郴州烟草网络信息安全体系的构建与实现

谢平槐 杨淑琼

摘  要：当前，网络信息安全的影响因素存在多元化趋势，企业构建全方位的信息安全体系成为必然。文章针对郴州烟草的实际情况，首先从环境、人为、系统和管理四个方面对郴州烟草的网络信息安全情况进行了分析，然后从信息安全分类管理、员工信息安全意识、信息安全管理制度、信息安全检查、信息安全预案演练和信息安全防范技术六个方面系统地阐述了郴州烟草网络信息安全体系的构建。

关键词：郴州烟草;网络信息安全体系;构建与实现

中图分类号：TN915.08            文献标识码：A文章编号：2096-4706（2021）22-0144-04

Abstract： At present， there is a diversified trend of influencing factors of network information security， and it is inevitable for enterprises to build an all-round information security system. In view of the actual situation of tobacco in Chenzhou， this paper firstly analyzes the network information security of tobacco in Chenzhou from four aspects： environment， human， system and management， then it systematically expounds the construction of Chenzhou tobacco network information security system from six aspects： information security classification management， employees’ information security awareness， information security management system， information security inspection， information security plan drill and information security prevention technology.

Keywords： Chenzhou tobacco; network information security system; construction and implementation

0  引  言

近年来，在上级公司的支持和指导下，郴州烟草不断推进信息化建设，网络规模和应用系统不断扩大，“数字烟草”的目标在逐步实现，随之而来的网络信息安全问题也不容忽视，正视网络信息安全，从信息安全现存问题入手，分析问题的成因，制定具体的应对策略，从而营造一个安全稳定的网络环境，是企业信息建设的一项重要任务[1]。

1  郴州烟草网络信息安全因素分析

郴州烟草网络信息安全问题影响因素来自多个方面，其中环境、人为、系统及管理因素等是主要因素。

1.1  环境因素

信息化建设过程中，信息化硬件设备需要确保物理环境安全可靠，解决防火、防雷和防水等问题，做好相应的防范措施，否则将造成无法估计的损失。

1.2  人为因素

人为因素可分为两类，一类是操作失误，比如误删文件、接错电源、不按流程处理等;二类是恶意攻击，包括黑客攻击和病毒感染等。这两类行为轻则造成数据错误，重则导致系统崩溃。

1.3  系统因素

计算机网络硬件和软件系统都可能存在缺陷，比如網络防火墙因设计上的问题不能及时对网络攻击进行防范;操作系统、通信协议、数据库等本身就有漏洞。

1.4  管理因素

网络信息安全的管理意识是否强化、管理制度是否完善是两个重要问题。管理人员缺乏安全意识，没有制定完善的安全管理规章制度都可能导致安全防护体系不能充分发挥其作用，为恶意攻击或病毒等风险入侵提供了机会。

2  郴州烟草网络信息安全体系的构建

通过以上分析可知，企业网络信息安全如果要不受各类因素的影响，就必须要营造良好的物理环境，提升员工的信息安全意识，健全相应的安全管理制度，建立有效的信息安全防范技术等。郴州烟草网络信息安全体系架构如图1所示。

2.1  实施信息安全分类管理

要全面做好网络信息安全，就要明确对象，清晰目标。首先要对网络信息安全危险源进行了全面排查和梳理，一是根据网络信息安全危险源本身属性进行分类管理;二是根据网络信息安全危险源危害程度进行等级评价;三是根据分类情况和等级评价制定相应的应对措施，做到网络信息安全有的放矢[2]。

2.1.1  信息硬件设备安全

信息硬件设备安全主要指如服务器、路由器、交换机、终端设备和通信线路等设备设施的运行环境安全、运行使用安全和运行维护安全等。这些硬件设备要求其本身无固有的缺陷，所处的物理环境避免人为破坏，不受火灾、雷击、静电和电磁干扰。因此，我们需要选用性能高的硬件设备，对机房和配置环境进行合理的设计，严格控制机房内的温湿度，做好机房的防火、防雷、防静电和防电磁干扰等防护措施，营造一个良好的物理环境。

