烟草在线昆明消息 为迅速响应国家和行业要求,不断提升昆明市公司信息安全级别,云南省昆明市烟草公司2014年完成了主营系统信息安全升级改造工作,于11月在全省烟草商业企业中率先获得3项公安部门颁发的《信息系统安全等级保护备案证明》,标志着昆明烟草公司在信息安全工作中迈出了具有里程碑意义的一步,也向全省烟草商业信息安全整体提升工作交出了一份满意的“答卷”。
多年积淀,打下坚实基础
多年来、昆明市公司始终非常重视信息安全工作,早在2008年就着手开始了对企业信息安全及其管理工作的探索,一方面紧跟市场上主流产品和应用,结合自身情况不断加强日常管理和技术防范,另一方面配以相应的管理手段和制度,定期梳理、及时修订,逐渐形成了一套贴合自身实际的技术规范和管理体系。
在管理方面,2009年,为了加强网络信息安全和网络管理,全市系统统一外网出口,集中安全凭证管理,构建了以市公司管理为核心的大星型网络结构,职工以签订承诺书的形式入网,按照要求规范使用网路,在市公司集中做好统一的防范病毒和恶意攻击工作,并对这种管理方式进行不断完善和改进。
与此同时针对用户使用互联网的开放性需求和网络安全工作的保密性要求之间的矛盾,分别设置了内外网访问规则,职工须要通过各种认证才能进行互联网访问,满足了业务工作对互联网的访问的需求,同时,采用实名访问制来加强安全管理和控制。
随后的几年,为了进一步规范员工使用互联网,不断提升上网安全审计能力,全市系统采用了上网行为管理来加强数据访问策略,并在各业务系统之间建立了日志管理,先后部署了内网核心防火墙和访问策略控制系统、机房专用精密空调并机系统和并机UPS系统等,从技术手段不断加强网络安全管理。
在技术层面一是为提升应用系统可用性和机房设备利用效率,全省范围内率先部署和应用了服务器虚拟化技术,更加有效利用现有资源,大大降低了经济成本和服务器存储空间浪费,也有利于加强设备和网络的管理;二是为了提升公司计算机网络的信息安全水平,2011年实施了网络及计算机安全升级改造项目,增设了机房监控系统,部署了网络运维管理系统、综合日志审计系统、桌面终端安全系统等,尤其是采用了新一代核全并行处理架构的高性能网络防火墙,为公司提供了网络攻击防护、病毒防护、基于应用层入侵防护的全面安全防护。
在制度层面,市公司先后配套制定下发一系列管理制度,从制度层面通盘考虑谁来管、管什么、怎么管、靠什么管、管的效果,如:《计算机网络管理规定》、《信息系统和信息设备使用保密管理规定》、《信息系统巡检规范》等
通过多年持续不断的加强网络安全建设,全市系统从日常终端维护管理到企业网络运行情况,以及数据的安全性不断得到提升,连续多年未出现网络突发性故障导致公司业务工作暂停,为企业的运营提供了有力保障和支撑。
全面梳理,不留任何漏洞
针对近年来网络安全工作紧迫性,市公司信息中心迅速行动,周密筹划,前瞻性地于2013年10月就对今年的测评项目进行了立项上报,希望通过对公司信息系统进行全面梳理、全面诊断和全面加固,使主营业务系统达到国家等级保护的二级要求,并在未来五年内具备技术先进性。
信息中心通过在应用系统、信息资产、基础架构、规章制度、应急保障等五个维度进行梳理,完成了10大主要业务系统及41个辅助性周边业务系统的全面梳理;完成了14家分公司及所有烟叶收购站点,共171条网络线路使用情况的全面梳理;完成了42台(套)服务器、3台路由器、12台交换机、3台防火墙当前配置和工作状态的全面梳理;并对39个运行于服务器虚拟化平台上的虚拟机进行检测和梳理;对原有11个信息化相关制度和体系相关要求进行梳理、查找漏洞。通过以上工作全面掌握信息系统部署、运行、应用和运维工作的基本情况,并且不断完善信息安全管理工作制度。
全面诊断,找准问题所在
