◆韓曉櫻 馮明輝

?

淺談福建中煙網(wǎng)絡(luò)安全體系建設(shè)

◆韓曉櫻 馮明輝

（福建中煙工業(yè)有限責(zé)任公司 福建 361012）

面對(duì)日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，福建中煙勇于挑戰(zhàn)，主動(dòng)作為，從五大體系建設(shè)方面著手，建成了一支高素質(zhì)的網(wǎng)絡(luò)安全保障隊(duì)伍和一套多區(qū)域縱深防護(hù)的網(wǎng)絡(luò)安全架構(gòu)，并具備國際先進(jìn)的安全管理體系，為公司業(yè)務(wù)正常開展提供了有力保障。

安全管理；技術(shù)防御；運(yùn)維保障；風(fēng)險(xiǎn)控制；人才保障

1 背景描述

從國家層面看，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組于2014年2月27日成立，《網(wǎng)絡(luò)安全法》于2017年6月1日起正式開始實(shí)施，標(biāo)志著網(wǎng)絡(luò)安全已上升到國家戰(zhàn)略高度，步入法制階段；從技術(shù)發(fā)展看，以云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)應(yīng)用、智能制造為核心的“新IT”浪潮風(fēng)起云涌，服務(wù)化、智能化、自適應(yīng)、隨需而變是其主要特征，全新的信息安全技術(shù)正在顛覆傳統(tǒng)安全技術(shù)，給我們帶來了巨大挑戰(zhàn)。

2 體系建設(shè)

福建中煙深刻理解網(wǎng)絡(luò)安全建設(shè)工作的重要性，積極響應(yīng)國家和煙草行業(yè)號(hào)召，貫徹行業(yè)“分級(jí)分域、整體保護(hù)、積極預(yù)防、動(dòng)態(tài)管理”的網(wǎng)絡(luò)安全總體策略，從 “安全管理、技術(shù)防御、運(yùn)維保障、風(fēng)險(xiǎn)控制、人才保障”五大體系建設(shè)著手，大力發(fā)展網(wǎng)絡(luò)安全，建成了一支高素質(zhì)的網(wǎng)絡(luò)安全保障隊(duì)伍和一套多區(qū)域縱深防護(hù)的網(wǎng)絡(luò)安全架構(gòu)，同時(shí)還具備國際先進(jìn)的安全管理體系，有效減少了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，保護(hù)福建中煙信息資產(chǎn)的機(jī)密性、完整性、可用性，確保信息系統(tǒng)安全可靠運(yùn)行，為公司業(yè)務(wù)正常開展提供了有力的保障。

2.1 安全管理體系建設(shè)方面

一是組織有保障：成立了信息安全工作領(lǐng)導(dǎo)小組，明確公司黨組對(duì)全省網(wǎng)絡(luò)安全工作負(fù)主體責(zé)任，領(lǐng)導(dǎo)班子主要負(fù)責(zé)人是第一責(zé)任人，統(tǒng)一組織開展公司的信息安全工作。設(shè)置了專職安全管理員崗位，為信息安全工作提供了組織保障。

二是制度有保障：根據(jù)《煙草行業(yè)信息安全管理制度建設(shè)基本要求》，結(jié)合公司實(shí)際工作情況，從總體方針文件、機(jī)構(gòu)人員、物理安全、網(wǎng)絡(luò)安全、設(shè)備安全、開發(fā)安全和運(yùn)維安全方面，制訂發(fā)布了《信息安全策略》、《信息安全工作管理辦法》等共40多個(gè)標(biāo)準(zhǔn)化文件，基本完成信息安全管理體系建設(shè)，通過了ISO 27001信息安全管理體系認(rèn)證，并深化推進(jìn)體系運(yùn)行。

三是機(jī)制有保障：按照國家和行業(yè)等級(jí)保護(hù)要求，開展等級(jí)保護(hù)工作，形成定級(jí)、備案、測(cè)評(píng)和整改工作機(jī)制。同時(shí)，按照行業(yè)“三全”工作要求，將“三全”工作法貫徹到日常工作中，形成長(zhǎng)效機(jī)制，夯實(shí)了安全管理基礎(chǔ)。

