盛子健 武可瑞 吴 伟

（山东省潍坊市烟草专卖局，潍坊 261000）

引 言

随着网络信息技术的不断提高和大规模普及应用，信息系统中许多有价值的信息数据就成了网络不法分子所攻击的目标。为了进一步保障在信息化过程中烟草行业重要商业信息的安全性，国家烟草专卖局对烟草行业的信息系统安全保障体系的总体原则和建设内容做出了明确的要求，制定了业务信息安全策略和信息安全管理体系，对信息安全技术体系和信息安全运维体系的建设工作提出了指导意见和要求。

一、信息安全运维服务现状

（一）信息化建设现状

对于我国烟草行业整体而言，信息化建设已经取得了初步成效，但是目前还处于各个烟草企业独自建设信息化系统的阶段，国家烟草专卖局尚未开展统筹整体的信息化系统建设工作。虽然国家烟草专卖局有自己的官网，但是也仅仅停留在供烟草企业查询政策、申办政务的功能上，对于各个烟草企业本身的信息化系统是不具备统筹管理功能的。

对于各个烟草企业、各省市烟草行业而言，信息化系统建设成效不一。有的建设比较完备，已经有了自己的局域网，线上办公常态化，甚至有的烟草企业已经开始建设黑灯工厂示范产品线。但是也有一些信息化系统较为落后的省市烟草行业，其办公还处于计算机单机状态，对纸质文件的依赖度极高。

（二）信息安全运维服务现状

当下，烟草行业的信息安全运维服务状况不是很乐观。虽然有部分省市的烟草行业信息系统建设很完备，但是对于信息系统安全和网络安全均不是很重视。一方面是安全运维服务需要专业人士开展，需要一定的建设成本；另一方面是高层领导坚信物理隔断可以完全保证信息系统的安全性，忽略了内部员工经常“一机两用”的现状，导致当下烟草行业的信息安全运维服务开展状况不是很乐观。同时，因为信息系统的建设是在烟草行业各企业内部自行开展的，所以信息安全管理运维体系没有全行业的标准，这需要国家烟草专卖局进行统筹指导，确保体系建设成效。

二、信息安全运维管理体系基本技术

（一）网络安全管理技术

信息安全首要就是网络安全，因为在互联网时代，信息化系统是离不开网络的。无论是处于局域网下的生产ERP系统，还是处于互联网下的线上办公，对网络的依赖都比较大。因此，网络安全管理是烟草行业信息安全运维服务管理体系建设要首要考虑的问题。网络安全管理的主要组成部分包括安全事件的采集、安全事件的管理、安全设备的监控。这三部分应是烟草行业在建设信息安全运维服务管理体系时首要考虑的内容。

（二）信息系统安全运维管理体系

信息系统安全运维管理体系主要分成两个部分：一是管理体系，主要负责信息系统用户使用模式规范化、系统授权统一管理及体系建设的标准指导；二是技术运维体系，主要负责系统基本功能的实现，以及保障系统安全运行，同时要保证管理体系建设紧跟信息技术的发展。

三、烟草行业信息安全运维管理体系建设策略

如前文所述，当下烟草行业的信息系统建设均由各地区的烟草企业自行开展，国家烟草专卖局尚未开始进行统筹规划。因此，应当从国家烟草专卖局的角度出发，建设统筹规划烟草行业整体的信息安全运维管理体系，建设行业整体的信息安全运维管理系统，以一体化系统的形式推进行业信息安全运维管理体系的建设并且针对管理制度和管理运维体系制定规范化的标准，指导一体化系统的建设。

（一）网络安全管理体系建设策略

网络安全管理体系建设主要指当下对网络依赖度较高的生产ERP系统、办公系统等系统的安全管理体系建设。

对于内外网互联而言，应针对性地提出网络安全管理标准，指导系统实现终端内外网统一接入。以网络云技术统一内网和外网的认证、授权、访问控制问题，灵活、方便、安全、可靠地解决内外网安全接入的安全保障功能。同时，对办公用账号、生产用账号进行统一的授权管理，分门别类地授权账号功能，确保信息安全。在确保信息安全的同时，也要确保网络业务可以顺利开展。在体系建设时，要将带宽分配等网络分配标准纳入网络安全管理体系建设中，以确保网络业务不会卡顿。在确保网络业务顺利开展的同时，要监控系统整体流量，利用计算机分析数据流量，预测利用网络进行系统攻击的黑客行为，保障信息安全。

