前言：本站為你精心整理了信息化資產網絡安全工作體系構建范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：面對煙草行業(yè)網絡安全工作的新形勢、新變化和新要求，結合行業(yè)信息化發(fā)展的特點及和行業(yè)各單位信息化資產的應用情況，以行業(yè)“分級分域、整體保護、積極預防、動態(tài)管理”的總體安全方針為指導，以網絡安全“雙線思維”為目標要求，構建基于信息化資產的網絡安全工作體系。該體系以信息資產為中心，以人和信息資產為管理對象，涵蓋安全形勢、政策體系、管理體系、技術體系、工作保障體系5項重點內容。網絡安全工作體系的建立可以全面指導行業(yè)各單位開展網絡安全工作，形成規(guī)范、有序、高效、全面的網絡安全工作機制。

關鍵詞：煙草行業(yè)網絡安全；資產；體系

近年來，在信息化飛速發(fā)展的同時，網絡安全形勢也日趨嚴峻和復雜。國家、行業(yè)以及各級主管部門，對網絡安全工作越來越重視，要求也越來越高。多次強調“網絡安全與信息化是一體之兩翼，驅動之雙輪”，“沒有網絡安全就沒有國家安全”。網絡安全工作已上升到國家戰(zhàn)略層面。因此網絡安全工作，除了關系到企業(yè)的自身利益外，也具有一定的政治意義。面對當前網絡安全工作的新形勢、新變化和新要求，以及煙草行業(yè)本身的特殊性。必須理清網絡安全工作的方方面面，形成一套相對完整的網絡安全工作體系，才能把網絡安全工作做的有條理、更全面、更輕省、見成效。

1構建基于網絡安全工作體系的原因

（1）網絡安全工作的本質是保護信息資產的安全。近些年網絡安全工作的開展，基本上也是圍繞信息化資產來開展的。如2014年開展的煙草行業(yè)信息系統(tǒng)全面梳理、全面診斷、全面加固整改情況專項檢查工作，2015年煙草行業(yè)信息系統(tǒng)賬號安全專項檢查工作，2016年開展的煙草行業(yè)信息系統(tǒng)應用安全專項檢查及同年開展的工控系統(tǒng)摸底調查，2017年業(yè)務信息系統(tǒng)風險調研都是圍繞信息系統(tǒng)資產開展的工作。2018年開展的煙草行業(yè)網絡安全檢查。將檢查范圍擴大到信息系統(tǒng)、終端計算機、網絡架構、安全產品的配備和使用情況、以及網絡安全主體責任落實情況等方面，也都是圍繞企業(yè)信息化資產進行；2019年開展的企業(yè)重要數(shù)據(jù)和個人信息梳理工作是圍繞數(shù)據(jù)資產開展。即將于2019年出臺的網絡安全等級保護制度，所針對的對象也是信息系統(tǒng)、基礎網絡、云平臺、物聯(lián)網、大數(shù)據(jù)、移動平臺等信息資產。由此可見網絡安全一切工作的根本和中心就是信息化資產。（2）缺乏系統(tǒng)的網絡安全工作體系來指導工作開展。網絡安全近幾年才開始重視，大多數(shù)企業(yè)網絡安全工作都是處在初級階段，網絡安全管理體系、技術體系、工作保障體系等還沒有完全建立起來。網絡安全工作錯綜復雜，大多數(shù)情況下，很多企業(yè)只是在做好日常網絡安全管理工作的同時，跟著上級主管部門的要求來開展各類工作，工作往往非常被動。若有相關工作體系來指導，網絡安全工作的開展將會更加主動。做起事來不至于東一榔頭西一棒槌，能夠清楚的知道“做什么，怎么做，什么時候做，做的效果如何”。