2.2 技術(shù)防御體系建設(shè)方面

一是形成分級(jí)分域網(wǎng)絡(luò)架構(gòu)。根據(jù)行業(yè)“三全”工作和“分級(jí)分域”保護(hù)要求，參照等級(jí)保護(hù)和IATF標(biāo)準(zhǔn)，梳理和分析網(wǎng)絡(luò)中各應(yīng)用系統(tǒng)數(shù)據(jù)流，將信息網(wǎng)絡(luò)劃分為核心計(jì)算域、網(wǎng)絡(luò)邊界域、網(wǎng)絡(luò)設(shè)施域和支撐設(shè)施域四個(gè)區(qū)域，每個(gè)區(qū)域又進(jìn)一步劃分為小的區(qū)域，進(jìn)一步調(diào)整優(yōu)化了網(wǎng)絡(luò)結(jié)構(gòu)。

二是建成多層技術(shù)防護(hù)體系。根據(jù)行業(yè)“防入侵、防篡改、防竊密、防癱瘓、防病毒”五防要求，完善核心交換區(qū)域和服務(wù)器區(qū)、用戶接入?yún)^(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、下屬單位接入?yún)^(qū)以及外部單位接入?yún)^(qū)等各個(gè)安全區(qū)域的防護(hù)措施。

三是突出重點(diǎn)保障業(yè)務(wù)安全。針對(duì)公司郵件應(yīng)用，部署了郵件安全網(wǎng)關(guān)設(shè)備，對(duì)垃圾、釣魚和病毒等郵件進(jìn)行過濾和防護(hù)；針對(duì)WEB應(yīng)用，部署了WEB應(yīng)用防火墻設(shè)備，防范XSS、SQL注入等網(wǎng)站攻擊行為，保護(hù)WEB網(wǎng)站不受非法攻擊和篡改；針對(duì)應(yīng)用系統(tǒng)遠(yuǎn)程接入訪問安全問題，部署了SSL VPN設(shè)備，確保移動(dòng)辦公人員和出差人員安全地接入公司內(nèi)網(wǎng)。

四是部署備份保障數(shù)據(jù)安全。部署了EMC數(shù)據(jù)備份系統(tǒng)，根據(jù)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)備份要求，規(guī)劃備份空間，制定備份策略，實(shí)現(xiàn)了數(shù)據(jù)自動(dòng)備份。在完成本地備份的基礎(chǔ)上，完成異地備份和恢復(fù)測(cè)試，達(dá)到預(yù)期效果。

五是強(qiáng)化終端安全管理。加強(qiáng)域名和移動(dòng)APP管理，建立終端運(yùn)行環(huán)境標(biāo)準(zhǔn)，強(qiáng)化終端安全管理和數(shù)據(jù)防泄露管理，提高整體安全防護(hù)水平。

2.3 運(yùn)維保障體系建設(shè)方面

一是監(jiān)控預(yù)警能力提升。完成安全運(yùn)維一體化管控平臺(tái)建設(shè)，配置操作系統(tǒng)、應(yīng)用和網(wǎng)絡(luò)設(shè)備等監(jiān)控，分析歸并安全設(shè)備日志，從應(yīng)用系統(tǒng)、網(wǎng)絡(luò)拓?fù)?、機(jī)房監(jiān)控、鏈路監(jiān)控和安全事件五個(gè)維度對(duì)信息系統(tǒng)情況進(jìn)行監(jiān)控展示，全面掌握信息系統(tǒng)運(yùn)行狀態(tài)，保障信息系統(tǒng)持續(xù)穩(wěn)定運(yùn)行。

二是常態(tài)檢查分析深入。深入貫徹落實(shí)“日查、月分、季評(píng)”工作要求，每天對(duì)安全設(shè)備進(jìn)行巡檢，每月對(duì)信息系統(tǒng)運(yùn)行情況進(jìn)行分析，每季度開展安全健康檢查，發(fā)現(xiàn)潛在的問題，提出安全加固建議。

三是運(yùn)維服務(wù)管理規(guī)范。在安全運(yùn)維一體化管控平臺(tái)上固化了故障申告、事件管理、變更管理等IT服務(wù)和運(yùn)維流程，提高IT服務(wù)和運(yùn)維效率，提升了用戶服務(wù)滿意度；部署了運(yùn)維審計(jì)系統(tǒng)，進(jìn)一步加強(qiáng)了第三方運(yùn)維人員權(quán)限控制和運(yùn)維操作審計(jì)；主要應(yīng)用系統(tǒng)、網(wǎng)絡(luò)和安全設(shè)備均制訂了運(yùn)維操作手冊(cè)，實(shí)現(xiàn)了IT服務(wù)和運(yùn)維操作流程規(guī)范化、自動(dòng)化和痕跡化，進(jìn)一步提高了運(yùn)維管理水平。

