中煙工業(yè)公司安全規(guī)劃方案

XX中煙工業(yè)公司

安全規(guī)劃方案

北京天融信科技有限公司

2008年12月

目錄

1概述...........................................................................1

1.1行業(yè)信息化背景..........................................................1

1.2規(guī)劃目標(biāo)................................................................2

1.3規(guī)劃的工作方法..........................................................2

1.4參考標(biāo)準(zhǔn)及資料..........................................................3

2XX中煙信息安全體系...........................................................4

2.1XX中煙業(yè)務(wù)概述.........................................................4

2.2XX中煙信息安全目標(biāo)和體系框架..........................................5

2.2.1信息安全宗旨......................................................5

2.2.2信息安全目標(biāo)......................................................5

2.2.3信息安全保障體系總體框架..........................................6

2.2.4信息安全工作基本原則..............................................7

2.2.5信息系統(tǒng)分級(jí)......................................................8

3XX中煙信息安全現(xiàn)狀及問題分析................................................10

3.1煙草行業(yè)信息化現(xiàn)狀.....................................................10

3.2XX中煙信息化狀況.....................................................11

3.3XX中煙當(dāng)前安全風(fēng)險(xiǎn)...................................................12

3.4技術(shù)安全問題分析.......................................................12

3.4.1物理安全問題分析.................................................12

3.4.2網(wǎng)絡(luò)安全問題分析.................................................13

3.4.3主機(jī)安全問題分析.................................................14

3.4.4應(yīng)用安全問題分析.................................................15

3.4.5數(shù)據(jù)安全問題分析.................................................16

3.5管理安全問題分析.......................................................17

3.5.1組織安全機(jī)構(gòu)問題分析.............................................17

3.5.2人員安全問題分析.................................................18

3.5.3安全管理制度問題分析.............................................19

3.5.4系統(tǒng)建設(shè)問題分析.................................................19

3.6運(yùn)維安全問題分析.......................................................20

4信息安全技術(shù)體系規(guī)劃..........................................................22

4.1信息安全技術(shù)體系.......................................................22

4.2物理安全建設(shè)...........................................................24

4.2.1機(jī)房建設(shè)..........................................................24

4.3網(wǎng)絡(luò)安全建設(shè)...........................................................25

4.3.1安全域劃分........................................................25

4.3.2網(wǎng)絡(luò)流量集中監(jiān)控.................................................33

4.3.3網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)（NAP）.............................................34

4.3.4VPN建設(shè).........................................................37

4.3.5安全審計(jì)..........................................................38

4.4主機(jī)系統(tǒng)安全...........................................................40

4.4.1統(tǒng)補(bǔ)丁管理.......................................................40

4.4.2設(shè)備安全加固.....................................................41

4.4.3集中日志分析管理系統(tǒng).............................................44

4.4.4惡意代碼防范.....................................................46

4.4.5IT設(shè)備掃描評(píng)估系統(tǒng)..............................................48

4.5應(yīng)用安全...............................................................49

4.5.1應(yīng)用開發(fā)管理.....................................................49

4.5.2集中身份認(rèn)證與授權(quán)平臺(tái)（CA）...................................53

4.6數(shù)據(jù)安全...............................................................59

4.6.1異地容災(zāi)系統(tǒng)中心.................................................59

4.6.2操作審計(jì).........................................................62

4.6.3文檔加密..........................................................63

4.6.4上網(wǎng)行為審計(jì).....................................................66

5安全產(chǎn)品選型建議..............................................................69

5.1建議說明................................................................69

5.2防火墻功能要求和推薦產(chǎn)品..............................................69

5.2.1功能指標(biāo)要求.....................................................69

5.2.2推薦產(chǎn)品介紹.....................................................73

5.3網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)功能要求和推薦產(chǎn)品....................................78

5.3.1功能指標(biāo)要求.....................................................78

5.3.2推薦產(chǎn)品介紹.....................................................79

5.4VPN產(chǎn)品功能要求和推薦產(chǎn)品............................................82

5.4.1功能指標(biāo)要求.....................................................82

5.4.2推薦產(chǎn)品介紹.....................................................86

5.5日志分析系統(tǒng)產(chǎn)品功能要求和推薦產(chǎn)品....................................92

5.5.1功能指標(biāo)要求.....................................................92

5.5.2推薦產(chǎn)品介紹.....................................................93

5.6行為審計(jì)產(chǎn)品功能要求和推薦產(chǎn)品........................................98

5.6.1功能指標(biāo)要求.....................................................98

5.6.2推薦產(chǎn)品介紹.....................................................99

5.7桌面管理產(chǎn)品功能要求和推薦產(chǎn)品.......................................102

5.7.1功能指標(biāo)要求.....................................................102

5.7.2推薦產(chǎn)品介紹....................................................104

6信息安全管理體系規(guī)劃.........................................................108

6.1信息安全管理體系......................................................108

6.1.1信息安全策略體系................................................108

6.1.2信息安全組織體系................................................109

6.2組織安全機(jī)構(gòu)..........................................................109

6.2.1信息安全組織體系................................................109

6.2.2網(wǎng)絡(luò)系統(tǒng)定期巡檢制度............................................111

6.3人員安全...............................................................112

6.3.1員工信息安全手冊(cè).................................................112

6.3.2第三方安全管理規(guī)范..............................................113

6.3.3外聘IT人員......................................................113

6.3.4員工培訓(xùn)制度.....................................................114

6.3.5IT員工保密協(xié)議..................................................115

6.4安全管理制度...........................................................116

6.4.1信息安全指導(dǎo)方針................................................116

6.4.2個(gè)人計(jì)算機(jī)安全管理制度..........................................117

6.4.3信息安全策略管理流程............................................118

7信息安全運(yùn)維體系規(guī)劃.........................................................119

