前言：本站為你精心整理了信息化資產(chǎn)網(wǎng)絡(luò)安全工作體系構(gòu)建范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

摘要：面對(duì)煙草行業(yè)網(wǎng)絡(luò)安全工作的新形勢(shì)、新變化和新要求，結(jié)合行業(yè)信息化發(fā)展的特點(diǎn)及和行業(yè)各單位信息化資產(chǎn)的應(yīng)用情況，以行業(yè)“分級(jí)分域、整體保護(hù)、積極預(yù)防、動(dòng)態(tài)管理”的總體安全方針為指導(dǎo)，以網(wǎng)絡(luò)安全“雙線思維”為目標(biāo)要求，構(gòu)建基于信息化資產(chǎn)的網(wǎng)絡(luò)安全工作體系。該體系以信息資產(chǎn)為中心，以人和信息資產(chǎn)為管理對(duì)象，涵蓋安全形勢(shì)、政策體系、管理體系、技術(shù)體系、工作保障體系5項(xiàng)重點(diǎn)內(nèi)容。網(wǎng)絡(luò)安全工作體系的建立可以全面指導(dǎo)行業(yè)各單位開(kāi)展網(wǎng)絡(luò)安全工作，形成規(guī)范、有序、高效、全面的網(wǎng)絡(luò)安全工作機(jī)制。

關(guān)鍵詞：煙草行業(yè)網(wǎng)絡(luò)安全；資產(chǎn)；體系

近年來(lái)，在信息化飛速發(fā)展的同時(shí)，網(wǎng)絡(luò)安全形勢(shì)也日趨嚴(yán)峻和復(fù)雜。國(guó)家、行業(yè)以及各級(jí)主管部門(mén)，對(duì)網(wǎng)絡(luò)安全工作越來(lái)越重視，要求也越來(lái)越高。多次強(qiáng)調(diào)“網(wǎng)絡(luò)安全與信息化是一體之兩翼，驅(qū)動(dòng)之雙輪”，“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”。網(wǎng)絡(luò)安全工作已上升到國(guó)家戰(zhàn)略層面。因此網(wǎng)絡(luò)安全工作，除了關(guān)系到企業(yè)的自身利益外，也具有一定的政治意義。面對(duì)當(dāng)前網(wǎng)絡(luò)安全工作的新形勢(shì)、新變化和新要求，以及煙草行業(yè)本身的特殊性。必須理清網(wǎng)絡(luò)安全工作的方方面面，形成一套相對(duì)完整的網(wǎng)絡(luò)安全工作體系，才能把網(wǎng)絡(luò)安全工作做的有條理、更全面、更輕省、見(jiàn)成效。

