中煙工業(yè)公司安全規(guī)劃方案

XX中煙工業(yè)公司

安全規(guī)劃方案

北京天融信科技有限公司

2008年12月

目錄

1概述...........................................................................1

1.1行業(yè)信息化背景..........................................................1

1.2規(guī)劃目標(biāo)................................................................2

1.3規(guī)劃的工作方法..........................................................2

1.4參考標(biāo)準(zhǔn)及資料..........................................................3

2XX中煙信息安全體系...........................................................4

2.1XX中煙業(yè)務(wù)概述.........................................................4

2.2XX中煙信息安全目標(biāo)和體系框架..........................................5

2.2.1信息安全宗旨......................................................5

2.2.2信息安全目標(biāo)......................................................5

2.2.3信息安全保障體系總體框架..........................................6

2.2.4信息安全工作基本原則..............................................7

2.2.5信息系統(tǒng)分級......................................................8

3XX中煙信息安全現(xiàn)狀及問題分析................................................10

3.1煙草行業(yè)信息化現(xiàn)狀.....................................................10

3.2XX中煙信息化狀況.....................................................11

3.3XX中煙當(dāng)前安全風(fēng)險...................................................12

3.4技術(shù)安全問題分析.......................................................12

3.4.1物理安全問題分析.................................................12

3.4.2網(wǎng)絡(luò)安全問題分析.................................................13

3.4.3主機安全問題分析.................................................14

3.4.4應(yīng)用安全問題分析.................................................15

3.4.5數(shù)據(jù)安全問題分析.................................................16

3.5管理安全問題分析.......................................................17

3.5.1組織安全機構(gòu)問題分析.............................................17

3.5.2人員安全問題分析.................................................18

3.5.3安全管理制度問題分析.............................................19

3.5.4系統(tǒng)建設(shè)問題分析.................................................19

3.6運維安全問題分析.......................................................20

4信息安全技術(shù)體系規(guī)劃..........................................................22

4.1信息安全技術(shù)體系.......................................................22

4.2物理安全建設(shè)...........................................................24

4.2.1機房建設(shè)..........................................................24

4.3網(wǎng)絡(luò)安全建設(shè)...........................................................25

4.3.1安全域劃分........................................................25

4.3.2網(wǎng)絡(luò)流量集中監(jiān)控.................................................33

4.3.3網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)（NAP）.............................................34

4.3.4VPN建設(shè).........................................................37

4.3.5安全審計..........................................................38

4.4主機系統(tǒng)安全...........................................................40

4.4.1統(tǒng)補丁管理.......................................................40

4.4.2設(shè)備安全加固.....................................................41

4.4.3集中日志分析管理系統(tǒng).............................................44

4.4.4惡意代碼防范.....................................................46

4.4.5IT設(shè)備掃描評估系統(tǒng)..............................................48

4.5應(yīng)用安全...............................................................49

4.5.1應(yīng)用開發(fā)管理.....................................................49

4.5.2集中身份認(rèn)證與授權(quán)平臺（CA）...................................53

4.6數(shù)據(jù)安全...............................................................59

4.6.1異地容災(zāi)系統(tǒng)中心.................................................59

4.6.2操作審計.........................................................62

4.6.3文檔加密..........................................................63

4.6.4上網(wǎng)行為審計.....................................................66

5安全產(chǎn)品選型建議..............................................................69

5.1建議說明................................................................69

5.2防火墻功能要求和推薦產(chǎn)品..............................................69

5.2.1功能指標(biāo)要求.....................................................69

5.2.2推薦產(chǎn)品介紹.....................................................73

5.3網(wǎng)絡(luò)入侵檢測系統(tǒng)功能要求和推薦產(chǎn)品....................................78

