息系统整体安全水平,防止因为各类系统、设备的安全配置不到位而带来安全风险,有必要针对信息系统建立其基本的安全要求(安全基线),确保信息系统具有基本的安全保护能力。
2.7建立自主可控信息安全技术体系
自主可控是信息安全的根本保障。建立自主可控的信息安全技术体系可以从以下方面着手:一是制订行业信息安全技术产品准入要求,启动核心信息技术产品的信息安全检查和认证工作;二是加强对产品或系统的漏洞检测和代码审查,及时发现系统安全隐患,同时明确国外进口产品在使用过程的责任和义务;三是建立烟草行业新技术的安全标准规范,明确新技术的使用、运维和管理的方法和范围。
2.8不断完善行业信息安全标准规范体系
目前烟草行业已经陆续发布了一系列行业信息安全标准和规范,但是相对于信息化的快速发展来说还存在滞后性。制定、完善和细化行业信息安全标准规范,对于烟草信行业信息安全具有重要意义。例如,针对信息系统的建设,应制订包含在信息系统规划设计、开发建设、运行维护和停用废弃等全生命周期的安全标准规范;针对移动应用,应制订包含由移动终端、移动网络、移动平台、业务应用构成的移动安全框架和建设标准规范,为烟草行业的移动应用建设提供指导;针对烟草行业数据安全,应建立包括数据分类分级、数据分布、数据操作、数据备份和恢复在内数据安全标准规范,为合理保护和利用行业数据提供指导;针对第三方服务外包,制定第三方服务机构服务质量基本评价指标体系。
2.9建立安全运维管理服务体系
一是建立运维监控指标体系。通过对信息系统安全运维水平的层次化监控指标的建立,得到该业务系统的安全运维水平评级,以此来表明该业务系统的安全运维体系的建设成熟度。同时还应将表示安全运维水平的各个指标项建立针对某类安全事件的度量标准。建立监控指标不仅应当包括传统的各种系统资源使用率、数据和应用工作状态等,同时要加强对运维监控中发现的各种异常现象的监控分析,对风险隐患及时处理,同时根据运行分析结果动态评估系统的处理能力,动态优化系统资源配置。二是完善安全运维和管理工作。安全运维和管理工作应包含在信息系统规划设计、开发建设、运行维护和停用废弃等各环节,落实系统建设全生命周期各环节的安全指标和流程要求,做到基础信息网络、重要信息系统与安全防护设施同步规划、同步建设、同步运行。三是完善应急处置机制,保障业务连续性。随着行业数据的集中,各类信息系统整合的不断推进,信息系统的技术体系日趋复杂,需要在日常运维过程中积累、提高对各种技术的把握、优化能力。充分评估各类信息系统潜在的威胁,并制订和完善各类信息安全事件的应急预案,并定期开展应急演练。
2.10开展信息安全风险态势感知体系研究
风险态势感知体系是具有宏观的角度对行业的整体网络安全防护能力进行评估,同样也应对整体安全管理水平进行评估,为提升信息系统整体安全防护能力提供决策支持;同时风险态势感知体系应具备两个维度的态势感知能力。一方面,从安全本身的发展变化入手,通过对事件和威胁的分析来评估当前网络的整体安全态势,包括地址熵态势分析、热点事件分析和威胁态势分析;另一方面,从信息系统所需要达成的安全管理水平入手,通过对一系列管理指标的度量,来评估当前信息系统的安全管理水平;建设完备的信息安全风险感知体系,是提高烟草领域信息安全的重要途径之一。风险态势感知体系的建设应按照信息安全等级保护的相关要求,建设针对信息系统所有的基础设施包括终端、网络、应用、系统、物理各个方面,以及信息系统在业务处理过程中的身份认证、访问控制、数据与内容安全、监控审计、备份恢复等各个环节的信息安全风险态势感知体系,提高信息系统的信息安全保障能力,提高信息安全事件的预警及防范能力。
3结语
