煙草在線昆明消息　　為迅速響應國家和行業要求，不斷提升昆明市公司信息安全級別，云南省昆明市煙草公司2014年完成了主營系統信息安全升級改造工作，于11月在全省煙草商業企業中率先獲得3項公安部門頒發的《信息系統安全等級保護備案證明》，標志著昆明煙草公司在信息安全工作中邁出了具有里程碑意義的一步，也向全省煙草商業信息安全整體提升工作交出了一份滿意的“答卷”。

　　多年積淀，打下堅實基礎

　　多年來、昆明市公司始終非常重視信息安全工作，早在2008年就著手開始了對企業信息安全及其管理工作的探索，一方面緊跟市場上主流產品和應用，結合自身情況不斷加強日常管理和技術防范，另一方面配以相應的管理手段和制度，定期梳理、及時修訂，逐漸形成了一套貼合自身實際的技術規范和管理體系。

　　在管理方面，2009年，為了加強網絡信息安全和網絡管理，全市系統統一外網出口，集中安全憑證管理，構建了以市公司管理為核心的大星型網絡結構，職工以簽訂承諾書的形式入網，按照要求規范使用網路，在市公司集中做好統一的防范病毒和惡意攻擊工作，并對這種管理方式進行不斷完善和改進。

　　與此同時針對用戶使用互聯網的開放性需求和網絡安全工作的保密性要求之間的矛盾，分別設置了內外網訪問規則，職工須要通過各種認證才能進行互聯網訪問，滿足了業務工作對互聯網的訪問的需求，同時，采用實名訪問制來加強安全管理和控制。

　　隨后的幾年，為了進一步規范員工使用互聯網，不斷提升上網安全審計能力，全市系統采用了上網行為管理來加強數據訪問策略，并在各業務系統之間建立了日志管理，先后部署了內網核心防火墻和訪問策略控制系統、機房專用精密空調并機系統和并機UPS系統等，從技術手段不斷加強網絡安全管理。

　　在技術層面一是為提升應用系統可用性和機房設備利用效率，全省范圍內率先部署和應用了服務器虛擬化技術，更加有效利用現有資源，大大降低了經濟成本和服務器存儲空間浪費，也有利于加強設備和網絡的管理；二是為了提升公司計算機網絡的信息安全水平，2011年實施了網絡及計算機安全升級改造項目，增設了機房監控系統，部署了網絡運維管理系統、綜合日志審計系統、桌面終端安全系統等，尤其是采用了新一代核全并行處理架構的高性能網絡防火墻，為公司提供了網絡攻擊防護、病毒防護、基于應用層入侵防護的全面安全防護。

　　在制度層面，市公司先后配套制定下發一系列管理制度，從制度層面通盤考慮誰來管、管什么、怎么管、靠什么管、管的效果，如：《計算機網絡管理規定》、《信息系統和信息設備使用保密管理規定》、《信息系統巡檢規范》等

　　通過多年持續不斷的加強網絡安全建設，全市系統從日常終端維護管理到企業網絡運行情況，以及數據的安全性不斷得到提升，連續多年未出現網絡突發性故障導致公司業務工作暫停，為企業的運營提供了有力保障和支撐。

　　全面梳理，不留任何漏洞

　　針對近年來網絡安全工作緊迫性，市公司信息中心迅速行動，周密籌劃，前瞻性地于2013年10月就對今年的測評項目進行了立項上報，希望通過對公司信息系統進行全面梳理、全面診斷和全面加固，使主營業務系統達到國家等級保護的二級要求，并在未來五年內具備技術先進性。

　　信息中心通過在應用系統、信息資產、基礎架構、規章制度、應急保障等五個維度進行梳理，完成了10大主要業務系統及41個輔助性周邊業務系統的全面梳理；完成了14家分公司及所有煙葉收購站點，共171條網絡線路使用情況的全面梳理；完成了42臺（套）服務器、3臺路由器、12臺交換機、3臺防火墻當前配置和工作狀態的全面梳理；并對39個運行于服務器虛擬化平臺上的虛擬機進行檢測和梳理；對原有11個信息化相關制度和體系相關要求進行梳理、查找漏洞。通過以上工作全面掌握信息系統部署、運行、應用和運維工作的基本情況，并且不斷完善信息安全管理工作制度。