5.3.1功能指標(biāo)要求.....................................................78

5.3.2推薦產(chǎn)品介紹.....................................................79

5.4VPN產(chǎn)品功能要求和推薦產(chǎn)品............................................82

5.4.1功能指標(biāo)要求.....................................................82

5.4.2推薦產(chǎn)品介紹.....................................................86

5.5日志分析系統(tǒng)產(chǎn)品功能要求和推薦產(chǎn)品....................................92

5.5.1功能指標(biāo)要求.....................................................92

5.5.2推薦產(chǎn)品介紹.....................................................93

5.6行為審計產(chǎn)品功能要求和推薦產(chǎn)品........................................98

5.6.1功能指標(biāo)要求.....................................................98

5.6.2推薦產(chǎn)品介紹.....................................................99

5.7桌面管理產(chǎn)品功能要求和推薦產(chǎn)品.......................................102

5.7.1功能指標(biāo)要求.....................................................102

5.7.2推薦產(chǎn)品介紹....................................................104

6信息安全管理體系規(guī)劃.........................................................108

6.1信息安全管理體系......................................................108

6.1.1信息安全策略體系................................................108

6.1.2信息安全組織體系................................................109

6.2組織安全機構(gòu)..........................................................109

6.2.1信息安全組織體系................................................109

6.2.2網(wǎng)絡(luò)系統(tǒng)定期巡檢制度............................................111

6.3人員安全...............................................................112

6.3.1員工信息安全手冊.................................................112

6.3.2第三方安全管理規(guī)范..............................................113

6.3.3外聘IT人員......................................................113

6.3.4員工培訓(xùn)制度.....................................................114

6.3.5IT員工保密協(xié)議..................................................115

6.4安全管理制度...........................................................116

6.4.1信息安全指導(dǎo)方針................................................116

6.4.2個人計算機安全管理制度..........................................117

6.4.3信息安全策略管理流程............................................118

7信息安全運維體系規(guī)劃.........................................................119

7.1信息安全運維體系......................................................119

7.2系統(tǒng)建設(shè)安全..........................................................119

7.2.1信息系統(tǒng)定級.....................................................119

7.2.2IT工程安全施工協(xié)議..............................................120

7.3風(fēng)險評估..............................................................121

7.4系統(tǒng)運維安全..........................................................121

7.4.1賬號/口令管理....................................................121

7.4.2防病毒管理.......................................................123

7.4.3網(wǎng)絡(luò)互聯(lián)安全管理................................................124

7.4.4信息資產(chǎn)管理....................................................127

7.4.5設(shè)備配置技術(shù)管理................................................137

7.4.6安全配置變更管理流程............................................138

7.4.7設(shè)備上線流程....................................................140

7.4.8備份恢復(fù)管理制度................................................142

7.4.9遠(yuǎn)程接入管理....................................................144

7.5應(yīng)急響應(yīng)..............................................................145

7.5.1應(yīng)急響應(yīng)計劃的制定..............................................145

7.5.2應(yīng)急響應(yīng)的培訓(xùn)..................................................146

7.5.3應(yīng)急響應(yīng)的測試..................................................146

7.5.4應(yīng)急響應(yīng)計劃的執(zhí)行..............................................147

8安全規(guī)劃實施計劃.............................................................148

8.1實施計劃確定方法.......................................................148

1概述

1.1行業(yè)信息化背景

2005年4月煙草行業(yè)信息化工作會議上，國家局領(lǐng)導(dǎo)提出要從打造“數(shù)字煙草”的全局

高度，重點解決行業(yè)信息化工作中的突出問題：

/切實解決系統(tǒng)集成、資源整合問題；

/確定管理、業(yè)務(wù)、技術(shù)三方面統(tǒng)一協(xié)調(diào)發(fā)展的集成整合手段；最終實現(xiàn)系統(tǒng)集成、

資源整合、信息共享的目標(biāo)；

/切實解決安全高效、務(wù)求實效問題；

2006年3月的煙草行業(yè)信息化工作會議上，國家局領(lǐng)導(dǎo)再次明確提出了全行業(yè)要統(tǒng)一思

想，加強領(lǐng)導(dǎo)，總結(jié)經(jīng)驗，以開拓創(chuàng)新的精神推進行業(yè)信息化建設(shè)。同時要研究制定落實的

具體措施，全面貫徹落實《數(shù)字煙草發(fā)展綱要》，抓緊作好信息化規(guī)劃的制定和完善工作；

堅持“四個統(tǒng)一”的要求，建設(shè)好行業(yè)數(shù)據(jù)中心；圍繞三大應(yīng)用體系（電子商務(wù)、電子政

務(wù)、管理決策），積極推進信息化重點工程的實施工作。

2007年4月煙草行業(yè)信息化工作會議上，國家局領(lǐng)導(dǎo)提出07年基礎(chǔ)信息保障工作的重點

是：圍繞數(shù)據(jù)中心建設(shè)，加強網(wǎng)絡(luò)管理，完善安全體系，提高防護能力。使煙草信息化建設(shè)

逐步從應(yīng)用功能建設(shè)到融合安全功能建設(shè)。

2008年x月煙草行業(yè)信息化工作會議上，國家局。發(fā)布“指南”

2008年要求展開定級

根據(jù)XX中煙工業(yè)公司（下簡稱XX中煙）的發(fā)展戰(zhàn)略，結(jié)合國家局近年來信息化工作

會議的精神，信息中心重新制訂完善了XX中煙信息化安全總體規(guī)劃，進一步明確了信息化

安全建設(shè)的總體指導(dǎo)思想和工作方針，希望通過總體規(guī)劃的逐步實現(xiàn)，能夠使信息化建設(shè)作

為企業(yè)改革的重要支撐點，帶動中煙各項業(yè)務(wù)工作的開展，保障各信息資產(chǎn)安全性，促進

XX中煙業(yè)務(wù)運作管理水平的提升。

1.2規(guī)劃目標(biāo)