2.1.2  信息网络通信安全

信息网络通信安全主要指各业务信息管理系统网络通信畅通，网络链接无害，数据交互精准，运行体验安全等。主要包括：

（1）确保网络通信畅通：一是对全市系统网络进行“三网四线”分类整合升级改造，优化了网络结构，对业务网采取主备电路虚拟化冗余方式部署，确保了网络畅通。二是做好网络VLAN的划分，隔离冲突域和广播域，避免广播风暴网络瘫痪。特别是严格内外网隔离，杜绝一切网络风险。三是及时维护或更换在网运行陈旧交换机、路由器等设备，为烟站交换机等重要网络设备配备备用设备，避免网络硬件硬伤。四是严格值班值守，通畅与网络运营商及网络维护单位的协同机制，确保网络故障实时监控，快速响应，及时处理。

（2）预防网络黑客攻击：网络中存在着我们看不见摸不着的“互联网地下工作者”，即黑客，他们破坏系统数据、窃取个人信息谋取利益。针对黑客的攻击，一是要科学合理部署网络防火墙和防入侵设备;二是加强密码管理，严格要求使用强密码;三是及时做好服务器和终端电脑的漏洞扫描和补丁升级。

（3）杜绝网络病毒传播：种类繁多的计算机病毒，利用自身的“传染”能力，严重破坏数据资源，影响计算机使用功能，甚至导致计算机系统瘫痪。一是要通过宣传册、黑板报和培训等多种方式开展学习有关病毒与反病毒知识，树立正确的防毒观念。二是积极安装升级病毒软件，及时升级病毒库，开启病毒实时监控。三是严格规范网上下载软件，特别禁止下载无名网站的免费软件。四是加强移动硬盘和U盘等存储设备的管理。

2.1.3  业务系统运行安全

业务系统的底层软件就是操作系统和数据库系统，其安全性对于整个系统至关重要。目前使用的Unix服务器、Windows操作系统，SQL server数据库系统等这些软件系统或多或少存在漏洞，这些漏洞就会成为攻击者的首选目标。一是重要业务系统和数据库必须严格要求使用正版软件;二是做到业务系统及时升级维护，打好漏洞补丁。三是严格业务系统操作规范，加强业务系统权限管理，及时做好权限的变动调整和关停等工作。

2.1.4  信息运维管理安全

信息設备、网络、系统都需要人来操作，同时也更需要人的管理维护，再好的安全策略最终要靠人来实现，因此信息运维管理是整个网络信息安全中最为重要的一环。一是实行信息运维小组分责制，做好信息运维的小组分责、组内分工，小组总责，专人专责，各司其职。二是实行信息运维AB角配置，一项工作两人配合，一主一次互补协同。三是实行信息运维师带徒，不同工作互为师徒，以老带新共同进步。

2.2  提升员工信息安全意识

思想意识是一切行动指南。而一切安全首先是思想意识，认识安全，牢记安全，指导安全。因此，要确保网络信息安全，首先在思想上就要时刻绷紧安全之弦，不断提升广大班干部职工的信息安全意识，筑牢信息安全思想根基。

2.2.1  员工信息安全意识差异性

企业不同层级，不同岗位的人员的信息安全意识着重点是有差异的。对于信息技术人员来说，就是要有主动出击的意识，主动开展信息设备和系统的隐患排查、问题整改、查缺补漏，做好防范工作;各级管理人员要有亡羊补牢的意识，注重日常事故隐患督察整改和责任追究;普通员工要有不触红线的意识，要牢记关于网络信息安全方面的有关规定和要求，将信息安全等同生产安全一样重要看待;企业领导有重视信息安全的意识，只有领导重视，中层领导和员工才会重视[3]。

2.2.2  员工信息安全意识提升途径

要注重通过各种渠道和各种方式引导员工提升网络信息安全意识，除了组织开展日常培训活动外，还可已通过手册、海报、画册、展板和视频等宣传工具，或者开展网上答题、现场知识竞赛等形式激发员工学习信息安全知识的热情，提升员工信息安全意识。