2基于信息化資產的網絡安全工作框架設計

2.1基于信息化資產的網絡安全工作框架簡介

該圖是煙草行業(yè)網絡安全工作體系的基本框架設計圖，由圖可見，網絡安全工作體系，以信息化資產為中心，以人和信息資產為管理對象，包含安全形勢、政策體系、工作支撐體系、管理體系和技術體系5大方面。它的架構如同一座房子，由屋頂、地基、和墻體組成，房屋里面是保護和管理的對象，就是人和信息化資產；房屋上面的烏云就是威脅企業(yè)信息資產的各類安全威脅，就是安全形勢；房屋的地基就是支撐企業(yè)網絡安全工作所必須的機構、人才隊伍、資金以及領導的支持；房頂就是根據(jù)國家政策、上級指示、相關部門的要求以及企業(yè)生產經營的需要所制定的企業(yè)網絡安全方針、政策和規(guī)劃；墻體有兩大支柱，一個是網絡安全管理體系，一個是網絡安全技術體系。由此形成一套系統(tǒng)的網絡安全工作框架。

2.2信息化資產

信息化資產是重要的管理和保護對象，明確管理和保護的對象是一切工作的前提。煙草行業(yè)信息化資產主要包含以下6大類。分別是信息系統(tǒng)類、網絡安全產品、基礎信息網絡、機房基礎設施、計算機終端以及其他信息技術產品。（1）信息系統(tǒng)類資產。信息系統(tǒng)，是指由計算機硬件、網絡和通訊設備、計算機軟件、信息資源、信息用戶和規(guī)章制度組成的以處理信息流為目的的人機一體化系統(tǒng)。包括但不限于工控系統(tǒng)、物聯(lián)網系統(tǒng)、云計算平臺、大數(shù)據(jù)平臺、采用移動互聯(lián)技術的信息系統(tǒng)以及類似網站、營銷信息系統(tǒng)、財務信息系統(tǒng)、人力資源信息系統(tǒng)、協(xié)同辦公平臺（OA）等常規(guī)信息系統(tǒng)。在企業(yè)內部，信息系統(tǒng)往往承載著企業(yè)重要業(yè)務的運行以及重要數(shù)據(jù)的存儲和交互，對企業(yè)十分重要，是企業(yè)網絡安全保護和管理的主要對象。如對卷煙工廠來說，工業(yè)控制系統(tǒng)是否正常直接關系到企業(yè)的生產活動能夠有序進行，一旦系統(tǒng)遭到攻擊導致數(shù)據(jù)丟失或者系統(tǒng)癱瘓，將直接導致生產停滯，造成大量經濟損失。再如對商業(yè)公司來說，卷煙統(tǒng)一訂貨平臺，承載重要卷煙零售戶信息和卷煙銷售信息，一旦出現(xiàn)信息泄露或者系統(tǒng)癱瘓，影響業(yè)務的同時也會對社會造成不良影響。（2）網絡安全產品。主要用于網絡安全工作中的技術保障，主要有防火墻、上網行為管理、堡壘機、日志審計、數(shù)據(jù)庫審計、網絡準入設備、網絡認證設備、防病毒系統(tǒng)，等等。（3）基礎信息網絡?；A信息網絡是為信息流通、信息系統(tǒng)運行起基礎支撐作用的信息網絡，主要包括企業(yè)局域網、電信網、互聯(lián)網、業(yè)務專網等網絡設施設備。（4）機房基礎設施。機房基礎設施是承載基礎信息網絡、信息系統(tǒng)主要硬件資源的動力和環(huán)境設施。主要包括機房精密空調，機柜，供電設備（含市電控制設備和UPS電源等），機房防火、防水、防盜、防靜電、防雷擊設備，機房監(jiān)控設備和門禁設備等。（5）計算機終端。主要辦公業(yè)務人員使用的計算機終端，主要有臺式計算機、筆記本電腦、平板電腦、手機終端等等。（6）其他信息技術產品。主要包含打印機、復印機、傳真機、液晶電視、LED大屏等信息技術產品。

