当前位置:心圆文档网>专题范文 > 公文范文 > 烟草网络安全和信息化10篇

烟草网络安全和信息化10篇

时间:2023-08-12 10:33:01 公文范文 来源:网友投稿

篇一:烟草网络安全和信息化

  

  烟草行业信息网络安全管理规定

  烟草行业信息网络安全管理规定

  第一章

  总

  则

  第一条为增强烟草行业信息网络(以下简称信息网络)安全管理,提升安全防备能力,依据国家相关法律法例及行业信息化工作管理的相关要求,制定本规定。第二条本规定合用于不波及国家奥密及行业敏感信息的信息网络安全管理。

  本规定所称的信息网络包含行业各单位的局域网、省域网,以及行业骨干网等行业内部使用的计算机网络。

  第三条信息网络安全坚持踊跃防守、综合防备和谁主管谁负责、谁运转谁负责、谁使用谁负责的原则。

  第四条行业各单位要按期展开网络安全教育和培训,提升全员信息安全防备意识。第二章

  联网准入

  第五条行业各级单位的信息网络与其余单位(含行业外单位)联网,要经上司网络主管部门同意。各单位信息网络构造调整需报国家局存案。第六条

  行业各单位要对信息网络的互联网接入推行审批

  和登记制度,严格控制互联网接入数目,全部互联网接口要推行—1—1烟草行业信息网络安全管理规定

  一致安全策略。终端计算机经过互联网或其余网络远程接入信息

  网络,要使用数字证书方式进行身份认证。第七条行业各单位春联入信息网络的应用系统、终端计

  机推行注册管理。应用系统在上线前要经过安全评估,要切合行

  业相关信息安全标准和管理规定。

  联入信息网络的终端计算机要

  切合行业及本单位的安全要求,不得安装其余上网设施。第三章

  网络保护

  第八条信息网络采纳分划分域安全防备策略。信息网络与

  互联网和行业外单位网络采纳逻辑隔绝举措及界限安全防备措

  施,有效防备违规接入和外联。第九条信息网络域名和IP地点由国家局一致规划。各单位要对信息网络域名、IP地点和网络端口推行集中管理,封闭不

  必需的网络端口。第十条行业各单位要对信息网络采纳以下举措:

  1.采纳身份鉴识举措,有效防备非受权用户登录服务器、终

  端、应用系统以及安全保密设施。

  2.采纳接见控制举措,有效防备用户对信息的越权接见。

  采纳安全审计举措,正确记录取户和管理人员的操作行

  为,有效监控违规操作。

  第十一条

  部署在信息网络上的应用系统要采纳接见控制、—2—2算

  烟草行业信息网络安全管理规定

  数据保护、备份和监控等举措,保障数据安全和应用系统安全运

  行。第十二条

  在信息网络上公布信息,要严格恪守国家相关法

  律法例及行业相关规定并经主管部门审查和登记后方可公布。第四章

  管理监察和责任

  第十三条

  国家局烟草经济信息中心负责国家局、总企业机

  关信息网络安全工作,管理、监察、检查行业信息网络安全工作;

  行业各单位信息化部门负责本单位及所属单位的信息网络安全

  工作。行业各级信息化部门的主要职责是:

  制定信息网络安全管理制度,落实信息网络安全责任制,按期对制度履行状况进行检查和监察。

  按期进行信息网络安全检查,成立检查记录档案,制定并完美信息网络安全举措。

  指定信息化部门内部人员担当网络安全管理员,与网络运转保护单位签署安全责任书。

  成立信息网络安全应急工作体制,制定应急方案,明确应急处理流程和应急保障队伍,实时办理和上报信息网络安全事

  件。第十四条

  任何单位和个人不得利用信息网络危害国家安

  全和行业安全,不得入侵国家、社会和个人的合法权益,不得从—3—3烟草行业信息网络安全管理规定

  事违纪犯法活动。第十五条

  任何单位和个人不得利用信息网络制作、复制、流传国家奥密及行业敏感信息,以及拥有反动、色情、暴力偏向的信息。

  第十六条

  任何单位和个人不得进行危害信息网络安全的活

  动。第十七条关于违犯本规定的单位和个人,视情节轻重赐予相应的行政处罚;组成犯法的,移送司法机关办理。第六章

  附

  则

  第十八条行业各单位要依据本规定,联合实质状况制定

  本单位信息网络安全管理的详细方法。第十九条本规定由国家局负责解说。第二十条本规定自印发之日起实行。

  1998年6月2日

  印发的《烟草行业计算机信息网络安全保护规定》(国烟办

  〔1998〕305号)同时取消。—4—

篇二:烟草网络安全和信息化

  

  全国烟草行业信息化工作管理办法

  文章属性

  【制定机关】国家烟草专卖局

  【公布日期】2003.09.01?

  【文

  号】

  【施行日期】2003.09.01?

