盛子健 武可瑞 吳 偉

（山東省濰坊市煙草專賣局，濰坊 261000）

引 言

隨著網(wǎng)絡(luò)信息技術(shù)的不斷提高和大規(guī)模普及應(yīng)用，信息系統(tǒng)中許多有價值的信息數(shù)據(jù)就成了網(wǎng)絡(luò)不法分子所攻擊的目標。為了進一步保障在信息化過程中煙草行業(yè)重要商業(yè)信息的安全性，國家煙草專賣局對煙草行業(yè)的信息系統(tǒng)安全保障體系的總體原則和建設(shè)內(nèi)容做出了明確的要求，制定了業(yè)務(wù)信息安全策略和信息安全管理體系，對信息安全技術(shù)體系和信息安全運維體系的建設(shè)工作提出了指導意見和要求。

一、信息安全運維服務(wù)現(xiàn)狀

（一）信息化建設(shè)現(xiàn)狀

對于我國煙草行業(yè)整體而言，信息化建設(shè)已經(jīng)取得了初步成效，但是目前還處于各個煙草企業(yè)獨自建設(shè)信息化系統(tǒng)的階段，國家煙草專賣局尚未開展統(tǒng)籌整體的信息化系統(tǒng)建設(shè)工作。雖然國家煙草專賣局有自己的官網(wǎng)，但是也僅僅停留在供煙草企業(yè)查詢政策、申辦政務(wù)的功能上，對于各個煙草企業(yè)本身的信息化系統(tǒng)是不具備統(tǒng)籌管理功能的。

對于各個煙草企業(yè)、各省市煙草行業(yè)而言，信息化系統(tǒng)建設(shè)成效不一。有的建設(shè)比較完備，已經(jīng)有了自己的局域網(wǎng)，線上辦公常態(tài)化，甚至有的煙草企業(yè)已經(jīng)開始建設(shè)黑燈工廠示范產(chǎn)品線。但是也有一些信息化系統(tǒng)較為落后的省市煙草行業(yè)，其辦公還處于計算機單機狀態(tài)，對紙質(zhì)文件的依賴度極高。

（二）信息安全運維服務(wù)現(xiàn)狀

當下，煙草行業(yè)的信息安全運維服務(wù)狀況不是很樂觀。雖然有部分省市的煙草行業(yè)信息系統(tǒng)建設(shè)很完備，但是對于信息系統(tǒng)安全和網(wǎng)絡(luò)安全均不是很重視。一方面是安全運維服務(wù)需要專業(yè)人士開展，需要一定的建設(shè)成本；另一方面是高層領(lǐng)導堅信物理隔斷可以完全保證信息系統(tǒng)的安全性，忽略了內(nèi)部員工經(jīng)?！耙粰C兩用”的現(xiàn)狀，導致當下煙草行業(yè)的信息安全運維服務(wù)開展狀況不是很樂觀。同時，因為信息系統(tǒng)的建設(shè)是在煙草行業(yè)各企業(yè)內(nèi)部自行開展的，所以信息安全管理運維體系沒有全行業(yè)的標準，這需要國家煙草專賣局進行統(tǒng)籌指導，確保體系建設(shè)成效。

二、信息安全運維管理體系基本技術(shù)

（一）網(wǎng)絡(luò)安全管理技術(shù)

信息安全首要就是網(wǎng)絡(luò)安全，因為在互聯(lián)網(wǎng)時代，信息化系統(tǒng)是離不開網(wǎng)絡(luò)的。無論是處于局域網(wǎng)下的生產(chǎn)ERP系統(tǒng)，還是處于互聯(lián)網(wǎng)下的線上辦公，對網(wǎng)絡(luò)的依賴都比較大。因此，網(wǎng)絡(luò)安全管理是煙草行業(yè)信息安全運維服務(wù)管理體系建設(shè)要首要考慮的問題。網(wǎng)絡(luò)安全管理的主要組成部分包括安全事件的采集、安全事件的管理、安全設(shè)備的監(jiān)控。這三部分應(yīng)是煙草行業(yè)在建設(shè)信息安全運維服務(wù)管理體系時首要考慮的內(nèi)容。

（二）信息系統(tǒng)安全運維管理體系

信息系統(tǒng)安全運維管理體系主要分成兩個部分：一是管理體系，主要負責信息系統(tǒng)用戶使用模式規(guī)范化、系統(tǒng)授權(quán)統(tǒng)一管理及體系建設(shè)的標準指導；二是技術(shù)運維體系，主要負責系統(tǒng)基本功能的實現(xiàn)，以及保障系統(tǒng)安全運行，同時要保證管理體系建設(shè)緊跟信息技術(shù)的發(fā)展。