7.1信息安全運(yùn)維體系......................................................119

7.2系統(tǒng)建設(shè)安全..........................................................119

7.2.1信息系統(tǒng)定級(jí).....................................................119

7.2.2IT工程安全施工協(xié)議..............................................120

7.3風(fēng)險(xiǎn)評(píng)估..............................................................121

7.4系統(tǒng)運(yùn)維安全..........................................................121

7.4.1賬號(hào)/口令管理....................................................121

7.4.2防病毒管理.......................................................123

7.4.3網(wǎng)絡(luò)互聯(lián)安全管理................................................124

7.4.4信息資產(chǎn)管理....................................................127

7.4.5設(shè)備配置技術(shù)管理................................................137

7.4.6安全配置變更管理流程............................................138

7.4.7設(shè)備上線流程....................................................140

7.4.8備份恢復(fù)管理制度................................................142

7.4.9遠(yuǎn)程接入管理....................................................144

7.5應(yīng)急響應(yīng)..............................................................145

7.5.1應(yīng)急響應(yīng)計(jì)劃的制定..............................................145

7.5.2應(yīng)急響應(yīng)的培訓(xùn)..................................................146

7.5.3應(yīng)急響應(yīng)的測(cè)試..................................................146

7.5.4應(yīng)急響應(yīng)計(jì)劃的執(zhí)行..............................................147

8安全規(guī)劃實(shí)施計(jì)劃.............................................................148

8.1實(shí)施計(jì)劃確定方法.......................................................148

1概述

1.1行業(yè)信息化背景

2005年4月煙草行業(yè)信息化工作會(huì)議上，國家局領(lǐng)導(dǎo)提出要從打造“數(shù)字煙草”的全局

高度，重點(diǎn)解決行業(yè)信息化工作中的突出問題：

/切實(shí)解決系統(tǒng)集成、資源整合問題；

/確定管理、業(yè)務(wù)、技術(shù)三方面統(tǒng)一協(xié)調(diào)發(fā)展的集成整合手段；最終實(shí)現(xiàn)系統(tǒng)集成、

資源整合、信息共享的目標(biāo)；

/切實(shí)解決安全高效、務(wù)求實(shí)效問題；

2006年3月的煙草行業(yè)信息化工作會(huì)議上，國家局領(lǐng)導(dǎo)再次明確提出了全行業(yè)要統(tǒng)一思

想，加強(qiáng)領(lǐng)導(dǎo)，總結(jié)經(jīng)驗(yàn)，以開拓創(chuàng)新的精神推進(jìn)行業(yè)信息化建設(shè)。同時(shí)要研究制定落實(shí)的

具體措施，全面貫徹落實(shí)《數(shù)字煙草發(fā)展綱要》，抓緊作好信息化規(guī)劃的制定和完善工作；

堅(jiān)持“四個(gè)統(tǒng)一”的要求，建設(shè)好行業(yè)數(shù)據(jù)中心；圍繞三大應(yīng)用體系（電子商務(wù)、電子政

務(wù)、管理決策），積極推進(jìn)信息化重點(diǎn)工程的實(shí)施工作。

2007年4月煙草行業(yè)信息化工作會(huì)議上，國家局領(lǐng)導(dǎo)提出07年基礎(chǔ)信息保障工作的重點(diǎn)

是：圍繞數(shù)據(jù)中心建設(shè)，加強(qiáng)網(wǎng)絡(luò)管理，完善安全體系，提高防護(hù)能力。使煙草信息化建設(shè)

逐步從應(yīng)用功能建設(shè)到融合安全功能建設(shè)。

2008年x月煙草行業(yè)信息化工作會(huì)議上，國家局。發(fā)布“指南”

2008年要求展開定級(jí)

根據(jù)XX中煙工業(yè)公司（下簡(jiǎn)稱XX中煙）的發(fā)展戰(zhàn)略，結(jié)合國家局近年來信息化工作

會(huì)議的精神，信息中心重新制訂完善了XX中煙信息化安全總體規(guī)劃，進(jìn)一步明確了信息化

安全建設(shè)的總體指導(dǎo)思想和工作方針，希望通過總體規(guī)劃的逐步實(shí)現(xiàn)，能夠使信息化建設(shè)作

為企業(yè)改革的重要支撐點(diǎn)，帶動(dòng)中煙各項(xiàng)業(yè)務(wù)工作的開展，保障各信息資產(chǎn)安全性，促進(jìn)

XX中煙業(yè)務(wù)運(yùn)作管理水平的提升。

1.2規(guī)劃目標(biāo)

