浅议烟草企业网络安全防御体系建设

浅议烟草企业网络安全防御体系建设

王丹、徐骕

江西中烟工业有限责任公司井冈山卷烟厂

摘要：本文基于烟草企业网络安全体系建设经验，深入研究网络安全防御体系建设要求和面临的挑战，提出安全管理体系、安全技术体系、安全运营体系于一体的网络安全防御体系，并分别对各体系建设内容进行分析介绍，初步探索了网络安全防御体系的框架建立。

关键词：烟草；网络安全；防御体系建设

1. 网络安全防御体系建设要求和面临的挑战

随着科学技术的快速发展，通信技术及信息技术在各行各业广泛应用，新兴攻击手段及网络安全事件类型也随着网络基础设施的建设与技术研究的愈发深入而层出不穷，严重危及企业的正常管理及运转^[1]。2017年6月1日《中华人民共和国网络安全法》正式施行，将网络安全要求从合规性提升到了合法性的高度，《信息安全技术信息系统安全运维管理指南》、网络安全等级保护2.0等制度标准的出台，对企业网络安全工作提出了更严、更实和更细的要求。烟草行业非常重视网络安全工作，国家烟草总局相继出台了多项网络安全指导意见和技术规范，指导和规范全行业网络安全工作。烟草工业企业经过多年的信息化建设，建立了较为完善的通信网络及生产业务系统，在提升企业生产水平和管理能力上发挥了较大的作用，但网络安全管控技术不健全、安全管理体系不完善以及安全运营不全面等原因都给企业带来较大的网络安全隐患，导致企业面临着愈发严峻的网络安全风险形势^[2]。综上所述，合理建立企业网络安全纵深立体防御体系，最大程度地满足当今网络安全防护的新形势、新要求，就成为一个迫切需要解决的问题。

2. 网络安全防御体系建设的总体思路

根据国家等保相关要求，结合企业管理实际需求，分析信息系统现存安全隐患，并依据及参照相关政策标准，提出安全管理体系、安全技术体系、安全运营体系于一体的网络安全防御体系建设思路。其中，安全管理体系是指导策略，安全技术体系是纵深防御体系的具体措施实现，安全运营体系是服务和保障。通过“三个体系”的建立完善，从不同的维度相互融合补充形成一个全面整体的安全防御体系，保障企业信息系统的安全稳定运行，以提升企业信息化管理水平。

3. 网络安全防御体系的建设对策

3.1安全管理体系

为了达到预期的安全防护目标，发挥各技术措施的真正效能，可通过建立严格有效的管理体系来实现。安全管理体系建立主要从以下几个方面考虑：

1、健全组织机构。建立企业网络安全和信息化工作领导小组，明确各级组织具体职责，企业信息化部门设定网络安全工作专职人员，其它部门配备兼职网络安全员，层层压实网络安全主体责任。

2、完善网络安全制度体系。烟草企业要根据行业要求及自身情况，建立健全网络安全管理制度体系。健全信息系统全生命周期安全管理制度，明确信息系统立项、采购、开发、上线、应用、运维、下线等各环节，以及数据管理的网络安全要求，建立信息系统均的运行、使用和安全管理规定及审核流程。

3、落实信息系统定级备案和等级保护基本要求。全面开展企业在线运行信息系统的定级工作，对第二级以上的信息系统进行安全等级保护备案，对第三级信息系统每年委托专业测评机构开展一次等级保护测评和安全评估工作^[3]。

4、加强人员管理。加强对企业员工的网络安全教育，多渠道开展网络安全培训，使其深刻认识到网络安全工作的重要性，并要让员工清楚了解安全边界，不断提高员工的网络安全防范意识。同时，与驻场运维人员签订数据保密协议书，加强第三方运维人员管理。

