构建基于信息化资产的网络安全工作体系

2019-10-14司成伟赵全洲

数字通信世界 2019年9期

司成伟，赵全洲

（安徽中烟工业有限责任公司滁州卷烟厂，滁州 239000）

近年来，在信息化飞速发展的同时，网络安全形势也日趋严峻和复杂。国家、行业以及各级主管部门，对网络安全工作越来越重视，要求也越来越高。习近平总书记多次强调“网络安全与信息化是一体之两翼，驱动之双轮”，“没有网络安全就没有国家安全”。网络安全工作已上升到国家战略层面。因此网络安全工作，除了关系到企业的自身利益外，也具有一定的政治意义。面对当前网络安全工作的新形势、新变化和新要求，以及烟草行业本身的特殊性。必须理清网络安全工作的方方面面，形成一套相对完整的网络安全工作体系，才能把网络安全工作做的有条理、更全面、更轻省、见成效。

1 构建基于网络安全工作体系的原因

（1）网络安全工作的本质是保护信息资产的安全。近些年网络安全工作的开展，基本上也是围绕信息化资产来开展的。如2014年开展的烟草行业信息系统全面梳理、全面诊断、全面加固整改情况专项检查工作，2015年烟草行业信息系统账号安全专项检查工作，2016年开展的烟草行业信息系统应用安全专项检查及同年开展的工控系统摸底调查，2017年业务信息系统风险调研都是围绕信息系统资产开展的工作。2018年开展的烟草行业网络安全检查。将检查范围扩大到信息系统、终端计算机、网络架构、安全产品的配备和使用情况、以及网络安全主体责任落实情况等方面，也都是围绕企业信息化资产进行；2019年开展的企业重要数据和个人信息梳理工作是围绕数据资产开展。即将于2019年出台的网络安全等级保护制度，所针对的对象也是信息系统、基础网络、云平台、物联网、大数据、移动平台等信息资产。由此可见网络安全一切工作的根本和中心就是信息化资产。

（2）缺乏系统的网络安全工作体系来指导工作开展。网络安全近几年才开始重视，大多数企业网络安全工作都是处在初级阶段，网络安全管理体系、技术体系、工作保障体系等还没有完全建立起来。网络安全工作错综复杂，大多数情况下，很多企业只是在做好日常网络安全管理工作的同时，跟着上级主管部门的要求来开展各类工作，工作往往非常被动。若有相关工作体系来指导，网络安全工作的开展将会更加主动。做起事来不至于东一榔头西一棒槌，能够清楚的知道“做什么，怎么做，什么时候做，做的效果如何”。

2 基于信息化资产的网络安全工作框架设计

2.1 基于信息化资产的网络安全工作框架简介

该图是烟草行业网络安全工作体系的基本框架设计图，由图可见，网络安全工作体系，以信息化资产为中心，以人和信息资产为管理对象，包含安全形势、政策体系、工作支撑体系、管理体系和技术体系5大方面。它的架构如同一座房子，由屋顶、地基、和墙体组成，房屋里面是保护和管理的对象，就是人和信息化资产；房屋上面的乌云就是威胁企业信息资产的各类安全威胁，就是安全形势；房屋的地基就是支撑企业网络安全工作所必须的机构、人才队伍、资金以及领导的支持；房顶就是根据国家政策、上级指示、相关部门的要求以及企业生产经营的需要所制定的企业网络安全方针、政策和规划；墙体有两大支柱，一个是网络安全管理体系，一个是网络安全技术体系。由此形成一套系统的网络安全工作框架。

图1 烟草行业网络安全工作框架图

2.2 信息化资产

信息化资产是重要的管理和保护对象，明确管理和保护的对象是一切工作的前提。烟草行业信息化资产主要包含以下6大类。分别是信息系统类、网络安全产品、基础信息网络、机房基础设施、计算机终端以及其他信息技术产品。

（1）信息系统类资产。信息系统，是指由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。包括但不限于工控系统、物联网系统、云计算平台、大数据平台、采用移动互联技术的信息系统以及类似网站、营销信息系统、财务信息系统、人力资源信息系统、协同办公平台（OA）等常规信息系统。在企业内部，信息系统往往承载着企业重要业务的运行以及重要数据的存储和交互，对企业十分重要，是企业网络安全保护和管理的主要对象。如对卷烟工厂来说，工业控制系统是否正常直接关系到企业的生产活动能够有序进行，一旦系统遭到攻击导致数据丢失或者系统瘫痪，将直接导致生产停滞，造成大量经济损失。再如对商业公司来说，卷烟统一订货平台，承载重要卷烟零售户信息和卷烟销售信息，一旦出现信息泄露或者系统瘫痪，影响业务的同时也会对社会造成不良影响。