三、煙草行業(yè)信息安全運維管理體系建設(shè)策略

如前文所述，當下煙草行業(yè)的信息系統(tǒng)建設(shè)均由各地區(qū)的煙草企業(yè)自行開展，國家煙草專賣局尚未開始進行統(tǒng)籌規(guī)劃。因此，應(yīng)當從國家煙草專賣局的角度出發(fā)，建設(shè)統(tǒng)籌規(guī)劃煙草行業(yè)整體的信息安全運維管理體系，建設(shè)行業(yè)整體的信息安全運維管理系統(tǒng)，以一體化系統(tǒng)的形式推進行業(yè)信息安全運維管理體系的建設(shè)并且針對管理制度和管理運維體系制定規(guī)范化的標準，指導一體化系統(tǒng)的建設(shè)。

（一）網(wǎng)絡(luò)安全管理體系建設(shè)策略

網(wǎng)絡(luò)安全管理體系建設(shè)主要指當下對網(wǎng)絡(luò)依賴度較高的生產(chǎn)ERP系統(tǒng)、辦公系統(tǒng)等系統(tǒng)的安全管理體系建設(shè)。

對于內(nèi)外網(wǎng)互聯(lián)而言，應(yīng)針對性地提出網(wǎng)絡(luò)安全管理標準，指導系統(tǒng)實現(xiàn)終端內(nèi)外網(wǎng)統(tǒng)一接入。以網(wǎng)絡(luò)云技術(shù)統(tǒng)一內(nèi)網(wǎng)和外網(wǎng)的認證、授權(quán)、訪問控制問題，靈活、方便、安全、可靠地解決內(nèi)外網(wǎng)安全接入的安全保障功能。同時，對辦公用賬號、生產(chǎn)用賬號進行統(tǒng)一的授權(quán)管理，分門別類地授權(quán)賬號功能，確保信息安全。在確保信息安全的同時，也要確保網(wǎng)絡(luò)業(yè)務(wù)可以順利開展。在體系建設(shè)時，要將帶寬分配等網(wǎng)絡(luò)分配標準納入網(wǎng)絡(luò)安全管理體系建設(shè)中，以確保網(wǎng)絡(luò)業(yè)務(wù)不會卡頓。在確保網(wǎng)絡(luò)業(yè)務(wù)順利開展的同時，要監(jiān)控系統(tǒng)整體流量，利用計算機分析數(shù)據(jù)流量，預測利用網(wǎng)絡(luò)進行系統(tǒng)攻擊的黑客行為，保障信息安全。

對于依賴內(nèi)部局域網(wǎng)程度較高的生產(chǎn)ERP系統(tǒng)的網(wǎng)絡(luò)管理體系建設(shè)而言，應(yīng)注重對網(wǎng)絡(luò)日志的留存和對網(wǎng)絡(luò)事件的監(jiān)控。生產(chǎn)不容大意，網(wǎng)絡(luò)日志的留存方便在系統(tǒng)出現(xiàn)問題時進行后續(xù)的追責，這就對系統(tǒng)操作員及相關(guān)領(lǐng)導的管理工作提出了較高的要求，也可以保證其操作的規(guī)范和管理的認真。另外，網(wǎng)絡(luò)事件的監(jiān)控可以對系統(tǒng)的網(wǎng)絡(luò)安全提前預警，將系統(tǒng)運行問題帶來的負面影響降到最低。

（二）信息安全管理體系建設(shè)策略

對于煙草行業(yè)整體的信息安全管理體系建設(shè)而言，所需要考慮的主要是三個層面：決策層面對信息安全管理體系建設(shè)的指導，業(yè)務(wù)層面對信息安全管理體系建設(shè)的需求，技術(shù)層面對信息安全管理體系建設(shè)的實現(xiàn)。煙草行業(yè)有著自身的業(yè)務(wù)特點，管理也有相應(yīng)的特殊之處。因此，在進行煙草行業(yè)的信息安全管理體系建設(shè)時一定要全方位考慮決策管理的指導標準、業(yè)務(wù)實現(xiàn)的功能需求，技術(shù)層面上要保證需求和標準的實現(xiàn)。

首先是決策層面的指導，這一點較為重要。決策層的指導意見是管理體系建設(shè)成效的根本保障。沒有具體化、標準化的指導意見，業(yè)務(wù)層在提需求時就有可能天馬行空，給技術(shù)上的實現(xiàn)帶來困難。因此，指導的具體化標準是實現(xiàn)信息安全管理體系建設(shè)的根本。