通過結(jié)合國家局要求及xx中煙的使命和愿景、安全工作的現(xiàn)狀、面臨的機(jī)遇和挑戰(zhàn)、

領(lǐng)導(dǎo)意圖，進(jìn)行綜合分析，我們確定安全建設(shè)中長期和短期目標(biāo)如下：

■短期目標(biāo)：

/圍繞數(shù)據(jù)中心，加強(qiáng)IT基礎(chǔ)設(shè)施建設(shè)、IT安全設(shè)施建設(shè)，使數(shù)據(jù)中心建設(shè)過程,

安全保障體系同步，動(dòng)態(tài)進(jìn)行建設(shè)，確保數(shù)據(jù)中心建設(shè)安全、運(yùn)行安全。國家

局今后3年以內(nèi)，主要以數(shù)據(jù)中心建設(shè)為主，XX中煙需在國家局的領(lǐng)導(dǎo)下建設(shè)

省級(jí)數(shù)據(jù)中心，因此，為保障數(shù)據(jù)中心的功能建立，需在IT基礎(chǔ)設(shè)施方面、安

全設(shè)施方面進(jìn)行合理的、有效的建設(shè)，使XX中煙的信息安全支持國家局?jǐn)?shù)據(jù)中

心、省數(shù)據(jù)中心的安全運(yùn)行，達(dá)到數(shù)據(jù)中心建設(shè)的相關(guān)安全要求。

/解決目前急迫和關(guān)鍵的問題，從等級(jí)保護(hù)的十大方面做考慮，通過規(guī)劃部署

IPS、系統(tǒng)補(bǔ)丁管理、網(wǎng)絡(luò)準(zhǔn)入控制、日志審計(jì)系統(tǒng)、日志統(tǒng)一平臺(tái)、PKI/CA

等各種安全技術(shù)措施，同時(shí)通過規(guī)劃在XX中煙的安全組織體系、人員安全、

安全策略制度、系統(tǒng)建設(shè)安全、系統(tǒng)運(yùn)維安全等安全管理措施，爭(zhēng)取通過在較

短期內(nèi)的建設(shè)，使得信息系統(tǒng)的安全狀況有大幅度提高。

■中長期目標(biāo)：結(jié)合《煙草行業(yè)信息安全體系建設(shè)指南》，建設(shè)XX中煙的信息安全技

術(shù)體系、信息安全管理體系、信息安全運(yùn)維體系，同時(shí)，逐步完善XX中煙信息安

全組織體系，進(jìn)而實(shí)現(xiàn)XX中煙的“信息安全保障體系”，并能夠自我發(fā)展和調(diào)整，

以適應(yīng)數(shù)字煙草戰(zhàn)略下的新技術(shù)、新業(yè)務(wù)的發(fā)展，從而能夠保障和促進(jìn)XX中煙業(yè)

務(wù)的增長和發(fā)展。

1.3規(guī)劃的工作方法

在安全評(píng)估與調(diào)查的基礎(chǔ)上，參照國家提出的建設(shè)信息安全保障系統(tǒng)的要求和國家局信

息安全建設(shè)要求，根據(jù)等級(jí)保護(hù)和突出重點(diǎn)原則，并參照國際安全標(biāo)準(zhǔn)，設(shè)計(jì)XX中煙的信

息安全等級(jí)保障體系。根據(jù)XX中煙的信息安全遠(yuǎn)景和階段目標(biāo)、安全保障體系的要求，并

結(jié)合當(dāng)前的安全現(xiàn)狀，進(jìn)行安全建設(shè)規(guī)劃，確定目前建設(shè)安全保障體系需要做的工作和步驟,

指導(dǎo)未來三至五年的安全建設(shè)工作。

根據(jù)規(guī)劃，進(jìn)行包括管理體系和技術(shù)體系的整體安全體系的建設(shè)與實(shí)施，之后進(jìn)入運(yùn)行

期，進(jìn)行安全體系的運(yùn)營和持續(xù)改進(jìn)工作，并定期評(píng)估、建設(shè)、審計(jì)和改進(jìn)。

規(guī)劃方法的總體邏輯和流程如下：

1.信凡安全的宋立布目標(biāo)

n

1.4參考標(biāo)準(zhǔn)及資料

本信息安全規(guī)劃，主要參考如下標(biāo)準(zhǔn)和資料，

相關(guān)標(biāo)準(zhǔn)及資料：

/IS027001信息安全管理體系要求

/IS013335信息技術(shù)-信息安全管理指導(dǎo)

/《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)［200刃27號(hào)）

/《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字［2004|66號(hào)）精神

/《信息系統(tǒng)等級(jí)保護(hù)實(shí)施指南》

/《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》

/《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

行業(yè)資料：

/《數(shù)字煙草發(fā)展綱要》

,《煙草行業(yè)數(shù)據(jù)中心建設(shè)實(shí)施意見》

/《煙草行業(yè)計(jì)算機(jī)信息網(wǎng)絡(luò)安全保護(hù)規(guī)定》

/《全國煙草行業(yè)信息化工作管理辦法》

《煙草行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)和信息安全技術(shù)與管理規(guī)范》

《煙草行業(yè)信息安全體系建設(shè)指南》

2XX中煙信息安全體系

2.1XX中煙業(yè)務(wù)概述

■現(xiàn)有應(yīng)用系統(tǒng)

>核心業(yè)務(wù)樞紐平臺(tái)-ERP企業(yè)資源計(jì)劃系統(tǒng)

>銜接計(jì)劃與生產(chǎn)的執(zhí)行平臺(tái)-MIS生產(chǎn)指揮系統(tǒng)