　　全面診斷，找準問題所在

　　在全面梳理的基礎上，市公司從信息系統“五防”能力以及信息內容保護能力、安全運行監控能力、支撐環境保障能力、安全管理機制、運維管理機制等六個層面進行診斷，切實找準影響信息系統安全穩定運行的問題及原因。生成《昆明煙草信息系統安全等級保護差距分析報告》，《昆明煙草信息系統漏洞掃描報告》，《昆明煙草現行信息安全管理制度體系梳理報告》等文件，明確當前公司信息安全方面還存在的問題。并根據發現的問題，制定針對性整改措施，有計劃按步驟認真完成整改。分析出技術方面可以整改的包括網絡單核心問題、原有VPN連接邏輯存在隱患等11大方面數十個問題。在信息安全管理和制度建設方面，結合公司生產經營實際情況，需要修訂5個原有相關制度文件，新增應用系統操作使用規范等。

　　全面加固，實現質的飛躍

　　全市系統在全面診斷的基礎上針對當前存在的主要問題，從技術和管理兩個方面進行全面整改，并且嚴格落實整改措施，認真研判整改情況，切實保證加固效果。

　　在管理方面，一是部署運維審計系統，將網絡核心設備、數據庫、服務器等信息系統核心的運維工作納入全方位監控，對所有的運維操作進行行為監控以及過程審計，保障各業務系統數據安全；二是部署專業VPN系統，滿足公司日益增長的移動業務需求，聯合進行移動應用開發，保障互聯網業務接入的安全性；三是為進一步提升網絡安全水平，在公司網絡內部按照業務類別劃分多個安全區域，實現網絡劃分區域管理，購置數據中心交換機，將服務器區獨立管理，并在跨區域訪問時，由核心防火墻提供安全保護。

　　在技術方面，一是為了提升網絡物理安全，更新已使用近10年的網絡核心設備，使用虛擬化技術實現網絡核心的高可用，同時配合網絡核心設備更新，在全公司范圍內實現入網身份認證和訪問控制，實現網絡準入由公司本部擴大到全公司；二是更新中心機房UPS系統，同時完成配套的機房供配電改造，實現中心機房設備雙回路供電，防止由于UPS故障導致的機房停機隱患，保障中心機房供電安全；三是更新已報廢的卷煙營銷系統使用的小型機，保障卷煙營銷業務正常開展。

　　在制度方面，一是針對微軟陸續停止對Windows　XP、Office　2003、Windows　Server　2003等產品的技術支持和服務，制定和下發《關于微軟停止部分產品技術支持和服務相關事宜的通知》，幫助和指導全公司范圍內的妥善應對由此帶來的網絡信息安全隱患；二是針對用戶使用操作的規范性，制定下發了《卷煙營銷系統操作規范》、《煙葉信息系統使用操作規范》。三是重新修訂《計算機網絡管理規定》等五項基本管理制度。

　　順利通關，終獲測評認可

　　本次測評工作由公安部認可的、具有有效資質的專業測評機構，借助專業網絡漏洞掃描、入網身份認證、日志審計、運維審計、網絡及服務器虛擬化等前沿信息技術，分別從物理安全、網絡安全、主機安全、應用安全、數據安全、安全管理制度等10個類別，對市公司卷煙營銷系統、煙葉生產系統、企業管控平臺3個信息系統進行信息系統等級保護測評，形成相應測評報告，查出的問題，經過嚴格整改后，三個系統測評指標符合項均達到90%以上，順利通過二級等級保護級別的測評，并且最終完成在公安機關的備案工作，獲得“信息安全等級保護測評機構能力評估合格證書”。

　　此次開展信息系統等級保護測評工作，全市系統進一步總結了近幾年開展網絡信息安全工作的開展情況，以第三方測評機構的客觀評價，較為真實地反映了當前企業內部網絡信息安全狀況，也為今后一個時期的網絡信息安全工作指明了方向。

　　面對信息技術高速發展的今天，信息安全工作永無止境，必須長期堅持不懈，昆明煙草在不斷引進新技術進行防范的同時，也將安全測評工作拓寬至其他業務系統乃至企業整個網路，全方位提高安全防范能力。同時，在已經通過測評的系統中，采取更深入更細致的安全防范措施，在安全防范的深度上進行有益嘗試和探索。