烟草行业信息化建设及业务的高速发展将带来新的信息技术风险和威胁,信息安全建设尤为重要。信息安全保障体系建设具有动态性、长期性的特点,为业务运行和信息化建设提供支撑是信息安全建设最终目标,需要紧密跟踪行业信息化发展变化情况与网络安全攻防技术的发展状况,适时调整、完善和创新安全管理方法和建设思路。烟草行业信息安全建设和管理方法也可借鉴其他重点行业如能源行业、运营商行业、金融行业的有效经验,以进一步完善烟草行业自身的信息安全能力,使信息安全工作能够有力地保障国家局提出的建设一体化“数字烟草”的战略目标,推动信息化与烟草业务深度融合。
第二篇:企业信息安全建设论文
企业信息安全建设论文结合笔者公司信息化建设的实际,从技术上研究企业信息安全的解决方案。
企业信息安全建设论文【1】
摘要:随着现代科学技术的迅猛发展,计算机信息技术得到普遍应用,信息的安全问题也日益突出。
关键词:信息安全;信息内网;信息外网;存储介质;安全策略;信息泄密
随着计算机和网络应用的加速发展,信息安全问题已经引起许多国家的普遍关注,成为当今信息安全技术领域的一个重要研究课题。
对企业信息安全而言,影响信息安全的因数很多,除Internet系统自身的开放性外,内部用户访问控制,用户身份识别,安全意识不高等都可能�信息安全造成威胁。
信息安全技术是解决如何有效进行介入控制,以及如何保证数据安全传输的技术手段。
企业信息安全建设主要从以下二方面开展,一方面是企业信息安全保密管理规章制度,另一方面是信息安全保密技术。
本文着重从技术上探讨企业信息安全的解决方案。
1 信息安全目前状况
现在黑客的攻击并不是破坏底层的系统,而是为了入侵应用,窃取数据,带有明显的商业目的。
网络攻击带来安全威胁,如:网页挂马、网页仿冒、网页篡改等。
随着网络合规应用要求越来越多,针对应用的攻击也越来越多,除了在管理制度上确保信息安全外,还要在技术上确保信息安全。
在众多的攻击行为和事件中,发生最多的安全事件是信息泄漏事件;攻击者主要来自企业内部,而不是来自外部的黑客等攻击者;安全事件造成最大的经济损失主要是内部人员有意或无意的信息泄漏事件。
信息泄漏事件往往不被人们所关注,没有引起企业主管领导和技术人员的足够重视和关注;针对外部黑客攻击的防范措施、解决方案、技术和产品较多较成熟,而针对内部员工的失泄密行为,目前还没有成熟的、全面的解决方案。
对于来自内部信息泄密的安全问题,一直是整个信息安全保障体系的难点和弱点所在
2 企业信息泄密的主要途径
企业信息泄密途径多种多样,归纳起来有网络泄密、存储介质泄密、电磁波辐射泄密、工作人员违规操作泄密等。
而网络泄密、存储介质泄密是信息泄密的薄弱环节,也是最易发生的,在技术上要重点防控。
3 企业信息泄密的主体分析
3.1外部入侵泄密
外部入侵又分外部网络入侵和外部实体入侵。
外部网络入侵是指对方利用系统的漏洞或安全防护薄弱环节,通过一定的技术手段进入内部网络,拦截网络传输信息、攻击计算机而达到窃取计算机上存储的机密信息。
外部网络入侵窃密途径有黑客入侵、病毒感染、木马窃密、传输拦截等。
外部实体入侵是指外部人员通过各种方式接近或进入信息安全防护实体,直接对保护实体进行盗窃,非法获取载有涉密信息的计算机、存储介质、纸质文件等,或者使用移动存储介质进行非法拷贝,利用存储介质剩磁进行数据恢复等。
3.2 内部人员泄密
内部信息泄密是指单位内部的工作人员,在工作过程中无意识地泄露单位机密,或者利用职务之便有意地窃取单位机密。
如:存储介质丢失或失窃,在上网时对信息的处理过程中因缺乏保护意识而无意中泄密以及非法外联、非法内联、非法拷贝、非法共享、非法打印、上网外发信息等诸多方面。
4 企业信息安全的解决方案
每个企业对信息安全的等级不一样,其信息安全的解决方案也不一样,我公司是上海市电力公司下属的一家国有企业,企业的信息安全要满足国家电网的要求,按照国家电网的要求来建设。
4.1 采用网络物理隔离技术及网络VLAN技术
信息内网是指承载公司信息化业务应用的网络系统,且与互联网断开的网络,如:人事�工资和财务信息的处理都在信息内网上进行;信息外网是指与互联网连接的网络,如:收发电子邮件、上网搜索信息等。
