烟草行业网络信息安全保障体系构建包括哪些-法师兄

烟草行业网络信息安全保障体系构建包括哪些

来源：互联网时间： 2023-05-04 17:42:01 50 人看过

烟草行业网络信息安全保障体系构建

网络信息安全保障体系建设包括三个体系，即安全管理，技术保障，安全运维，这三个体系是不可分割的，相互补充。只有这三个体系安全完善，才能确保烟草行业网络信息安全得到保障。

(一)安全管理体系建设

安全管理是系统安全的重要组成部分，负责对安全架构的其它几个部分进行协调和监管，以实现安全保密架构的整体安全防范职能。安全保密管理部分在很大程度上涉及到人员管理和资源调配等管理层面的内容，因而也是整个安全保密架构中技术手段和管理手段结合较紧密的一个部分。参照iso/iec17799信息安全管理标准的思路以及有关内容，烟草信息安全管理体系的建设包括风险评估机制的确定、安全管理策略的制定、安全管理组织架构的建设、安全管理技术平台的建设以及日常安全管理制度的建设等。由于烟草行业计算机网络与信息安全系统架构的建立和实施将涉及到整个烟草系统从管理、技术到一般工作人员的各个层面，并需要各方面资源的有力支持，并从管理体制上进行必要的调整以适应安全系统建设的需要。

(二)技术保障体系建设

1.确保物理安全。物理安全的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限，防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

2.实行访问控制。为了实现网络访问控制，可以在内部网络和外部网络之间设置一个netscreen或ciscopix防火墙。防火墙的一块网卡连接在内部交换机上，另一块网卡连接在路由器上。所有从internet访问烟草行业计算机信息网络内部网络的访问请求都首先到达防火墙，防火墙可以通过分析这些数据包的性质控制对主机的访问;同时，防火墙还可以针对internet制定安全策略，只允许与业务有关的通讯进入烟草行业网络，其他的网络服务请求都加以拒绝，来自外网的攻击行为就不能到达网络的主机。

3.有效防范计算机病毒。从病毒发展趋势来看，现在的病毒已经由单一传播、单种行为，变成依赖互联网传播，集电子邮件、文件传染等多种传播方式，融黑客、木马等多种攻击手段为一身的广义的“新病毒”。因此，在烟草行业内网考虑防病毒时选择产品需要重点考虑以下几点：防杀毒方式需要全面地与互联网结合，不仅有传统的手动查杀与文件监控，还必须对网络层、邮件客户端进行实时监控，防止病毒入侵;产品应有完善的在线升级服务，使用户随时拥有最新的防病毒能力;对病毒经常攻击的应用程序提供重点保护;产品厂商应具备快速反应的病毒检测网，在病毒爆发的第一时间即能提供解决方案;厂商能提供完整、即时的反病毒咨询，提高用户的反病毒意识与警觉性，尽快地让用户了解到新病毒的特点和解决方案。

4.实行密码加密处理。密码技术的基本思想是伪装信息，密码技术由明文、密文、算法和密钥构成。其中密钥管理是—个非常重要的问题，是一个综合性的技术，涉及到密钥的产生、检验、分配、传递、保存、使用、消钥的全过程。在实际加密过程中，—般不单独使用一种密码，而是将上述3种密码经过多次变换迭代生成。采用网络加密技术，对公网中传输的ip包进行加密和封装实现数据传输的保密性、完整性，它可解决网络在公网上数据传输的安全性问题也可解决远程用户访问内网的安全问题。

(三)安全运维体系建设

安全运维体系是保证管理措施和技术措施有效实施的支撑。运维工作促进技术措施和管理措施的融合，可以发挥强力作用，运维流程要以安全控制为落脚点。要通盘考虑谁来管、管什么、怎么管、靠什么管、管的怎样、是否符合要求等环节，做到“可视、可控”，确实保障信息安全工作落到实处。烟草行业运维的主要工作就是按照规定的程序保证系统的正常运行。最重要的一是要保证有“规定的程序”，二是要保证能“按照程序去做”。烟草行业信息中心首先要和有关合作单位制订好“规定的程序”，再制订如何检查落实的规定，进行检查、督促。三是要保障运维的技术水平，要有通用的安全操作规范来保障运维工作的一致性。“规定的程序”一是每个系统(如网络、办公自动化系统等)的日常运行维护流程，包括：

(1)每天、每周、每月要做的工作及检查、测试的内容;

(2)所做工作、检查、测试的情况要有记录;

(3)要规定日常一般情况如何处理;

(4)要规定特殊、应急情况如何处理;

(5)要规定需报告的事项和时间要求。支持日常运行维护流程工作，还要有相应的每个系统的操作手册，包括开关机、检查、一般操作所需的命令等。二是系统变更时所需流程：包括申请、变更方案、审批、实施、变更情况确认。

三是应急预案，应急预案只需规定可能出现的主要情况，程序要简明、易实施，不需其他协助即可完成。“检查落实”一是要通过一些控制手段来检查运维人员是否“按照规定”去做工作，二是要承担相关的审核、检查工作。“运维安全性控制”一是控制对系统操作的权限，避免特权用户的产生，将最高权限分散。二是提供技术保障：(1)要有必要的监控手段来监视系统运行情况，而不是依赖于运维人员的主观活动;(2)统一运维操作平台，减少运维人员进入机房操作，加强操作控制;(3)测试环境与运行环境分开：系统新上线或变更时测试可行性，进行应急演练，紧急情况下可代替原系统运行;(4)通过运维管理平台为规范管理流程、加强安全运维管理提供技术保障。

