煙草行業(yè)信息安全建設思路論文_第1頁
煙草行業(yè)信息安全建設思路論文_第2頁
煙草行業(yè)信息安全建設思路論文_第3頁
煙草行業(yè)信息安全建設思路論文_第4頁
煙草行業(yè)信息安全建設思路論文_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、a man is not old as long as he is seeking something. a man is not old until regrets take the place of dreams. 悉心整理助您一臂(頁眉可刪)煙草行業(yè)信息安全建設思路論文 1煙草行業(yè)信息安全面臨的挑戰(zhàn)隨著煙草行業(yè)信息化快速發(fā)展及云計算、虛擬化、移動應用等新興技術運用,使煙草行業(yè)的信息安全面臨新的挑戰(zhàn),主要表現(xiàn)在以下幾點。1.1核心軟硬件被國外壟斷,嚴重威脅行業(yè)信息安全當前,煙草行業(yè)的信息系統(tǒng)基礎設施,包括主機、存儲、操作系統(tǒng)、數(shù)據(jù)庫、中間件等幾乎還很大程度上依賴于國外品牌,使得煙草行業(yè)信息

2、系統(tǒng)比較容易被國外掌控,威脅煙草行業(yè)信息安全。1.2傳統(tǒng)互聯(lián)網威脅向煙草行業(yè)輻射隨著電子商務的快速發(fā)展,煙草行業(yè)信息系統(tǒng)由半封閉的行業(yè)內網向互聯(lián)網轉變,網上訂貨、網上營銷等新型業(yè)務與互聯(lián)網結合日益緊密,同樣面臨的網絡攻擊和威脅形勢日益復雜嚴峻,傳統(tǒng)互聯(lián)網威脅(如病毒、木馬等)也必將危及行業(yè)信息安全。1.3新技術的應用使行業(yè)信息安全面臨更大挑戰(zhàn)隨著云計算、虛擬化、移動應用等新興技術的快速發(fā)展和應用,極大地影響了信息系統(tǒng)的運行和服務方式,互聯(lián)網服務的開放性特點對煙草行業(yè)信息安全工作提出嚴峻的挑戰(zhàn)。2煙草行業(yè)信息安全發(fā)展方向近期,為處理好安全和發(fā)展的關系,適應信息技術發(fā)展形勢需要,提出以安全保發(fā)展、

3、以發(fā)展促安全是未來一段時間信息安全建設和管理的重要方向。2.1堅持自主安全可控,健全行業(yè)信息安全體系信息安全自主可控作為行業(yè)信息化發(fā)展的重要保障,加大安全可靠的先進技術應用力度,提升對核心技術的自主掌控能力,保障行業(yè)信息化建設穩(wěn)步推進,健全以防為主、軟硬結合的行業(yè)網絡安全體系。強化網絡基礎設施安全,加大安全可控關鍵軟硬件的應用比例,確保行業(yè)信息化高效安全平穩(wěn)運行。2.2堅持等級保護,提高安全管理水平執(zhí)行國家信息安全等級保護制度,以安全策略為核心,堅持技術和管理相結合,構建與行業(yè)信息化發(fā)展協(xié)調一致的行業(yè)網絡安全體系。2.3強化安全運維機制,提升安全保障能力目前,行業(yè)信息安全保障尚未全面融入信息化

4、的“建管用”的各個環(huán)節(jié),需要進一步建設、健全行業(yè)網絡安全保障體系,落實安全運維機制,提升安全綜合防范能力。2.4完善應急處置體系,保證系統(tǒng)安全穩(wěn)定運行加強日常信息安全監(jiān)控,進一步完善信息安全應急處置機制,充分評估信息系統(tǒng)面臨的威脅,并制訂覆蓋各類信息系統(tǒng)、各種信息安全事件的應急預案并進行演練,提升信息系統(tǒng)預警、應急處置和恢復能力,保障業(yè)務系統(tǒng)的連續(xù)穩(wěn)定運行。2.5煙草行業(yè)信息安全建設思路隨著國家、行業(yè)主管單位對信息安全認識和要求的不斷深入,煙草行業(yè)信息系統(tǒng)綜合安全防范能力需要通過建立自主可控的信息安全技術體系;細化和完善信息安全法規(guī)制度、標準規(guī)范、流程細則的管理體系;和以“常態(tài)化”為目標,包括

5、階段性運維、日常運維、應急工作三個角度的安全運維體系設計,從而提高信息系統(tǒng)信息安全綜合防范能力。2.6建立系統(tǒng)安全基線,提升系統(tǒng)基礎防護能力國家局針對信息安全工作下發(fā)了如信息安全保障體系建設規(guī)范行業(yè)單位等級保護建設規(guī)范等一系列的規(guī)范標準,同時以“三全工作”“安全檢查”為抓手推動信息安全保障體系的建設。但由于缺乏具體的操作層面的指南,各行業(yè)單位對標準規(guī)范和安全建設尚不能有效落地,不能執(zhí)行到具體的業(yè)務系統(tǒng)以及所屬的主機、網絡設備等基礎設施層面。為保證信息系統(tǒng)整體安全水平,防止因為各類系統(tǒng)、設備的安全配置不到位而帶來安全風險,有必要針對信息系統(tǒng)建立其基本的安全要求(安全基線),確保信息系統(tǒng)具有基本的