>營銷服務(wù)平臺(tái)-協(xié)同營銷綜合管理系統(tǒng)

>協(xié)同辦公平臺(tái)-0A辦公自動(dòng)化系統(tǒng)

>財(cái)務(wù)管理平臺(tái)-財(cái)務(wù)系統(tǒng)

>電子商務(wù)系統(tǒng)

>煙葉調(diào)撥管理系統(tǒng)

A對(duì)外網(wǎng)站系統(tǒng)

■網(wǎng)絡(luò)現(xiàn)狀

-4-

圖2-1XX中煙工業(yè)公司網(wǎng)絡(luò)拓?fù)涫疽鈭D

2.2XX中煙信息安全目標(biāo)和體系框架

2.2.1信息安全宗旨

xx中煙工業(yè)公司信息安全工作的宗旨為：

1）保障XX中煙工業(yè)公司信息系統(tǒng)安全和穩(wěn)定的運(yùn)行，為日常運(yùn)轉(zhuǎn)提供良好基礎(chǔ)，保

障和促進(jìn)業(yè)務(wù)發(fā)展和業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)。

2）對(duì)XX中煙工業(yè)公司企業(yè)重組提供支持，重組后的企業(yè)首先從信息化進(jìn)行整合，保

障信息化整合中的信息安全，包括信息的可用性、完整性、機(jī)密性、可靠性、抗抵

賴性。

3）具有先進(jìn)的信息安全保障水平，成為廣大用戶對(duì)XX中煙工業(yè)公司信賴的基礎(chǔ)，提

高XX中煙工業(yè)公司的品牌形象和客戶忠誠度；

2.2.2信息安全目標(biāo)

XX中煙工業(yè)公司信息安全目標(biāo)是建成煙草行業(yè)一流的信息安全保障體系。

-5-

建設(shè)一套覆蓋全面、重點(diǎn)突出、持續(xù)運(yùn)行的XX中煙工業(yè)公司信息安全保障體系，達(dá)到

煙草行業(yè)一流的信息安全保障水平，支撐和保障信息系統(tǒng)和業(yè)務(wù)的安全穩(wěn)定運(yùn)行。該體系覆

蓋信息系統(tǒng)安全所要求的各項(xiàng)內(nèi)容，包含安全策略，安全組織，安全技術(shù)和安全運(yùn)維四部分,

符合信息系統(tǒng)的業(yè)務(wù)特性和發(fā)展戰(zhàn)略，滿足XX中煙與下屬企業(yè)的信息安全要求?？沙掷m(xù)發(fā)

展與完善。

2.2.3信息安全保障體系總體框架

信息安全保障體系的設(shè)計(jì)目標(biāo)是以XX中煙信息系統(tǒng)的實(shí)際情況和現(xiàn)實(shí)問題為基礎(chǔ)，參

照國際和國內(nèi)的安全標(biāo)準(zhǔn)和規(guī)范，充分利用成熟的信息安全理論成果，設(shè)計(jì)出兼顧整體性、

可操作性，并且融策略、組織、運(yùn)作和技術(shù)為一體的安全體系。

信息安全保障體系內(nèi)容包括信息系統(tǒng)的分級(jí)，各級(jí)系統(tǒng)的安全要求，信息安全保障體系

總體框架，分為安全策略體系、安全組織體系、安全技術(shù)體系和安全運(yùn)維體系四個(gè)部分。涉

及的范圍涵蓋XX中煙和各下屬煙廠的信息系統(tǒng)及安全要求。

信息安全保障體系總體框架如下圖所示：

安全策略體系信息安全政策

管理制度組織職責(zé)技術(shù)標(biāo)準(zhǔn)規(guī)范

安全組織體系安

全

教育

人員

安全人員運(yùn)

培訓(xùn)

全

安

組織職責(zé)安全體系建設(shè)行

體

系

項(xiàng)目建設(shè)安全管理

安全技術(shù)體系

安全風(fēng)險(xiǎn)管理

身份

訪問防惡意

證

認(rèn)加密與控制

控制代碼

審核備份

加固監(jiān)控安全運(yùn)行與維護(hù)

跟蹤恢復(fù)

圖2-2信息安全保障體系總體框架

整個(gè)體系分為四部分，包括策略體系、組織體系、技術(shù)體系和運(yùn)作體系，四者有機(jī)結(jié)

-6-

合，又相互支撐，之間的關(guān)系為“根據(jù)策略體系中策略，由組織體系（或人員），利用技術(shù)

體系作為工具和手段，進(jìn)行操作來維持運(yùn)行體系\

在現(xiàn)階段，根據(jù)XX中煙現(xiàn)有信息系統(tǒng)的情況，可以把安全體系框架進(jìn)一步落實(shí)如下圖:

圖2-3安全體系框架

整體的安全保障體系分為技術(shù)體系和管理體系，其中管理體系可以分為策略、組織和運(yùn)

作三個(gè)部分。技術(shù)體系包括基礎(chǔ)設(shè)施安全和應(yīng)用安全，基礎(chǔ)設(shè)施安全是指物理、網(wǎng)絡(luò)和系統(tǒng)

層面的安全基礎(chǔ)設(shè)施和技術(shù)支撐平臺(tái)，應(yīng)用安全是指應(yīng)用和數(shù)據(jù)層面的安全措施，包括加密、