  【效力等级】部门规范性文件

  【时效性】现行有效

  【主题分类】专卖、专营

  正文

  全国烟草行业信息化工作管理办法

  (国家烟草专卖局

  2003年9月1日)

  第一章

  总则

  第一条

  为加强烟草行业信息化工作的规范管理,大力推进烟草行业信息化建设,以信息化带动烟草行业现代化,促进烟草行业持续、稳定、健康发展,制定本办法。

  第二条

  烟草行业信息化是指以信息技术广泛应用为主导,信息资源为核心,信息网络为基础,信息人才为依托,有关信息法规、政策、标准、管理为保障的综合体系。

  第三条

  烟草行业信息化建设按照“统筹规划、资源共享、应用主导、面向市场、安全可靠、务求实效”的发展方针,制定行业信息化建设总体规划和年度工作计划。

  第四条

  烟草行业信息化建设工作实行统一领导、分级管理,统一规划、分步实施,统一标淮、互联互通的管理原则。

  第二章

  管理机构及工作职责

  第五条

  国家烟草专卖局(以下简称国家局)信息化工作领导小组对烟草行业信息化工作实行统一领导,其主要工作职责是:

  (一)按照国家信息化工作的方针、政策,对烟草行业信息化工作进行统一领导和管理。

  (二)审议烟草行业信息化工作的发展规划和规章制度。

  (三)审查烟草行业信息化重大工程项目。

  (四)审议国家局信息化工作领导小组办公室的工作报告。

  第六条

  国家局信息化工作领导小组办公室设在国家局烟草经济信息中心,承担国家局信息化工作领导小组的日常工作,其主要工作职责是:

  (一)组织贯彻国家和烟草行业信息化工作方针政策,执行领导小组决议,对行业信息化工作进行监督检查和业务指导。

  (二)起草烟草行业信息化发展规划和规章制度;审查烟草行业各省级烟草专卖局(公司)〈以下简称省级局(公司)〉、各省级工业公司(以下简称工业公司)信息化发展规划和实施计划。

  (三)配合有关主管部门进行烟草行业信息化工程项目的立项、验收和信息化成果的鉴定、技术推广、标准规范工作。

  (四)指导、协调各省级局(公司)、工业公司信息化工作领导小组办公室、信息中心工作。

  (五)办理领导小组交办的其他事宜。

  第七条

  烟草行业各省级局(公司)、工业公司及所属单位应成立信息化工作领导机构和设立工作部门,具体负责本地区、本单位的信息化管理和建设工作,并接受上一级信息化工作领导机构的管理。

  第三章

  项目管理

  第八条

  烟草行业各单位信息化建设项目应从本单位实际情况出发,按照行业信息化建设总体规划和有关要求,遵循“实用、可靠、先进、经济、完整”的原则,坚持标准化、规范化、通用化、系列化建设。

  第九条

  烟草行业各单位信息化项目统一纳入固定资产投资管理,按照行业固定资产投资管理有关规定,报计划部门立项、审批后实施。

  第十条

  信息化项目的立项、审批按国家局有关规定实行分级管理。预算资金在500万元(含)以上的,需报国家局立项;500万元以下的,由各省级局(公司)具体规定。

  第十一条

  按照本办法第十条规定立项审批的,信息化工作部门应对项目的立项报告、可行性研究报告、初步设计等提出书面审查意见。未经信息化工作部门审核的项目,计划部门不予立项,财务部门不予拨付资金,项目不得实施。

  第十二条

  信息化项目及信息系统运行维护费用应纳入同级单位资金预算。信息化项目必须按国家有关规定进行招标。

  第十三条

  信息化软件开发项目应根据烟草行业信息化总体规划组织进行,不得盲目投资和重复建设;国家局统一推广的软件系统,各单位不得另行开发。

  第十四条

  各单位使用的硬件、软件应统一纳入固定资产管理,建立软件管理、硬件管理、机房管理、系统运行管理等日常管理制度。禁止使用盗版软件。

  第十五条

  信息化项目的实施、验收、鉴定等工作由各级信息化工作部门会同有关业务主管部门进行管理。

  第十六条

  烟草行业统一建设的信息化项目,由国家局信息化工作领导小组办公室会同有关业务部门共同组织协调,各单位按要求统一进行。全省范围内推广应用的信息化项目,应报国家局信息化工作领导小组办公室备案。

  第四章

  网络建设和运行管理

  第十七条

  烟草行业计算机内联网是指国家局、各省级局(公司)、各工业公司及所属企、事业单位的计算机网络互联互通形成的计算机广域网络。行业内联网的建设必须统一规划、统一标准、统一管理、分级负责。

  第十八条

  烟草行业内各单位计算机网络的规划、设计和建设必须符合《烟草行业计算机网络建设技术规范》的要求,各省级局(公司)、工业公司省域网的建设方案须报国家局信息化工作领导小组办公室备案。

  第十九条

  国家局信息化工作领导小组办公室负责行业内联网IP地址和域名的规划、分配、监督和实施。烟草行业内各单位必须严格遵守,不得擅自变更,以确保行业计算机网络的互联互通。

  第二十条

  烟草行业卫星通信网的运行管理应严格按照卫星通信网的有关管理规定执行。卫星网主站和各端站不得擅自关机和调整设备参数,确保卫星网与各局域网的联通,出现重大中断事故应按规定及时上报。

  第五章

  信息资源管理

  第二十一条

  烟草行业各单位的信息化工作部门应负责统一规划、组织和管理本单位各部门的信息资源管理系统建设。

  第二十二条

  各级信息化工作部门应统一管理信息资源,负责开发、建立、更新和维护相应的信息资源库,实现信息资源的集中开发、综合利用、互联互通和全面共享,为业务部门的信息采集、整理、汇总和发布等环节提供技术支持。

  第二十三条

  各单位可以公开共享的信息资源,应按审批程序,在行业内联网和行业对外网站公布。涉及全行业经济发展等重要统计信息,由国家局负责组织网上发布,各单位和个人不得擅自上网发布。