VLAN是在一个物理网上划出来的逻辑网络,VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。
与传统的局域网技术相比较,VLAN技术更加灵活,可以控制广播风暴;可提高网络的安全性。
在公司内部组建二个物理上隔离的信息内网和信息外网,切断内网与外网的物理连接,彻底杜绝通过外网入侵的途径;禁止内网终端与外网终端交叉使用,做到双网物理隔离和双网双机。
通过划分虚拟网络(VLAN)进行网络区域控制,将服务器网段与内网终端网段逻辑区分开来,并制定访问策略进行控制;严禁使用无线局域网;内网IP地址必须使用静态分配方式,并由公司统一规划与管理;实行IP与MAC地址绑定策略。
4.2 部署桌面终端管理系统和文件加密系统,确保信息安全
因世博保电要求,根据上级单位对我公司的信息安全的要求,我公司在2010年初就部署了北信源桌面终端管理系统和文件加密系统,对用户的桌面终端进行管理,禁止使用桌面终端的光驱、串口、并口、无线网卡、Mdem、移动硬盘,只允许做过安全标签的安全U盘才能使用,其他外来U盘禁止使用,启用802.1X准入控制,确保网络计算机的接入安全。
文件加密系统对设计图纸文件、WORD文件、EXCEL文件等进行加密管理,加密文件只能在公司内网打开,即使加密文件不幸被外单位窃获,在外单位的电脑上打开也是乱码,保证了公司的信息安全。
4.3 操作系统安全及防病毒技术
定期对操作系统进行打补丁升级,修补系统漏洞;定期更改操作系统的登录密码,密码要满足一定复杂性要求,关闭多余账户、多余服务和共享目录,部署江民网络版杀毒软件,定期对杀毒软件更新升级,定期对操作系统杀毒,确保操作系统的安全。
4.4 互联网接入安全加固
在互联网接入处安装诺基亚IP390防火墙和深信服M5100AC上网行为管控设备,并启用管控策略。
防火墙作为一种将内外网隔离的技术,普遍运用于企业信息安全建设中。
合理使用防火墙,可以构筑内外网之间的安全屏障,有效地将企业内部网与互联网隔离开来,有利于提高网络抵抗黑客攻击的能力和系统的安全性。
在WindowsXP/Windows7系统中可以开启自身带的防火墙功能,桌面终端还可以安装专业的防火墙软件,如360安全卫士和江民防火墙等。
诺基亚IP390防火墙是对互联网入口进行管控,而深信服M5100AC上网行为管控设备是对桌面终端浏览互联网的内容进行控制管理。
从技术与管理上限制用户对反动、色情等国家明令禁止站点的访问,并按规定留存不低于半年的所有访问互联网日志;启用邮件过滤服务,对敏感内容进行过滤,同时加强对有关人员的安全保密教育,不要将公司的敏感信息对外发布。
建立信息安全应急响应机制,抓好网络与信息系统日常监测维护。
4.5信息系统实体安全的物理环境加固
要保证企业信息系统的安全、可靠,必须保证信息系统实体有个安全的物理环境条件。
这个安全的环境是指机房及其设施,要重视机房环境建设和管理,机房要安装安全门禁系统,禁止无关人员进入。
为了防止自然灾害的发生,对重要信息系统,要有异地容灾建设,并做好数据备份工作。
5 结束语
企业信息安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,信息安全解决方案的制定需要从整体上进行把握。
必须做到管理和技术并重,安全技术必须结合安全措施,并加强信息安全立法和执法的力度,建立备份和恢复机制,制定相应的信息安全标准。
参考文献:
[1] 袁浩,张金荣.INTERNET接入、网络安全[M].北京:电子工业出版社,2011.
企业信息化建设中信息安全问题【2】
【摘要】随着经济社会和现代科技的发展,越来越多的企业意识到信息化建设对企业发展的重要性,逐步加大企业信息化建设的投资力度,加强对企业信息化建设中信息安全问题的分析,积极采取有效的信息安全防范措施。
【关键词】企业信息化建设;信息安全问题;防范措施