1構(gòu)建基于網(wǎng)絡(luò)安全工作體系的原因

（1）網(wǎng)絡(luò)安全工作的本質(zhì)是保護(hù)信息資產(chǎn)的安全。近些年網(wǎng)絡(luò)安全工作的開(kāi)展，基本上也是圍繞信息化資產(chǎn)來(lái)開(kāi)展的。如2014年開(kāi)展的煙草行業(yè)信息系統(tǒng)全面梳理、全面診斷、全面加固整改情況專項(xiàng)檢查工作，2015年煙草行業(yè)信息系統(tǒng)賬號(hào)安全專項(xiàng)檢查工作，2016年開(kāi)展的煙草行業(yè)信息系統(tǒng)應(yīng)用安全專項(xiàng)檢查及同年開(kāi)展的工控系統(tǒng)摸底調(diào)查，2017年業(yè)務(wù)信息系統(tǒng)風(fēng)險(xiǎn)調(diào)研都是圍繞信息系統(tǒng)資產(chǎn)開(kāi)展的工作。2018年開(kāi)展的煙草行業(yè)網(wǎng)絡(luò)安全檢查。將檢查范圍擴(kuò)大到信息系統(tǒng)、終端計(jì)算機(jī)、網(wǎng)絡(luò)架構(gòu)、安全產(chǎn)品的配備和使用情況、以及網(wǎng)絡(luò)安全主體責(zé)任落實(shí)情況等方面，也都是圍繞企業(yè)信息化資產(chǎn)進(jìn)行；2019年開(kāi)展的企業(yè)重要數(shù)據(jù)和個(gè)人信息梳理工作是圍繞數(shù)據(jù)資產(chǎn)開(kāi)展。即將于2019年出臺(tái)的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，所針對(duì)的對(duì)象也是信息系統(tǒng)、基礎(chǔ)網(wǎng)絡(luò)、云平臺(tái)、物聯(lián)網(wǎng)、大數(shù)據(jù)、移動(dòng)平臺(tái)等信息資產(chǎn)。由此可見(jiàn)網(wǎng)絡(luò)安全一切工作的根本和中心就是信息化資產(chǎn)。（2）缺乏系統(tǒng)的網(wǎng)絡(luò)安全工作體系來(lái)指導(dǎo)工作開(kāi)展。網(wǎng)絡(luò)安全近幾年才開(kāi)始重視，大多數(shù)企業(yè)網(wǎng)絡(luò)安全工作都是處在初級(jí)階段，網(wǎng)絡(luò)安全管理體系、技術(shù)體系、工作保障體系等還沒(méi)有完全建立起來(lái)。網(wǎng)絡(luò)安全工作錯(cuò)綜復(fù)雜，大多數(shù)情況下，很多企業(yè)只是在做好日常網(wǎng)絡(luò)安全管理工作的同時(shí)，跟著上級(jí)主管部門(mén)的要求來(lái)開(kāi)展各類工作，工作往往非常被動(dòng)。若有相關(guān)工作體系來(lái)指導(dǎo)，網(wǎng)絡(luò)安全工作的開(kāi)展將會(huì)更加主動(dòng)。做起事來(lái)不至于東一榔頭西一棒槌，能夠清楚的知道“做什么，怎么做，什么時(shí)候做，做的效果如何”。

2基于信息化資產(chǎn)的網(wǎng)絡(luò)安全工作框架設(shè)計(jì)

2.1基于信息化資產(chǎn)的網(wǎng)絡(luò)安全工作框架簡(jiǎn)介

該圖是煙草行業(yè)網(wǎng)絡(luò)安全工作體系的基本框架設(shè)計(jì)圖，由圖可見(jiàn)，網(wǎng)絡(luò)安全工作體系，以信息化資產(chǎn)為中心，以人和信息資產(chǎn)為管理對(duì)象，包含安全形勢(shì)、政策體系、工作支撐體系、管理體系和技術(shù)體系5大方面。它的架構(gòu)如同一座房子，由屋頂、地基、和墻體組成，房屋里面是保護(hù)和管理的對(duì)象，就是人和信息化資產(chǎn)；房屋上面的烏云就是威脅企業(yè)信息資產(chǎn)的各類安全威脅，就是安全形勢(shì)；房屋的地基就是支撐企業(yè)網(wǎng)絡(luò)安全工作所必須的機(jī)構(gòu)、人才隊(duì)伍、資金以及領(lǐng)導(dǎo)的支持；房頂就是根據(jù)國(guó)家政策、上級(jí)指示、相關(guān)部門(mén)的要求以及企業(yè)生產(chǎn)經(jīng)營(yíng)的需要所制定的企業(yè)網(wǎng)絡(luò)安全方針、政策和規(guī)劃；墻體有兩大支柱，一個(gè)是網(wǎng)絡(luò)安全管理體系，一個(gè)是網(wǎng)絡(luò)安全技術(shù)體系。由此形成一套系統(tǒng)的網(wǎng)絡(luò)安全工作框架。

2.2信息化資產(chǎn)