  第六章

  网络和信息安全管理

  第二十四条

  凡接入烟草行业内联网的单位要保证网络运行安全、可靠,做到实体安全、运行安全、数据安全和管理安全。各单位必须遵守《烟草行业计算机

  信息网络安全保护规定》和《烟草行业计算机信息系统保密管理暂行规定》,计算机网络和信息安全系统的建设必须符合《烟草行业计算机网络和信息安全技术与管理规范》的要求。

  第二十五条

  各单位必须建立安全责任制,指定安全管理部门和配备必要的安全管理和技术人员,确保烟草行业计算机网络和信息系统的安全运行。

  第二十六条

  涉及国家及烟草行业秘密的计算机信息系统必须与行业内联网和互联网实施物理隔离,严格执行上网信息的审查制度和涉及国家秘密的信息不得在行业内联网发布的规定,杜绝泄密事件的发生。

  第二十七条

  各省级局(公司)、工业公司、重点卷烟工业企业建立与烟草行业内联网有物理连接的互联网出口,必须连同安全方案报国家局信息化工作领导小组办公室备案。

  第七章

  培训、考核和奖惩管理

  第二十八条

  烟草行业各单位要加强对各级管理人员和业务人员信息化知识的宣传普及、应用技能的培训和考核工作。信息化应用技能应作为员工上岗考核的重要内容。

  第二十九条

  烟草行业各单位要重视对信息化人才的引进、使用和培养;对在信息化工作中做出突出贡献的单位和个人,应给予表彰和奖励。

  第三十条

  对违反本管理办法及有关规定,影响信息化工作的开展和项目实施的,给予批评并责令改正;对严重违反项目管理和系统使用要求,造成重大事故和损失的,应追究有关责任者和单位负责人的责任。

  第八章

  附则

  第三十一条

  各省级局(公司)、工业公司可依照本办法,结合实际情况,制定具体规定。

  第三十二条

  本管理办法由国家局负责解释。

  第三十三条

  本办法自发布之日起施行。1999年1月9日发布的《烟草行业信息化工作暂行管理办法》同时废止。

篇三:烟草网络安全和信息化

  

  烟草?业计算机信息?络安全保护规定?录第?章

  总则第?章

  安全保护责任第三章

  ?业?络的基本要求第四章

  业务?员职责第五章

  违规处罚第?章

  总则第?条

  为加强烟草?业计算机信息?络的安全保护,根据公安部发布的《计算机信息?络国际联?安全保护管理办法》(以下简称《办法》)制定本规定;第?条

  ?业?络的上?单位必须遵守《办法》及其他相关法律法规的规定,?觉维护国家的安全和稳定,?觉保守单位的秘密。第三条

  本规定适?于全国烟草?业计算机信息?络的安全保护管理。第四条

  国家局保密委员会会同国家局信息中?共同负责国家局机关及?业计算机信息?络的安全保护管理?作。第五条

  任何单位和个?不得利??业?络危害国家安全和?业安全,不得泄露国家秘密和?业秘密,不得侵犯国家的、社会的、?业的、集体的利益和个?的合法权益,不得从事违法犯罪活动。第六条

  任何单位和个?不得利??业?络制作、复制、查阅和传播下列信息。1.涉及国家秘密、破坏社会稳定和具有反动、?情、暴?倾向的;2.涉及?业政策、计划、商业等秘密,且未经同级保密委员会宣布解密的;3.涉及?业技术秘密的。第七条

  任何单位和个?不得从事下列危害计算机信息?络安全的活动:1.未经允许进?计算机信息?络或者使?计算机信息?络资源的;2.未经允许对计算机信息?络功能进?删除、修改或者增加的;3.未经允许对计算机信息?络中存储、处理或者传输的数据和应?程序进?删除、修改或者增加的;4.故意制作、传播计算机病毒等破坏性程序的;5.其他危害计算机信息?络安全的。第?条

  禁?使?上?的计算机编辑外交密码电报;第九条

  禁?绝密级的信息上?传输。第?条

  属国家秘密的信息上?需经同级保密委员会同意,并不得传输到?业?络之外。第?章

  安全保护责任第??条

  各级保密委员会和信息?络主管部门负责本单位计算机信息?络的安全保密管理?作。第??条

  各单位的信息?络主管部门,必须接受上?级单位保密委员会及信息?络主管部门的安全监督、检查和指导。第?三条

  接??业?络的单位,应当履?下列安全保护职责:1.负责本?络的安全保护管理?作,建?健全安全保护管理制度;2.落实安全保护技术措施,保障本?络的运?安全和信息安全;3.负责对本?络?户的安全教育和培训;4.对委托发布信息的单位和个?进?登记,并对所提供的信息内容按照本规定第六条进?审核;

  5.禁?建??向?业外的电?公告系统;建??向?业内的电?公告系统,需报国家局信息中?批准和备案,并建??户登记和信息管理制度;6.如发现有违反本规定的?为,应当保留原始记录,报上级保密委员会,并协助上级单位查处通过?业?络进?的各种违法违规?为。第三章

  ?业?络的基本要求第?四条

  为了保证?业?络的安全,原则上初期只在国家局开通?个到INTERNET的出?,?业内各单位和个?不得擅?联?INTERNET及其他?络,需要联?INTERNET的单位需报国家局信息中?批准。个?利?办公计算机设备联?INTER-NET的需报同级保密委员会和信息?络主管部门批准。第?五条