在全面梳理的基础上,市公司从信息系统“五防”能力以及信息内容保护能力、安全运行监控能力、支撑环境保障能力、安全管理机制、运维管理机制等六个层面进行诊断,切实找准影响信息系统安全稳定运行的问题及原因。生成《昆明烟草信息系统安全等级保护差距分析报告》,《昆明烟草信息系统漏洞扫描报告》,《昆明烟草现行信息安全管理制度体系梳理报告》等文件,明确当前公司信息安全方面还存在的问题。并根据发现的问题,制定针对性整改措施,有计划按步骤认真完成整改。分析出技术方面可以整改的包括网络单核心问题、原有VPN连接逻辑存在隐患等11大方面数十个问题。在信息安全管理和制度建设方面,结合公司生产经营实际情况,需要修订5个原有相关制度文件,新增应用系统操作使用规范等。
全面加固,实现质的飞跃
全市系统在全面诊断的基础上针对当前存在的主要问题,从技术和管理两个方面进行全面整改,并且严格落实整改措施,认真研判整改情况,切实保证加固效果。
在管理方面,一是部署运维审计系统,将网络核心设备、数据库、服务器等信息系统核心的运维工作纳入全方位监控,对所有的运维操作进行行为监控以及过程审计,保障各业务系统数据安全;二是部署专业VPN系统,满足公司日益增长的移动业务需求,联合进行移动应用开发,保障互联网业务接入的安全性;三是为进一步提升网络安全水平,在公司网络内部按照业务类别划分多个安全区域,实现网络划分区域管理,购置数据中心交换机,将服务器区独立管理,并在跨区域访问时,由核心防火墙提供安全保护。
在技术方面,一是为了提升网络物理安全,更新已使用近10年的网络核心设备,使用虚拟化技术实现网络核心的高可用,同时配合网络核心设备更新,在全公司范围内实现入网身份认证和访问控制,实现网络准入由公司本部扩大到全公司;二是更新中心机房UPS系统,同时完成配套的机房供配电改造,实现中心机房设备双回路供电,防止由于UPS故障导致的机房停机隐患,保障中心机房供电安全;三是更新已报废的卷烟营销系统使用的小型机,保障卷烟营销业务正常开展。
在制度方面,一是针对微软陆续停止对Windows XP、Office 2003、Windows Server 2003等产品的技术支持和服务,制定和下发《关于微软停止部分产品技术支持和服务相关事宜的通知》,帮助和指导全公司范围内的妥善应对由此带来的网络信息安全隐患;二是针对用户使用操作的规范性,制定下发了《卷烟营销系统操作规范》、《烟叶信息系统使用操作规范》。三是重新修订《计算机网络管理规定》等五项基本管理制度。
顺利通关,终获测评认可
本次测评工作由公安部认可的、具有有效资质的专业测评机构,借助专业网络漏洞扫描、入网身份认证、日志审计、运维审计、网络及服务器虚拟化等前沿信息技术,分别从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度等10个类别,对市公司卷烟营销系统、烟叶生产系统、企业管控平台3个信息系统进行信息系统等级保护测评,形成相应测评报告,查出的问题,经过严格整改后,三个系统测评指标符合项均达到90%以上,顺利通过二级等级保护级别的测评,并且最终完成在公安机关的备案工作,获得“信息安全等级保护测评机构能力评估合格证书”。
此次开展信息系统等级保护测评工作,全市系统进一步总结了近几年开展网络信息安全工作的开展情况,以第三方测评机构的客观评价,较为真实地反映了当前企业内部网络信息安全状况,也为今后一个时期的网络信息安全工作指明了方向。
面对信息技术高速发展的今天,信息安全工作永无止境,必须长期坚持不懈,昆明烟草在不断引进新技术进行防范的同时,也将安全测评工作拓宽至其他业务系统乃至企业整个网路,全方位提高安全防范能力。同时,在已经通过测评的系统中,采取更深入更细致的安全防范措施,在安全防范的深度上进行有益尝试和探索。
重庆中烟,以新质生产力推动企业高质量发展