信息化資產(chǎn)是重要的管理和保護(hù)對(duì)象，明確管理和保護(hù)的對(duì)象是一切工作的前提。煙草行業(yè)信息化資產(chǎn)主要包含以下6大類。分別是信息系統(tǒng)類、網(wǎng)絡(luò)安全產(chǎn)品、基礎(chǔ)信息網(wǎng)絡(luò)、機(jī)房基礎(chǔ)設(shè)施、計(jì)算機(jī)終端以及其他信息技術(shù)產(chǎn)品。（1）信息系統(tǒng)類資產(chǎn)。信息系統(tǒng)，是指由計(jì)算機(jī)硬件、網(wǎng)絡(luò)和通訊設(shè)備、計(jì)算機(jī)軟件、信息資源、信息用戶和規(guī)章制度組成的以處理信息流為目的的人機(jī)一體化系統(tǒng)。包括但不限于工控系統(tǒng)、物聯(lián)網(wǎng)系統(tǒng)、云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、采用移動(dòng)互聯(lián)技術(shù)的信息系統(tǒng)以及類似網(wǎng)站、營(yíng)銷信息系統(tǒng)、財(cái)務(wù)信息系統(tǒng)、人力資源信息系統(tǒng)、協(xié)同辦公平臺(tái)（OA）等常規(guī)信息系統(tǒng)。在企業(yè)內(nèi)部，信息系統(tǒng)往往承載著企業(yè)重要業(yè)務(wù)的運(yùn)行以及重要數(shù)據(jù)的存儲(chǔ)和交互，對(duì)企業(yè)十分重要，是企業(yè)網(wǎng)絡(luò)安全保護(hù)和管理的主要對(duì)象。如對(duì)卷煙工廠來(lái)說(shuō)，工業(yè)控制系統(tǒng)是否正常直接關(guān)系到企業(yè)的生產(chǎn)活動(dòng)能夠有序進(jìn)行，一旦系統(tǒng)遭到攻擊導(dǎo)致數(shù)據(jù)丟失或者系統(tǒng)癱瘓，將直接導(dǎo)致生產(chǎn)停滯，造成大量經(jīng)濟(jì)損失。再如對(duì)商業(yè)公司來(lái)說(shuō)，卷煙統(tǒng)一訂貨平臺(tái)，承載重要卷煙零售戶信息和卷煙銷售信息，一旦出現(xiàn)信息泄露或者系統(tǒng)癱瘓，影響業(yè)務(wù)的同時(shí)也會(huì)對(duì)社會(huì)造成不良影響。（2）網(wǎng)絡(luò)安全產(chǎn)品。主要用于網(wǎng)絡(luò)安全工作中的技術(shù)保障，主要有防火墻、上網(wǎng)行為管理、堡壘機(jī)、日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、網(wǎng)絡(luò)準(zhǔn)入設(shè)備、網(wǎng)絡(luò)認(rèn)證設(shè)備、防病毒系統(tǒng)，等等。（3）基礎(chǔ)信息網(wǎng)絡(luò)。基礎(chǔ)信息網(wǎng)絡(luò)是為信息流通、信息系統(tǒng)運(yùn)行起基礎(chǔ)支撐作用的信息網(wǎng)絡(luò)，主要包括企業(yè)局域網(wǎng)、電信網(wǎng)、互聯(lián)網(wǎng)、業(yè)務(wù)專網(wǎng)等網(wǎng)絡(luò)設(shè)施設(shè)備。（4）機(jī)房基礎(chǔ)設(shè)施。機(jī)房基礎(chǔ)設(shè)施是承載基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)主要硬件資源的動(dòng)力和環(huán)境設(shè)施。主要包括機(jī)房精密空調(diào)，機(jī)柜，供電設(shè)備（含市電控制設(shè)備和UPS電源等），機(jī)房防火、防水、防盜、防靜電、防雷擊設(shè)備，機(jī)房監(jiān)控設(shè)備和門(mén)禁設(shè)備等。（5）計(jì)算機(jī)終端。主要辦公業(yè)務(wù)人員使用的計(jì)算機(jī)終端，主要有臺(tái)式計(jì)算機(jī)、筆記本電腦、平板電腦、手機(jī)終端等等。（6）其他信息技術(shù)產(chǎn)品。主要包含打印機(jī)、復(fù)印機(jī)、傳真機(jī)、液晶電視、LED大屏等信息技術(shù)產(chǎn)品。