  ?业?络及与INTERNET的连接都是为了服务于?业?作,以及加快?业的信息化建设,推进?业持续、稳定、健康发展。第?六条

  要求加??业?络的单位必须按规定提交申请书及安全保证书,并不得将?业?络与其他?络直接连通。第?七条

  ?业?络在与外部?络进?连接时,必须采?防?墙等防护措施,并制定严密的访问权限。第??条

  联??业?络的计算机禁?通过调制解调器拨号登录到其他?络,如确实业务需要,需经同级保密委员会及信息?络主管部门批准。第四章

  业务?员职责第?九条

  上?的?员需根据业务需要分配相应的?络应?权限。第??条

  不得使??业?络提供的功能从事与业务?作?关的事项(如玩游戏、传?娱乐性信息等)。第???条

  业务?员应该定期对?络的安全情况进?彻底检查,发现情况,应及时向本单位保密委员会报告。第???条

  利??业?络与INTERNET的连接,在获取各种资源特别是计算机软件时,应当遵守有关知识产权的法律。第??三条

  严禁扩散被动收到的各种不健康信息及具有政治敏感性的信息,并及时报告部门领导及同级的保密委员会。第五章

  违规处罚第??四条

  对于违反本规定的单位,情节较轻者给予警告,并作出书?检查;情节严重的,将给予停?联?、限期整改的处罚,并追究主要领导的责任;构成犯罪的,交由司法机关依法追究刑事责任。第??五条

  国家烟草专卖局保密委员会及信息中?负责对本规定的解释。第??六条

  本规定?发布之?起施?。备注:最近更新:2021.10.22

篇四:烟草网络安全和信息化

  

  烟草行业计算机网络和信息安全技术与管理规范

  国烟办〔2003〕17号

  国家烟草专卖局信息化工作领导小组办公室

  国家烟草专卖局烟草经济信息中心

  二目

  录

  二年十二月

  前言

  随着我国信息化战略的推进,计算机和互联网(Internet)的广泛应用,社会信息化程度逐步提高,信息安全问题也日渐突出。网络和信息安全关系到国家的安全,为此,国务院及有关部门陆续发布了《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际互联网安全保护管理办法》、《计算机病毒防治管理办法》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《商用密码管理条例》等规定,对网络安全方面做出了一些具体规定。

  烟草行业信息化建设不断发展,计算机网络和信息系统与行业生产、经营和管理业务的关联越来越紧密,保证整个网络信息系统安全可靠的运转已是行业信息化建设的重要基础工作之一。根据国家有关规定,国家烟草专卖局对计算机网络和信息系统中涉及信息安全的工作及相关的技术、管理进行了规范,已经颁布执行的有《烟草行业计算机信息网络安全保护规定》(国烟办[1998]305号)、《烟草行业计算机信息系统保密管理暂行规定》(国烟保[1999]373号)和修订后的《烟草行业计算机网络建设技术规范》(国烟办[2002]348号)等。这些规定和规范对保障烟草行业计算机网络(行业内联网)的统一、畅通、可靠和完整起到了重要作用。

  随着行业信息化水平的不断提高以及计算机信息安全技术的进步,适时地将这些国家标准、行业标准及规范进行整理归纳,并结合行业实际情况,引入当前的新技术标准和管理手段,在保证资源共享的前提下,统筹规划,专项制定信息安全方面的技术和管理规范非常必要。本规范从烟草行业计算机网络建设的实际出发,在技术和管理上规范了烟草行业各单位计算机网络与信息系统的安全建设,主要包括信息安全概述,信息安全法规、政策和标准,信息安全技术和产品,烟草行业信息安全系统建设的目标、原则和要求,安全管理的组织、制度和职责,安全事故处理和汇报,烟草行业各级网络系统信息安全建设建议方案等七方面内容。

  行业内各单位务必重视信息安全工作,严格执行规范中的有关规定和要求,保证烟草行业计算机网络安全可靠的运行,以促进行业持续稳定健康发展。

  本规范由国家烟草专卖局信息化工作领导小组办公室、烟草经济信息中心负责解释并监督执行。

  本规范由国家烟草专卖局烟草经济信息中心和上海复旦光华信息科技股份有限公司编制。

  本规范的主要起草人:高一军、黄云海、迟诚、田朝阳、杨矗松

  本规范已经有关方面专家评审通过。

  1概述

  本规范包括以下几部分内容:

  信息安全概述

  信息安全法规、政策和标准

  信息安全技术和产品

  烟草行业信息安全建设目标、原则和要求

  安全管理的组织、制度和职责

  安全事故处理和汇报

  烟草行业各级网络系统信息安全建设建议方案

  本规范首先介绍了计算机网络信息安全的技术和管理理念,从安全技术介绍入手,提出了计算机系统的安全建设指导原则,并给出了一些建设性的意见和方案。另外,还针对行业计算机网络的管理,特别是烟草行业的安全管理制度与组织结构保障提出要求和建议。由于计算机网络和信息安全工作的特殊性,在本规范中,对信息安全事故处理等方面做出相应的建议和规定。

  2信息安全概述

  本节首先介绍计算机网络与信息系统整体安全的思想,从系统工程角度对计算机系统信息安全工作的内容和步骤进行了阐述。然后,从整体安全角度出发,说明系统安全的策略及目标,并针对烟草行业的计算机系统的脆弱性进行风险分析,说明烟草行业防护的重点,在说明信息系统安全的重要性的同时,也给出了安全体系建设的出发点。

  2.1P2DR模型

  整个规范的主导思想是围绕着P2DR模型的思想建立一个完整的信息安全体系框架。P2DR模型包含四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的整体指导下保证信息系统的安全。P2DR是由PDR(Protection、Detection、Response)模型引伸出的概念模型,增加了Policy功能,并突出了管理策略在信息安全工程中的主导地位。本规范的几个重要部分,如建设方案部分就是围绕着建立一个防护体系和检测体系(Protection、Detection)提出的,第六章制度与组织则是围绕着策略(Policy)讨论的,第七部分安全事件的处理与汇报正是对于安全事件的响应(Response)。