通過結(jié)合國家局要求及xx中煙的使命和愿景、安全工作的現(xiàn)狀、面臨的機遇和挑戰(zhàn)、

領(lǐng)導(dǎo)意圖，進行綜合分析，我們確定安全建設(shè)中長期和短期目標(biāo)如下：

■短期目標(biāo)：

/圍繞數(shù)據(jù)中心，加強IT基礎(chǔ)設(shè)施建設(shè)、IT安全設(shè)施建設(shè)，使數(shù)據(jù)中心建設(shè)過程,

安全保障體系同步，動態(tài)進行建設(shè)，確保數(shù)據(jù)中心建設(shè)安全、運行安全。國家

局今后3年以內(nèi)，主要以數(shù)據(jù)中心建設(shè)為主，XX中煙需在國家局的領(lǐng)導(dǎo)下建設(shè)

省級數(shù)據(jù)中心，因此，為保障數(shù)據(jù)中心的功能建立，需在IT基礎(chǔ)設(shè)施方面、安

全設(shè)施方面進行合理的、有效的建設(shè)，使XX中煙的信息安全支持國家局?jǐn)?shù)據(jù)中

心、省數(shù)據(jù)中心的安全運行，達(dá)到數(shù)據(jù)中心建設(shè)的相關(guān)安全要求。

/解決目前急迫和關(guān)鍵的問題，從等級保護的十大方面做考慮，通過規(guī)劃部署

IPS、系統(tǒng)補丁管理、網(wǎng)絡(luò)準(zhǔn)入控制、日志審計系統(tǒng)、日志統(tǒng)一平臺、PKI/CA

等各種安全技術(shù)措施，同時通過規(guī)劃在XX中煙的安全組織體系、人員安全、

安全策略制度、系統(tǒng)建設(shè)安全、系統(tǒng)運維安全等安全管理措施，爭取通過在較

短期內(nèi)的建設(shè)，使得信息系統(tǒng)的安全狀況有大幅度提高。

■中長期目標(biāo)：結(jié)合《煙草行業(yè)信息安全體系建設(shè)指南》，建設(shè)XX中煙的信息安全技

術(shù)體系、信息安全管理體系、信息安全運維體系，同時，逐步完善XX中煙信息安

全組織體系，進而實現(xiàn)XX中煙的“信息安全保障體系”，并能夠自我發(fā)展和調(diào)整，

以適應(yīng)數(shù)字煙草戰(zhàn)略下的新技術(shù)、新業(yè)務(wù)的發(fā)展，從而能夠保障和促進XX中煙業(yè)

務(wù)的增長和發(fā)展。

1.3規(guī)劃的工作方法

在安全評估與調(diào)查的基礎(chǔ)上，參照國家提出的建設(shè)信息安全保障系統(tǒng)的要求和國家局信

息安全建設(shè)要求，根據(jù)等級保護和突出重點原則，并參照國際安全標(biāo)準(zhǔn)，設(shè)計XX中煙的信

息安全等級保障體系。根據(jù)XX中煙的信息安全遠(yuǎn)景和階段目標(biāo)、安全保障體系的要求，并

結(jié)合當(dāng)前的安全現(xiàn)狀，進行安全建設(shè)規(guī)劃，確定目前建設(shè)安全保障體系需要做的工作和步驟,

指導(dǎo)未來三至五年的安全建設(shè)工作。

根據(jù)規(guī)劃，進行包括管理體系和技術(shù)體系的整體安全體系的建設(shè)與實施，之后進入運行

期，進行安全體系的運營和持續(xù)改進工作，并定期評估、建設(shè)、審計和改進。

規(guī)劃方法的總體邏輯和流程如下：

1.信凡安全的宋立布目標(biāo)

n

1.4參考標(biāo)準(zhǔn)及資料

本信息安全規(guī)劃，主要參考如下標(biāo)準(zhǔn)和資料，

相關(guān)標(biāo)準(zhǔn)及資料：

/IS027001信息安全管理體系要求

/IS013335信息技術(shù)-信息安全管理指導(dǎo)

/《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)［200刃27號）

/《關(guān)于信息安全等級保護工作的實施意見》（公通字［2004|66號）精神

/《信息系統(tǒng)等級保護實施指南》

/《信息系統(tǒng)安全保護等級定級指南》

/《信息系統(tǒng)安全等級保護基本要求》

行業(yè)資料：

/《數(shù)字煙草發(fā)展綱要》

,《煙草行業(yè)數(shù)據(jù)中心建設(shè)實施意見》

/《煙草行業(yè)計算機信息網(wǎng)絡(luò)安全保護規(guī)定》

/《全國煙草行業(yè)信息化工作管理辦法》

《煙草行業(yè)計算機網(wǎng)絡(luò)和信息安全技術(shù)與管理規(guī)范》

《煙草行業(yè)信息安全體系建設(shè)指南》

2XX中煙信息安全體系

2.1XX中煙業(yè)務(wù)概述

■現(xiàn)有應(yīng)用系統(tǒng)

