烟草行业信息安全浅谈

朱禹丞

[摘要]我国的烟草行业的信息安全建设起步较晚，如何加强信息安全是目前各烟草企业研究的重点课题，CA安全认证体系的建设将为烟草行业的信息安全起到保驾护航的作用，本文以烟草行业的信息安全为内容，以CA体系建设为手段进行研究。

[关键词]烟草 信息安全 CA

[中图分类号]F426.8 [文献标识码]A [文章编号]1672-5158（2013）06-0486-01

1 引言

烟草行业长期处于计划体制下，一直都受国家保护，实行专卖专营，因此整个队伍思想比较陈旧、观念比较保守。特别是大部分企业的领导对信息化的认识不够，造成了整个烟草行业信息化的建设明显落后于其它行业，与烟草行业的地位明显不符。

在正式加入世贸组织后，我国烟草与外国烟草的争夺终端市场的激烈竞争也不可避免，因此，我国烟草行业急需提高整体竞争力和实力。而提高竞争力和实力的最好，就是运用信息技术，走信息化的道路来整合企业资源。

2 烟草行业信息安全现状

随着行业信息化建设的全面推进，传统的管理机制在改革与创新中逐渐消亡，人们在处理信息和日常办公中越来越依赖计算机和网络，机密与财富越来越集中在计算机系统和网络中。因此，行业各应用系统和计算机网络的安全可靠运行，面临着十分严峻的挑战，网络与信，息安全已成为行业信息化建设非常重要的问题。

我国对于烟草行业的信息安全工作启动较晚，但随着计算机的发展以及信息技术的发展，烟草行业也开始注重信息安全的工作。目前，烟草行业网络基础设施建设已具规模，实现了互联互通。行业地面通信骨干网已建成并全网投入运行，实现了国家局与行业各直属单位及所属卷烟厂、分公司、烟机厂和进出口口岸公司等69个节点之间的互联互通，入网率达到了100%；基本完成了行业各直属单位省域网建设，各直属单位与所属单位的联网率达到了96%；行业网络与信息安全体系初步形成，网络运行管理进一步加强。启动了烟草行业安全认证体系（CA）建设和烟草行业信息安全等级划分的研究工作。

行业信息化的制度建设逐步完善。近几年，行业先后出台了《全国烟草行业信息化工作管理办法》、《全国烟草行业信息化工作考核办法》、《烟草行业信息化建设统一技术平台要求》、《姻草行业信息化标准体系》和《烟草行业计算机网络和信息安全技术与管理规范》等重要文件，用制度规范了行业信息化管理工作。

3 烟草行业数字证书认证（CA）系统

CA认证体系作为烟草行业CA认证体系中重要的组成部分，将实现提供数字证书的注册、更新、作废等服务，为各类业务应用系统提供基于数字证书的身份认证等应用支撑服务，保证数据的完整性、保密性、可用性和操作的不可否认性，并能够将数字证书的发放与在业务应用系统中的使用情况进行记录、统计、上报等功能。

CA安全认证体系，实现全行业的互通、互认和互信。要建立行业信息安全管理标准和技术标准，构筑行业信息化安全机制，降低和消除各种信息安全隐患，确保信息传输与反馈畅通、及时和安全，为行业信息化建设保驾护航。

CA系统是烟草行业关键业务应用的安全基础，在设计实施CA系统及与应用对接的过程中，要排除脱离实际的安全需求、夸大的安全风险，在安全需求、安全风险和安全成本之间进行平衡和折衷。系统所选用的产品易于使用，符合烟草行业的统一技术规范，具有合理的美观的操作管理界面，方便操作员和用户操作使用。

各地方烟草企业要遵循PKI领域相关的国家和国际标准，遵循国家局的《烟草行业CAS认证体系建设方案》（国烟办综[2008]116号）建设CAS认证体系，按照产品选型参考确保和国家局已建CA（包括行业根CA和国家局CA）实现互信互认，做到平滑、无缝对接。