  信息安全建设应该借鉴P2DR安全模型。防护(Protect)的目的在于阻止侵入系统或延迟侵入信息系统的时间,为检测和反应提供更多的时间。检测(Detect)和发现的目的在于作出反应。反应(Response)是为了修复漏洞,避免损失或打击犯罪。信息系统安全不仅是定性的,同时还是定量的,不仅是技术的,还是管理的。信息系统安全概念要求是面向空间、时间、功能和人员的全方位的动态安全概念,这些还需要相应制度与组织的保障(属Policy范畴)。

  构成信息系统安全的核心环节:安全防护、安全检测、安全事件反应和安全管理。

  本规范采用的基本方法是建立四个层次的安全循环体系。其核心循环层是P2DR循环,它是安全系统漏洞与攻击事件的防护、检测、反应和管理的循环。P2DR循环层要求基于时间,形成快速反应。第二层循环是安全服务和过程的循环,安全服务和过程的目标是确保核心P2DR循环的快速反应,在这层循环中主要实施信息安全员、网络管理员、系统管理员和系统维护运行员的日常安全管理工作,包括烟草信息系统工作中非常重要的信息备份和恢复等工作。第三层循环是安全结构层的循环,在这层循环中要不断地对信息系统的安全结构进行再建设、维护、升级、改变结构、完善结构体系等工作,使系统保持安全运行的良好状态。它是通过系统结构的不断完善来确保安全服务和过程以及核心层P2DR循环的快速反应。第四层是在安全概念、安全策略、安全总体等宏观安全体系内建立的不断完善的循环体制,是一种宏观意义上的循环体制。

  由于P2DR循环是安全的核心循环,讨论信息系统安全的基本方法应当针对安全防护、安全检测、安全事件反应和安全管理四个环节进行重点讨论。

  1.安全防护的基本方法

  信息系统安全防护的基本方法就是不断地修改和完善安全计划和防护指南,并自上而下地贯彻和执行所制定的计划和指南。在制定计划和指南时要考虑下面几方面的问题:

  确认你的信息系统要保护的对象和内容;

  确认你的信息系统安全的威胁是什么;

  确认保护你的财产的成本效益;

  了解你的信息系统的安全脆弱性和存在的风险;

  制定安全防护策略。

  2.安全检测的基本方法

  信息系统安全检测的基本方法就是不断地修改和完善安全计划和检测指南,并自上而下地贯彻和执行所制定的计划和指南。在制定计划和指南时要考虑下面几方面的问题:

  确认你的信息系统要检测的对象和内容;

  确认你的信息系统安全的时间性(时间复杂性);

  确认检测你的系统的成本效益;

  确认你的检测系统的可生存性;

  制定安全检测策略。

  3.安全事件反应的基本方法

  信息系统安全事件反应的基本方法就是不断地修改和完善安全计划和反应指南,并自上而下地贯彻和执行所制定的计划和指南。在制定计划和指南时要考虑下面几方面的问题:

  确认信息系统安全事件反应的内容;

  确认你的信息系统安全事件反应的时间性;

  确认反应处理的成本效益;

  制定安全反应策略。

  4.安全制度与组织的建设

  P2DR模型和PDR模型最大的区别就在于Policy(安全策略)的引入。PDR模型与以前的安全模型的区别在于引入了检测时间的概念,与以往的静态防护模型相比,它引入了一个动态防护的概念,这就更能体现网络安全的复杂性。但是对于现在的大型网络而言,一个动态的只考虑技术层面解决手段的模型也无法更好的解决安全问题,因为网络安全、信息安全是一个整体的问题。PDR存在一个致命的弱点,就是忽略了内在的变化因素,如人员的流动、人员的素质差异和策略贯彻的不稳定性。所以本规范着重强调了P(Policy)的重要性,相关制度与体制的建议主要借鉴ISO17799标准中的内容与思想。

  5.其它安全模型简介

  安全模型除了上面介绍的P2DR外,常用的还有下面几个:

  PDCA:Plan—Do—Check—Action(计划—执行—检查—措施)

  PDR:Protect—Detect—Response(防护—检测—响应)

  PPDRR(P2DR2):Policy—Protect—Detect—Response—Recover(策略—防护—检测—响应—恢复)

  MPPDRR(MP2DR2):Manage—Protect—Detect—Response—Recover(管理—防护—检测—响应—恢复)

  此外,还有在上述基础上添加一些其它字母的,如S—Supervising等。

  其中P2DR和MP2DR2都是PDR模型的扩展,主要是由于入侵检测产品继防火墙之后成为又一个被接受的重要概念后产生的。因此推崇这些模型的厂商中具备入侵检测和防火墙产品的厂商较多,并注重检测和响应。目前,P2DR更为人所知。这一系列的模型主要特点是比较实用,能够转化为系列的产品来实施,但主要偏向于网络和系统层次的安全。虽然P2DR每一个字母都可以扩展成为广义上的安全定义,但一般来说该模型如果用在诸如身份验证、授权管理等上层应用安全的情况下则比较牵强。

  PDCA主要是与BS7799配套的模型。BS7799(ISO17799)是一个信息安全系统建设的参考标准(InformationSecurityManagementSystems,ISMS),是从宏观角度对安全建设的参考,包括技术方面与管理方面。但是比较抽象,需要与实际系统结合,进行解释才有实际的含义。PDCA抽象和宏观了一点,放之四海而皆准。类似于BS7799的标准还有很多,如CC,TCSEC,ITSEC等,我国也有系列的国标。目前,这些标准大都只能够起到宏观上指导的作用,真正将它们用于安全评估,可操作性较差,所以在烟草行业的规范中,在构建网络和系统层次的安全框架中我们主要参考P2DR模型。