2.3  健全信息安全管理制度

网络信息安全问题和隐患不仅因为技术问题导致，有时也是由于管理制度的疏漏和不当而造成，因此，健全信息安全管理制度对于有效保障网络信息安全至关重要。

2.3.1  贯彻落实《中华人民共和国网络安全法》

针对网络安全法的宣贯，要结合企业的实际，确定宣传主题和内容，通过多种方式开展宣贯活动，营造了网络安全人人有责、人人参与的良好氛围。

2.3.2  健全完善企业内控网络信息安全管理制度

结合企业实际情况，郴州烟草建立了涵盖信息化组织机构及职责、设备管理、中心机房管理、网络管理、系统管理、安全保护管理、物资采购、工作人员管理、管理考核和应急管理等信息化方面的内容的一整套管理制度，为企业网络信息安全提供了全方位的保障。

2.3.3  严格规范网络信息安全“两个责任”追究

网络信息安全要严格落实“两个责任”追究，即严格规范网络信息安全的主体责任和监管责任。一是严格落实主管主责，谁主管理谁负责，做好主体责任和监管责任的部门、人员职责划分。二是严格落实主体主责，谁使用谁负责，凡是涉信涉网络行为都要承担网络信息安全主体责任。三是严格规范“两个责任”追究，强化红线意识，严肃责任追究，实行网络信息安全的一票否决。

2.4  着力落实信息安全检查

落细、落实、落全网络信息安全检查是发现安全隐患，堵塞安全漏洞，解决安全问题的重要方法和手段。在落实信息安全检查，织好信息安全百密天棚方面，主要应抓住以下几个关键节点：

2.4.1  抓好网络信息安全日常检查关键在于一个“细”字

一是日常巡检要做到“细密”。对机房、网络和系统等日常巡检制定详细巡检流程，作出细密时间安排，实施细致巡检记录，及时规范进行全面仔细巡检。二是对口服务要做到“细心”。实行信息技术员对口服务，每个信息技术人员对口企业领导、职能部门等。由对口信息技术员对负责对象开展信息安全检查。定期对终端设备开展维护保养，桌面维护，操作系统、应用系统及网络的优化设置;杀毒软件安装检测，登录密码、注册信息及安全设置检查以及游戏、炒股软件等与工作无关软件的卸载等。三是制度执行要做到“细微”。严格不打折扣，不搞变通，不留死角全方位执行公司有关管理制度，不定期对有关单位和部门进行检查，是否严格执行操作流程，是否严格执行内外网物理隔离，是否私自安装USB无线网卡上外网等，一经发现，严厉惩处并依相关规定严肃问责。

2.4.2  抓好网络信息安全重点检查关键在于一个“实”字

一是抓实重点检查对象。要求根据网络信息安全建设标准和管理要求，突出重点对照检查。二是抓实重点检查整改。对薄弱环节和重点岗位部位，关键节点环节发现的问题及时查漏补缺，及时进行整改，对于到期和无法修复损坏的设备要及时更换。三是抓实重点检查总结。对于重点检查发现的重大问题务求全面深刻总结剖析和及时整改督办，以达到“举一反三”，持续改进的成效。

2.4.3  抓好网络信息安全三全检查关键在于一个“全”字

网线信息安全三全检查，即对网络信息安全进行全面梳理、全面诊断、全面加固，是全面抓好网络信息安全的重要方法和手段。通过对网络信息安全事务的全面梳理、诊断自查、加固整改，掌握现状、找准问题、制订措施、有效改进，进一步夯实信息安全工作基础、提升信息安全保障能力、提高运维服务水平，确保信息系统安全稳定运行。

2.5  加强信息安全预案演练

实施网络信息安全应急预案演练，就是为了及时、有效堵住信息安全漏洞，随时随地能够抵御各种各样的网络信息安全风险。

2.5.1  让网络信息安全预案演练成体系

一是编制突发信息网络事件应急预案，明确了网络信息安全组织机构，职责分工，工作流程，考核评估等工作指南。对机房应急、系统故障、黑客攻击、网络通信等常见网络安全事件编制应急流程。二是针对每次演练，演练前做到编制具体方案，演练中做好痕迹化记录，演练后评估演练效果，从而使网络信息安全预案演练制度化、体系化[4]。