2.3了解政策、形勢、企業(yè)生產經營的需要是工作的方向和指導

必須準確把握國家的政策，上級指示和工作部署，有關主管部門的相關要求以及企業(yè)生產經營的需要，才能在網絡安全工作上有的放矢，不至于抓不住重點。從黨的十八大以來，國家高度重視網絡安全工作，網絡安全和信息化已經上升到國家戰(zhàn)略。隨著2017年6月1日《中華人民共和國網絡安全法》的頒布實施，做好企業(yè)網絡安全工作，保障企業(yè)正常生產經營，不僅關乎企業(yè)自身利益，也與國家、社會和人民群眾的利益息息相關。必須把網絡安全工作上升到一定的政治高度，樹立法律意識。在此大環(huán)境下，也為企業(yè)網絡安全職能部門開展網絡安全工作提供了政策支持。

2.4機構、隊伍、資金和領導支持是一切工作的保障

機構和人才隊伍方面，對于煙草行業(yè)工商企業(yè)來說，由于企業(yè)規(guī)模較大，需要管理的信息資產和內外部人員較多，因此成立指導和管理網絡安全工作的領導小組，并設立具體辦事機構十分必要。崗位和人才方面，網絡安全主管部門應設立系統(tǒng)管理員、網絡管理員和安全管理員等崗位，企業(yè)各部門應酌情設立部門兼職網絡安全員，協(xié)同開展網絡安全工作。資金方面，在開展信息化項目建設的同時，應保證有一定的網絡安全方面的資金，科學合理地開展網絡安全方面的投資。領導支持方面，要極力尋求企業(yè)領導的支持，對企業(yè)領導加強關于網絡安全方面政策、風險和責任的宣傳，并對網絡安全工作的開展提出有價值的建議，提高領導對網絡安全工作的重視。只有領導重視，網絡安全工作才能有效落實。

2.5管理體系、技術體系建設是做好網絡安全工作的方法

煙草行業(yè)信息網絡定位為非涉及國家秘密網絡，在網絡安全防護方面采用管理和技術相結合的方式。網絡安全管理體系和技術體系是網絡安全保障體系的重要組成，二者相輔相成，互相促進。在實際的應用過程中，網絡安全管理和技術手段之間并沒有特別明確的界限。管理措施往往需要技術手段來實現(xiàn)，技術手段往往需要通過管理措施體現(xiàn)效果。網絡安全管理體系和技術體系必須圍繞企業(yè)信息化資產來設計。