2.3了解政策、形勢(shì)、企業(yè)生產(chǎn)經(jīng)營(yíng)的需要是工作的方向和指導(dǎo)

必須準(zhǔn)確把握國(guó)家的政策，上級(jí)指示和工作部署，有關(guān)主管部門(mén)的相關(guān)要求以及企業(yè)生產(chǎn)經(jīng)營(yíng)的需要，才能在網(wǎng)絡(luò)安全工作上有的放矢，不至于抓不住重點(diǎn)。從黨的十八大以來(lái)，國(guó)家高度重視網(wǎng)絡(luò)安全工作，網(wǎng)絡(luò)安全和信息化已經(jīng)上升到國(guó)家戰(zhàn)略。隨著2017年6月1日《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的頒布實(shí)施，做好企業(yè)網(wǎng)絡(luò)安全工作，保障企業(yè)正常生產(chǎn)經(jīng)營(yíng)，不僅關(guān)乎企業(yè)自身利益，也與國(guó)家、社會(huì)和人民群眾的利益息息相關(guān)。必須把網(wǎng)絡(luò)安全工作上升到一定的政治高度，樹(shù)立法律意識(shí)。在此大環(huán)境下，也為企業(yè)網(wǎng)絡(luò)安全職能部門(mén)開(kāi)展網(wǎng)絡(luò)安全工作提供了政策支持。

2.4機(jī)構(gòu)、隊(duì)伍、資金和領(lǐng)導(dǎo)支持是一切工作的保障

機(jī)構(gòu)和人才隊(duì)伍方面，對(duì)于煙草行業(yè)工商企業(yè)來(lái)說(shuō)，由于企業(yè)規(guī)模較大，需要管理的信息資產(chǎn)和內(nèi)外部人員較多，因此成立指導(dǎo)和管理網(wǎng)絡(luò)安全工作的領(lǐng)導(dǎo)小組，并設(shè)立具體辦事機(jī)構(gòu)十分必要。崗位和人才方面，網(wǎng)絡(luò)安全主管部門(mén)應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全管理員等崗位，企業(yè)各部門(mén)應(yīng)酌情設(shè)立部門(mén)兼職網(wǎng)絡(luò)安全員，協(xié)同開(kāi)展網(wǎng)絡(luò)安全工作。資金方面，在開(kāi)展信息化項(xiàng)目建設(shè)的同時(shí)，應(yīng)保證有一定的網(wǎng)絡(luò)安全方面的資金，科學(xué)合理地開(kāi)展網(wǎng)絡(luò)安全方面的投資。領(lǐng)導(dǎo)支持方面，要極力尋求企業(yè)領(lǐng)導(dǎo)的支持，對(duì)企業(yè)領(lǐng)導(dǎo)加強(qiáng)關(guān)于網(wǎng)絡(luò)安全方面政策、風(fēng)險(xiǎn)和責(zé)任的宣傳，并對(duì)網(wǎng)絡(luò)安全工作的開(kāi)展提出有價(jià)值的建議，提高領(lǐng)導(dǎo)對(duì)網(wǎng)絡(luò)安全工作的重視。只有領(lǐng)導(dǎo)重視，網(wǎng)絡(luò)安全工作才能有效落實(shí)。