>核心業(yè)務(wù)樞紐平臺-ERP企業(yè)資源計劃系統(tǒng)

>銜接計劃與生產(chǎn)的執(zhí)行平臺-MIS生產(chǎn)指揮系統(tǒng)

>營銷服務(wù)平臺-協(xié)同營銷綜合管理系統(tǒng)

>協(xié)同辦公平臺-0A辦公自動化系統(tǒng)

>財務(wù)管理平臺-財務(wù)系統(tǒng)

>電子商務(wù)系統(tǒng)

>煙葉調(diào)撥管理系統(tǒng)

A對外網(wǎng)站系統(tǒng)

■網(wǎng)絡(luò)現(xiàn)狀

-4-

圖2-1XX中煙工業(yè)公司網(wǎng)絡(luò)拓?fù)涫疽鈭D

2.2XX中煙信息安全目標(biāo)和體系框架

2.2.1信息安全宗旨

xx中煙工業(yè)公司信息安全工作的宗旨為：

1）保障XX中煙工業(yè)公司信息系統(tǒng)安全和穩(wěn)定的運行，為日常運轉(zhuǎn)提供良好基礎(chǔ)，保

障和促進業(yè)務(wù)發(fā)展和業(yè)務(wù)目標(biāo)的實現(xiàn)。

2）對XX中煙工業(yè)公司企業(yè)重組提供支持，重組后的企業(yè)首先從信息化進行整合，保

障信息化整合中的信息安全，包括信息的可用性、完整性、機密性、可靠性、抗抵

賴性。

3）具有先進的信息安全保障水平，成為廣大用戶對XX中煙工業(yè)公司信賴的基礎(chǔ)，提

高XX中煙工業(yè)公司的品牌形象和客戶忠誠度；

2.2.2信息安全目標(biāo)

XX中煙工業(yè)公司信息安全目標(biāo)是建成煙草行業(yè)一流的信息安全保障體系。

-5-

建設(shè)一套覆蓋全面、重點突出、持續(xù)運行的XX中煙工業(yè)公司信息安全保障體系，達(dá)到

煙草行業(yè)一流的信息安全保障水平，支撐和保障信息系統(tǒng)和業(yè)務(wù)的安全穩(wěn)定運行。該體系覆

蓋信息系統(tǒng)安全所要求的各項內(nèi)容，包含安全策略，安全組織，安全技術(shù)和安全運維四部分,

符合信息系統(tǒng)的業(yè)務(wù)特性和發(fā)展戰(zhàn)略，滿足XX中煙與下屬企業(yè)的信息安全要求?？沙掷m(xù)發(fā)

展與完善。

2.2.3信息安全保障體系總體框架

信息安全保障體系的設(shè)計目標(biāo)是以XX中煙信息系統(tǒng)的實際情況和現(xiàn)實問題為基礎(chǔ)，參

照國際和國內(nèi)的安全標(biāo)準(zhǔn)和規(guī)范，充分利用成熟的信息安全理論成果，設(shè)計出兼顧整體性、

可操作性，并且融策略、組織、運作和技術(shù)為一體的安全體系。

信息安全保障體系內(nèi)容包括信息系統(tǒng)的分級，各級系統(tǒng)的安全要求，信息安全保障體系

總體框架，分為安全策略體系、安全組織體系、安全技術(shù)體系和安全運維體系四個部分。涉

及的范圍涵蓋XX中煙和各下屬煙廠的信息系統(tǒng)及安全要求。

信息安全保障體系總體框架如下圖所示：

安全策略體系信息安全政策

管理制度組織職責(zé)技術(shù)標(biāo)準(zhǔn)規(guī)范

安全組織體系安

全

教育

人員

安全人員運

培訓(xùn)

全

安

組織職責(zé)安全體系建設(shè)行

體

系

項目建設(shè)安全管理

安全技術(shù)體系

安全風(fēng)險管理

身份

訪問防惡意

證

認(rèn)加密與控制

控制代碼

審核備份

加固監(jiān)控安全運行與維護

跟蹤恢復(fù)

圖2-2信息安全保障體系總體框架

整個體系分為四部分，包括策略體系、組織體系、技術(shù)體系和運作體系，四者有機結(jié)

-6-

合，又相互支撐，之間的關(guān)系為“根據(jù)策略體系中策略，由組織體系（或人員），利用技術(shù)

體系作為工具和手段，進行操作來維持運行體系\

在現(xiàn)階段，根據(jù)XX中煙現(xiàn)有信息系統(tǒng)的情況，可以把安全體系框架進一步落實如下圖:

圖2-3安全體系框架

整體的安全保障體系分為技術(shù)體系和管理體系，其中管理體系可以分為策略、組織和運

作三個部分。技術(shù)體系包括基礎(chǔ)設(shè)施安全和應(yīng)用安全，基礎(chǔ)設(shè)施安全是指物理、網(wǎng)絡(luò)和系統(tǒng)

層面的安全基礎(chǔ)設(shè)施和技術(shù)支撐平臺，應(yīng)用安全是指應(yīng)用和數(shù)據(jù)層面的安全措施，包括加密、

認(rèn)證和授權(quán)、備份和容災(zāi)等。

2.2.4信息安全工作基本原則

“上級指導(dǎo)”原則：積極的響應(yīng)國家局關(guān)于信息安全建設(shè)要求，建立xx中煙工業(yè)公司

特色的信息安全體系，確保信息安全建設(shè)以國家局為主導(dǎo)，以中煙具體現(xiàn)狀為依據(jù)，進行建

設(shè)；

“全面保障”原則：信息安全風(fēng)險的控制需要多角度、多層次，從各個環(huán)節(jié)入手，全面

的保障；

“整體規(guī)劃，分步實施”原則：根據(jù)“五統(tǒng)一”原則對XX中煙工業(yè)公司信息安全建設(shè)

-7-

進行整體規(guī)劃，分步實施，逐步建立完善的信息安全體系；

“同步規(guī)劃、同步建設(shè)、同步運行"原則：信息安全體系建設(shè)應(yīng)與信息化建設(shè)應(yīng)當(dāng)同步

規(guī)劃，同步建設(shè)，協(xié)調(diào)發(fā)展，要將信息安全體系建設(shè)融入到信息化建設(shè)的規(guī)劃、建設(shè)、運行

和維護的全過程中；；

“業(yè)務(wù)優(yōu)先”原則：信息安全體系建設(shè)應(yīng)始終貫徹“以安全保發(fā)展，在發(fā)展中求安全”

的精神，信息安全體系建設(shè)要保障和促進行業(yè)業(yè)務(wù)的發(fā)展；

“綜合防范”原則：根據(jù)信息系統(tǒng)的安全級別，采用適當(dāng)?shù)墓芾砗图夹g(shù)措施，降低安全

風(fēng)險，綜合提高保障能力：

“適度安全”原則：沒有絕對的安全，安全和易用性是矛盾的，需要做到適度安全，找

到安全和易用性的平衡點；

“內(nèi)外并重”原則：安全工作需要做到內(nèi)外并重，在防范外部威脅的同時，加強規(guī)范內(nèi)

部人員行為和訪問控制、監(jiān)控和審計能力；

“符合性”原則：信息安全體系建設(shè)要符合國家的有關(guān)法律法規(guī)和政策精神，以及煙草

行業(yè)有關(guān)制度和規(guī)定，同時應(yīng)當(dāng)符合有關(guān)國家技術(shù)標(biāo)準(zhǔn)，以及行業(yè)的技術(shù)標(biāo)準(zhǔn)和規(guī)范；

“技術(shù)與管理并重”原則：網(wǎng)絡(luò)與信息安全不是單純的技術(shù)問題，需要在采用安全技術(shù)

和產(chǎn)品的同時，重視安全管理，不斷完善各類安全管理規(guī)章制度和操作規(guī)程，全面提高安全

管理水平。

2.2.5信息系統(tǒng)分級

信息系統(tǒng)分級主要是從安全角度對XX中煙工業(yè)公司信息系統(tǒng)進行抽象概括，描述XX

中煙工業(yè)公司信息系統(tǒng)的安全屬性和要求，并以此為基礎(chǔ)對各系統(tǒng)進行分級，并描述各級的

安全要求。分級的標(biāo)準(zhǔn)是根據(jù)公安部《信息系統(tǒng)安全保護等級定級指南》，根據(jù)XX中煙工業(yè)

公司信息系統(tǒng)的實際情況設(shè)計的分級方法和標(biāo)準(zhǔn)，具體內(nèi)容參見，《信息系統(tǒng)等級劃分方法》:

安全定級過程與標(biāo)準(zhǔn)。分級后每個等級的安全要求請參見《信息系統(tǒng)等級保護基本要求》：各

等級安全要求。

XX中煙工業(yè)公司的各業(yè)務(wù)系統(tǒng)定級如下表所示。

信息系統(tǒng)第一級1個第二級2個

7個

總數(shù)第三級4個第四級0個

-8-

信息系統(tǒng)名稱信息系統(tǒng)描述主管單位使用人員服務(wù)范圍保護等級

該系統(tǒng)主要用途是：

1.原、輔料的采購、出入庫、

庫存、結(jié)算、核算；

2.質(zhì)量管理；

XX中煙工業(yè)公3.生產(chǎn)管理；XX中煙工業(yè)

