浅谈烟草行业网络安全及其防范策略三篇

申明敬告: 本站不保证该用户上传的文档完整性,不预览、不比对内容而直接下载产生的反悔问题本站不予受理。

文档介绍

浅谈烟草行业网络安全及其防范策略三篇

浅谈烟草行业网络安全及其防范策略三篇 精品文档,仅供参考 浅谈烟草行业网络安全及其防范策略三篇 随着计算机技术的发展,烟草行业信息网络应用已由较早的基于单机的文件处理、基于简单连接的内部网络的内部业务办理发展到全球互联网范围的信息共享和业务处理。精心为大家整理了,希望对你有帮助。 浅谈烟草行业网络安全及其防范策略1 随着信息化技术的不断发展,信息网络技术在烟草行业的应用不断深入,信息安全问题日益严峻。目前,行业信息网络安全存在员工信息安全意识薄弱、部分企业信息安全技术和设施落后、计算机网络安全防护能力较弱等隐患。传统以防病毒为主、信息安全设备的物理防护为辅的信息安全保护措施已难以有效保障企业的信息安全。因此,各企业必须从多方面入手,建立一个涵盖信息安全各个层面的立体防护体系。 加强防范措施 ‎ 建立健全信息安全监管检测系统。一个完整的计算机网络安全监管检测系统应当包括病毒防范、入侵检测、网络漏洞检测及自动更新、上网行为管理规范及监控等功能。病毒防范要由被动查杀病毒转变为主动防范,对电脑内文件、邮件、内存、网页等进行全面实时监控,发现异常情况及时处理。完备的入侵检测系统可以对内部攻击、外部攻击和误操作进行实时防护,在计算机网络和系统受到攻击时进行报警、拦截和响应,及时消除威胁。网络漏洞检测及自动更新是通过微软补丁自动分发WSUS系统,及时更新服务器、桌面计算机外网补丁,尽量杜绝网络安全漏洞。同时,通过制定网络管理规范,严格安全制度,从而有效地防止许多人为因素产生的漏洞。 上网行为管理规范。制定上网行为管理规范,可以有效降低内部员工上网误操作带来的损失,及时地检测来自内部的攻击,维护计算机网络的信息安全。 做好网络的安全隔离工作,防止网上窃密。目前,行业越来越多的日常工作与互联网连接,这给网络黑客带来了可乘之机。企业要合理利用防火墙、网路岗等网络管理软件,在行业内网与互联网之间建立一道安全可靠的信息屏障。例如,建立健全移动存储介质使用管理,尤其针对涉密部门,坚决杜绝内部员工将持有行业机密信息的移动存储设备带离岗位等。 严格管理制度 随着信息时代的来临,各企业在信息化建设与应用的全过程应该做到分工明确、责任到人、各项操作有章可循。 ‎ 建立健全信息网络安全管理机构。行业内部,应当设立相应级别的、负责信息安全的专门管理机构。在信息安全管理和监控上,给予安全管理机构一定的操作与处罚权限,对出现的涉及危险的事件,如反动、涉黄信息传播等,发现一件、查处一件。 制定信息化系统人事管理制度。人是信息系统的操作者与管理者,而人又极易受到外部环境的影响,可能因为操作失误等原因造成安全威胁。为此,防外应先安内,即对行业内部涉密人员加强管理。在人员发生工作调动、提升、免职、退休等时,要做好涉密信息及操作权限的交接工作,加强涉密人员的思想教育和安全业务培训。 重视人才培养 加强行业专业技术人才建设对提升行业信息化建设、增强行业网络安全,为行业快速健康发展提供坚强的人才保证和智力支持具有十分重要的意义。 强化全员网络安全意识。目前,行业部分员工缺乏互联网安全意识,对不明来源的软件、网页和邮件等缺乏警惕意识,这些都给黑客带来可乘之机。因此,企业要不断 强化各部门员工的信息安全意识,向全员普及信息安全技术、组织信息安全保密知识学习,使广大员工牢固树立信息领域永远没有绝对安全区域的观念,在全员心中筑起信息安全的防火墙。 ‎ 加强信息中心网络安全人员培训。目前,行业按照四统一的要求进行信息化建设,即统一标准、统一平台、统一数据库和统一网络。企业要不断加强对计算机网络管理员和操作员的培训,引领他们顺应新形势,学习新技术,提高自身技能。 总之,只有真正做好网络安全防范,以信息安全为保障,才能打造出现代化的数字烟草行业。 浅谈烟草行业网络安全及其防范策略 信息安全是指信息网络的硬件、软件及系统中的数据受到保护,不受偶然或恶意破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。 随着计算机技术的发展,烟草行业信息网络应用已由较早的基于单机的文件处理、基于简单连接的内部网络的内部业务办理发展到全球互联网范围的信息共享和业务处理。