2.5.2  让网络信息安全技术防范成习惯

一是让落实网络信息安全技術标准成为一种习惯。在信息化工作开展中，包括信息化项目建设实施、信息化系统开发推广、信息化日常管理维护等都必须严格遵守网络信息安全技术标准规范。二是让落实网络信息安全“三同时”成为一种习惯，建系统、搭平台、推项目、搞开发等一切信息化事务都必须与网络信息安全工作三同时。

2.5.3  让网络信息安全规范管理成常态

为更好地保证网络信息安全，推行网络信息安全规范管理“六个一”行动指南：“一事一预案”即对于任何一件信息化工作事项都要做好计划，编制方案，明确可能的安全风险;“一月一演练”即应急演练不分简繁，不分大小，可以重复，坚持一月开展一次演练，积少成多，成足于胸;“一练一改进”即针对每次演练，做好分析，总结成效，提出不足，持续改进，从而使网络信息安全规范管理常态化。

2.6  建立信息安全防范技术

2.6.1  部署信息机房动力环境监控系统

部署信息机房动力环境监控系统，对所有动力环境和运行设备实现最优化的监测、预警、管控、远程操作等功能，提高机房监控时效性和应急响应处置效率，有效确保信息机房设备及系统安全稳定运行[5]，图2为信息机房动力环境监控系统温湿度监测功能界面截图。

2.6.2  建立统一的终端安全管理平台

建立统一的终端安全管理平台，利用有效的技术手段实现网络准入控制、终端安全管理和病毒防护，确保终端接入“实时感知”，违规操作“及时阻断”，安全策略“统一下发”，安全威胁“分析处置”，图3为终端安全管理平台界面截图。

2.6.3  应用网络安全态势感知系统

应用网络安全态势感知系统，利用告警、风险、漏洞、资产、系统维护和日志统计等信息，从不同的安全运营角度对网络安全态势进行呈现，提供资产风险态势感知、业务资产外连态势、全网漏洞态势、外部威胁态势、内网威胁态势和安全运营态势等不同安全场景的态势感知，为安全管理者提供风险评估和应急响应的决策支撑，图4为网络安全态势感知系统界面截图。

除此之外，还部署了专业级防火墙、运维审计系统（堡垒机）等信息安全设备和系统，进一步完善网络安全技术体系。

3  结  论

企业信息安全体系的构建是一项复杂的系统工程，也是一项长期存在并艰巨的任务。本文针对郴州烟草的实际情况，首先从环境、人为、系统和管理四个方面因素对郴州烟草网络信息安全进行了分析，然后从信息安全分类管理、员工信息安全意识、信息安全管理制度、信息安全检查、信息安全预案演练和信息安全防范技术六个方面系统地阐述了郴州烟草网络信息安全体系的构建，为探索企业信息安全体系的构建提供了一个参考。

参考文献：

[1] 李馨.当前企业网络信息安全存在的问题与对策探讨 [J].中国水运，2019（11）：54-55.

[2] 牛力.浅析网络信息安全防护体系 [J].数字通信世界，2019（9）：128.

[3] 周龙.深入探讨企业员工的信息安全意识 [J].硅谷，2013，6（3）：132-133.

[4] 全国信息安全标准化技术委员会（SAC/TC260）.信息安全技术网络安全事件应急演练指南：GB/T38645-2020 [S].北京：中国标准出版社，2020.

[5] 谢健.机房动环监控系统设计与实现 [J].电脑知识与技术，2017，13（29）：20-22.

作者简介：谢平槐（1972.11—），男，汉族，湖南资兴人，工程师，硕士研究生，研究方向：信息化技术;杨淑琼（1974.10—），女，汉族，湖南永兴人，信息中心主任，硕士研究生，研究方向：信息化管理。