绿盟烟草行业安全解决方案

发布日期:2012-10-31

解决方案概述
业务挑战

近年来,信息技术的广泛应用已经对烟草行业的发展产生了越来越深刻的影响和促进,信息化建设以成为卷烟上水平的重要手段和重要组成部分,在业务变革管理、改善生产经营活动等方面发挥了重要作用。根据国家局的要求,各省烟草专卖局、中烟进行了信息安全技术和管理方面的部署,在信息安全技术方面的投入每年均有增长,但一个普遍存在的问题是:信息化安全建设对提高各省的职能水平和企业经营水平的作用并不显著,信息安全工作给单位带来的价值提升并不明显。

根本原因是安全体系设计的需求分析不到位,传统的需求分析一般都直接针对技术需求,而不是业务需求,导致了已经实施的安全技术措施与系统承载的业务安全需求并没有形成必然的因果关系。在进行安全项目实施时并没有对业务安全需求进行深入的调研分析,这也导致了目前各单位安全解决方案的千篇一律,以至于安全投入与单位信息化战略发展方向相背离,执行上的偏差损害了信息安全技术投入的价值。

解决之道

烟草行业业务分析
脱离业务安全需求的安全体系设计是没有生命力的,也是不实用的。在烟草行业信息安全规划和设计过程中首先进行以业务主导和目标导向的需求分析,包括与业务紧密结合的信息安全需求分析。将脱离系统平台的业务安全需求分析作为规划和体系设计的基础,将业务安全需求转化为与平台相关的IT安全需求,指导规划和体系设计。

信息安全风险评估
在充分了解业务安全需求的基础上,开展了全省范围的风险评估工作,对全省的安全现状进行了深入分析。根据安全风险评估模型,对关键信息资产、信息系统面临的安全威胁、系统存在的脆弱性及引发的风险进行了评估。通过风险评估,了解全省烟草专卖局、中烟的安全状况,为等级保护定级、安全规划设计、安系的编制提供了依据。

完成信息安全等级保护定级工作
贯彻国家局下发的《关于做好烟草行业信息系统安全等级保护定级工作的通知》(国烟办综〔2008〕358号)文件要求。确定各信息系统的安全保护等级,协助完成系统的定级工作,对二级以上信息系统向当地公安部门办理了备案事宜。

制订信息安全总体规划
在以上工作的基础上,制订了省烟草专卖局、中烟信息系统信息安全发展的目标和总体规划,为今后信息安全建设提供充分的理论依据,对信息安全建设提出要求。搭建适合烟草行业实际情况的信息安全体系架构,形成有层次、有内容、有方法的安全技术体系、安全管理体系和安全运维体系。

确定信息安全保障体系建设规划三年实施计划
为保证安全体系能够得以具体实施,编制了全省信息安全保障体系建设规划三年实施计划,对信息安全建设主要阶段、本部以及不同规模卷烟厂建设要求、信息安全规划建设原则、安全规划控制点清单、安全规划控制点实施计划等方面进行了详细描述,为安全体系落地提供了保证。

进行信息安全管理运维体系设计及建设
安全运维管理是对安全管理体系建设各项制度进行细化、落实,将制定可操作的体系化的规范和流程,与安全管理体系和技术体系一起形成层次化的安全策略体系。结合技术和管理,建立起一套完整的安全运维流程,通过标准化的流程管理,实现安全运维自身的稳定性,确保网络的安全性提升。

方案优势

  1. 方案的设计坚持贯彻总局《行业信息安全保障体系建设指南》及信息安全等级保护的要求为依据,将总局对信息系统的安全要求转化为易于实施的安全内容。
  2. 以业务流程梳理为前提,以业务安全需求为核心,以总局制定并印发的《行业信息安全保障体系建设指南》作为基本框架。
  3. 从基本技术、管理、运维要求方面着手设立信息系统安全基线,并进行统一部署实施,并通过技术手段进行核查。
  4. 根据国家、总局的文件精神,统一规划和部署,结合实际现网情况对实施计划进行动态调整。