2.5.1網絡安全管理體系

（1）建立網絡安全責任制。只有建立全員的網絡安全責任體系，明確各責任主體的責任，才能將網絡安全責任層層分解、層層落實，做到網絡安全工作人人有責、全員參與。責任體系的設計應按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則，以“人—資產—權限—責任”對應關系為抓手，建立起以人員為主體，信息化資產為客體的網絡安全責任體系。（2）完善網絡安全管理制度體系。完善的制度體系是做好網絡安全管理工作的前提和保障，應針對安全管理活動中的主要管理內容建立基于企業(yè)信息資產安全管理制度，形成由安全策略、管理制度、操作規(guī)程、記錄表單等構成的全面的信息安全管理制度體系。目前煙草行業(yè)已建立的網絡安全相關制度主要有《信息資產安全管理制度》，《信息安全管理辦法》，《機房安全管理制度》，《網絡安全管理制度》，《網絡安全檢查管理制度》，《服務器安全管理制度》，《信息系統(tǒng)用戶及密碼管理制度》，《信息系統(tǒng)數(shù)據(jù)備份及恢復管理制度》，《介質安全管理制度》以及《網絡安全事件應急預案》等?；旧虾w了對信息系統(tǒng)、終端計算機、機房基礎設施、數(shù)據(jù)資產等信息化資產的安全管理內容。但是對于工控安全、云計算安全、大數(shù)據(jù)安全、物聯(lián)網系統(tǒng)安全等方面制度尚不健全。（3）加強內外部人員管理。針對企業(yè)內部員工，要在人員錄用環(huán)節(jié)和離崗環(huán)節(jié)加強管理，做好錄用時的資格審查、技能考核以及安全保密協(xié)議的簽訂工作。離崗時做好相關設備、賬號及權限的移交工作。在崗員工要加強網絡安全意識培訓，針對網絡安全管理人員要加強網絡安全相關技術和管理能力培訓。針對外來人員（如第三方運維人員，外來訪客等）要加強外來人員訪問管理，確保外部人員接入網絡訪問系統(tǒng)前提出書面申請，批準后由專人開設賬號，分配權限，并登記備案，外部人員離場后應及時清除其所有訪問權限。（4）建立網絡安全管理臺賬。擁有一套詳細的網絡安全管理臺賬，是做好網絡安全工作的基礎。通過臺賬網絡安全管理人員能夠清楚知道自己需要管理哪些對象，開展網絡安全工作能夠做到心中有數(shù)。下圖是在日常網絡安全工作中所需要的常見的幾種網絡安全管理臺賬。（5）建立良好的溝通協(xié)調機制。網絡安全工作并非網絡安全主管部門這一個部門的責任，更不是網絡安全管理員一個人的責任，乃是全體人員共同的責任。應加強各類管理人員之間、組織內部機構之間以及信息安全主管部門內部的合作與溝通。作為網絡安全主管部門應經常向企業(yè)領導層匯報網絡安全工作開展情況及存在的問題和處理建議。必要時組織召開協(xié)調會議，與企業(yè)其他部門共同協(xié)作處理網絡安全問題。同時應加強與上級主管部門、兄弟單位、公安機關、各類供應商、業(yè)界專家及安全組織的合作與溝通。建立上下貫通、左右協(xié)同、內外兼顧的網絡安全工作協(xié)調機制。（6）信息化項目建設管理。應按照“三同步”（同步規(guī)劃設計、同步實施、同步投入使用）原則開展網絡安全和信息化項目建設工作。尤其在信息系統(tǒng)類項目建設過程中做好系統(tǒng)的定級和備案，安全方案設計，工程實施，測試驗收，系統(tǒng)交付，等級測評等環(huán)節(jié)的工作。同時相關產品的采購和使用要符合國家相關規(guī)定的要求。（7）規(guī)范運維管理。制定相關運維管理制度，按照制度要求，規(guī)范運維管理工作?？梢圆捎谩叭詹樵路旨驹u”制度，通過開展網絡安全日常巡檢，月度事件分析，季度通報評價，建立安全運維長效機制。通過梳理和分析設備運行狀況，做好設備維護，提高信息資產的可靠性、穩(wěn)定性。通過規(guī)范網絡設備、信息系統(tǒng)、終端計算機等信息資產的配置管理，賬號密碼管理，漏洞管理，變更管理，備份與恢復管理，安全事件處理，降低安全風險。通過堡壘機（運維審計設備）設置內部運維人員和第三方運維的運維權限，規(guī)范技術運維工作，規(guī)避運維風險。（8）應急保障。應制定突發(fā)網絡安全事件的應急預案，預案至少包括風險分析、組織架構與職責、監(jiān)測與預警、應急處置流程、預防工作、保障措施等內容。定期對相關人員進行應急預案的培訓，并開展應急演練。通過演練提高相關人員處理突發(fā)安全事件的能力，并做好應急預案的評估和修訂工作。（9）風險管理。僅從方法論來看網絡安全風險管理，其過程涉及信息系統(tǒng)、基礎網絡等企業(yè)信息資產的全生命周期，包括規(guī)劃、建設、運行、廢棄等階段的風險管理。通過安全自查、安全檢測、認證和風險評估作為發(fā)現(xiàn)和識別風險源的手段，進而建立風險源清單，評估風險指數(shù)，進而結合實際情況開展安全加固，形成針對網絡安全風險的閉環(huán)管理。（10）強化檢查考核。定期開展網絡安全檢查，有助于進一步摸清風險狀況和查找薄弱環(huán)節(jié)，有助于進一步增強員工網絡安全意識、落實網絡安全責任、明確網絡安全保障重點，及時進行整改，從而加強網絡安全管理和技術防護能力，全面提升網絡安全防護能力。對于檢查要制定詳細的切實可行的檢查標準和細則；對于整改要制定計劃，按計劃落實到位；對于考核要有力度，能夠引起全員重視。