声明：该文章是网站编辑根据互联网公开的相关知识进行归纳整理。如若侵权或错误，请通过反馈渠道提交信息，我们将及时处理。【点击反馈】

扩展阅读

律师服务

热门律师推荐

律师普法

换一批

更多产品相关文章

个人信息保护
网络安全法个人信息保护有哪些内容

一、网络安全法个人信息保护的作用《网络安全法》聚焦个人信息泄露，明确网络产品服务提供者、运营者的责任，严厉打击出售贩卖个人信息的行为，对保护公众个人信息安全将起到积极作用。个人信息的泄露是网络诈骗泛滥的重要原因，今年以来舆论关注的山东两名大学生遭电信诈骗死亡案、清华大学教授遭电信诈骗案，皆因个人信息泄露之后的精准诈骗造成。警方近年查获曝光的大量案件显示，公民个人信息的泄露、收集、转卖，已经形成了完整的黑灰产业链。据中国互联网协会发布的《2016中国网民权益保护调查报告》显示，84%的网民曾亲身感受到由于个人信息泄露带来的不良影响。二、网络安全法个人信息保护有哪些内容1、《网络安全法》作出专门规定：网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或非法向他

2023-05-04

474人看过
精神损害赔偿
个人信息安全内容包括哪些

个人信息的保护方式则呈现多样性和综合性，尤其是可以通过行政手段对其加以保护。例如，对非法储存、利用他人个人信息的行为，政府有权进行制止，并采用行政处罚等方式。对于网上所出现的非法发布不良信息或危害公共安全的信息，政府有关部门有权予以删除。（一）基本信息。（二）设备信息。（三）账户信息。（四）隐私信息。（五）社会关系信息。（六）网络行为信息。一、侵犯个人信息权和隐私权的救济有何不同对个人信息的保护应注重预防，而隐私的保护则应注重事后救济。因为个人信息不仅仅关系到个人利益，还有可能涉及到公共利益、公共安全，而隐私则更多地是涉及个人，并不涉及公共利益或公共安全。正是因为这一原因，对个人信息的保护可能超越私权的保护而涉及公共利益。因此，我国的网络信息安全法应重点规定个人信息而不是隐私。对于个人信息权的保护，应采取注重预防的方式，主要原因还在于应在法律上实现信息主体和信息控制者之间的地位平衡，从而赋

2023-02-26

461人看过
产品
信息安全网络安全法是什么？

《网络安全法》正式实施，个人信息安全保护更进一步两个法律文件共同为个人信息安全披上了法律的外衣，让个人信息在网络空间上能够获得足够的重视与保障。具体而言：1、扩大“公民个人信息”范围并明确处理罚则。电商、社交、搜索、地图、直播、云等，收集使用的用户行踪轨迹等活动情况以及全平台账号密码信息被纳入“公民个人信息”范围。同时，明确了“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的”等情况对应的处罚措施。范围最大化以及针对违法活动定罪的量化，为处理侵犯公民个人信息提供了标尺和抓手。2、收集个人信息，需让用户“知情同意”。“网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意”，这是《网络安全法》的一大亮点，不过在执行过程中有需要权衡的地方，默许同意容易流于形式，而明示同意则给企业带来较大负担。3、提高了对互联网企业安全技术能力的要求。“在提供互联网服

2023-04-19

110人看过
精神损害赔偿
个人信息安全内容包括哪些

一、个人信息安全内容包括哪些个人信息的保护方式则呈现多样性和综合性，尤其是可以通过行政手段对其加以保护。例如，对非法储存、利用他人个人信息的行为，政府有权进行制止，并采用行政处罚等方式。对于网上所出现的非法发布不良信息或危害公共安全的信息，政府有关部门有权予以删除。（一）基本信息。（二）设备信息。（三）账户信息。（四）隐私信息。（五）社会关系信息。（六）网络行为信息。二、侵犯个人信息权和隐私权的救济有何不同对个人信息的保护应注重预防，而隐私的保护则应注重事后救济。因为个人信息不仅仅关系到个人利益，还有可能涉及到公共利益、公共安全，而隐私则更多地是涉及个人，并不涉及公共利益或公共安全。正是因为这一原因，对个人信息的保护可能超越私权的保护而涉及公共利益。因此，我国的网络信息安全法应重点规定个人信息而不是隐私。对于个人信息权的保护，应采取注重预防的方式，主要原因还在于应在法律上实现信息主体和信息

2023-05-03

282人看过

产品
信息安全网络安全法是什么？

社会的进步离不开经济的发展，而互联网正是促进经济发展的一个朝阳行业。互联网的确越来越便利，可是同时他也绑定了我们很多的信息，例如身份证，银行卡等，这都是可以威胁到个人生活的。而近日更新的信息安全网络安全法则很好的保护了我们的个人信息，下面我们来看看具体内容。《网络安全法》正式实施，个人信息安全保护更进一步两个法律文件共同为个人信息安全披上了法律的外衣，让个人信息在网络空间上能够获得足够的重视与保障。具体而言：1、扩大“公民个人信息”范围并明确处理罚则。电商、社交、搜索、地图、直播、云等，收集使用的用户行踪轨迹等活动情况以及全平台账号密码信息被纳入“公民个人信息”范围。同时，明确了“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的”等情况对应的处罚措施。范围最大化以及针对违法活动定罪的量化，为处理侵犯公民个人信息提供了标尺和抓手。2、收集个人信息，需让用户“知情同

2023-02-24

230人看过
保证
网络安全和信息安全的区别

一、网络安全和信息安全的区别1、网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。2、信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、消息认证、数据加密等），直至安全系统，如UniNAC、DLP等，只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。二、影响网络

2023-04-12

158人看过