四是應(yīng)急保障措施有力。全面分析可能影響信息系統(tǒng)安全穩(wěn)定持續(xù)運(yùn)行的因素和事件，制訂信息系統(tǒng)應(yīng)急預(yù)案，每季度根據(jù)應(yīng)急預(yù)案制訂演練方案，開展不同科目的應(yīng)急演練，并對(duì)演練工作進(jìn)行總結(jié)，分析、研判和解決存在的問題，持續(xù)完善應(yīng)急預(yù)案和演練方案，進(jìn)一步鍛煉了應(yīng)急保障隊(duì)伍，提升了應(yīng)急保障能力。

2.4 風(fēng)險(xiǎn)防控體系建設(shè)方面

一是深入貫徹風(fēng)險(xiǎn)管理理念。運(yùn)用科學(xué)的方法手段，從“五防”著手，重新評(píng)估已有安全技術(shù)管理措施的有效性。每年至少組織一次全面的風(fēng)險(xiǎn)評(píng)估，全面識(shí)別網(wǎng)絡(luò)與信息系統(tǒng)面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，建立網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)安全風(fēng)險(xiǎn)管理模型，制定有針對(duì)性的主動(dòng)抵御威脅的防護(hù)對(duì)策和整改措施，最大限度地保障網(wǎng)絡(luò)、業(yè)務(wù)信息系統(tǒng)和數(shù)據(jù)安全。

二是組織開展新建系統(tǒng)上線前安全評(píng)估、源代碼安全審計(jì)、基線配置核查、網(wǎng)站安全監(jiān)測(cè)、等保測(cè)評(píng)和安全加固工作，提高整體預(yù)判能力。

2.5 人才保障體系建設(shè)方面

一是重視人才培養(yǎng)。組織安全管理員參加并通過CISP認(rèn)證培訓(xùn)，每年開展面向網(wǎng)絡(luò)安全技術(shù)人員的專業(yè)培訓(xùn)和面向全員的網(wǎng)絡(luò)安全意識(shí)普及培訓(xùn)。

二是積極探索學(xué)習(xí)實(shí)踐最新安全技術(shù)應(yīng)用。密切跟蹤云大物移等新技術(shù)的應(yīng)用帶來的新風(fēng)險(xiǎn)，開展基礎(chǔ)制造云平臺(tái)和工業(yè)互聯(lián)網(wǎng)平臺(tái)的網(wǎng)絡(luò)安全保障體系研究；開展基于全網(wǎng)數(shù)據(jù)流量分析及應(yīng)用層安全檢測(cè)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)方案研究與設(shè)計(jì)；密切跟蹤主動(dòng)安全與擬態(tài)安全等新興安全防御思維下產(chǎn)生的新型安全產(chǎn)品，加強(qiáng)對(duì)外學(xué)習(xí)交流。

3 結(jié)語

回首過去，我們始終不斷進(jìn)取，勇于挑戰(zhàn)，向網(wǎng)絡(luò)安全建設(shè)投入了大量的辛勤與汗水。而如今，我們的付出也終于有了收獲，在2016年度及2018年度，福建中煙被評(píng)為福建省網(wǎng)絡(luò)安全先進(jìn)單位，我們的網(wǎng)絡(luò)安全管理體系也在2018年10月成功通過了中國國家質(zhì)量檢驗(yàn)局的ISO 27001安全管理體系認(rèn)證，評(píng)審老師更是對(duì)我們的工作給出了高度的評(píng)價(jià)和贊揚(yáng)。但我們深知網(wǎng)絡(luò)安全防范是個(gè)不斷迭代的過程，未來還會(huì)有更多全新的挑戰(zhàn)在等待我們，需要我們不斷砥礪前行！

[1]史獻(xiàn)芝.論新時(shí)代網(wǎng)絡(luò)安全治理體系建設(shè)[J].行政論壇，2019,26(1)：46-50.

[2]楊懿.論機(jī)場(chǎng)網(wǎng)絡(luò)安全體系建設(shè)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019(1)：80,87.