行业信息网络连接范围扩大、流通能力提高、作用日益突出的同时,网络信息安全问题也日益显现。 行业信息安全面临的问题 信息安全工作重技术、轻管理。近年来,通过信息化基础设施建设、广域网网络改造、应用系统升级等多种渠道,行业信息网络先后安装部署了防火墙、web病毒墙、网页防篡改软件等一系列安全技术设施,在技术层面基本满足了网络与信息安全的要求。相比之下,管理层面的工作还比较薄弱,主要表现在网络与信息安全管理制度不够健全、制度的针对性和操作性不强、制度的修订和调整不够及时等。 ‎ 信息安全设备和技术没有充分发挥作用。从已经部署和安装的网络安全设备来看,行业信息安全设备和技术运用还存在一些问题,如设备运行方式和参数设置不够合理,长期采用默认配置和默认参数运行;对网络安全设备运行日志的收集、监控、分析和保存工作不够重视;一些单位没有实现不同安全设备之间的协调、互补运行,信息网络缺乏高效立体的防护等。 信息安全管理制度和措施落实不够到位。行业制定和发布的信息安全管理制度大部分得到了较好的贯彻落实,但实际工作中还存在个人账户管理、应用系统管理、数据以及承载数据的移动存储设备管理要求没有彻底落实等情况,给网络信息安全带来隐患。 内部员工的工作习惯和上网行为不够规范。部分员工长期使用极易遭破解的初始密码或弱口令,利用互联网浏览网页、接收邮件、跟人聊天时对陌生邮件警惕性不高,极易造成病毒传播、账号被盗以及信息泄密。 保障信息安全的对策 建立健全网络信息安全管理制度。信息安全工作三分靠技术、七分靠管理。保障信息安全最重要的是建立全面的信息安全管理体系。各单位应针对企业信息化实际和信息安全工作需要对现有制度进行全面梳理,对计算机病毒防范、安全移动存储介质管理、账号管理、数据存储备份等工作提出明确要求,形成一套契合企业实际、可操作性强的网络与信息安全管理制度。 ‎ ‎ 采取合理的网络与信息安全措施。第一,物理安全方面。进一步完善机房、硬件设备等基础设施,确保核心机房具备一定的抵御自然灾害能力。加强对核心数据存储和备份介质的管理,避免人为及自然灾害的破坏。第二,网络安全方面。在网络边界安装部署防火墙和防毒墙,在网络内部部署入侵检测系统,启用访问控制策略,及时升级恶意代码库、更新检测系统。第三,主机安全方面。对所有登录主机操作系统的用户进行身份标示和鉴别。设置具有一定复杂度的主机管理用户口令并定期更换。根据用户角色分配权限,实现管理员与普通用户的权限分离。第四,应用安全方面。启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查功能,对用户身份进行辨识。启用数据有效性检验功能,保证通过人机接口或通信接口输入的数据格式或长度符合系统设定要求。第五,数据安全与备份恢复方面。对重要信息进行备份,对系统管理数据和重要业务数据在传输过程中的完整性进行监控,检测到完整性错误时及时采取必要措施进行恢复。 ‎ 营造浓厚的网络安全文化氛围。重视企业信息安全文化建设,进一步提高职工信息安全意识。将信息安全培训纳入员工岗位培训体系,开展形式多样的安全培训,加大对全员特别是信息技术人员的信息安全培训力度,大力培养信息安全专业人才,提升信息安全人员技术水平。将信息安全纳入统一管理,按照谁主管谁负责、谁运行谁负责的原则,逐级落实信息安全工作责任,加大考核问责力度。 信息安全是一个综合性课题,涉及技术、管理、人员等诸多方面。只有综合采取多种防范措施,制定严格的保密政策和明晰的安全策略,才能有效、实时地保证信息的机密性、完整性和可用性,为行业信息化工作提供强大的安全保证。 浅谈烟草行业网络安全及其防范策略 当前。世界各国纷纷加快推进信息技术研发和应用,综合信息网络向宽带、融合、泛在方向演进,信息技术、产品、内容、网络和平台等加速融合,新一代信息及时快速发展。正在引领新一轮技术革命和产业变革,全球正处在重塑发展理念、重构竞争优势的关键节点上。随着企业信息化建设的发展和完善,各种信息系统的应用使大量的企业经营信息和组织的运作控制流程高度集中于企业信息系统之中。信息系统安全问题日益引起人们的关注。本文分析了信息化时代背景下,企业信息安全的基本概念、企业信息安全的基本特征以及在信息安全方面所存在的风险,并提出了控制烟草行业信息安全的几点策略,旨在提升信息系统安全性和可靠性。 ‎ 当前,世界各国纷纷加快推进信息技术研发和应用,综合信息网络向宽带、融合、泛在方向演进,信息技术、产品、内容、网络和平台等加速融合,新一代信息及时快速发展,正在引领新一轮技术革命和产业变革,全球正处在重塑发展理念、重构竞争优势的关键节点上。党的十八大提出坚持走中国特色新型工业化、信息化、城镇化、农业现代化道路,推动信息化和工业化深度融合,促进工业化、信息化、城镇化、农业现代化同步发展。大力推动两化深度融合、四化同步发展,是党中央准确把握全球新一轮科技革命和产业变革趋势,统筹经济社会发展全局,抢占未来产业竞争制高点作出的重大战略决策。 20XX年4月19日,中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长书记在京主持召开网络安全和信息化工作座谈会并发表重要讲话。这一讲话在业内引起热烈反响,习总书记高屋建瓴,将网络安全和信息化工作置于宏观背景中,作出了一系列凝聚中国智慧的论断和决策,为把我国建设成网络强国指出了一条正确的道路。书记总书记在中央网络安全和信息化领导小组第一次会议讲话中强调,网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施,没有网络安全就没有国家安全,没有信息化就没有现代化。中央的要求进一步表明,网络安全和信息化已真正上升为国家发展战略,信息化已成为经济与社会发展的重要驱动力,是衡量一个企业乃至国家整体实力的重要标志。 ‎ 国家烟草专卖局党组高度重视信息化建设和信息安全工作,以决策管理系统为代表的一系列重点工程项目建设取得了丰硕成果,信息化在规范卷烟生产经营业务、提高行业宏观调控和科学决策能力等方面发挥了重要作用,为行业持续稳定健康发展提供了有力支撑。随着烟草企业信息化的不断推进,以一号工程为基础,以三流合一为目标,以一个平台、五大应用、五大保障为基本框架,整合兼容、互联互通、先进实用、改造升级,推进一体化数字烟草建设的总体发展思路,网络规模和应用系统的不断扩大,凸显应用系统部署缺乏明确的指导原则,网络结构层次不清、系统管理维护困难,随之带来安全防护困难, 1企业信息安全的基本概念 企业是创造社会财富的源泉,企业信息化水平代表了一个国家整体信息化水平的高低,企业利用现代信息技术手段,在生产、经营、管理过程中,有效地开发、利用和传播信息资源的过程,称之为企业信息化。信息化时代,信息是各行业发展所需的重要资源和资产,而信息安全性在企业经营发展中的地位变得越来越高。所谓信息安全,指的是企业信息、企业信息系统及其所处环境安全性的综合。它包括企业信息的安全性、完整性、可靠性和真实性等内容,它涵盖了信息环境、信息网络和通信基础设施、媒体、数据、信息内容、信息应用等多个方面的安全需要。包括信息不受威胁和危险、信息系统的安全、信息数据的安全和信息内容的安全等。 2企业信息安全的基本特征 ‎ ‎ 2.1数据的有效性、保密性 有效性是指信息所涉及的内容是真实有效的,在法律上可界定:保密性是信息不被泄露给非授权的用户、实体或过程,或供其利用的特性,即防止信息泄露给非授权个人或实体,信息只为授权用户使用的特性。保密性是在可靠性和可用性基础之上,保障网络信息安全的重要手段, 2.2身份的真实性 真实性是指用户的身份是真实的。例如在较大企业内,用户张三声明他是张三,但是网络能够相信他吗?会不会是李四冒充张三呢?因此,如何能对通讯实体身份的真实性进行鉴别?如何保证用户的身份不会被别人冒充?尤其在信息系统中,绝对不允许冒充、伪造等现象的存在,这是真实性所需要解决的问题。 2.3系统的可靠性 可靠性是指系统能够在规定条件和规定的时间内完成规定的功能的特性。可靠性是系统安全的最基础要求之一,是所有企业信息系统的建设和运行的基本目标。 2.4数据的完整性 ‎ 完整性是信息未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被偶然或蓄意地添加、删除、修改、伪造、乱序、重放等破坏和丢失的特性。完整性是一种面向信息的安全性,它要求保持信息的原样。即信息的正确生成、正确存储和正确传输。 2.5数据的不可否认性 不可否认性也称作不可抵赖性。在网络信息系统的信息交互过程中,确信参与者的真实唯一性,即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认己发送信息。