構建基于信息化資產的網絡安全工作體系

司成偉，趙全洲

（安徽中煙工業有限責任公司滁州卷煙廠，滁州 239000）

近年來，在信息化飛速發展的同時，網絡安全形勢也日趨嚴峻和復雜。國家、行業以及各級主管部門，對網絡安全工作越來越重視，要求也越來越高。習近平總書記多次強調“網絡安全與信息化是一體之兩翼，驅動之雙輪”，“沒有網絡安全就沒有國家安全”。網絡安全工作已上升到國家戰略層面。因此網絡安全工作，除了關系到企業的自身利益外，也具有一定的政治意義。面對當前網絡安全工作的新形勢、新變化和新要求，以及煙草行業本身的特殊性。必須理清網絡安全工作的方方面面，形成一套相對完整的網絡安全工作體系，才能把網絡安全工作做的有條理、更全面、更輕省、見成效。

1 構建基于網絡安全工作體系的原因

（1）網絡安全工作的本質是保護信息資產的安全。近些年網絡安全工作的開展，基本上也是圍繞信息化資產來開展的。如2014年開展的煙草行業信息系統全面梳理、全面診斷、全面加固整改情況專項檢查工作，2015年煙草行業信息系統賬號安全專項檢查工作，2016年開展的煙草行業信息系統應用安全專項檢查及同年開展的工控系統摸底調查，2017年業務信息系統風險調研都是圍繞信息系統資產開展的工作。2018年開展的煙草行業網絡安全檢查。將檢查范圍擴大到信息系統、終端計算機、網絡架構、安全產品的配備和使用情況、以及網絡安全主體責任落實情況等方面，也都是圍繞企業信息化資產進行；2019年開展的企業重要數據和個人信息梳理工作是圍繞數據資產開展。即將于2019年出臺的網絡安全等級保護制度，所針對的對象也是信息系統、基礎網絡、云平臺、物聯網、大數據、移動平臺等信息資產。由此可見網絡安全一切工作的根本和中心就是信息化資產。

（2）缺乏系統的網絡安全工作體系來指導工作開展。網絡安全近幾年才開始重視，大多數企業網絡安全工作都是處在初級階段，網絡安全管理體系、技術體系、工作保障體系等還沒有完全建立起來。網絡安全工作錯綜復雜，大多數情況下，很多企業只是在做好日常網絡安全管理工作的同時，跟著上級主管部門的要求來開展各類工作，工作往往非常被動。若有相關工作體系來指導，網絡安全工作的開展將會更加主動。做起事來不至于東一榔頭西一棒槌，能夠清楚的知道“做什么，怎么做，什么時候做，做的效果如何”。

2 基于信息化資產的網絡安全工作框架設計

2.1 基于信息化資產的網絡安全工作框架簡介

該圖是煙草行業網絡安全工作體系的基本框架設計圖，由圖可見，網絡安全工作體系，以信息化資產為中心，以人和信息資產為管理對象，包含安全形勢、政策體系、工作支撐體系、管理體系和技術體系5大方面。它的架構如同一座房子，由屋頂、地基、和墻體組成，房屋里面是保護和管理的對象，就是人和信息化資產；房屋上面的烏云就是威脅企業信息資產的各類安全威脅，就是安全形勢；房屋的地基就是支撐企業網絡安全工作所必須的機構、人才隊伍、資金以及領導的支持；房頂就是根據國家政策、上級指示、相關部門的要求以及企業生產經營的需要所制定的企業網絡安全方針、政策和規劃；墻體有兩大支柱，一個是網絡安全管理體系，一個是網絡安全技術體系。由此形成一套系統的網絡安全工作框架。

圖1 煙草行業網絡安全工作框架圖

2.2 信息化資產

信息化資產是重要的管理和保護對象，明確管理和保護的對象是一切工作的前提。煙草行業信息化資產主要包含以下6大類。分別是信息系統類、網絡安全產品、基礎信息網絡、機房基礎設施、計算機終端以及其他信息技術產品。

