信息安全自主可控聽起來很美，具體如何實(shí)現(xiàn)?讓我們從煙草行業(yè)的具體情況出發(fā)，進(jìn)行一下分析、探討吧!

信息安全自主可控的涵義是:信息安全領(lǐng)域的技術(shù)和產(chǎn)品，能自主的就要盡最大可能實(shí)現(xiàn)自主;不能自主的，必須保證它是可控可知的，即要對信息安全技術(shù)與產(chǎn)品的風(fēng)險、隱患、漏洞、潛在問題做到“心中有底、手中有招、控制有道”。 目前，煙草行業(yè)的核心應(yīng)用系統(tǒng)(如“一號工程”、卷煙營銷、專賣管理、財(cái)務(wù)管理系統(tǒng)、人力資源系統(tǒng)等)的軟、硬件設(shè)備幾乎全套采用了國外主流、成熟的產(chǎn)品技術(shù)，從整體上來說，行業(yè)信息化核心應(yīng)用基礎(chǔ)設(shè)施的選型、配置起點(diǎn)較高，但從另一方面講，信息安全系統(tǒng)的可控性、可知性、可預(yù)防性水平較低。不可否認(rèn)，國內(nèi)當(dāng)前的采購政策、市場環(huán)境、IT發(fā)展現(xiàn)狀等因素在一定程度上制約了自主知識產(chǎn)權(quán)的IT產(chǎn)品技術(shù)進(jìn)入高端、核心設(shè)備的市場采購范圍，但這絕不僅僅是一個技術(shù)問題，還有更深層次的長遠(yuǎn)戰(zhàn)略、規(guī)劃管理問題。

信息安全

自主可控的意義

在煙草行業(yè)大力推行信息安全自主可控，具有以下重要意義:

1. 可避免分發(fā)式安全威脅。

IT產(chǎn)品的整個生命周期包括研發(fā)、設(shè)計(jì)、制造、銷售、安裝、維護(hù)、升級等過程，如果有人在其中任何一個環(huán)節(jié)上植入惡意代碼、開通惡意后門、加入隱蔽指令等，都將給信息系統(tǒng)造成一定安全隱患，即IT產(chǎn)品的分發(fā)式安全威脅。非自主的IT產(chǎn)品存在分發(fā)式安全威脅的概率很大，這類威脅往往不易被用戶發(fā)覺，但卻可能給用戶造成重大的損失、破壞。對非自主的IT產(chǎn)品增強(qiáng)防范意識、加強(qiáng)控制管理、制訂風(fēng)險應(yīng)對措施，可以大大避免分發(fā)式安全威脅。

2. 可封堵信息安全“漏洞”。

國外的IT廠商通常不會向中國用戶提供核心技術(shù)和專利，因此國內(nèi)用戶很難對設(shè)備的整體可信性、可靠性、可控性進(jìn)行全面檢測，分析判斷出設(shè)備中是否存在“后門”、“陷阱”、“漏洞”、“軟件炸彈”、“隱蔽指令”等安全威脅，一旦這些“漏洞”被利用，實(shí)施攻擊、入侵、修改、惡意破壞或者竊取機(jī)密數(shù)據(jù)信息，其后果不堪設(shè)想。據(jù)公安部有關(guān)資料顯示，近年來國內(nèi)大量網(wǎng)絡(luò)泄密案件、竊密案件、信息安全事件均與“漏洞”有關(guān)。實(shí)施信息安全系統(tǒng)自主可控，可以在一定程度上起到堵塞信息安全漏洞，防患于未然的效果。

3. 是行業(yè)信息化發(fā)展的長遠(yuǎn)戰(zhàn)略需要。

煙草行業(yè)核心應(yīng)用信息化硬件設(shè)施投資規(guī)模巨大，處于高位運(yùn)行狀態(tài)，很多企業(yè)基礎(chǔ)網(wǎng)絡(luò)平臺、服務(wù)系統(tǒng)平臺、應(yīng)用平臺、安全支撐平臺基本上被國外產(chǎn)品壟斷，這些非自主IT產(chǎn)品本身封閉性強(qiáng)、操作復(fù)雜、技術(shù)資料短缺，國內(nèi)用戶很難定制二次研發(fā)或者組裝生產(chǎn)。煙草企業(yè)在高端IT產(chǎn)品采購上幾乎沒有可選擇的空間，對IBM、微軟、戴爾等IT巨頭的依賴程度過大，信息系統(tǒng)運(yùn)行后每年僅硬件維修保養(yǎng)一項(xiàng)就產(chǎn)生高額的附加成本費(fèi)用，這些都不利于煙草信息化的長遠(yuǎn)發(fā)展。信息化的平穩(wěn)健康發(fā)展需要一個廣闊、開放、成熟、多元化的產(chǎn)品市場空間，在允許的情況下實(shí)施信息安全自主可控可以降低信息系統(tǒng)設(shè)備采購、開發(fā)、運(yùn)維成本，滿足行業(yè)信息化發(fā)展的長遠(yuǎn)戰(zhàn)略需要。