  2.2纵深防御体系

  作为P2DR模型的一个有效补充,纵深防御体系是基于网络安全域概念的一个在信息安全系统建设中的一个重要原则。即根据功能、结构、重要性等因素划分网络安全域。根据每个安全域的不同,分别研究和设计不同的网络安全方案。

  建立纵深防御体系重点需要考虑如下因素:网络信息安全域的划分与隔离控制

  内联网安全服务与控制策略(Intranet)

  外联网安全服务与控制策略(Extranet)互联网安全服务与控制策略(Internet)

  公共干线的安全服务与控制策略(有线、无线、卫星)

  计算环境的安全服务机制

  多级设防与科学部署策略

  全局安全检测、集成管理、联动控制与恢复(PDR)

  在本规范中,具体的安全建设方案主要就是遵循P2DR模型和纵深防御体系的理论撰写的。在考虑到各级网络的现状,提供必要的防护手段的情况下,也尽量考虑到不同网络安全域的不同安全建设要求,提供不同的安全防护手段。

  2.3计算机网络信息安全

  计算机网络信息安全在学术研究上是一门综合性学科,在工程实践上是一项系统工程。目前有关计算机信息系统安全的定义不统一,国际标准化组织(ISO)定义:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”

  从计算机信息系统形态和运行过程出发,可把安全内容分为:实体安全、运行安全、数据安全和管理安全四个方面。

  实体安全是指保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有毒气体和其它环境事故(如电磁污染等)破坏的措施、过程。

  运行安全是指为保障系统功能的安全实现,提供一套安全措施(如安全评估、审计跟踪、备份与恢复、应急措施),来保护信息处理过程的安全。

  数据安全是指防止信息资源被故意的或偶然的非授权泄露、更改、破坏,或使信息被非法系统辨识、控制和否认。即确保信息的完整性、保密性、可用性、可控性和不可否认性。

  管理安全是指通过采用有关的法律法规和规章制度以及安全管理手段,确保系统安全生存和运营。管理手段是对安全服务和安全机制进行管理,把管理信息分配到有关的安全服务和安全机制中去,并收集与它们的操作有关的信息。

  按照比较通行的说法,计算机网络安全包括实体安全、运行安全和信息安全三个方面的内容。其中信息安全是计算机网络与信息系统安全建设的核心。

  安全是有协议层次的,ISO制定的网络安全体系结构,确定了五种基本安全服务和八种安全机制,从协议层次的角度看和OSI七层形成如下图所示的对应关系:

  而对应于每一个网络协议层次都有相应的安全手段和保护侧重。

  物理层安全:主要防止物理通路的损坏,防止线路窃听和干扰。

  链路层安全:主要防止线路窃听。常用保护手段为链路加密。

  网络层安全:网络层安全主要解决网络互联时在网络通信层的安全问题,需要解决的问题有网络设备安全、网络进出控制、拨号网络的安全、网络和链路层数据加密、防火墙应用、病毒防范、入侵检测(防黑客)、安全审计等。

  应用层安全:烟草行业的应用主要分为办公自动化(OA)应用系统和各种业务应用系统。OA应用包括对外部和内部的信息共享以及各种跨局域网的应用方式,其安全需求是在信息共享的同时,保证信息资源的合法访问及通信隐秘性。业务应用系统的安全性主要考虑应用系统能与系统层和网络层的安全服务无缝连接。需要解决的问题有身份认证、访问控制、数据保密性和完整性(安全通信)、内容审计、记录与抗抵赖等。

  系统层安全:包括操作系统的安全配置、操作系统的漏洞检测、操作系统的漏洞修补。

  安全管理:安全管理贯穿在安全的各个层次实施,本身可以从不同的视角加以描述。

  从全局管理角度看,要制定全局的安全管理策略。

  从用户管理角度看,要实现统一的用户角色划分策略。

  从资源管理角度看,要实现资源的分布配置和统一的资源目录管理。

  从技术管理角度看,要针对各个层面的要求实现统一的安全配置和管理。

  2.4信息安全的系统工程思想

  一般认为,一个大型的信息系统安全体系覆盖了通信平台、网络平台、系统平台、应用平台,覆盖网络的各个层次,覆盖各项安全功能,是一个多维度全方位的安全结构模型。安全体系的建立,既涉及安全理论与技术,又涉及安全策略与管理。就安全技术而言,它涵盖了现代通信技术、计算机技术、网络技术、密码技术等,本身是一项跨学科的综合性信息系统工程,需要从设施、技术到管理整个经营运作体系的通盘考虑,必须以系统工程的方法进行设计。对信息安全的理解着重是以下三个基本要点:安全技术、层次结构和安全生命周期。

  2.4.1安全技术

  安全技术是构成信息安全的安全基础设施,位于所有其它组成之下,提供了技术构成和组织过程的保护。基于安全基础设施中相应的标准和技术,提供相关的安全服务内容。下图列举了主要的一些安全技术,并给出了各种安全技术之间内在的层次水平。图的底层部分是核心技术层次,这类的安全产品及技术涉及计算机科学的本质,对国计民生有重大意义,其技术的水平和难度也是最高的,但也是最不为普通用户所理解并涉及的。图的最上层,是一系列安全技术构成的功能相对独立的产品,它们技术成熟,易于在网络和信息系统中应用,也最接近普通用户。所有这些产品

  可以从安全技术本身的视角出发,按其产品投入水平、技术能力、产品价值等从核心层到平台层到应用层不同层次、不同等级的安全技术排列。这可以帮助技术人员理解纷繁复杂的安全概念、技术和产品,从整体上形成对安全技术整体框架的认识和理解。