3.2 技术管理体系

技术管理体系建设需要从宏观角度进行考虑，利用多种技术手段分析网络整体结构，关注整个网络环境的安全。

1、优化网络架构。 网络的资源访问控 制将企业网络环境按业务需求及安全要求，划分为生产网、办公网及监控网等安全域，并在每个安全域中设置专用 VLAN 子网，同时在各安全域之间配置访问控制策略，实现企业内部办公区域、生产服务器区域与外部互联网接入区域之间的安全隔离。此外，对防火墙及核心交换设备采用主备部署方式，以保障关键业务系统的稳定性与可用性。

2、完善网络边界防护措施。在互联网边界及专网边界分别部署专用防火墙，通过防火墙的漏洞防护、防间谍软件、反病毒、URL过滤等功能，制定严格的安全策略，有效消除漏洞入侵、间谍软件、病毒、木马、钓鱼网站、恶意URL访问等安全隐患。并从协议、IP、端口、方向等加强对线路的精细控制，实现内网业务访问的安全防护与策略控制。

3、加强应用主机安全监测。鉴于防火墙对于合规访问的流量进行安全防护的缺陷，配置IPS作为应用层安全检测的辅助设备，加强网络中的异常流量的监测，实现网络的主动及实时防护，特别是那些利用系统漏洞进行攻击和传播的黑客工具以及蠕虫病毒。

4、统一终端安全管理。企业终端设备数量庞大，面临各种风险威胁，尤其是来自木马等病毒的入侵及终端漏洞被攻击利用等带来的问题。在企业网络内部部署统一的终端安全管理系统，各终端根据统一制定下发的病毒查杀及漏洞修复策略，自动进行病毒查杀及修复漏洞，实现终端安全的防护提升

^[4]。

5、身份鉴别与访问控制。建设企业CA认证平台，为企业用户提供统一的移动办公访问入口，实现对企业各类业务移动应用入口的统一管理和单点认证。

3.3 安全运营体系

管理和技术控制措施，都需要人来落地操作，安全运营体系的作用就是支撑、连通技术体系和管理体系，保障防御体系能真正发挥效能。

1、加强事件日常监测。加强对日常互联网应用、工控系统等网络安全监测，及时发现掌握业务中断、数据泄露、DDOS攻击、遭受大流量攻击、漏洞被利用等网络安全事件，及时进行有效预警和处置。

2、建立系统运维全覆盖模式。通过构建以运维管理办法、系统运行日志、问题管理清单、风险管控清单等制度文件为核心的运维模式，不断优化完善企业信息化系统运维保障工作机制，提升企业信息化保障水平。

3、加强应急保障。建立企业网络安全、机房安全及各生产信息系统的应急响应处置预案体系，定期组织人员开展现场应急处理演练活动，模拟日常、应急和重保情形下的多种工作场景，提高应急响应队伍的应对网络安全突发事件、协同合作能力和应急处置效率，同时通过演练活动及时暴露应急响应处置预案中可能存在的问题，并对相应的预案进行持续的跟踪改进。

4. 结语

目前信息化已经深入到烟草企业管理、生产、物流和营销等各个领域。创建烟草企业网络安全防御体系，将是烟草企业信息化建设的有力保障。但网络安全防御体系的建立是一个复杂而又庞大的系统工程，涉及的问题也比较多，只有不断对网络安全防御体系进行深入的研究和探讨，才能更好地实现网络安全，保证烟草企业信息化建设的正常进行。

参考文献

1. 何亮,江鹏,马艳. 大数据背景下网络信息安全技术体系分析[J]. 网络安全技术与应用,2020(11):73-75.

[2] 李军. 构建网络安全防御体系保障信息系统网络安全[C]// 第二届全国信息安全等级保护技术大会. 0.

[3] 吉增瑞.信息安全等级保护浅析[J]. 网络安全技术与应用(1):55-57.

[4] 孟粉霞, 王越, 雷磊. 统一终端安全管理系统在内网中的分析及应用[J]. 信息系统工程, 2013, 000(008):70-71.