利用递交接收证據可以防止收信方事后否认已经接收的信息。数字签名技术是解决不可否认性的手段之一。 2.6数据的可用性 可用性是信息可被授权实体访问并被按需求使用的特性,即信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。可用性是信息系统面向用户的安全性能。信息系统最基本的功能是向用户提供服务,而用户的需求是随机的、多方面的,有时还有时间要求。可用性一般用系统正常使用时间和整个工作时间之比来度量。 2.7数据的可控性 可控性是对信息的传播及内容具有控制能力的特性。不允许不良内容通过公共网络进行传输。对于企业信息系统而言,可控性是十分重要的特点,所有需要公开发布的信息必须通过审计后才能发布, 3烟草行业存在的信息安全风险 ‎ ‎ 3.1内部安全存在隐患 随着信息技术应用的日益普遍和成熟,各烟草企业已建立起属于自己的内部局域网,并开发出各种所需信息系统,包括信息管理系统、生产销售系统、办公系统、综合服务系统、决策系统等。这些系统共同支撑起企业经营决策管理,大大提高了企业办公的效率。然而,信息系统在给企业带来巨大便利的同时,也给企业信息安全带来了更多、更大的风险,如不良信息对员工思想的冲击,员工结构频繁的变化流动等,都给企业的内部安全控制造成了很大隐患。 3.2易受外部干扰和攻击 通常,烟草企业为方便基层员工,要求基层部门通过VPN来访问企业内部信息系统,同时企业内部网络经常会有存储设备和电脑供应商的介入。企业内部网络与外部网络的频繁连接。为外部网络中病毒、木马、黑客等对企业内部网络的干扰、攻击与破坏创造了便利的通道。一旦企业内部网络遭受外部干扰和攻击,将很可能导致企业信息系统遭受不良影响而中断,甚至造成整个网络系统瘫痪和计算机的崩溃,给企业造成巨大的经济损失。 4烟草行业信息安全风险的控制策略 4.1加强数据备份与恢复,提高数据安全 ‎ 数据安全是信息系统最为核心的一个部分,它具有两种含义。其一,数据本身的安全,指通过数据完整性、数据加密等现代使用较为广泛的加密算法对数据进行主动保护,提高数据本身的安全性。其二,数据防护的安全,指以现代数据存储为主要工具对数据进行安全防护,如数据备份、数据恢复、磁盘阵列等。对于烟草行业而言,宜采用统一的数据备份系统和性能良好的数据备份软件,以提高数据的备份和恢复功能,并按照备份策略对所有需要备份的数据进行增量和完全备份,以提高数据的安全性。此外,应指派专业人员对数据备份隋况进行定期检查,以确保数据备份进行的及时准确、可靠完整。同时对数据进行定期恢复测试,对其可用性进行检验,根据数据可用性情况和备份、恢复情况对数据备份策略和恢复策略进行及时恰当的调整,保障数据备份策略与恢复策略可以满足数据备份与恢复需要。 4.2提高信息系统的物理安全 在信息系统当中,物理安全指的是系统运行时所需的各种硬件设备及硬件环境的安全,这些硬件设备主要有机房及机房中的各种计算机、设备、数据存储所需的各种介质等。信息系统具备良好的物理安全是企业内部控制安全中的一项重要内容,是网络与计算机设备硬件自身安全及信息系统各种硬件安全稳定运行的可靠保障,提高烟草企业信息系统的物理安全,需要企业对系统硬件运行状态进行定期检查,及时排除硬件故障,为硬件运行提供安全可靠的外界环境。 4.3提高系统运维安全 ‎ ‎ 为确保信息系統可以长期安全稳定运行,需要对信息系统进行定期维护,需要对系统内各相关软件进行升级。在这一环节当中,信息部门作为信息系统运行与维护的主要承担者和主要责任者,应对其职责范围内的信息安全有所了解,并以此为基础做好系统运维记录,做好系统资料与各种软件程序的防护工作,建立完整详细的软硬件资源库。在强化运维人员对信息安全重要性认识的同时,对信息系统中可能存在的安全风险进行定期检查与排除,及时获得相应的漏洞补丁,及时修复信息系统出现的各种安全问题。 5结语 通过上文分析可知。信息安全是一项涉及技术、设备、管理等多方面复杂的系统工程,若想要烟草企业信息系统处于相对安全的运行状态下,就需要采取各种有效的对策来对信息系统中存在的各种安全风险进行有效控制,确保全方位提高信息系统的安全性,只有信息安全风险得到了有效控制,只有信息系统的安全性得到了切实提高,烟草行业才会快速稳定、可持续发展下去,才会为我国经济发展贡献一份力量。‎
查看更多

相关文章

您可能关注的文档