其次是業(yè)務(wù)層面的需求，信息安全管理體系建設(shè)不能脫離業(yè)務(wù)。業(yè)務(wù)完成的便利化、辦公自動化、生產(chǎn)智能化是信息系統(tǒng)建設(shè)的根本目標，信息安全管理體系的建設(shè)必須考慮到這些功能的需求，不能為了絕對的安全而不顧系統(tǒng)建設(shè)的目標。

最后是技術(shù)層面的實現(xiàn)，實現(xiàn)信息安全管理體系建設(shè)的目標才是技術(shù)層面需要完成的事情。由于當前煙草行業(yè)信息按管理體系建設(shè)尚在探索之中，因此在技術(shù)上的實現(xiàn)不能邁大步，要循序漸進。第一，要對重點關(guān)鍵業(yè)務(wù)的信息安全管理體系進行相應(yīng)的實現(xiàn)，這些業(yè)務(wù)包括但不限于財務(wù)、物流、生產(chǎn)等煙草行業(yè)重點業(yè)務(wù)，這些業(yè)務(wù)的信息安全是重中之重，技術(shù)上的優(yōu)先實現(xiàn)是體系建設(shè)的目標之一。第二，實現(xiàn)要循序漸進。從技術(shù)層面考慮，體系有標準、有需求，其實現(xiàn)也是需要時間的。所以，對信息安全管理體系的建設(shè)時間不能卡得很緊，可以優(yōu)先實現(xiàn)一些緊要的業(yè)務(wù)信息安全管理體系功能，但是對于整體體系建設(shè)一定要保證充裕的時間，這樣可以避免系統(tǒng)漏洞，也有助于體系建設(shè)的目標實現(xiàn)。

（三）運維服務(wù)體系建設(shè)策略

運維服務(wù)體系建設(shè)是整個信息安全管理體系建設(shè)的重要模塊之一。首先是體系融合，由于信息安全管理體系建設(shè)的系統(tǒng)工程量巨大，是要進行外包的，而系統(tǒng)后期的運維要靠煙草行業(yè)內(nèi)部員工，這就需要建設(shè)體系和運維體系相融合。一是體系建設(shè)方要考慮煙草行業(yè)信息安全運維管理人員的實際操作水平，盡量不用難以學習的計算機技術(shù)做系統(tǒng)，保證后期運維難度不會過高。二是信息安全管理運維體系的績效問題，績效可以衡量運維人員、管理人員的工作成效，但是目前煙草行業(yè)沒有成熟的績效管理體系，這就有可能導致運維人員工作不積極、管理人員態(tài)度消極等問題，各業(yè)務(wù)部門的要求得不到及時有效的回應(yīng)，對信息安全管理運維體系的建設(shè)產(chǎn)生負面影響。其次是注意對復合化人才的培養(yǎng)，信息安全管理體系建設(shè)完成后的運維體系建設(shè)一定要立足于行業(yè)內(nèi)部，這就需要煙草行業(yè)培養(yǎng)既懂業(yè)務(wù)又懂信息技術(shù)的人才，這樣的人才可以支撐起運維體系的建設(shè)。而且，信息安全管理運維體系應(yīng)該是與時俱進的。隨著信息技術(shù)的發(fā)展，體系的標準、體系的需求也要進行相應(yīng)的發(fā)展，這就需要煙草行業(yè)定期開展相關(guān)的技術(shù)培訓會，保證運維人員、管理人員的技術(shù)認知不會落后于信息技術(shù)的發(fā)展。同時，要定期開展業(yè)務(wù)需求的培訓，保證其在運維的同時不會忽略業(yè)務(wù)需求，保證體系的運維具備實用性。

結(jié) 語

在煙草行業(yè)信息化蓬勃發(fā)展的今天，信息安全運維管理體系的建設(shè)也愈加重要，對行業(yè)中各煙草企業(yè)本身的信息安全、網(wǎng)絡(luò)安全都有著重要的意義。整體管理運維體系的建設(shè)應(yīng)從網(wǎng)絡(luò)安全、信息系統(tǒng)安全、運維管理體系三方面統(tǒng)籌考量，國家煙草專賣局應(yīng)出臺相應(yīng)的標準文件，為行業(yè)內(nèi)各煙草企業(yè)的信息化系統(tǒng)及信息安全運維管理體系的建設(shè)提供規(guī)范與標準。