內(nèi)部人員本省三級

司ERP系統(tǒng)4.成品：出入庫、庫存管理；公司

5.產(chǎn)品數(shù)據(jù)管理：產(chǎn)品配方管

理。

該系統(tǒng)在XX中煙的生產(chǎn)、經(jīng)

營、管理工作中發(fā)揮重要作用。

該系統(tǒng)主要用途是銷售計劃及銷

售數(shù)據(jù)管理、生產(chǎn)計劃管理、市

XX中煙工業(yè)公內(nèi)部人員

場營銷中心信息發(fā)布、銷售信息市場營銷中

司協(xié)同營銷綜合及省商業(yè)本省三級

采集、卷煙成品物流管理、銷售心

管理系統(tǒng)公司

分析等，在XX中煙的生產(chǎn)、經(jīng)

營、管理工作中發(fā)揮重要作用

該系統(tǒng)用于發(fā)布辦公信息、公文

XX中煙工業(yè)公流轉(zhuǎn)、個人辦公、事務(wù)管理，在

辦公室內(nèi)部人員本省三級

司協(xié)同辦公系統(tǒng)XX中煙的生產(chǎn)、經(jīng)營、管理工

作中發(fā)揮重要作用

該系統(tǒng)用于進行本省的財務(wù)管

XX中煙工業(yè)公

理，在XX中煙的生產(chǎn)、經(jīng)營、財務(wù)管理部內(nèi)部人員本省三級

司財務(wù)系統(tǒng)

管理工作中發(fā)揮重要作用

該系統(tǒng)主要用于輔料（非專賣品）

的網(wǎng)上洽談、網(wǎng)上交易（達(dá)成交

易協(xié)定，并不涉及資金的網(wǎng)上支

XX中煙工業(yè)公內(nèi)部人員

付）、合同簽訂、發(fā)貨到貨管物資部本省二級

司電子商務(wù)系統(tǒng)及供應(yīng)商

理、供應(yīng)商管理等，在XX中煙

的生產(chǎn)、經(jīng)營、管理工作中發(fā)揮

的作用較重要。

該系統(tǒng)主要用于在互聯(lián)網(wǎng)上發(fā)布

XX中煙工業(yè)公司企業(yè)概況、進

內(nèi)部人員

XX中煙工業(yè)公行品牌展示，是中煙公司對社會

辦公室及社會公行業(yè)外二級

司外部網(wǎng)站公眾的宣傳窗口，在XX中煙的

眾

生產(chǎn)、經(jīng)營、管理中發(fā)揮的作用

較重要。

該系統(tǒng)主要用于為中煙公司領(lǐng)導(dǎo)

XX中煙工業(yè)公和職工提供郵件收發(fā)服務(wù)，在

信息中心內(nèi)部人員本省一級

司郵件系統(tǒng)XX中煙的生產(chǎn)、經(jīng)營、管理工

作中發(fā)揮的作用一般。

-9-

3XX中煙信息安全現(xiàn)狀及問題分析

3.1煙草行業(yè)信息化現(xiàn)狀

從2005年1月1日開始，中國煙草市場對國外煙草制品的配額數(shù)量分配制取消，卷煙

關(guān)稅下調(diào)至國際水平。因此，國產(chǎn)卷煙的價格優(yōu)勢不再明顯，品牌將成為企業(yè)間角力主戰(zhàn)

場。面對虎視眈眈的跨國煙草公司，煙草行業(yè)的發(fā)奮圖強己刻不容緩。從2002年開始，國家

專賣局提出了全力推動“大市場、大品牌、大企業(yè)”的核心戰(zhàn)略，將“深化改革、推動重

組、走向聯(lián)合、共同發(fā)展”作為全國煙草工作的主要任務(wù)，以應(yīng)對外煙競爭。而信息化則成

為驅(qū)動煙草行業(yè)大轉(zhuǎn)折的助推器。為了配合煙草行業(yè)的市場和品牌戰(zhàn)略，國家煙草專賣局對

信息化進行了認(rèn)真的戰(zhàn)略思考，制定了總體規(guī)劃和戰(zhàn)略目標(biāo)。提出了“統(tǒng)一平臺、統(tǒng)一數(shù)據(jù)

庫、統(tǒng)一網(wǎng)絡(luò)”的三統(tǒng)一方針，并確定了卷煙生產(chǎn)經(jīng)營決策管理系統(tǒng)、辦公自動化系統(tǒng)、電

子商務(wù)系統(tǒng)三大信息化重點工程。經(jīng)過多年的發(fā)展，煙草行業(yè)信息化逐步成形、成規(guī)模，并

在生產(chǎn)過程中占據(jù)重要作用。

當(dāng)前煙草行業(yè)信息化現(xiàn)狀：

■信息系統(tǒng)支撐設(shè)施初具規(guī)模，國家局及各大煙草公司內(nèi)部網(wǎng)絡(luò)建設(shè)基本實現(xiàn)了網(wǎng)