2.5管理體系、技術(shù)體系建設(shè)是做好網(wǎng)絡(luò)安全工作的方法

煙草行業(yè)信息網(wǎng)絡(luò)定位為非涉及國(guó)家秘密網(wǎng)絡(luò)，在網(wǎng)絡(luò)安全防護(hù)方面采用管理和技術(shù)相結(jié)合的方式。網(wǎng)絡(luò)安全管理體系和技術(shù)體系是網(wǎng)絡(luò)安全保障體系的重要組成，二者相輔相成，互相促進(jìn)。在實(shí)際的應(yīng)用過(guò)程中，網(wǎng)絡(luò)安全管理和技術(shù)手段之間并沒(méi)有特別明確的界限。管理措施往往需要技術(shù)手段來(lái)實(shí)現(xiàn)，技術(shù)手段往往需要通過(guò)管理措施體現(xiàn)效果。網(wǎng)絡(luò)安全管理體系和技術(shù)體系必須圍繞企業(yè)信息化資產(chǎn)來(lái)設(shè)計(jì)。

2.5.1網(wǎng)絡(luò)安全管理體系

（1）建立網(wǎng)絡(luò)安全責(zé)任制。只有建立全員的網(wǎng)絡(luò)安全責(zé)任體系，明確各責(zé)任主體的責(zé)任，才能將網(wǎng)絡(luò)安全責(zé)任層層分解、層層落實(shí)，做到網(wǎng)絡(luò)安全工作人人有責(zé)、全員參與。責(zé)任體系的設(shè)計(jì)應(yīng)按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，以“人—資產(chǎn)—權(quán)限—責(zé)任”對(duì)應(yīng)關(guān)系為抓手，建立起以人員為主體，信息化資產(chǎn)為客體的網(wǎng)絡(luò)安全責(zé)任體系。（2）完善網(wǎng)絡(luò)安全管理制度體系。完善的制度體系是做好網(wǎng)絡(luò)安全管理工作的前提和保障，應(yīng)針對(duì)安全管理活動(dòng)中的主要管理內(nèi)容建立基于企業(yè)信息資產(chǎn)安全管理制度，形成由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的信息安全管理制度體系。目前煙草行業(yè)已建立的網(wǎng)絡(luò)安全相關(guān)制度主要有《信息資產(chǎn)安全管理制度》，《信息安全管理辦法》，《機(jī)房安全管理制度》，《網(wǎng)絡(luò)安全管理制度》，《網(wǎng)絡(luò)安全檢查管理制度》，《服務(wù)器安全管理制度》，《信息系統(tǒng)用戶及密碼管理制度》，《信息系統(tǒng)數(shù)據(jù)備份及恢復(fù)管理制度》，《介質(zhì)安全管理制度》以及《網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等?；旧虾w了對(duì)信息系統(tǒng)、終端計(jì)算機(jī)、機(jī)房基礎(chǔ)設(shè)施、數(shù)據(jù)資產(chǎn)等信息化資產(chǎn)的安全管理內(nèi)容。但是對(duì)于工控安全、云計(jì)算安全、大數(shù)據(jù)安全、物聯(lián)網(wǎng)系統(tǒng)安全等方面制度尚不健全。（3）加強(qiáng)內(nèi)外部人員管理。針對(duì)企業(yè)內(nèi)部員工，要在人員錄用環(huán)節(jié)和離崗環(huán)節(jié)加強(qiáng)管理，做好錄用時(shí)的資格審查、技能考核以及安全保密協(xié)議的簽訂工作。離崗時(shí)做好相關(guān)設(shè)備、賬號(hào)及權(quán)限的移交工作。在崗員工要加強(qiáng)網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，針對(duì)網(wǎng)絡(luò)安全管理人員要加強(qiáng)網(wǎng)絡(luò)安全相關(guān)技術(shù)和管理能力培訓(xùn)。針對(duì)外來(lái)人員（如第三方運(yùn)維人員，外來(lái)訪客等）要加強(qiáng)外來(lái)人員訪問(wèn)管理，確保外部人員接入網(wǎng)絡(luò)訪問(wèn)系統(tǒng)前提出書(shū)面申請(qǐng)，批準(zhǔn)后由專人開(kāi)設(shè)賬號(hào)，分配權(quán)限，并登記備案，外部人員離場(chǎng)后應(yīng)及時(shí)清除其所有訪問(wèn)權(quán)限。（4）建立網(wǎng)絡(luò)安全管理臺(tái)賬。擁有一套詳細(xì)的網(wǎng)絡(luò)安全管理臺(tái)賬，是做好網(wǎng)絡(luò)安全工作的基礎(chǔ)。通過(guò)臺(tái)賬網(wǎng)絡(luò)安全管理人員能夠清楚知道自己需要管理哪些對(duì)象，開(kāi)展網(wǎng)絡(luò)安全工作能夠做到心中有數(shù)。下圖是在日常網(wǎng)絡(luò)安全工作中所需要的常見(jiàn)的幾種網(wǎng)絡(luò)安全管理臺(tái)賬。（5）建立良好的溝通協(xié)調(diào)機(jī)制。網(wǎng)絡(luò)安全工作并非網(wǎng)絡(luò)安全主管部門(mén)這一個(gè)部門(mén)的責(zé)任，更不是網(wǎng)絡(luò)安全管理員一個(gè)人的責(zé)任，乃是全體人員共同的責(zé)任。