（2）网络安全产品。主要用于网络安全工作中的技术保障，主要有防火墙、上网行为管理、堡垒机、日志审计、数据库审计、网络准入设备、网络认证设备、防病毒系统，等等。

（3）基础信息网络。基础信息网络是为信息流通、信息系统运行起基础支撑作用的信息网络，主要包括企业局域网、电信网、互联网、业务专网等网络设施设备。

（4）机房基础设施。机房基础设施是承载基础信息网络、信息系统主要硬件资源的动力和环境设施。主要包括机房精密空调，机柜，供电设备（含市电控制设备和UPS 电源等），机房防火、防水、防盗、防静电、防雷击设备，机房监控设备和门禁设备等。

（5）计算机终端。主要办公业务人员使用的计算机终端，主要有台式计算机、笔记本电脑、平板电脑、手机终端等等。

（6）其他信息技术产品。主要包含打印机、复印机、传真机、液晶电视、LED 大屏等信息技术产品。

2.3 了解政策、形势、企业生产经营的需要是工作的方向和指导

必须准确把握国家的政策，上级指示和工作部署，有关主管部门的相关要求以及企业生产经营的需要，才能在网络安全工作上有的放矢，不至于抓不住重点。从党的十八大以来，国家高度重视网络安全工作，网络安全和信息化已经上升到国家战略。随着2017年6月1日《中华人民共和国网络安全法》的颁布实施，做好企业网络安全工作，保障企业正常生产经营，不仅关乎企业自身利益，也与国家、社会和人民群众的利益息息相关。必须把网络安全工作上升到一定的政治高度，树立法律意识。在此大环境下，也为企业网络安全职能部门开展网络安全工作提供了政策支持。

2.4 机构、队伍、资金和领导支持是一切工作的保障

机构和人才队伍方面，对于烟草行业工商企业来说，由于企业规模较大，需要管理的信息资产和内外部人员较多，因此成立指导和管理网络安全工作的领导小组，并设立具体办事机构十分必要。岗位和人才方面，网络安全主管部门应设立系统管理员、网络管理员和安全管理员等岗位，企业各部门应酌情设立部门兼职网络安全员，协同开展网络安全工作。资金方面，在开展信息化项目建设的同时，应保证有一定的网络安全方面的资金，科学合理地开展网络安全方面的投资。领导支持方面，要极力寻求企业领导的支持，对企业领导加强关于网络安全方面政策、风险和责任的宣传，并对网络安全工作的开展提出有价值的建议，提高领导对网络安全工作的重视。只有领导重视，网络安全工作才能有效落实。

2.5 管理体系、技术体系建设是做好网络安全工作的方法

烟草行业信息网络定位为非涉及国家秘密网络，在网络安全防护方面采用管理和技术相结合的方式。网络安全管理体系和技术体系是网络安全保障体系的重要组成，二者相辅相成，互相促进。在实际的应用过程中，网络安全管理和技术手段之间并没有特别明确的界限。管理措施往往需要技术手段来实现，技术手段往往需要通过管理措施体现效果。网络安全管理体系和技术体系必须围绕企业信息化资产来设计。

2.5.1 网络安全管理体系

（1）建立网络安全责任制。只有建立全员的网络安全责任体系，明确各责任主体的责任，才能将网络安全责任层层分解、层层落实，做到网络安全工作人人有责、全员参与。责任体系的设计应按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，以“人—资产—权限—责任”对应关系为抓手，建立起以人员为主体，信息化资产为客体的网络安全责任体系。

图2 基于“人—资产—权限—责任”对应关系的责任体系

（2）完善网络安全管理制度体系。完善的制度体系是做好网络安全管理工作的前提和保障，应针对安全管理活动中的主要管理内容建立基于企业信息资产安全管理制度，形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系。目前烟草行业已建立的网络安全相关制度主要有《信息资产安全管理制度》，《信息安全管理办法》，《机房安全管理制度》，《网络安全管理制度》，《网络安全检查管理制度》，《服务器安全管理制度》，《信息系统用户及密码管理制度》，《信息系统数据备份及恢复管理制度》，《介质安全管理制度》以及《网络安全事件应急预案》等。基本上涵盖了对信息系统、终端计算机、机房基础设施、数据资产等信息化资产的安全管理内容。但是对于工控安全、云计算安全、大数据安全、物联网系统安全等方面制度尚不健全。

图3 常见网络安全管理台账

（3）加强内外部人员管理。针对企业内部员工，要在人员录用环节和离岗环节加强管理，做好录用时的资格审查、技能考核以及安全保密协议的签订工作。离岗时做好相关设备、账号及权限的移交工作。在岗员工要加强网络安全意识培训，针对网络安全管理人员要加强网络安全相关技术和管理能力培训。针对外来人员（如第三方运维人员，外来访客等）要加强外来人员访问管理，确保外部人员接入网络访问系统前提出书面申请，批准后由专人开设账号，分配权限，并登记备案，外部人员离场后应及时清除其所有访问权限。

（4）建立网络安全管理台账。拥有一套详细的网络安全管理台账，是做好网络安全工作的基础。通过台账网络安全管理人员能够清楚知道自己需要管理哪些对象，开展网络安全工作能够做到心中有数。下图是在日常网络安全工作中所需要的常见的几种网络安全管理台账。