絡(luò)三層結(jié)構(gòu)，如核心層、匯聚層、接入層，使網(wǎng)絡(luò)結(jié)構(gòu)清晰，功能明確，邊界明

顯。同時，煙草行業(yè)網(wǎng)絡(luò)以國家局（總公司）為中心，覆蓋全行業(yè)各個單位的信

息通信網(wǎng)絡(luò)基本建成。

■行業(yè)信息技術(shù)的應(yīng)用水平不斷提高。卷煙生產(chǎn)經(jīng)營決策管理系統(tǒng)、卷煙銷售網(wǎng)絡(luò)

系統(tǒng)、網(wǎng)上交易系統(tǒng)、專賣管理系統(tǒng)、財會管理信息系統(tǒng)、辦公自動化系統(tǒng)等已

在行業(yè)管理和生產(chǎn)經(jīng)營活動中發(fā)揮重要作用。

■行業(yè)信息資源有了初步積累，各種應(yīng)用系統(tǒng)集中了大量的數(shù)據(jù)信息，初步形成了

基于各類業(yè)務(wù)主題的數(shù)據(jù)庫。

■行業(yè)信息化隊伍基本形成，已有4000名左右專職從事信息化工作的人員.

■行業(yè)信息化發(fā)展戰(zhàn)略明確：煙草行業(yè)信息發(fā)展的主要目標(biāo)是“數(shù)字煙草”，通過

信息化建設(shè)，使煙草從決策到生產(chǎn)、從采購到營銷、從管理到執(zhí)行均實現(xiàn)數(shù)字

化，有力的支持煙草總公司的發(fā)展戰(zhàn)略。

■信息安全建設(shè)已起步，各煙草公司在防病毒、防垃圾、桌面管理方面均進行了建

-10-

設(shè)。同時部分中煙也啟動高端的安全項目建設(shè)，如信息安全風(fēng)險評估、網(wǎng)絡(luò)主機

安全自評系統(tǒng)、Internet網(wǎng)絡(luò)統(tǒng)一出口等，另外，國家局針對信息化安全建設(shè)近

期也出臺了相關(guān)的安全建設(shè)文檔，如《煙草行業(yè)信息安全體系建設(shè)指南》，指導(dǎo)

信息安全建設(shè)。

3.2XX中煙信息化狀況

2004年元月，XX煙草行業(yè)實行工商體制改革，XX中煙工業(yè)公司正式成立。2006年11

月，XX中煙工業(yè)公司與所屬X1煙草（集團）公司、X2卷煙總廠、X3卷煙總廠實現(xiàn)一體化合

并重組。XX中煙堅持以科學(xué)發(fā)展觀統(tǒng)領(lǐng)工作全局，以培育發(fā)展重點品牌為突出重點和工作主

線，以實現(xiàn)XX卷煙工業(yè)全面崛起為奮斗目標(biāo)，精心培育帝豪、紅旗渠等重點品牌。在信息化

建設(shè)方面，主要圍繞四大中心（技術(shù)研發(fā)中心、市場營銷中心、物資采購中心、生產(chǎn)管理制

造中心）進行建設(shè)，在近幾年中，信息化的速度較快，信息系統(tǒng)基本覆蓋了四大中心，為實

現(xiàn)“數(shù)字中煙”打下了基礎(chǔ)。

■企業(yè)生產(chǎn)及生產(chǎn)管理系統(tǒng)方面

根據(jù)國家局要求，XX中煙成立四大中心（技術(shù)研發(fā)中心、市場營銷中心、物資采

購中心、生產(chǎn)管理制造中心），目前大部分信息系統(tǒng)建設(shè)均圍繞四大中心進行建設(shè)，當(dāng)