6、安全保護能力。2.7建立自主可控信息安全技術體系自主可控是信息安全的根本保障。建立自主可控的信息安全技術體系可以從以下方面著手:一是制訂行業(yè)信息安全技術產品準入要求,啟動核心信息技術產品的信息安全檢查和認證工作;二是加強對產品或系統(tǒng)的漏洞檢測和代碼審查,及時發(fā)現(xiàn)系統(tǒng)安全隱患,同時明確國外進口產品在使用過程的責任和義務;三是建立煙草行業(yè)新技術的安全標準規(guī)范,明確新技術的使用、運維和管理的方法和范圍。2.8不斷完善行業(yè)信息安全標準規(guī)范體系目前煙草行業(yè)已經陸續(xù)發(fā)布了一系列行業(yè)信息安全標準和規(guī)范,但是相對于信息化的快速發(fā)展來說還存在滯后性。制定、完善和細化行業(yè)信息安全標準規(guī)范,對于煙草信行業(yè)信息安全具

7、有重要意義。例如,針對信息系統(tǒng)的建設,應制訂包含在信息系統(tǒng)規(guī)劃設計、開發(fā)建設、運行維護和停用廢棄等全生命周期的安全標準規(guī)范;針對移動應用,應制訂包含由移動終端、移動網絡、移動平臺、業(yè)務應用構成的移動安全框架和建設標準規(guī)范,為煙草行業(yè)的移動應用建設提供指導;針對煙草行業(yè)數(shù)據(jù)安全,應建立包括數(shù)據(jù)分類分級、數(shù)據(jù)分布、數(shù)據(jù)操作、數(shù)據(jù)備份和恢復在內數(shù)據(jù)安全標準規(guī)范,為合理保護和利用行業(yè)數(shù)據(jù)提供指導;針對第三方服務外包,制定第三方服務機構服務質量基本評價指標體系。2.9建立安全運維管理服務體系一是建立運維監(jiān)控指標體系。通過對信息系統(tǒng)安全運維水平的層次化監(jiān)控指標的建立,得到該業(yè)務系統(tǒng)的安全運維水平評級,以此

8、來表明該業(yè)務系統(tǒng)的安全運維體系的建設成熟度。同時還應將表示安全運維水平的各個指標項建立針對某類安全事件的度量標準。建立監(jiān)控指標不僅應當包括傳統(tǒng)的各種系統(tǒng)資源使用率、數(shù)據(jù)和應用工作狀態(tài)等,同時要加強對運維監(jiān)控中發(fā)現(xiàn)的各種異?,F(xiàn)象的監(jiān)控分析,對風險隱患及時處理,同時根據(jù)運行分析結果動態(tài)評估系統(tǒng)的處理能力,動態(tài)優(yōu)化系統(tǒng)資源配置。二是完善安全運維和管理工作。安全運維和管理工作應包含在信息系統(tǒng)規(guī)劃設計、開發(fā)建設、運行維護和停用廢棄等各環(huán)節(jié),落實系統(tǒng)建設全生命周期各環(huán)節(jié)的安全指標和流程要求,做到基礎信息網絡、重要信息系統(tǒng)與安全防護設施同步規(guī)劃、同步建設、同步運行。三是完善應急處置機制,保障業(yè)務連續(xù)性。隨著

9、行業(yè)數(shù)據(jù)的集中,各類信息系統(tǒng)整合的不斷推進,信息系統(tǒng)的技術體系日趨復雜,需要在日常運維過程中積累、提高對各種技術的把握、優(yōu)化能力。充分評估各類信息系統(tǒng)潛在的威脅,并制訂和完善各類信息安全事件的應急預案,并定期開展應急演練。2.10開展信息安全風險態(tài)勢感知體系研究風險態(tài)勢感知體系是具有宏觀的角度對行業(yè)的整體網絡安全防護能力進行評估,同樣也應對整體安全管理水平進行評估,為提升信息系統(tǒng)整體安全防護能力提供決策支持;同時風險態(tài)勢感知體系應具備兩個維度的態(tài)勢感知能力。一方面,從安全本身的發(fā)展變化入手,通過對事件和威脅的分析來評估當前網絡的整體安全態(tài)勢,包括地址熵態(tài)勢分析、熱點事件分析和威脅態(tài)勢分析;另一

10、方面,從信息系統(tǒng)所需要達成的安全管理水平入手,通過對一系列管理指標的度量,來評估當前信息系統(tǒng)的安全管理水平;建設完備的信息安全風險感知體系,是提高煙草領域信息安全的重要途徑之一。風險態(tài)勢感知體系的建設應按照信息安全等級保護的相關要求,建設針對信息系統(tǒng)所有的基礎設施包括終端、網絡、應用、系統(tǒng)、物理各個方面,以及信息系統(tǒng)在業(yè)務處理過程中的身份認證、訪問控制、數(shù)據(jù)與內容安全、監(jiān)控審計、備份恢復等各個環(huán)節(jié)的信息安全風險態(tài)勢感知體系,提高信息系統(tǒng)的信息安全保障能力,提高信息安全事件的預警及防范能力。3結語煙草行業(yè)信息化建設及業(yè)務的高速發(fā)展將帶來新的信息技術風險和威脅,信息安全建設尤為重要。信息安全保障體系建設具有動態(tài)性、長期性的特點,為業(yè)務運行和信息化建設提供支撐是信息安全建設最終目標,需要緊密跟蹤行業(yè)信息化發(fā)展

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論