（1）信息系統類資產。信息系統，是指由計算機硬件、網絡和通訊設備、計算機軟件、信息資源、信息用戶和規章制度組成的以處理信息流為目的的人機一體化系統。包括但不限于工控系統、物聯網系統、云計算平臺、大數據平臺、采用移動互聯技術的信息系統以及類似網站、營銷信息系統、財務信息系統、人力資源信息系統、協同辦公平臺（OA）等常規信息系統。在企業內部，信息系統往往承載著企業重要業務的運行以及重要數據的存儲和交互，對企業十分重要，是企業網絡安全保護和管理的主要對象。如對卷煙工廠來說，工業控制系統是否正常直接關系到企業的生產活動能夠有序進行，一旦系統遭到攻擊導致數據丟失或者系統癱瘓，將直接導致生產停滯，造成大量經濟損失。再如對商業公司來說，卷煙統一訂貨平臺，承載重要卷煙零售戶信息和卷煙銷售信息，一旦出現信息泄露或者系統癱瘓，影響業務的同時也會對社會造成不良影響。

（2）網絡安全產品。主要用于網絡安全工作中的技術保障，主要有防火墻、上網行為管理、堡壘機、日志審計、數據庫審計、網絡準入設備、網絡認證設備、防病毒系統，等等。

（3）基礎信息網絡。基礎信息網絡是為信息流通、信息系統運行起基礎支撐作用的信息網絡，主要包括企業局域網、電信網、互聯網、業務專網等網絡設施設備。

（4）機房基礎設施。機房基礎設施是承載基礎信息網絡、信息系統主要硬件資源的動力和環境設施。主要包括機房精密空調，機柜，供電設備（含市電控制設備和UPS 電源等），機房防火、防水、防盜、防靜電、防雷擊設備，機房監控設備和門禁設備等。

（5）計算機終端。主要辦公業務人員使用的計算機終端，主要有臺式計算機、筆記本電腦、平板電腦、手機終端等等。

（6）其他信息技術產品。主要包含打印機、復印機、傳真機、液晶電視、LED 大屏等信息技術產品。

2.3 了解政策、形勢、企業生產經營的需要是工作的方向和指導

必須準確把握國家的政策，上級指示和工作部署，有關主管部門的相關要求以及企業生產經營的需要，才能在網絡安全工作上有的放矢，不至于抓不住重點。從黨的十八大以來，國家高度重視網絡安全工作，網絡安全和信息化已經上升到國家戰略。隨著2017年6月1日《中華人民共和國網絡安全法》的頒布實施，做好企業網絡安全工作，保障企業正常生產經營，不僅關乎企業自身利益，也與國家、社會和人民群眾的利益息息相關。必須把網絡安全工作上升到一定的政治高度，樹立法律意識。在此大環境下，也為企業網絡安全職能部門開展網絡安全工作提供了政策支持。

2.4 機構、隊伍、資金和領導支持是一切工作的保障

機構和人才隊伍方面，對于煙草行業工商企業來說，由于企業規模較大，需要管理的信息資產和內外部人員較多，因此成立指導和管理網絡安全工作的領導小組，并設立具體辦事機構十分必要。崗位和人才方面，網絡安全主管部門應設立系統管理員、網絡管理員和安全管理員等崗位，企業各部門應酌情設立部門兼職網絡安全員，協同開展網絡安全工作。資金方面，在開展信息化項目建設的同時，應保證有一定的網絡安全方面的資金，科學合理地開展網絡安全方面的投資。領導支持方面，要極力尋求企業領導的支持，對企業領導加強關于網絡安全方面政策、風險和責任的宣傳，并對網絡安全工作的開展提出有價值的建議，提高領導對網絡安全工作的重視。只有領導重視，網絡安全工作才能有效落實。

2.5 管理體系、技術體系建設是做好網絡安全工作的方法

煙草行業信息網絡定位為非涉及國家秘密網絡，在網絡安全防護方面采用管理和技術相結合的方式。網絡安全管理體系和技術體系是網絡安全保障體系的重要組成，二者相輔相成，互相促進。在實際的應用過程中，網絡安全管理和技術手段之間并沒有特別明確的界限。管理措施往往需要技術手段來實現，技術手段往往需要通過管理措施體現效果。網絡安全管理體系和技術體系必須圍繞企業信息化資產來設計。