  2.4.2层次结构

  在安全技术基础之上,体现的则是安全的策略、服务、管理和平台之间层次关系,这种关系可以用下图三维结构说明。

  每一种安全技术都可以形成不同的安全产品,并侧重在不同的技术点上发挥其作用;同样,不同的安全产品可以在不同的协议层次上为系统增强安全性,也是侧重于不同层次的增强,没有一种安全产品可以包容所有的安全层次。一个网络信息系统是由一个个子系统构成的,各种系统平台以及平台间是一个有机的整体,平台间的层次关系也直接影响着整体安全的水平。在各个方向上理解安全,都存在着安全管理这一层次。安全产品和技术层次上需要对产品进行统一的归并管理,系统协议层次上需要强化各个层面的安全防护措施,各个系统平台之间也需要一个管理体制进行协助合作,可以说,安全管理的要求无处不在。

  2.4.3安全生命周期

  系统的安全体系是一个不断发展变化的体系,这个系统的周期模型可以用下图表示:

  根据这个周期模型,系统安全的生命周期一直是围绕系统安全政策、标准及评估准则进行的,这些是信息安全工作的灵魂。系统安全工作一般是从系统的安全评估开始的,建立系统脆弱性及风险性模型,对系统安全问题进行全面而深入的理解,之后,制定安全计划,对各种问题逐一加以解决,这个计划可以是长期计划,也可以是短期应急措施。计划制定完成后,需要对各个计划和方案进行论证评定,考虑系统的成本、能力及水平等综合因素后,选择切实可行的计划加以实施。同时,进行人员的培养和基本知识的普及,加强系统中每个人的安全能力与安全意识。安全系统建成后,进行正常的运转,降低系统安全风险,维护系统的安全。但是,并不是每个安全系统都可以承受各种安全威胁和潜在的攻击,系统一定会经历安全体系无法抵消的紧急事件,此时,系统需要紧急响应并试图恢复系统运行。安全系统经过一段时间后,会因系统自身变化或是技术水平的变化导致系统安全形势的变化,需要重新进行安全评估工作,因此,系统安全这一工作过程会周而复始地不断进行,使得整个系统的安全水平得到不断提升。

  按照这个理念,一个信息系统的安全工作首先需要确立自己的安全策略及安全目标,然后从分析这个系统安全威胁入手,找出系统安全威胁及系统自身脆弱性的方面,从系统的风险出发,才能有效地制定安全计划。

  2.5信息系统的安全策略和目标

  2.5.1安全策略

  信息系统的安全策略可以划分为网络安全策略和计算机安全策略,要根据层次、范围制定不同的安全策略。安全策略是包括信息系统安全的设计、采购、测试、开发、防护、检测、反应、管理和培训等方面的综合体。具体包括:

  根据具体威胁分析,制定并设计安全系统结构;

  根据系统现状,确认信息系统存在的安全风险及脆弱性;

  确定安全防护、检测的目的、对象以及内容;

  建立安全防护、检测以及反应体系;

  确认安全体系中使用的安全产品;

  制定安全服务内容及流程;

  制定安全事件处理的规范;

  建立安全管理制度;

  制定体系化的安全培训制度。

  2.5.2信息系统安全目标

  建设信息系统的安全体系的目标可以根据需求而有所不同,但是安全建设的一般目标可以描述如下:

  维持信息系统的防护、检测和反应的结构、功能及时间性安全指标,建立系统的安全结构指标、安全服务和过程要求;

  保护系统和用户的信息资源和资产;

  维护信息系统安全服务的信息和行为的完整性;

  维持经济和社会效益;

  避免由于信息系统的安全结构引起的安全事件。

  2.6系统安全威胁

  对于计算机信息系统,常见的安全风险主要有:

  系统设计者有意建立或因偶然故障而存在的“后门”

  计算机系统操作过程中的人为错误、意外事故、疏漏和权限错误

  计算机系统出错引起的拒绝使用

  电磁辐射引起的信息泄漏

  内部人员进行数据偷窃的犯罪行为

  火灾和自然灾害

  伪造文件和记录

  硬件故障

  假冒别人的访问代码进入系统

  不准确的或过时的信息

  故意破坏

  传输路径错误

  搭线窃听和乘机而入

  应用系统编程错误

  数据库系统被非法侵入

  对已删除信息的搜寻和复原

  非授权处理和恶意攻击

  计算机病毒

  等等。

  这些都是系统安全不可忽视的因素。

  2.7烟草行业的信息安全防范对象

  本规范适用于烟草系统的计算机软硬件设备和系统、计算机网络设备和系统、通信网络设备和系统、业务应用系统的安全问题,以及其它与烟草有关的自动监控设备与系统、自动化电子设备与系统的安全问题,涉及到计算机软件、计算机硬件、计算机局域网、计算机城域网、通信网络、广域网、内联网站点、互联网站点、信息基础设施、外部设备以及烟草应用智能化电子设备与系统等。

  本规范涉及到的防护对象为:

  硬件:计算机终端、微机、工作站、服务器、主机、打印机、磁盘设备、网络连接设备、路由器、交换机、调制解调器、通信终端、通信传输设备、通信线路、计算机网络线路等。

  软件:应用源程序、应用目标程序、诊断程序、测试程序、各类支持和资源程序、开发工具程序、操作系统程序、数据库管理程序、网络管理程序、系统管理程序、监控程序等。

  系统:系统结构、软硬件平台、计算机系统、计算机局域网系统、计算机区域网系统、计算机广域网系统、内联网系统、互联网系统、通信网络系统及其它电子化系统。具体包括烟草业务系统(产购销)以及办公自动化系统。