應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全主管部門(mén)內(nèi)部的合作與溝通。作為網(wǎng)絡(luò)安全主管部門(mén)應(yīng)經(jīng)常向企業(yè)領(lǐng)導(dǎo)層匯報(bào)網(wǎng)絡(luò)安全工作開(kāi)展情況及存在的問(wèn)題和處理建議。必要時(shí)組織召開(kāi)協(xié)調(diào)會(huì)議，與企業(yè)其他部門(mén)共同協(xié)作處理網(wǎng)絡(luò)安全問(wèn)題。同時(shí)應(yīng)加強(qiáng)與上級(jí)主管部門(mén)、兄弟單位、公安機(jī)關(guān)、各類供應(yīng)商、業(yè)界專家及安全組織的合作與溝通。建立上下貫通、左右協(xié)同、內(nèi)外兼顧的網(wǎng)絡(luò)安全工作協(xié)調(diào)機(jī)制。（6）信息化項(xiàng)目建設(shè)管理。應(yīng)按照“三同步”（同步規(guī)劃設(shè)計(jì)、同步實(shí)施、同步投入使用）原則開(kāi)展網(wǎng)絡(luò)安全和信息化項(xiàng)目建設(shè)工作。尤其在信息系統(tǒng)類項(xiàng)目建設(shè)過(guò)程中做好系統(tǒng)的定級(jí)和備案，安全方案設(shè)計(jì)，工程實(shí)施，測(cè)試驗(yàn)收，系統(tǒng)交付，等級(jí)測(cè)評(píng)等環(huán)節(jié)的工作。同時(shí)相關(guān)產(chǎn)品的采購(gòu)和使用要符合國(guó)家相關(guān)規(guī)定的要求。（7）規(guī)范運(yùn)維管理。制定相關(guān)運(yùn)維管理制度，按照制度要求，規(guī)范運(yùn)維管理工作?？梢圆捎谩叭詹樵路旨驹u(píng)”制度，通過(guò)開(kāi)展網(wǎng)絡(luò)安全日常巡檢，月度事件分析，季度通報(bào)評(píng)價(jià)，建立安全運(yùn)維長(zhǎng)效機(jī)制。通過(guò)梳理和分析設(shè)備運(yùn)行狀況，做好設(shè)備維護(hù)，提高信息資產(chǎn)的可靠性、穩(wěn)定性。通過(guò)規(guī)范網(wǎng)絡(luò)設(shè)備、信息系統(tǒng)、終端計(jì)算機(jī)等信息資產(chǎn)的配置管理，賬號(hào)密碼管理，漏洞管理，變更管理，備份與恢復(fù)管理，安全事件處理，降低安全風(fēng)險(xiǎn)。通過(guò)堡壘機(jī)（運(yùn)維審計(jì)設(shè)備）設(shè)置內(nèi)部運(yùn)維人員和第三方運(yùn)維的運(yùn)維權(quán)限，規(guī)范技術(shù)運(yùn)維工作，規(guī)避運(yùn)維風(fēng)險(xiǎn)。（8）應(yīng)急保障。應(yīng)制定突發(fā)網(wǎng)絡(luò)安全事件的應(yīng)急預(yù)案，預(yù)案至少包括風(fēng)險(xiǎn)分析、組織架構(gòu)與職責(zé)、監(jiān)測(cè)與預(yù)警、應(yīng)急處置流程、預(yù)防工作、保障措施等內(nèi)容。定期對(duì)相關(guān)人員進(jìn)行應(yīng)急預(yù)案的培訓(xùn)，并開(kāi)展應(yīng)急演練。通過(guò)演練提高相關(guān)人員處理突發(fā)安全事件的能力，并做好應(yīng)急預(yù)案的評(píng)估和修訂工作。（9）風(fēng)險(xiǎn)管理。僅從方法論來(lái)看網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理，其過(guò)程涉及信息系統(tǒng)、基礎(chǔ)網(wǎng)絡(luò)等企業(yè)信息資產(chǎn)的全生命周期，包括規(guī)劃、建設(shè)、運(yùn)行、廢棄等階段的風(fēng)險(xiǎn)管理。通過(guò)安全自查、安全檢測(cè)、認(rèn)證和風(fēng)險(xiǎn)評(píng)估作為發(fā)現(xiàn)和識(shí)別風(fēng)險(xiǎn)源的手段，進(jìn)而建立風(fēng)險(xiǎn)源清單，評(píng)估風(fēng)險(xiǎn)指數(shù)，進(jìn)而結(jié)合實(shí)際情況開(kāi)展安全加固，形成針對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的閉環(huán)管理。（10）強(qiáng)化檢查考核。定期開(kāi)展網(wǎng)絡(luò)安全檢查，有助于進(jìn)一步摸清風(fēng)險(xiǎn)狀況和查找薄弱環(huán)節(jié)，有助于進(jìn)一步增強(qiáng)員工網(wǎng)絡(luò)安全意識(shí)、落實(shí)網(wǎng)絡(luò)安全責(zé)任、明確網(wǎng)絡(luò)安全保障重點(diǎn)，及時(shí)進(jìn)行整改，從而加強(qiáng)網(wǎng)絡(luò)安全管理和技術(shù)防護(hù)能力，全面提升網(wǎng)絡(luò)安全防護(hù)能力。對(duì)于檢查要制定詳細(xì)的切實(shí)可行的檢查標(biāo)準(zhǔn)和細(xì)則；對(duì)于整改要制定計(jì)劃，按計(jì)劃落實(shí)到位；對(duì)于考核要有力度，能夠引起全員重視。