認(rèn)證和授權(quán)、備份和容災(zāi)等。

2.2.4信息安全工作基本原則

“上級(jí)指導(dǎo)”原則：積極的響應(yīng)國家局關(guān)于信息安全建設(shè)要求，建立xx中煙工業(yè)公司

特色的信息安全體系，確保信息安全建設(shè)以國家局為主導(dǎo)，以中煙具體現(xiàn)狀為依據(jù)，進(jìn)行建

設(shè)；

“全面保障”原則：信息安全風(fēng)險(xiǎn)的控制需要多角度、多層次，從各個(gè)環(huán)節(jié)入手，全面

的保障；

“整體規(guī)劃，分步實(shí)施”原則：根據(jù)“五統(tǒng)一”原則對(duì)XX中煙工業(yè)公司信息安全建設(shè)

-7-

進(jìn)行整體規(guī)劃，分步實(shí)施，逐步建立完善的信息安全體系；

“同步規(guī)劃、同步建設(shè)、同步運(yùn)行"原則：信息安全體系建設(shè)應(yīng)與信息化建設(shè)應(yīng)當(dāng)同步

規(guī)劃，同步建設(shè)，協(xié)調(diào)發(fā)展，要將信息安全體系建設(shè)融入到信息化建設(shè)的規(guī)劃、建設(shè)、運(yùn)行

和維護(hù)的全過程中；；

“業(yè)務(wù)優(yōu)先”原則：信息安全體系建設(shè)應(yīng)始終貫徹“以安全保發(fā)展，在發(fā)展中求安全”

的精神，信息安全體系建設(shè)要保障和促進(jìn)行業(yè)業(yè)務(wù)的發(fā)展；

“綜合防范”原則：根據(jù)信息系統(tǒng)的安全級(jí)別，采用適當(dāng)?shù)墓芾砗图夹g(shù)措施，降低安全

風(fēng)險(xiǎn)，綜合提高保障能力：

“適度安全”原則：沒有絕對(duì)的安全，安全和易用性是矛盾的，需要做到適度安全，找

到安全和易用性的平衡點(diǎn)；

“內(nèi)外并重”原則：安全工作需要做到內(nèi)外并重，在防范外部威脅的同時(shí)，加強(qiáng)規(guī)范內(nèi)

部人員行為和訪問控制、監(jiān)控和審計(jì)能力；

“符合性”原則：信息安全體系建設(shè)要符合國家的有關(guān)法律法規(guī)和政策精神，以及煙草

行業(yè)有關(guān)制度和規(guī)定，同時(shí)應(yīng)當(dāng)符合有關(guān)國家技術(shù)標(biāo)準(zhǔn)，以及行業(yè)的技術(shù)標(biāo)準(zhǔn)和規(guī)范；

“技術(shù)與管理并重”原則：網(wǎng)絡(luò)與信息安全不是單純的技術(shù)問題，需要在采用安全技術(shù)

和產(chǎn)品的同時(shí)，重視安全管理，不斷完善各類安全管理規(guī)章制度和操作規(guī)程，全面提高安全

管理水平。

2.2.5信息系統(tǒng)分級(jí)

信息系統(tǒng)分級(jí)主要是從安全角度對(duì)XX中煙工業(yè)公司信息系統(tǒng)進(jìn)行抽象概括，描述XX

中煙工業(yè)公司信息系統(tǒng)的安全屬性和要求，并以此為基礎(chǔ)對(duì)各系統(tǒng)進(jìn)行分級(jí)，并描述各級(jí)的

安全要求。分級(jí)的標(biāo)準(zhǔn)是根據(jù)公安部《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》，根據(jù)XX中煙工業(yè)

公司信息系統(tǒng)的實(shí)際情況設(shè)計(jì)的分級(jí)方法和標(biāo)準(zhǔn)，具體內(nèi)容參見，《信息系統(tǒng)等級(jí)劃分方法》:

安全定級(jí)過程與標(biāo)準(zhǔn)。分級(jí)后每個(gè)等級(jí)的安全要求請(qǐng)參見《信息系統(tǒng)等級(jí)保護(hù)基本要求》：各

等級(jí)安全要求。

XX中煙工業(yè)公司的各業(yè)務(wù)系統(tǒng)定級(jí)如下表所示。

信息系統(tǒng)第一級(jí)1個(gè)第二級(jí)2個(gè)

7個(gè)

總數(shù)第三級(jí)4個(gè)第四級(jí)0個(gè)

-8-

信息系統(tǒng)名稱信息系統(tǒng)描述主管單位使用人員服務(wù)范圍保護(hù)等級(jí)

該系統(tǒng)主要用途是：

1.原、輔料的采購、出入庫、

庫存、結(jié)算、核算；

2.質(zhì)量管理；

XX中煙工業(yè)公3.生產(chǎn)管理；XX中煙工業(yè)

內(nèi)部人員本省三級(jí)

司ERP系統(tǒng)4.成品：出入庫、庫存管理；公司

5.產(chǎn)品數(shù)據(jù)管理：產(chǎn)品配方管

理。

該系統(tǒng)在XX中煙的生產(chǎn)、經(jīng)