2.5.2網絡安全技術體系

以信息資產為安全保護對象，從物理與環(huán)境、網絡與通信、設備與計算、數(shù)據(jù)與應用4個層次，進行身份認證、訪問控制、數(shù)據(jù)與內容安全、監(jiān)控審計、備份恢復五個環(huán)節(jié)的安全防護。通過建立安全技術框架，能夠清楚知道企業(yè)當前網絡安全技術水平和存在的短板，結合自身實際，按照科學合理的原則，分步進行網絡安全加固項目的投資實施。對煙草行業(yè)大多數(shù)企業(yè)來說，網絡安全技術保障方面的建設可以按照以下幾個階段開展。第一階段，彌補基礎設施的不足，主要包含機房基礎設施，如UPS電源，防火設備；網絡設備，如關鍵節(jié)點網絡設備的冗余；服務器主機及存儲等。第二階段，優(yōu)化網絡結構，實現(xiàn)分區(qū)分域管理，將網絡劃分成服務器區(qū)，生產區(qū)，辦公區(qū)，DMZ區(qū)，互聯(lián)網接入?yún)^(qū)，行業(yè)網接入?yún)^(qū)等區(qū)域，并用防火墻等網絡隔離設備進行訪問控制。第三階段，抓好終端安全管理，網絡準入管理、病毒防護、入侵防御等工作，。第四階段，攻堅克難階段，針對工控安全、移動互聯(lián)安全、大數(shù)據(jù)安全制定專門的解決方案。第五階段，建立安管平臺，實現(xiàn)網絡態(tài)勢可視化管理。

3基于信息化資產的網絡安全工作體系建設對網絡安全工作開展的作用

（1）基于信息化資產的網絡安全工作體系，是全面圍繞企業(yè)信息資產開展網絡安全工作，其組成由政策體系、安全形勢、管理體系、技術體系、支撐保障體系有機結合。能夠幫助企業(yè)決策層了解網絡安全工作的方方面面，并全面指導網絡安全主管部門開展工作。如對照體系架構，能夠輔助制定企業(yè)網絡安全規(guī)劃、年度網絡工作要點和工作計劃，查找安全方面的薄弱環(huán)節(jié)，落實整改等。（2）基于信息化資產的網絡安全工作體系框架圖的建立過程，即是網絡安全工作目錄的建立過程。能夠幫助網絡安全工作人員形成工作資料庫，及時將工作相關資料按照目錄進行歸檔。在面對各類安全檢查及工作總結的時候方便資料收集檢索。

4結束語

基于信息化資產的網絡安全工作體系基本涵蓋了當前煙草行業(yè)網絡安全工作的方方面面，但是隨著信息化的發(fā)展，安全形勢的不斷變化，也會出現(xiàn)新的要求，尤其是云計算、大數(shù)據(jù)、物聯(lián)網、移動互聯(lián)、人工智能等新技術的逐步廣泛應用，基于信息化資產網絡安全工作體系也會在此基礎上逐步完善。

參考文獻

[1]聶君，李燕，何揚軍.企業(yè)安全建設指南[M].北京：機械工業(yè)出版社，2019：1-436.

[2]蔡晶晶，李煒.網絡空間安全導論[M].北京：機械工業(yè)出版社，2017：1-272.

[3]360企業(yè)安全研究院.走近安全：網絡世界的攻與防[M].北京：電子工業(yè)出版社，2018.1-282.

作者:司成偉 趙全洲 單位:安徽中煙工業(yè)有限責任公司滁州卷煙廠