2.5.2網(wǎng)絡(luò)安全技術(shù)體系

以信息資產(chǎn)為安全保護(hù)對(duì)象，從物理與環(huán)境、網(wǎng)絡(luò)與通信、設(shè)備與計(jì)算、數(shù)據(jù)與應(yīng)用4個(gè)層次，進(jìn)行身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)與內(nèi)容安全、監(jiān)控審計(jì)、備份恢復(fù)五個(gè)環(huán)節(jié)的安全防護(hù)。通過(guò)建立安全技術(shù)框架，能夠清楚知道企業(yè)當(dāng)前網(wǎng)絡(luò)安全技術(shù)水平和存在的短板，結(jié)合自身實(shí)際，按照科學(xué)合理的原則，分步進(jìn)行網(wǎng)絡(luò)安全加固項(xiàng)目的投資實(shí)施。對(duì)煙草行業(yè)大多數(shù)企業(yè)來(lái)說(shuō)，網(wǎng)絡(luò)安全技術(shù)保障方面的建設(shè)可以按照以下幾個(gè)階段開(kāi)展。第一階段，彌補(bǔ)基礎(chǔ)設(shè)施的不足，主要包含機(jī)房基礎(chǔ)設(shè)施，如UPS電源，防火設(shè)備；網(wǎng)絡(luò)設(shè)備，如關(guān)鍵節(jié)點(diǎn)網(wǎng)絡(luò)設(shè)備的冗余；服務(wù)器主機(jī)及存儲(chǔ)等。第二階段，優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，實(shí)現(xiàn)分區(qū)分域管理，將網(wǎng)絡(luò)劃分成服務(wù)器區(qū)，生產(chǎn)區(qū)，辦公區(qū)，DMZ區(qū)，互聯(lián)網(wǎng)接入?yún)^(qū)，行業(yè)網(wǎng)接入?yún)^(qū)等區(qū)域，并用防火墻等網(wǎng)絡(luò)隔離設(shè)備進(jìn)行訪問(wèn)控制。第三階段，抓好終端安全管理，網(wǎng)絡(luò)準(zhǔn)入管理、病毒防護(hù)、入侵防御等工作，。第四階段，攻堅(jiān)克難階段，針對(duì)工控安全、移動(dòng)互聯(lián)安全、大數(shù)據(jù)安全制定專門(mén)的解決方案。第五階段，建立安管平臺(tái)，實(shí)現(xiàn)網(wǎng)絡(luò)態(tài)勢(shì)可視化管理。