（5）建立良好的沟通协调机制。网络安全工作并非网络安全主管部门这一个部门的责任，更不是网络安全管理员一个人的责任，乃是全体人员共同的责任。应加强各类管理人员之间、组织内部机构之间以及信息安全主管部门内部的合作与沟通。作为网络安全主管部门应经常向企业领导层汇报网络安全工作开展情况及存在的问题和处理建议。必要时组织召开协调会议，与企业其他部门共同协作处理网络安全问题。同时应加强与上级主管部门、兄弟单位、公安机关、各类供应商、业界专家及安全组织的合作与沟通。建立上下贯通、左右协同、内外兼顾的网络安全工作协调机制。

（6）信息化项目建设管理。应按照“三同步”（同步规划设计、同步实施、同步投入使用）原则开展网络安全和信息化项目建设工作。尤其在信息系统类项目建设过程中做好系统的定级和备案，安全方案设计，工程实施，测试验收，系统交付，等级测评等环节的工作。同时相关产品的采购和使用要符合国家相关规定的要求。

（7）规范运维管理。制定相关运维管理制度，按照制度要求，规范运维管理工作。可以采用“日查月分季评”制度，通过开展网络安全日常巡检，月度事件分析，季度通报评价，建立安全运维长效机制。通过梳理和分析设备运行状况，做好设备维护，提高信息资产的可靠性、稳定性。通过规范网络设备、信息系统、终端计算机等信息资产的配置管理，账号密码管理，漏洞管理，变更管理，备份与恢复管理，安全事件处理，降低安全风险。通过堡垒机（运维审计设备）设置内部运维人员和第三方运维的运维权限，规范技术运维工作，规避运维风险。

（8）应急保障。应制定突发网络安全事件的应急预案，预案至少包括风险分析、组织架构与职责、监测与预警、应急处置流程、预防工作、保障措施等内容。定期对相关人员进行应急预案的培训，并开展应急演练。通过演练提高相关人员处理突发安全事件的能力，并做好应急预案的评估和修订工作。

（9）风险管理。仅从方法论来看网络安全风险管理，其过程涉及信息系统、基础网络等企业信息资产的全生命周期，包括规划、建设、运行、废弃等阶段的风险管理。通过安全自查、安全检测、认证和风险评估作为发现和识别风险源的手段，进而建立风险源清单，评估风险指数，进而结合实际情况开展安全加固，形成针对网络安全风险的闭环管理。

（10）强化检查考核。定期开展网络安全检查，有助于进一步摸清风险状况和查找薄弱环节，有助于进一步增强员工网络安全意识、落实网络安全责任、明确网络安全保障重点，及时进行整改，从而加强网络安全管理和技术防护能力，全面提升网络安全防护能力。对于检查要制定详细的切实可行的检查标准和细则；对于整改要制定计划，按计划落实到位；对于考核要有力度，能够引起全员重视。

2.5.2 网络安全技术体系

以信息资产为安全保护对象，从物理与环境、网络与通信、设备与计算、数据与应用4个层次，进行身份认证、访问控制、数据与内容安全、监控审计、备份恢复五个环节的安全防护。

图4 行业网络安全技术体系框架图

通过建立安全技术框架，能够清楚知道企业当前网络安全技术水平和存在的短板，结合自身实际，按照科学合理的原则，分步进行网络安全加固项目的投资实施。

对烟草行业大多数企业来说，网络安全技术保障方面的建设可以按照以下几个阶段开展。第一阶段，弥补基础设施的不足，主要包含机房基础设施，如UPS 电源，防火设备；网络设备，如关键节点网络设备的冗余；服务器主机及存储等。第二阶段，优化网络结构，实现分区分域管理，将网络划分成服务器区，生产区，办公区，DMZ 区，互联网接入区，行业网接入区等区域，并用防火墙等网络隔离设备进行访问控制。第三阶段，抓好终端安全管理，网络准入管理、病毒防护、入侵防御等工作，。第四阶段，攻坚克难阶段，针对工控安全、移动互联安全、大数据安全制定专门的解决方案。第五阶段，建立安管平台，实现网络态势可视化管理。

3 基于信息化资产的网络安全工作体系建设对网络安全工作开展的作用

（1）基于信息化资产的网络安全工作体系，是全面围绕企业信息资产开展网络安全工作，其组成由政策体系、安全形势、管理体系、技术体系、支撑保障体系有机结合。能够帮助企业决策层了解网络安全工作的方方面面，并全面指导网络安全主管部门开展工作。如对照体系架构，能够辅助制定企业网络安全规划、年度网络工作要点和工作计划，查找安全方面的薄弱环节，落实整改等。

（2）基于信息化资产的网络安全工作体系框架图的建立过程，即是网络安全工作目录的建立过程。能够帮助网络安全工作人员形成工作资料库，及时将工作相关资料按照目录进行归档。在面对各类安全检查及工作总结的时候方便资料收集检索。