四項(xiàng)措施

實(shí)踐自主可控

“自主可控”從概念上分析，首先是“自主”，而后才能達(dá)到真正“可控”，“自主”是“可控”的必要條件。自主化不能簡單地理解成國產(chǎn)化，目前很多產(chǎn)品的國產(chǎn)化還是停留在對國外核心技術(shù)進(jìn)行組裝式開發(fā)的基礎(chǔ)上，由于核心技術(shù)并不掌握在自己手中，因此這只能是一種準(zhǔn)自主化或偽自主化，仍然存在一定的不可控因素、安全隱患。要實(shí)現(xiàn)信息安全系統(tǒng)的自主可控，就必須要求信息安全產(chǎn)品真正自主化。從狹義上講，使用國產(chǎn)自主化的軟硬件產(chǎn)品、技術(shù)和服務(wù)，是信息安全體系自主可控的基礎(chǔ);從廣義上講，自主可控應(yīng)該涵蓋信息化發(fā)展的全過程，各個環(huán)節(jié)都實(shí)現(xiàn)自主可控，這樣才能構(gòu)建完整的、自主可控的信息安全體系。具體來說，可以采取以下幾項(xiàng)措施:

1. 加強(qiáng)重視，應(yīng)用系統(tǒng)建設(shè)與信息安全建設(shè)并重。

我們迫切需要緊跟形勢、轉(zhuǎn)變觀念、與時俱進(jìn)，加強(qiáng)對信息安全的重視支持，應(yīng)用系統(tǒng)建設(shè)與信息安全建設(shè)必須“兩手抓、兩手硬”，在信息化建設(shè)過程中，繼續(xù)堅(jiān)持應(yīng)用系統(tǒng)建設(shè)與信息安全建設(shè)同步規(guī)劃、同步實(shí)施、協(xié)調(diào)發(fā)展、均衡發(fā)展的原則，將信息系統(tǒng)安全體系建設(shè)融入到煙草信息化建設(shè)的全過程之中。

2. 加強(qiáng)政策引導(dǎo)，為信息安全設(shè)備的采購提供政策導(dǎo)向、標(biāo)準(zhǔn)體系。

煙草行業(yè)迫切需要在信息安全設(shè)備、產(chǎn)品、服務(wù)的選型上遵循以下原則:

(1)對于信息安全設(shè)備、產(chǎn)品、技術(shù)、服務(wù)的選型，能自主的應(yīng)該自主，不能自主的必須實(shí)現(xiàn)可知、可控、可檢測;

(2)原則上使用國產(chǎn)設(shè)備，只有在無相應(yīng)國產(chǎn)設(shè)備時方可使用已通過國家相關(guān)主管部門批準(zhǔn)、指定、測評、鑒定、認(rèn)證的國外設(shè)備，絕不使用未經(jīng)國家相關(guān)主管部門測評審核通過的設(shè)備;

(3)煙草企業(yè)必須和非自主的廠商(國產(chǎn)、非國產(chǎn))簽署明確的安全保密責(zé)任書。

3. 加強(qiáng)管理監(jiān)控，有效治理分發(fā)式安全威脅，提高可控性。

以管理舉措為主，配合使用技術(shù)手段加強(qiáng)對非自主化信息安全產(chǎn)品的監(jiān)控，有效治理、檢測、評估分發(fā)式安全威脅，提高可控性。檢測、治理分發(fā)式安全威脅的技術(shù)手段主要可分為以下幾類:

(1)對信息系統(tǒng)使用、運(yùn)維過程中發(fā)現(xiàn)的漏洞要及時打好補(bǔ)丁，堵塞漏洞;

(2)“最小化配置”，即只啟用必需的進(jìn)程、端口、服務(wù)、應(yīng)用，其余的一律關(guān)閉;

(3)對信息安全產(chǎn)品定期做深度的安全檢測并作跟蹤記錄，不符合安全標(biāo)準(zhǔn)的產(chǎn)品堅(jiān)決不使用，不能做到可控的產(chǎn)品不部署到核心關(guān)鍵應(yīng)用場合;

(4)對于已經(jīng)在核心系統(tǒng)中使用的非自主產(chǎn)品，按要求進(jìn)行及時加固和系統(tǒng)升級，對系統(tǒng)的運(yùn)行進(jìn)行嚴(yán)密的監(jiān)測，一旦發(fā)現(xiàn)異常行為應(yīng)立即采取對策處置;

(5)“人本理論”，信息安全產(chǎn)品最終還是要為人所用，因此必須加強(qiáng)各級使用人員、維護(hù)人員、管理人員的教育培訓(xùn)，通過實(shí)施配套嚴(yán)格的管理制度，提高信息安全防范意識，提升專業(yè)操作技能。

4. 加強(qiáng)自主研發(fā)，提升信息化自主研發(fā)創(chuàng)新能力。

信息安全系統(tǒng)自主可控絕不僅僅是依靠采購自主化的軟、硬件產(chǎn)品就能實(shí)現(xiàn)的，需要進(jìn)一步加強(qiáng)自主創(chuàng)新的能力，通過在信息化過程中自主規(guī)劃、自主研發(fā)、使用自主化產(chǎn)品、自主運(yùn)維，努力建成與應(yīng)用需求相適應(yīng)的自主可控信息安全體系。

煙草行業(yè)信息化的進(jìn)一步發(fā)展，需要縱深方向的安全防御體系作為支撐，信息安全系統(tǒng)自主可控的問題不從根本上解決，核心技術(shù)與重要信息系統(tǒng)受制于人的局面就不會改變，全面的安全防御就成為一句空話。實(shí)現(xiàn)高度的信息安全系統(tǒng)勢在必行，但又任重道遠(yuǎn)，自主可控是一個逐漸發(fā)展、深化、完善的過程。