3基于信息化資產(chǎn)的網(wǎng)絡(luò)安全工作體系建設(shè)對(duì)網(wǎng)絡(luò)安全工作開(kāi)展的作用

（1）基于信息化資產(chǎn)的網(wǎng)絡(luò)安全工作體系，是全面圍繞企業(yè)信息資產(chǎn)開(kāi)展網(wǎng)絡(luò)安全工作，其組成由政策體系、安全形勢(shì)、管理體系、技術(shù)體系、支撐保障體系有機(jī)結(jié)合。能夠幫助企業(yè)決策層了解網(wǎng)絡(luò)安全工作的方方面面，并全面指導(dǎo)網(wǎng)絡(luò)安全主管部門(mén)開(kāi)展工作。如對(duì)照體系架構(gòu)，能夠輔助制定企業(yè)網(wǎng)絡(luò)安全規(guī)劃、年度網(wǎng)絡(luò)工作要點(diǎn)和工作計(jì)劃，查找安全方面的薄弱環(huán)節(jié)，落實(shí)整改等。（2）基于信息化資產(chǎn)的網(wǎng)絡(luò)安全工作體系框架圖的建立過(guò)程，即是網(wǎng)絡(luò)安全工作目錄的建立過(guò)程。能夠幫助網(wǎng)絡(luò)安全工作人員形成工作資料庫(kù)，及時(shí)將工作相關(guān)資料按照目錄進(jìn)行歸檔。在面對(duì)各類安全檢查及工作總結(jié)的時(shí)候方便資料收集檢索。

4結(jié)束語(yǔ)

基于信息化資產(chǎn)的網(wǎng)絡(luò)安全工作體系基本涵蓋了當(dāng)前煙草行業(yè)網(wǎng)絡(luò)安全工作的方方面面，但是隨著信息化的發(fā)展，安全形勢(shì)的不斷變化，也會(huì)出現(xiàn)新的要求，尤其是云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)、人工智能等新技術(shù)的逐步廣泛應(yīng)用，基于信息化資產(chǎn)網(wǎng)絡(luò)安全工作體系也會(huì)在此基礎(chǔ)上逐步完善。

參考文獻(xiàn)

[1]聶君，李燕，何揚(yáng)軍.企業(yè)安全建設(shè)指南[M].北京：機(jī)械工業(yè)出版社，2019：1-436.

[2]蔡晶晶，李煒.網(wǎng)絡(luò)空間安全導(dǎo)論[M].北京：機(jī)械工業(yè)出版社，2017：1-272.

[3]360企業(yè)安全研究院.走近安全：網(wǎng)絡(luò)世界的攻與防[M].北京：電子工業(yè)出版社，2018.1-282.

作者:司成偉 趙全洲 單位:安徽中煙工業(yè)有限責(zé)任公司滁州卷煙廠