4 烟草行业信息安全建设实施策略

4.1 建设行业数据中心

数据集中是信息化发展的必然选择。统一的全国性数据中心，既可以改变传统的管理模式，又可以改变生产经营的运营模式，是管理理念、管理技术、管理水平的一次提升，可有效实现对业务的集约经营、集中监控和风险防范。

要建设好行业数据中心，就要在保证不同业务系统数据相对独立的基础上，建立数据交换和共享机制，通过对数据的加工、清洗、传递和交换，使得不同业务系统及时汇集相关的共享信息，实现行业公用数据的标准化、一致化，并不断更新和加强信息安全管理。逐步建立和完善数据分类描述、分析处理和传输交换等技术标准，以指导行业各级数据中心的建设。

要建设好行业数据中心，关键是要建成基于不同类型业务主题的高水平数据应用环境，统一数据标准，做到资源上协同应用，技术上协同关联，应用上协同共享，提高信息资源有效利用率。

4.2 严格执行相关标准

严格执行《烟草行业信息化标准体系》，加强行业信息化标准制定和贯标工作。标准化工作是一切工作规范化的基础，统一标准是烟草行业信息化建设的基础工作，是实现信息共享的基本前提。离开了标准化，计算机系统就无法体现其技术优势。因此，行业在信息化建设中必须高度重视并实施信息化管理相关的各种数据、指标和流程的标准化工作，要统一信息化建设标准，统一信息资源标准，统一数据传输标准。要按照行业的统一要求，逐步规范行业各方面信息化建设的基本业务流程、信息资源标准和数据交互机制，形成标准化体系框架。建设标准化体系要采取渐进方式，一是要先建立标准化框架，行业已发布《烟草行业信息化标准体系》；二是对急需的、重要的标准要优先制定。行业将制定烟叶类代码、烟草行业工商统计数据元、烟草行业统一会计科目及编码等标准规范；三是通过行业重点信息化工程项目的推广运行，完成相关标准化工作。做好代码标准化、接口标准化、业务流程规范化、数据结构规范化等一些标准、规范性工作，最终实现横向纵向信息的互连互通，达到信息共享。

5 结束语

烟草行业必须从行业内联网和信息安全的高度，切实加大网络建设的管理力度，建立严格有效的制度，落实好《烟草行业计算机网络建设技术与管理规范》和《烟草行业计算机网络和信息安全技术与管理规范》。运用先进的安全技术，切实组织管理好信息网络安全工作，建设行业网络与信息安全体系，逐步开展行业网络安全审计和行业计算机病毒防护系统建立工作，提高信息系统的安全性，保证系统稳定、可靠运行。要加强安全管理建设，切实做好信息系统的软件安全设计，强化数据安全策略，采用成熟的信息系统安全技术和控制方法，逐步实现网络管理的可视、可控、可管，所有网上运行的应用系统与设备应实现统一、智能化的实时监控，实现应用系统与设备故障的预警和自动报警，实现网络资源的合理分配。凡由国家局统一组织开发的在全行业运行的信息系统，要统一使用行业CA安全认证体系，实现全行业的互通、互认和互信。要建立行业信息安全管理标准和技术标准，构筑行业信息化安全机制，降低和消除各种信息安全隐患，确保信息传输与反馈畅通、及时和安全，为行业信息化建设保驾护航。

参考文献

[1]赵燕敏，李明禄等编著，基于风险评估的企业信息化项目管理方法，北京：计算机应用与软件，2008第1期：111-114

[2]向宏，傅鹂，詹榜华等编著，信息安全测评与风险评估，北京：电子工业出版社，2009：；37-41

[5]沈昌祥编著，关于强化信息安全保障体系的思考，北京：信息安全与通信保密，2003年第6期：14-15

[4]林柏钢编著，网络与信息安全现状分析与策略控制，北京：信息安全与通信保密，2003年第6期：322-326

[5]范红编著，信息安全风险评估规范国家标准理解与实施，北京：中国标准出版社，2008：26-29