營、管理工作中發(fā)揮重要作用。

該系統(tǒng)主要用途是銷售計(jì)劃及銷

售數(shù)據(jù)管理、生產(chǎn)計(jì)劃管理、市

XX中煙工業(yè)公內(nèi)部人員

場(chǎng)營銷中心信息發(fā)布、銷售信息市場(chǎng)營銷中

司協(xié)同營銷綜合及省商業(yè)本省三級(jí)

采集、卷煙成品物流管理、銷售心

管理系統(tǒng)公司

分析等，在XX中煙的生產(chǎn)、經(jīng)

營、管理工作中發(fā)揮重要作用

該系統(tǒng)用于發(fā)布辦公信息、公文

XX中煙工業(yè)公流轉(zhuǎn)、個(gè)人辦公、事務(wù)管理，在

辦公室內(nèi)部人員本省三級(jí)

司協(xié)同辦公系統(tǒng)XX中煙的生產(chǎn)、經(jīng)營、管理工

作中發(fā)揮重要作用

該系統(tǒng)用于進(jìn)行本省的財(cái)務(wù)管

XX中煙工業(yè)公

理，在XX中煙的生產(chǎn)、經(jīng)營、財(cái)務(wù)管理部?jī)?nèi)部人員本省三級(jí)

司財(cái)務(wù)系統(tǒng)

管理工作中發(fā)揮重要作用

該系統(tǒng)主要用于輔料（非專賣品）

的網(wǎng)上洽談、網(wǎng)上交易（達(dá)成交

易協(xié)定，并不涉及資金的網(wǎng)上支

XX中煙工業(yè)公內(nèi)部人員

付）、合同簽訂、發(fā)貨到貨管物資部本省二級(jí)

司電子商務(wù)系統(tǒng)及供應(yīng)商

理、供應(yīng)商管理等，在XX中煙

的生產(chǎn)、經(jīng)營、管理工作中發(fā)揮

的作用較重要。

該系統(tǒng)主要用于在互聯(lián)網(wǎng)上發(fā)布

XX中煙工業(yè)公司企業(yè)概況、進(jìn)

內(nèi)部人員

XX中煙工業(yè)公行品牌展示，是中煙公司對(duì)社會(huì)

辦公室及社會(huì)公行業(yè)外二級(jí)

司外部網(wǎng)站公眾的宣傳窗口，在XX中煙的

眾

生產(chǎn)、經(jīng)營、管理中發(fā)揮的作用

較重要。

該系統(tǒng)主要用于為中煙公司領(lǐng)導(dǎo)

XX中煙工業(yè)公和職工提供郵件收發(fā)服務(wù)，在

信息中心內(nèi)部人員本省一級(jí)

司郵件系統(tǒng)XX中煙的生產(chǎn)、經(jīng)營、管理工

作中發(fā)揮的作用一般。

-9-

3XX中煙信息安全現(xiàn)狀及問題分析

3.1煙草行業(yè)信息化現(xiàn)狀

從2005年1月1日開始，中國煙草市場(chǎng)對(duì)國外煙草制品的配額數(shù)量分配制取消，卷煙

關(guān)稅下調(diào)至國際水平。因此，國產(chǎn)卷煙的價(jià)格優(yōu)勢(shì)不再明顯，品牌將成為企業(yè)間角力主戰(zhàn)

場(chǎng)。面對(duì)虎視眈眈的跨國煙草公司，煙草行業(yè)的發(fā)奮圖強(qiáng)己刻不容緩。從2002年開始，國家

專賣局提出了全力推動(dòng)“大市場(chǎng)、大品牌、大企業(yè)”的核心戰(zhàn)略，將“深化改革、推動(dòng)重

組、走向聯(lián)合、共同發(fā)展”作為全國煙草工作的主要任務(wù)，以應(yīng)對(duì)外煙競(jìng)爭(zhēng)。而信息化則成

為驅(qū)動(dòng)煙草行業(yè)大轉(zhuǎn)折的助推器。為了配合煙草行業(yè)的市場(chǎng)和品牌戰(zhàn)略，國家煙草專賣局對(duì)

信息化進(jìn)行了認(rèn)真的戰(zhàn)略思考，制定了總體規(guī)劃和戰(zhàn)略目標(biāo)。提出了“統(tǒng)一平臺(tái)、統(tǒng)一數(shù)據(jù)

庫、統(tǒng)一網(wǎng)絡(luò)”的三統(tǒng)一方針，并確定了卷煙生產(chǎn)經(jīng)營決策管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)、電

子商務(wù)系統(tǒng)三大信息化重點(diǎn)工程。經(jīng)過多年的發(fā)展，煙草行業(yè)信息化逐步成形、成規(guī)模，并

在生產(chǎn)過程中占據(jù)重要作用。

當(dāng)前煙草行業(yè)信息化現(xiàn)狀：

■信息系統(tǒng)支撐設(shè)施初具規(guī)模，國家局及各大煙草公司內(nèi)部網(wǎng)絡(luò)建設(shè)基本實(shí)現(xiàn)了網(wǎng)

