福建中煙網絡安全體系建設探討

時間:2022-07-30 02:51:10

導語:福建中煙網絡安全體系建設探討一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

福建中煙網絡安全體系建設探討

摘要:面對日趨嚴峻的網絡安全形勢,福建中煙勇于挑戰,主動作為,從五大體系建設方面著手,建成了一支高素質的網絡安全保障隊伍和一套多區域縱深防護的網絡安全架構,并具備國際先進的安全管理體系,為公司業務正常開展提供了有力保障。

關鍵詞:安全管理;技術防御;運維保障;風險控制;人才保障

1背景描述

從國家層面看,中央網絡安全和信息化領導小組于2014年2月27日成立,《網絡安全法》于2017年6月1日起正式開始實施,標志著網絡安全已上升到國家戰略高度,步入法制階段;從技術發展看,以云計算、大數據、物聯網、移動應用、智能制造為核心的“新IT”浪潮風起云涌,服務化、智能化、自適應、隨需而變是其主要特征,全新的信息安全技術正在顛覆傳統安全技術,給我們帶來了巨大挑戰。

2體系建設

福建中煙深刻理解網絡安全建設工作的重要性,積極響應國家和煙草行業號召,貫徹行業“分級分域、整體保護、積極預防、動態管理”的網絡安全總體策略,從“安全管理、技術防御、運維保障、風險控制、人才保障”五大體系建設著手,大力發展網絡安全,建成了一支高素質的網絡安全保障隊伍和一套多區域縱深防護的網絡安全架構,同時還具備國際先進的安全管理體系,有效減少了網絡安全風險,保護福建中煙信息資產的機密性、完整性、可用性,確保信息系統安全可靠運行,為公司業務正常開展提供了有力的保障。2.1安全管理體系建設方面。一是組織有保障:成立了信息安全工作領導小組,明確公司黨組對全省網絡安全工作負主體責任,領導班子主要負責人是第一責任人,統一組織開展公司的信息安全工作。設置了專職安全管理員崗位,為信息安全工作提供了組織保障。二是制度有保障:根據《煙草行業信息安全管理制度建設基本要求》,結合公司實際工作情況,從總體方針文件、機構人員、物理安全、網絡安全、設備安全、開發安全和運維安全方面,制訂了《信息安全策略》、《信息安全工作管理辦法》等共40多個標準化文件,基本完成信息安全管理體系建設,通過了ISO27001信息安全管理體系認證,并深化推進體系運行。三是機制有保障:按照國家和行業等級保護要求,開展等級保護工作,形成定級、備案、測評和整改工作機制。同時,按照行業“三全”工作要求,將“三全”工作法貫徹到日常工作中,形成長效機制,夯實了安全管理基礎。2.2技術防御體系建設方面。一是形成分級分域網絡架構。根據行業“三全”工作和“分級分域”保護要求,參照等級保護和IATF標準,梳理和分析網絡中各應用系統數據流,將信息網絡劃分為核心計算域、網絡邊界域、網絡設施域和支撐設施域四個區域,每個區域又進一步劃分為小的區域,進一步調整優化了網絡結構。二是建成多層技術防護體系。根據行業“防入侵、防篡改、防竊密、防癱瘓、防病毒”五防要求,完善核心交換區域和服務器區、用戶接入區、互聯網接入區、下屬單位接入區以及外部單位接入區等各個安全區域的防護措施。三是突出重點保障業務安全。針對公司郵件應用,部署了郵件安全網關設備,對垃圾、釣魚和病毒等郵件進行過濾和防護;針對WEB應用,部署了WEB應用防火墻設備,防范XSS、SQL注入等網站攻擊行為,保護WEB網站不受非法攻擊和篡改;針對應用系統遠程接入訪問安全問題,部署了SSLVPN設備,確保移動辦公人員和出差人員安全地接入公司內網。四是部署備份保障數據安全。