烟草行业安全防护方案

天融信烟草行业安全防护方案

1.烟草行业信息系统概述

2004年上半年，烟草行业加快了“电话订货、网上配货、电子结算、现代物流”为主要内容的现代流通建设，进一步完善网络功能和提升网络运行质量。启动了全国卷烟销售网络标准化工作，组织行业内外专家、业务骨干制定网络的标准和规范。

电子商务作为建立卷烟销售网络各环节信息共享的统一平台发挥了重要的作用，通过平台的管理机制，集中管理卷烟代码、统一批发价格、用户账号等基础信息，从而既可以实现数据库的分布存储，又能对信息进行集中统一管理，在保证数据共享的同时，降低了因数据集中带来的风险。

该平台包括：基本信息管理系统（BIS）、销售管理信息系统(XSMIS)、专卖管理信息系统(ZMMIS)、客户关系管理系统(CRM)、仓储管理系统(WMS)、电话访销系统(CTI)、品牌策划支持分析系统(PPS)、零售连锁网上配货系统(CNS)、信息查询系统（IQS）、办公自动化(OA)系统等十几个业务功能系统，可以说，卷烟销售网络的建设也推动了业务流程的重组。

但是随着网络开放性、互连性、共享性程度的扩大，网络的重要性和对社会的影响也越来越大，网络的安全问题也变得越来越重要。信息网络的安全问题不仅仅涉及到国家的经济安全，还影响着国家的国防安全、政治安全和文化安全。

国家烟草局非常重视信息安全建设，因此特召开了关于学习贯彻《烟草行业计算机网络和信息安全技术管理规范》的会议，北京天融信公司作为国家烟草行业重要的网络安全技术顾问单位，我们认真的研究了会议精神，针对于烟草行业网络的特点，采取动态、科学的设计思想及原则，将信息安全系统规划成合理、科学的网络安全体系应用于烟草行业信息网。我们在网络安全体系及安全管理体系上有层次、有内容、有方法，在设计方案上有坚实的理论基础，整体安全规划设计所提供的信息安全产品具有良好的前瞻性，把烟草行业信息网安全系统建设成为以安全管理、访问控制、安全审计、全监控平台为基础的，基于策略的、动态的、实时的信息安全系统。

为此我们提出的目标是：达到国家规定的烟草行业安全标准，符合烟草行业对信息安全系统的安全要求，满足烟草行业对信息安全的实际需求，形成管理和技术并重的安全解决方案，保障各项业务和管理的正常运行。

2.烟草行业信息系统安全分析及建议

本着“整体规划、等级保护；纵深防御、综合防范”的指导思想，天融信公司结合多年与烟草行业信息安全建设的成功合作经验、业界权威的TOPSEC安全技术理念以及构建在联动体系之上的可信安全架构，对烟草行业的安全设计与规划进行如下分析总结：

在本烟草行业信息安全集成方案中，将按照安全风险防护与安全投资之间的平衡原则

（主要包括层次化的综合防护原则和不同层次重点防护原则），提出以下的安全风险和防护措施，从而建立起全防御体系的信息安全框架，最终构建可信的网络安全架构。

因此，应主要针对烟草行业信息系统的薄弱环节，构建完善的网络边界防范措施、数据通信加密机制、信息系统网络病毒防范机制、网络内部入侵检测机制、网络漏洞风险扫描机制、日志信息集中审计机制、安全设备集中管理机制以及初步的专业安全服务机制等。

整体安全规划建设完成后的效果

通过本次整体安全规划中几个重要方面的安全防护建设，包括构建完善的网络边界防范措施、数据通信加密机制、信息系统网络病毒防范机制、网络内部入侵检测机制、网络漏洞扫描评估机制、日志信息集中审计机制、安全设备集中管理机制以及初步的专业安全服务机制等，最终可以使烟草行业的骨干业务传输网络初步具备较高的抗黑客入侵能力，全面的防毒、查杀毒能力以及对整网设备和系统的审计、控管能力。

同时，加强并完善整个信息网络的运营服务体系机制，包括运营流程、知识库、运维工程人员、事件处理专家人员的补充和完善等；

最后，还要逐步完善并建立烟草行业自己专业的安全服务体系流程、安全服务内容、应急服务机制和流程等；并通过专业的安全服务机制培养烟草行业自己的信息安全专业服务人员、安全评估人员、安全评估流程、安全运营人员、安全知识库以及安全服务工具（如漏洞扫描评估系统、安全控管平台）等，最终使得整个烟草行业信息网的安全防范与控制能力达到“进不来、拿不走、跑不掉、看不懂”的良好效果，从而建立起全防御体系的信息安全框架，最终构建可信的网络安全架构。