絡(luò)三層結(jié)構(gòu)，如核心層、匯聚層、接入層，使網(wǎng)絡(luò)結(jié)構(gòu)清晰，功能明確，邊界明

顯。同時(shí)，煙草行業(yè)網(wǎng)絡(luò)以國家局（總公司）為中心，覆蓋全行業(yè)各個(gè)單位的信

息通信網(wǎng)絡(luò)基本建成。

■行業(yè)信息技術(shù)的應(yīng)用水平不斷提高。卷煙生產(chǎn)經(jīng)營決策管理系統(tǒng)、卷煙銷售網(wǎng)絡(luò)

系統(tǒng)、網(wǎng)上交易系統(tǒng)、專賣管理系統(tǒng)、財(cái)會(huì)管理信息系統(tǒng)、辦公自動(dòng)化系統(tǒng)等已

在行業(yè)管理和生產(chǎn)經(jīng)營活動(dòng)中發(fā)揮重要作用。

■行業(yè)信息資源有了初步積累，各種應(yīng)用系統(tǒng)集中了大量的數(shù)據(jù)信息，初步形成了

基于各類業(yè)務(wù)主題的數(shù)據(jù)庫。

■行業(yè)信息化隊(duì)伍基本形成，已有4000名左右專職從事信息化工作的人員.

■行業(yè)信息化發(fā)展戰(zhàn)略明確：煙草行業(yè)信息發(fā)展的主要目標(biāo)是“數(shù)字煙草”，通過

信息化建設(shè)，使煙草從決策到生產(chǎn)、從采購到營銷、從管理到執(zhí)行均實(shí)現(xiàn)數(shù)字

化，有力的支持煙草總公司的發(fā)展戰(zhàn)略。

■信息安全建設(shè)已起步，各煙草公司在防病毒、防垃圾、桌面管理方面均進(jìn)行了建

-10-

設(shè)。同時(shí)部分中煙也啟動(dòng)高端的安全項(xiàng)目建設(shè)，如信息安全風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)主機(jī)

安全自評(píng)系統(tǒng)、Internet網(wǎng)絡(luò)統(tǒng)一出口等，另外，國家局針對(duì)信息化安全建設(shè)近

期也出臺(tái)了相關(guān)的安全建設(shè)文檔，如《煙草行業(yè)信息安全體系建設(shè)指南》，指導(dǎo)

信息安全建設(shè)。

3.2XX中煙信息化狀況

2004年元月，XX煙草行業(yè)實(shí)行工商體制改革，XX中煙工業(yè)公司正式成立。2006年11

月，XX中煙工業(yè)公司與所屬X1煙草（集團(tuán)）公司、X2卷煙總廠、X3卷煙總廠實(shí)現(xiàn)一體化合

并重組。XX中煙堅(jiān)持以科學(xué)發(fā)展觀統(tǒng)領(lǐng)工作全局，以培育發(fā)展重點(diǎn)品牌為突出重點(diǎn)和工作主

線，以實(shí)現(xiàn)XX卷煙工業(yè)全面崛起為奮斗目標(biāo)，精心培育帝豪、紅旗渠等重點(diǎn)品牌。在信息化

建設(shè)方面，主要圍繞四大中心（技術(shù)研發(fā)中心、市場(chǎng)營銷中心、物資采購中心、生產(chǎn)管理制

造中心）進(jìn)行建設(shè)，在近幾年中，信息化的速度較快，信息系統(tǒng)基本覆蓋了四大中心，為實(shí)

現(xiàn)“數(shù)字中煙”打下了基礎(chǔ)。

■企業(yè)生產(chǎn)及生產(chǎn)管理系統(tǒng)方面

根據(jù)國家局要求，XX中煙成立四大中心（技術(shù)研發(fā)中心、市場(chǎng)營銷中心、物資采

購中心、生產(chǎn)管理制造中心），目前大部分信息系統(tǒng)建設(shè)均圍繞四大中心進(jìn)行建設(shè)，當(dāng)

前信息系統(tǒng)有：

>生產(chǎn)中心：已建設(shè)運(yùn)行的信息系統(tǒng)有ERP系統(tǒng)，該系統(tǒng)目前正在進(jìn)行升級(jí)改造；

國家局針對(duì)生產(chǎn)策決管理，建立一號(hào)工程系統(tǒng)，均已在XX中煙各煙廠運(yùn)行。

>營銷中心：已建立了協(xié)同營銷綜合管理管理系統(tǒng)；為提高營銷中心信息化，已

著手對(duì)綜合營銷管理系統(tǒng)進(jìn)行改進(jìn)。

>物流中心：當(dāng)前已運(yùn)行的信息系統(tǒng)有電子商務(wù)系統(tǒng)，煙葉調(diào)撥管理系統(tǒng)，其主

要負(fù)責(zé)XX中煙的倉庫、物資、原料管理；另根據(jù)物流/采購中心要求，計(jì)劃建

設(shè)物資采購平臺(tái)、物資配送系統(tǒng)，實(shí)現(xiàn)物資/采購“數(shù)字化”。

>技術(shù)中心：目前沒有專用的信息系統(tǒng)，正在規(guī)劃建設(shè)技術(shù)中心綜合管理系統(tǒng)，

實(shí)現(xiàn)對(duì)產(chǎn)品設(shè)計(jì)的“數(shù)字化”管理，技術(shù)研發(fā)和質(zhì)量管理的流程化和規(guī)范化，