2.5.1 網絡安全管理體系

（1）建立網絡安全責任制。只有建立全員的網絡安全責任體系，明確各責任主體的責任，才能將網絡安全責任層層分解、層層落實，做到網絡安全工作人人有責、全員參與。責任體系的設計應按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則，以“人—資產—權限—責任”對應關系為抓手，建立起以人員為主體，信息化資產為客體的網絡安全責任體系。

圖2 基于“人—資產—權限—責任”對應關系的責任體系

（2）完善網絡安全管理制度體系。完善的制度體系是做好網絡安全管理工作的前提和保障，應針對安全管理活動中的主要管理內容建立基于企業信息資產安全管理制度，形成由安全策略、管理制度、操作規程、記錄表單等構成的全面的信息安全管理制度體系。目前煙草行業已建立的網絡安全相關制度主要有《信息資產安全管理制度》，《信息安全管理辦法》，《機房安全管理制度》，《網絡安全管理制度》，《網絡安全檢查管理制度》，《服務器安全管理制度》，《信息系統用戶及密碼管理制度》，《信息系統數據備份及恢復管理制度》，《介質安全管理制度》以及《網絡安全事件應急預案》等。基本上涵蓋了對信息系統、終端計算機、機房基礎設施、數據資產等信息化資產的安全管理內容。但是對于工控安全、云計算安全、大數據安全、物聯網系統安全等方面制度尚不健全。

圖3 常見網絡安全管理臺賬

（3）加強內外部人員管理。針對企業內部員工，要在人員錄用環節和離崗環節加強管理，做好錄用時的資格審查、技能考核以及安全保密協議的簽訂工作。離崗時做好相關設備、賬號及權限的移交工作。在崗員工要加強網絡安全意識培訓，針對網絡安全管理人員要加強網絡安全相關技術和管理能力培訓。針對外來人員（如第三方運維人員，外來訪客等）要加強外來人員訪問管理，確保外部人員接入網絡訪問系統前提出書面申請，批準后由專人開設賬號，分配權限，并登記備案，外部人員離場后應及時清除其所有訪問權限。

（4）建立網絡安全管理臺賬。擁有一套詳細的網絡安全管理臺賬，是做好網絡安全工作的基礎。通過臺賬網絡安全管理人員能夠清楚知道自己需要管理哪些對象，開展網絡安全工作能夠做到心中有數。下圖是在日常網絡安全工作中所需要的常見的幾種網絡安全管理臺賬。

（5）建立良好的溝通協調機制。網絡安全工作并非網絡安全主管部門這一個部門的責任，更不是網絡安全管理員一個人的責任，乃是全體人員共同的責任。應加強各類管理人員之間、組織內部機構之間以及信息安全主管部門內部的合作與溝通。作為網絡安全主管部門應經常向企業領導層匯報網絡安全工作開展情況及存在的問題和處理建議。必要時組織召開協調會議，與企業其他部門共同協作處理網絡安全問題。同時應加強與上級主管部門、兄弟單位、公安機關、各類供應商、業界專家及安全組織的合作與溝通。建立上下貫通、左右協同、內外兼顧的網絡安全工作協調機制。

（6）信息化項目建設管理。應按照“三同步”（同步規劃設計、同步實施、同步投入使用）原則開展網絡安全和信息化項目建設工作。尤其在信息系統類項目建設過程中做好系統的定級和備案，安全方案設計，工程實施，測試驗收，系統交付，等級測評等環節的工作。同時相關產品的采購和使用要符合國家相關規定的要求。

（7）規范運維管理。制定相關運維管理制度，按照制度要求，規范運維管理工作。可以采用“日查月分季評”制度，通過開展網絡安全日常巡檢，月度事件分析，季度通報評價，建立安全運維長效機制。通過梳理和分析設備運行狀況，做好設備維護，提高信息資產的可靠性、穩定性。通過規范網絡設備、信息系統、終端計算機等信息資產的配置管理，賬號密碼管理，漏洞管理，變更管理，備份與恢復管理，安全事件處理，降低安全風險。通過堡壘機（運維審計設備）設置內部運維人員和第三方運維的運維權限，規范技術運維工作，規避運維風險。

