◆韩晓樱 冯明辉
浅谈福建中烟网络安全体系建设
◆韩晓樱 冯明辉
(福建中烟工业有限责任公司 福建 361012)
面对日趋严峻的网络安全形势,福建中烟勇于挑战,主动作为,从五大体系建设方面着手,建成了一支高素质的网络安全保障队伍和一套多区域纵深防护的网络安全架构,并具备国际先进的安全管理体系,为公司业务正常开展提供了有力保障。
安全管理;技术防御;运维保障;风险控制;人才保障
从国家层面看,中央网络安全和信息化领导小组于2014年2月27日成立,《网络安全法》于2017年6月1日起正式开始实施,标志着网络安全已上升到国家战略高度,步入法制阶段;从技术发展看,以云计算、大数据、物联网、移动应用、智能制造为核心的“新IT”浪潮风起云涌,服务化、智能化、自适应、随需而变是其主要特征,全新的信息安全技术正在颠覆传统安全技术,给我们带来了巨大挑战。
福建中烟深刻理解网络安全建设工作的重要性,积极响应国家和烟草行业号召,贯彻行业“分级分域、整体保护、积极预防、动态管理”的网络安全总体策略,从 “安全管理、技术防御、运维保障、风险控制、人才保障”五大体系建设着手,大力发展网络安全,建成了一支高素质的网络安全保障队伍和一套多区域纵深防护的网络安全架构,同时还具备国际先进的安全管理体系,有效减少了网络安全风险,保护福建中烟信息资产的机密性、完整性、可用性,确保信息系统安全可靠运行,为公司业务正常开展提供了有力的保障。
一是组织有保障:成立了信息安全工作领导小组,明确公司党组对全省网络安全工作负主体责任,领导班子主要负责人是第一责任人,统一组织开展公司的信息安全工作。设置了专职安全管理员岗位,为信息安全工作提供了组织保障。
二是制度有保障:根据《烟草行业信息安全管理制度建设基本要求》,结合公司实际工作情况,从总体方针文件、机构人员、物理安全、网络安全、设备安全、开发安全和运维安全方面,制订发布了《信息安全策略》、《信息安全工作管理办法》等共40多个标准化文件,基本完成信息安全管理体系建设,通过了ISO 27001信息安全管理体系认证,并深化推进体系运行。
三是机制有保障:按照国家和行业等级保护要求,开展等级保护工作,形成定级、备案、测评和整改工作机制。同时,按照行业“三全”工作要求,将“三全”工作法贯彻到日常工作中,形成长效机制,夯实了安全管理基础。
一是形成分级分域网络架构。根据行业“三全”工作和“分级分域”保护要求,参照等级保护和IATF标准,梳理和分析网络中各应用系统数据流,将信息网络划分为核心计算域、网络边界域、网络设施域和支撑设施域四个区域,每个区域又进一步划分为小的区域,进一步调整优化了网络结构。
二是建成多层技术防护体系。根据行业“防入侵、防篡改、防窃密、防瘫痪、防病毒”五防要求,完善核心交换区域和服务器区、用户接入区、互联网接入区、下属单位接入区以及外部单位接入区等各个安全区域的防护措施。
三是突出重点保障业务安全。针对公司邮件应用,部署了邮件安全网关设备,对垃圾、钓鱼和病毒等邮件进行过滤和防护;针对WEB应用,部署了WEB应用防火墙设备,防范XSS、SQL注入等网站攻击行为,保护WEB网站不受非法攻击和篡改;针对应用系统远程接入访问安全问题,部署了SSL VPN设备,确保移动办公人员和出差人员安全地接入公司内网。
四是部署备份保障数据安全。部署了EMC数据备份系统,根据业务系统的数据备份要求,规划备份空间,制定备份策略,实现了数据自动备份。在完成本地备份的基础上,完成异地备份和恢复测试,达到预期效果。
五是强化终端安全管理。加强域名和移动APP管理,建立终端运行环境标准,强化终端安全管理和数据防泄露管理,提高整体安全防护水平。
一是监控预警能力提升。完成安全运维一体化管控平台建设,配置操作系统、应用和网络设备等监控,分析归并安全设备日志,从应用系统、网络拓扑、机房监控、链路监控和安全事件五个维度对信息系统情况进行监控展示,全面掌握信息系统运行状态,保障信息系统持续稳定运行。
二是常态检查分析深入。深入贯彻落实“日查、月分、季评”工作要求,每天对安全设备进行巡检,每月对信息系统运行情况进行分析,每季度开展安全健康检查,发现潜在的问题,提出安全加固建议。
三是运维服务管理规范。在安全运维一体化管控平台上固化了故障申告、事件管理、变更管理等IT服务和运维流程,提高IT服务和运维效率,提升了用户服务满意度;部署了运维审计系统,进一步加强了第三方运维人员权限控制和运维操作审计;主要应用系统、网络和安全设备均制订了运维操作手册,实现了IT服务和运维操作流程规范化、自动化和痕迹化,进一步提高了运维管理水平。
四是应急保障措施有力。全面分析可能影响信息系统安全稳定持续运行的因素和事件,制订信息系统应急预案,每季度根据应急预案制订演练方案,开展不同科目的应急演练,并对演练工作进行总结,分析、研判和解决存在的问题,持续完善应急预案和演练方案,进一步锻炼了应急保障队伍,提升了应急保障能力。
一是深入贯彻风险管理理念。运用科学的方法手段,从“五防”着手,重新评估已有安全技术管理措施的有效性。每年至少组织一次全面的风险评估,全面识别网络与信息系统面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,建立网络与业务系统安全风险管理模型,制定有针对性的主动抵御威胁的防护对策和整改措施,最大限度地保障网络、业务信息系统和数据安全。
二是组织开展新建系统上线前安全评估、源代码安全审计、基线配置核查、网站安全监测、等保测评和安全加固工作,提高整体预判能力。
一是重视人才培养。组织安全管理员参加并通过CISP认证培训,每年开展面向网络安全技术人员的专业培训和面向全员的网络安全意识普及培训。
二是积极探索学习实践最新安全技术应用。密切跟踪云大物移等新技术的应用带来的新风险,开展基础制造云平台和工业互联网平台的网络安全保障体系研究;开展基于全网数据流量分析及应用层安全检测的网络安全态势感知技术方案研究与设计;密切跟踪主动安全与拟态安全等新兴安全防御思维下产生的新型安全产品,加强对外学习交流。
回首过去,我们始终不断进取,勇于挑战,向网络安全建设投入了大量的辛勤与汗水。而如今,我们的付出也终于有了收获,在2016年度及2018年度,福建中烟被评为福建省网络安全先进单位,我们的网络安全管理体系也在2018年10月成功通过了中国国家质量检验局的ISO 27001安全管理体系认证,评审老师更是对我们的工作给出了高度的评价和赞扬。但我们深知网络安全防范是个不断迭代的过程,未来还会有更多全新的挑战在等待我们,需要我们不断砥砺前行!
[1]史献芝.论新时代网络安全治理体系建设[J].行政论坛,2019,26(1):46-50.
[2]杨懿.论机场网络安全体系建设[J].网络安全技术与应用,2019(1):80,87.