对于依赖内部局域网程度较高的生产ERP系统的网络管理体系建设而言，应注重对网络日志的留存和对网络事件的监控。生产不容大意，网络日志的留存方便在系统出现问题时进行后续的追责，这就对系统操作员及相关领导的管理工作提出了较高的要求，也可以保证其操作的规范和管理的认真。另外，网络事件的监控可以对系统的网络安全提前预警，将系统运行问题带来的负面影响降到最低。

（二）信息安全管理体系建设策略

对于烟草行业整体的信息安全管理体系建设而言，所需要考虑的主要是三个层面：决策层面对信息安全管理体系建设的指导，业务层面对信息安全管理体系建设的需求，技术层面对信息安全管理体系建设的实现。烟草行业有着自身的业务特点，管理也有相应的特殊之处。因此，在进行烟草行业的信息安全管理体系建设时一定要全方位考虑决策管理的指导标准、业务实现的功能需求，技术层面上要保证需求和标准的实现。

首先是决策层面的指导，这一点较为重要。决策层的指导意见是管理体系建设成效的根本保障。没有具体化、标准化的指导意见，业务层在提需求时就有可能天马行空，给技术上的实现带来困难。因此，指导的具体化标准是实现信息安全管理体系建设的根本。

其次是业务层面的需求，信息安全管理体系建设不能脱离业务。业务完成的便利化、办公自动化、生产智能化是信息系统建设的根本目标，信息安全管理体系的建设必须考虑到这些功能的需求，不能为了绝对的安全而不顾系统建设的目标。

最后是技术层面的实现，实现信息安全管理体系建设的目标才是技术层面需要完成的事情。由于当前烟草行业信息按管理体系建设尚在探索之中，因此在技术上的实现不能迈大步，要循序渐进。第一，要对重点关键业务的信息安全管理体系进行相应的实现，这些业务包括但不限于财务、物流、生产等烟草行业重点业务，这些业务的信息安全是重中之重，技术上的优先实现是体系建设的目标之一。第二，实现要循序渐进。从技术层面考虑，体系有标准、有需求，其实现也是需要时间的。所以，对信息安全管理体系的建设时间不能卡得很紧，可以优先实现一些紧要的业务信息安全管理体系功能，但是对于整体体系建设一定要保证充裕的时间，这样可以避免系统漏洞，也有助于体系建设的目标实现。

（三）运维服务体系建设策略

运维服务体系建设是整个信息安全管理体系建设的重要模块之一。首先是体系融合，由于信息安全管理体系建设的系统工程量巨大，是要进行外包的，而系统后期的运维要靠烟草行业内部员工，这就需要建设体系和运维体系相融合。一是体系建设方要考虑烟草行业信息安全运维管理人员的实际操作水平，尽量不用难以学习的计算机技术做系统，保证后期运维难度不会过高。二是信息安全管理运维体系的绩效问题，绩效可以衡量运维人员、管理人员的工作成效，但是目前烟草行业没有成熟的绩效管理体系，这就有可能导致运维人员工作不积极、管理人员态度消极等问题，各业务部门的要求得不到及时有效的回应，对信息安全管理运维体系的建设产生负面影响。其次是注意对复合化人才的培养，信息安全管理体系建设完成后的运维体系建设一定要立足于行业内部，这就需要烟草行业培养既懂业务又懂信息技术的人才，这样的人才可以支撑起运维体系的建设。而且，信息安全管理运维体系应该是与时俱进的。随着信息技术的发展，体系的标准、体系的需求也要进行相应的发展，这就需要烟草行业定期开展相关的技术培训会，保证运维人员、管理人员的技术认知不会落后于信息技术的发展。同时，要定期开展业务需求的培训，保证其在运维的同时不会忽略业务需求，保证体系的运维具备实用性。

结 语

在烟草行业信息化蓬勃发展的今天，信息安全运维管理体系的建设也愈加重要，对行业中各烟草企业本身的信息安全、网络安全都有着重要的意义。整体管理运维体系的建设应从网络安全、信息系统安全、运维管理体系三方面统筹考量，国家烟草专卖局应出台相应的标准文件，为行业内各烟草企业的信息化系统及信息安全运维管理体系的建设提供规范与标准。