前信息系統(tǒng)有：

>生產(chǎn)中心：已建設(shè)運行的信息系統(tǒng)有ERP系統(tǒng)，該系統(tǒng)目前正在進行升級改造；

國家局針對生產(chǎn)策決管理，建立一號工程系統(tǒng)，均已在XX中煙各煙廠運行。

>營銷中心：已建立了協(xié)同營銷綜合管理管理系統(tǒng)；為提高營銷中心信息化，已

著手對綜合營銷管理系統(tǒng)進行改進。

>物流中心：當(dāng)前已運行的信息系統(tǒng)有電子商務(wù)系統(tǒng)，煙葉調(diào)撥管理系統(tǒng)，其主

要負(fù)責(zé)XX中煙的倉庫、物資、原料管理；另根據(jù)物流/采購中心要求，計劃建

設(shè)物資采購平臺、物資配送系統(tǒng)，實現(xiàn)物資/采購“數(shù)字化”。

>技術(shù)中心：目前沒有專用的信息系統(tǒng)，正在規(guī)劃建設(shè)技術(shù)中心綜合管理系統(tǒng)，

實現(xiàn)對產(chǎn)品設(shè)計的“數(shù)字化”管理，技術(shù)研發(fā)和質(zhì)量管理的流程化和規(guī)范化，

促進內(nèi)部溝通交流，提高管理效率。

■XX中煙企業(yè)管理方面

根據(jù)XX中煙企業(yè)管理文化，以及XX中煙在企業(yè)管理方面邁向“無紙化”、“數(shù)字

化”，目前，建立了0A系統(tǒng)（協(xié)同辦公）、ERP系統(tǒng)，郵件系統(tǒng)、人力資管理管理系

-II-

統(tǒng)、綜合文檔管理系統(tǒng)等等信息系統(tǒng)，使XX中煙信息化管理基本實現(xiàn)。

■信息安全方面

隨著XX中煙的信息化建設(shè)的步伐加快，安全建設(shè)也受到XX中煙領(lǐng)導(dǎo)的關(guān)注。在

建設(shè)信息系統(tǒng)的同時，在安全建設(shè)方面，XX中煙也同樣進行了建設(shè)：

》病毒技術(shù)體系

>防垃圾郵件系統(tǒng)

>資產(chǎn)管理系統(tǒng)

3.3XX中煙當(dāng)前安全風(fēng)險

3.4技術(shù)安全問題分析

3.4.1物理安全問題分析

編號弱點名稱風(fēng)險等級風(fēng)險描述解決方案

TP-1維護人員在機房的維護日志未登記，《機房運行標(biāo)

機房進出第三方人員進、出機房也未進行登記，無準(zhǔn)》

人員登記制度中法對機房人員進行管理和監(jiān)控，同時可能

未落實到位造成物理破壞（設(shè)備遺失），和執(zhí)行不當(dāng)操

作無法追查。

TP-2機房設(shè)備（IT系統(tǒng)、電源設(shè)備、電源《機房設(shè)備管理

TP-51、無有效線、數(shù)據(jù)線等）非常龐大，如果沒有一個好方法》

的機房設(shè)備管的管理方法，一方面不方便新設(shè)備進入機

理方法（或軟中房，另一方面可能會引起誤操作造成業(yè)務(wù)

件）中斷

數(shù)據(jù)線與電源線未進行隔離，會造成

電磁干擾，影響數(shù)據(jù)線的傳輸。

TP-3機房內(nèi)設(shè)結(jié)合《機房設(shè)備

備（網(wǎng)線、主機房有少部分設(shè)備無明顯、準(zhǔn)確的標(biāo)管理方法》，清

機、網(wǎng)絡(luò)設(shè)備低簽。維護過程中，可能會造成誤操作，引整機房設(shè)備

等相關(guān)設(shè)備）標(biāo)起業(yè)務(wù)中斷

識不全

TP-4通過評估人員現(xiàn)場評估，當(dāng)前機房的增加符合標(biāo)準(zhǔn)的

機房溫度

溫度在22攝氏度，高于機房溫度標(biāo)準(zhǔn)，設(shè)空調(diào)設(shè)備，使機

控制不符合標(biāo)低

備長期在此溫度之下，影1」內(nèi)IT設(shè)備的正常房溫度保持在

準(zhǔn)

使用年限，引發(fā)設(shè)備物理故障20~21度

TP-7機房IT設(shè)中目前，全公司各個煙廠沒有統(tǒng)一部署《機房運行標(biāo)

-12-

備無實時監(jiān)控機房IT設(shè)備實時監(jiān)控系統(tǒng)。煙廠正在實施準(zhǔn)》

系統(tǒng)及人員網(wǎng)碩網(wǎng)管軟件。而且，沒有配備IT設(shè)備監(jiān)

控員，無法對設(shè)備運行狀況進行及時監(jiān)

控，IT設(shè)備異常無法及時發(fā)現(xiàn)，影響IT系

統(tǒng)服務(wù)質(zhì)量。

3.4.2網(wǎng)絡(luò)安全問題分析

編號弱點名稱風(fēng)險等級風(fēng)險描述解決方案

TN-1重要設(shè)備單點故障網(wǎng)絡(luò)內(nèi)部重要的支撐性設(shè)備沒有網(wǎng)絡(luò)基礎(chǔ)建設(shè)（消除

高

進行冗余，提高網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的可重要網(wǎng)絡(luò)設(shè)備的單

用性，當(dāng)設(shè)備發(fā)生故障時，會造成部點）

分或全部業(yè)務(wù)不能使用。

TN-2網(wǎng)絡(luò)未進行安全域整個網(wǎng)絡(luò)，未根據(jù)各部門的應(yīng)用網(wǎng)絡(luò)安全域劃分

高

劃分使用情況進行安全域劃分，確定邊

界。并根據(jù)各安全域的安全要求，進

行安全設(shè)備防護。當(dāng)前的網(wǎng)絡(luò)為一個

大網(wǎng)，發(fā)生安全事