促進(jìn)內(nèi)部溝通交流，提高管理效率。

■XX中煙企業(yè)管理方面

根據(jù)XX中煙企業(yè)管理文化，以及XX中煙在企業(yè)管理方面邁向“無紙化”、“數(shù)字

化”，目前，建立了0A系統(tǒng)（協(xié)同辦公）、ERP系統(tǒng)，郵件系統(tǒng)、人力資管理管理系

-II-

統(tǒng)、綜合文檔管理系統(tǒng)等等信息系統(tǒng)，使XX中煙信息化管理基本實(shí)現(xiàn)。

■信息安全方面

隨著XX中煙的信息化建設(shè)的步伐加快，安全建設(shè)也受到XX中煙領(lǐng)導(dǎo)的關(guān)注。在

建設(shè)信息系統(tǒng)的同時(shí)，在安全建設(shè)方面，XX中煙也同樣進(jìn)行了建設(shè)：

》病毒技術(shù)體系

>防垃圾郵件系統(tǒng)

>資產(chǎn)管理系統(tǒng)

3.3XX中煙當(dāng)前安全風(fēng)險(xiǎn)

3.4技術(shù)安全問題分析

3.4.1物理安全問題分析

編號(hào)弱點(diǎn)名稱風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)描述解決方案

TP-1維護(hù)人員在機(jī)房的維護(hù)日志未登記，《機(jī)房運(yùn)行標(biāo)

機(jī)房進(jìn)出第三方人員進(jìn)、出機(jī)房也未進(jìn)行登記，無準(zhǔn)》

人員登記制度中法對(duì)機(jī)房人員進(jìn)行管理和監(jiān)控，同時(shí)可能

未落實(shí)到位造成物理破壞（設(shè)備遺失），和執(zhí)行不當(dāng)操

作無法追查。

TP-2機(jī)房設(shè)備（IT系統(tǒng)、電源設(shè)備、電源《機(jī)房設(shè)備管理

TP-51、無有效線、數(shù)據(jù)線等）非常龐大，如果沒有一個(gè)好方法》

的機(jī)房設(shè)備管的管理方法，一方面不方便新設(shè)備進(jìn)入機(jī)

理方法（或軟中房，另一方面可能會(huì)引起誤操作造成業(yè)務(wù)

件）中斷

數(shù)據(jù)線與電源線未進(jìn)行隔離，會(huì)造成

電磁干擾，影響數(shù)據(jù)線的傳輸。

TP-3機(jī)房?jī)?nèi)設(shè)結(jié)合《機(jī)房設(shè)備

備（網(wǎng)線、主機(jī)房有少部分設(shè)備無明顯、準(zhǔn)確的標(biāo)管理方法》，清

機(jī)、網(wǎng)絡(luò)設(shè)備低簽。維護(hù)過程中，可能會(huì)造成誤操作，引整機(jī)房設(shè)備

等相關(guān)設(shè)備）標(biāo)起業(yè)務(wù)中斷

識(shí)不全

TP-4通過評(píng)估人員現(xiàn)場(chǎng)評(píng)估，當(dāng)前機(jī)房的增加符合標(biāo)準(zhǔn)的

機(jī)房溫度

溫度在22攝氏度，高于機(jī)房溫度標(biāo)準(zhǔn)，設(shè)空調(diào)設(shè)備，使機(jī)

控制不符合標(biāo)低

備長期在此溫度之下，影1」內(nèi)IT設(shè)備的正常房溫度保持在

準(zhǔn)

使用年限，引發(fā)設(shè)備物理故障20~21度

TP-7機(jī)房IT設(shè)中目前，全公司各個(gè)煙廠沒有統(tǒng)一部署《機(jī)房運(yùn)行標(biāo)

-12-

備無實(shí)時(shí)監(jiān)控機(jī)房IT設(shè)備實(shí)時(shí)監(jiān)控系統(tǒng)。煙廠正在實(shí)施準(zhǔn)》

系統(tǒng)及人員網(wǎng)碩網(wǎng)管軟件。而且，沒有配備IT設(shè)備監(jiān)

控員，無法對(duì)設(shè)備運(yùn)行狀況進(jìn)行及時(shí)監(jiān)

控，IT設(shè)備異常無法及時(shí)發(fā)現(xiàn)，影響IT系

統(tǒng)服務(wù)質(zhì)量。

3.4.2網(wǎng)絡(luò)安全問題分析

編號(hào)弱點(diǎn)名稱風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)描述解決方案

TN-1重要設(shè)備單點(diǎn)故障網(wǎng)絡(luò)內(nèi)部重要的支撐性設(shè)備沒有網(wǎng)絡(luò)基礎(chǔ)建設(shè)（消除

高

進(jìn)行冗余，提高網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的可重要網(wǎng)絡(luò)設(shè)備的單

用性，當(dāng)設(shè)備發(fā)生故障時(shí)，會(huì)造成部點(diǎn)）

分或全部業(yè)務(wù)不能使用。

TN-2網(wǎng)絡(luò)未進(jìn)行安全域整個(gè)網(wǎng)絡(luò)，未根據(jù)各部門的應(yīng)用網(wǎng)絡(luò)安全域劃分

高

劃分使用情況進(jìn)行安全域劃分，確定邊

界。并根據(jù)各安全域的安全要求，進(jìn)

行安全設(shè)備防護(hù)。當(dāng)前的網(wǎng)絡(luò)為一個(gè)

大網(wǎng)，發(fā)生安全事