部署了EMC數據備份系統,根據業務系統的數據備份要求,規劃備份空間,制定備份策略,實現了數據自動備份。在完成本地備份的基礎上,完成異地備份和恢復測試,達到預期效果。五是強化終端安全管理。加強域名和移動APP管理,建立終端運行環境標準,強化終端安全管理和數據防泄露管理,提高整體安全防護水平。2.3運維保障體系建設方面。一是監控預警能力提升。完成安全運維一體化管控平臺建設,配置操作系統、應用和網絡設備等監控,分析歸并安全設備日志,從應用系統、網絡拓撲、機房監控、鏈路監控和安全事件五個維度對信息系統情況進行監控展示,全面掌握信息系統運行狀態,保障信息系統持續穩定運行。二是常態檢查分析深入。深入貫徹落實“日查、月分、季評”工作要求,每天對安全設備進行巡檢,每月對信息系統運行情況進行分析,每季度開展安全健康檢查,發現潛在的問題,提出安全加固建議。三是運維服務管理規范。在安全運維一體化管控平臺上固化了故障申告、事件管理、變更管理等IT服務和運維流程,提高IT服務和運維效率,提升了用戶服務滿意度;部署了運維審計系統,進一步加強了第三方運維人員權限控制和運維操作審計;主要應用系統、網絡和安全設備均制訂了運維操作手冊,實現了IT服務和運維操作流程規范化、自動化和痕跡化,進一步提高了運維管理水平。四是應急保障措施有力。全面分析可能影響信息系統安全穩定持續運行的因素和事件,制訂信息系統應急預案,每季度根據應急預案制訂演練方案,開展不同科目的應急演練,并對演練工作進行總結,分析、研判和解決存在的問題,持續完善應急預案和演練方案,進一步鍛煉了應急保障隊伍,提升了應急保障能力。2.4風險防控體系建設方面。一是深入貫徹風險管理理念。運用科學的方法手段,從“五防”著手,重新評估已有安全技術管理措施的有效性。每年至少組織一次全面的風險評估,全面識別網絡與信息系統面臨的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,建立網絡與業務系統安全風險管理模型,制定有針對性的主動抵御威脅的防護對策和整改措施,最大限度地保障網絡、業務信息系統和數據安全。二是組織開展新建系統上線前安全評估、源代碼安全審計、基線配置核查、網站安全監測、等保測評和安全加固工作,提高整體預判能力。2.5人才保障體系建設方面。一是重視人才培養。組織安全管理員參加并通過CISP認證培訓,每年開展面向網絡安全技術人員的專業培訓和面向全員的網絡安全意識普及培訓。二是積極探索學習實踐最新安全技術應用。密切跟蹤云大物移等新技術的應用帶來的新風險,開展基礎制造云平臺和工業互聯網平臺的網絡安全保障體系研究;開展基于全網數據流量分析及應用層安全檢測的網絡安全態勢感知技術方案研究與設計;密切跟蹤主動安全與擬態安全等新興安全防御思維下產生的新型安全產品,加強對外學習交流。

3結語

回首過去,我們始終不斷進取,勇于挑戰,向網絡安全建設投入了大量的辛勤與汗水。而如今,我們的付出也終于有了收獲,在2016年度及2018年度,福建中煙被評為福建省網絡安全先進單位,我們的網絡安全管理體系也在2018年10月成功通過了中國國家質量檢驗局的ISO27001安全管理體系認證,評審老師更是對我們的工作給出了高度的評價和贊揚。但我們深知網絡安全防范是個不斷迭代的過程,未來還會有更多全新的挑戰在等待我們,需要我們不斷砥礪前行!

參考文獻:

[1]史獻芝.論新時代網絡安全治理體系建設[J].行政論壇,2019,26(1):46-50.

[2]楊懿.論機場網絡安全體系建設[J].網絡安全技術與應用,2019(1):80,87.

作者:韓曉櫻 馮明輝 單位:福建中煙工業有限責任公司