（8）應急保障。應制定突發網絡安全事件的應急預案，預案至少包括風險分析、組織架構與職責、監測與預警、應急處置流程、預防工作、保障措施等內容。定期對相關人員進行應急預案的培訓，并開展應急演練。通過演練提高相關人員處理突發安全事件的能力，并做好應急預案的評估和修訂工作。

（9）風險管理。僅從方法論來看網絡安全風險管理，其過程涉及信息系統、基礎網絡等企業信息資產的全生命周期，包括規劃、建設、運行、廢棄等階段的風險管理。通過安全自查、安全檢測、認證和風險評估作為發現和識別風險源的手段，進而建立風險源清單，評估風險指數，進而結合實際情況開展安全加固，形成針對網絡安全風險的閉環管理。

（10）強化檢查考核。定期開展網絡安全檢查，有助于進一步摸清風險狀況和查找薄弱環節，有助于進一步增強員工網絡安全意識、落實網絡安全責任、明確網絡安全保障重點，及時進行整改，從而加強網絡安全管理和技術防護能力，全面提升網絡安全防護能力。對于檢查要制定詳細的切實可行的檢查標準和細則；對于整改要制定計劃，按計劃落實到位；對于考核要有力度，能夠引起全員重視。

2.5.2 網絡安全技術體系

以信息資產為安全保護對象，從物理與環境、網絡與通信、設備與計算、數據與應用4個層次，進行身份認證、訪問控制、數據與內容安全、監控審計、備份恢復五個環節的安全防護。

圖4 行業網絡安全技術體系框架圖

通過建立安全技術框架，能夠清楚知道企業當前網絡安全技術水平和存在的短板，結合自身實際，按照科學合理的原則，分步進行網絡安全加固項目的投資實施。

對煙草行業大多數企業來說，網絡安全技術保障方面的建設可以按照以下幾個階段開展。第一階段，彌補基礎設施的不足，主要包含機房基礎設施，如UPS 電源，防火設備；網絡設備，如關鍵節點網絡設備的冗余；服務器主機及存儲等。第二階段，優化網絡結構，實現分區分域管理，將網絡劃分成服務器區，生產區，辦公區，DMZ 區，互聯網接入區，行業網接入區等區域，并用防火墻等網絡隔離設備進行訪問控制。第三階段，抓好終端安全管理，網絡準入管理、病毒防護、入侵防御等工作，。第四階段，攻堅克難階段，針對工控安全、移動互聯安全、大數據安全制定專門的解決方案。第五階段，建立安管平臺，實現網絡態勢可視化管理。

3 基于信息化資產的網絡安全工作體系建設對網絡安全工作開展的作用

（1）基于信息化資產的網絡安全工作體系，是全面圍繞企業信息資產開展網絡安全工作，其組成由政策體系、安全形勢、管理體系、技術體系、支撐保障體系有機結合。能夠幫助企業決策層了解網絡安全工作的方方面面，并全面指導網絡安全主管部門開展工作。如對照體系架構，能夠輔助制定企業網絡安全規劃、年度網絡工作要點和工作計劃，查找安全方面的薄弱環節，落實整改等。

（2）基于信息化資產的網絡安全工作體系框架圖的建立過程，即是網絡安全工作目錄的建立過程。能夠幫助網絡安全工作人員形成工作資料庫，及時將工作相關資料按照目錄進行歸檔。在面對各類安全檢查及工作總結的時候方便資料收集檢索。

4 結束語

基于信息化資產的網絡安全工作體系基本涵蓋了當前煙草行業網絡安全工作的方方面面，但是隨著信息化的發展，安全形勢的不斷變化，也會出現新的要求，尤其是云計算、大數據、物聯網、移動互聯、人工智能等新技術的逐步廣泛應用，基于信息化資產網絡安全工作體系也會在此基礎上逐步完善。