  数据:设备和系统存储器和缓冲器中的数据、磁盘中的数据、在信道上传输的数据、数据库中的数据、存储介质中的数据等。

  行为:软件、硬件、系统的正常工作功能和保障系统工作行为的完整性、异常处理行为的完整性等。

  文档:软件、硬件、系统的数据文档和用户文档、维护文档、测试文档、管理文档、支持文档和其它相关文档。

  支持介质:纸介质、磁介质、光盘介质等。

  环境:计算机机房、终端柜台、机房所在建筑、建筑周界等。

  人员:信息系统安全员(1SSO)、网络安全员(NSO)、系统管理员、操作员、安全测评人员、安全总体人员、安全监控人员、用户、设备供应商(设计人员和开发人员)、系统集成商及维护人员等。

  3信息安全法规、政策和标准

  信息系统的安全标准都是从防护意义上讨论的安全标准。强制标准适用于所有烟草信息系统,安全性标准适用于信息处理、信息传送、信息模型化与信息标准和人机接口(HCI)。下面列出在信息安全方面国际和国内以及烟草行业内部的法规、政策及标准。

  3.1国家的法律、法规和政策

  《中华人民共和国计算机信息系统安全保护条例》(国务院令147号)

  本条例规定了信息系统安全公民所应负的责任以及公安部门的权限及处理方法。

  《中华人民共和国计算机信息网络国际互联网管理暂行规定》(国务院令195号)

  本规定明确了单位及个人在接入互联网中所应负的责任。

  《计算机信息系统安全专用产品检测和销售许可证管理办法》(公安部令32号)

  本办法自一九九七年十二月十二日起施行,规定了中华人民共和国境内的安全专用产品进入市场销售的销售许可证制度。

  《中华人民共和国保守国家秘密法》

  本法规规定了国家秘密的范围和密级,保密制度及法律责任。

  《中华人民共和国保守国家秘密法实施办法》(国家保密局)

  本办法规定了中华人民共和国保守国家秘密法的实施办法。

  《计算机信息系统保密管理暂行规定》(国家保密局

  国保发[1998]1号)

  本规定规定了涉及采集、存储、处理、传递、输出国家秘密信息的计算机信息系统的管理要求。

  《计算机信息系统国际联网保密管理规定》(国家保密局)

  本规定明确了进行国际联网的个人、法人和其它组织,互联单位和接入单位的职责和应遵守的原则。

  《计算机信息网络国际互联网安全保护管理办法》(公安部)

  本法规于1997年12月11日经国务院批准,1997年12月30日由公安部发布,规定了计算机信息网络国际联网安全保护管理的具体内容。

  《商用密码管理条例》(国务院令273号)

  本条例规定了不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品(商用密码)的科研、生产、销售和使用原则。

  《中共中央关于加强新形势下保密工作的决定》

  该文件指明了涉及国家秘密的通信、办公自动化和计算机信息系统的建设原则。

  《计算机病毒防治管理办法》

  该办法是为了加强对计算机病毒的预防和治理,保护计算机信息系统安全,保障计算机的应用与发展,根据《中华人民共和国计算机信息系统安全保护条例》的规定而制定的。由中华人民共和国公安部于2000年4月26日颁布,即日起开始实施。

  3.2国家标准和要求

  GB17859-1999计算机信息系统安全保护等级划分与准则

  GB9361-1988计算站场地安全要求

  GB2887-1989计算站场地技术要求

  GB50174-1993电子计算机机房建设规范

  GB9254-1998信息技术设备的无线电骚扰限值和测量方法

  GJB3433-1998军用计算机网络安全体系结构

  BMB2-1998使用现场的信息设备电磁泄露发射检查测试方法和安全判断

  BMB3-1999处理涉密信息电磁屏蔽室的技术要求和测量方法

  BMB4-2000电磁干扰器技术要求和测量方法

  等

  3.3行业要求和规范

  《烟草行业计算机信息网络安全保护规定》(国烟办[1998]305号)

  《烟草行业计算机信息系统保密管理暂行规定》(国烟保[1999]373号)

  《烟草行业计算机网络建设技术规范》(国烟办[2002]348号)

  《新闻报道和网络发布信息管理规定》(国烟办[2001]141号)

  3.4其它专用安全标准

  其它专用的安全标准还有很多,如应用平台实体安全标准,是指除公共操作环境网络信息平台中除操作系统之外的运营支持、管理支持、开发支持、集成支持和应用支持平台意义上的安全标准。

  1.数据管理服务

  如下强制标准用于与要求的信任级别一致的数据管理服务:

  NCSC—TG一021,版本1,可信数据库管理系统说明,1991年4月;

  2.软件工程服务安全(SEMC)

  3.类属安全性服务(GSS)——应用程序接口(API)安全

  4.数据交换服务安全

  数据交换是指系统与外部环境进行数据和信息的交换的服务。这些服务包括文档交换、图形数据交换、地理数据交换、图象数据交换、时间数据交换、多媒体数据交换等。

  5.分布式计算服务安全标准(DCE)

  DCE鉴别和安全规范是DCE的开放组规范草案。

  6.开放系统安全标准

  这些标准构成了一个相对完整的安全标准体系,是专业人员从事系统安全建设时所必须遵循的基本准则。

  7.ISO17799/BS7799ISO17799是一个详细的安全标准,涵盖安全问题的各个方面。

  4信息安全技术和产品

  本节首先从系统的安全结构开始,简要介绍计算机网络与信息系统安全的技术及产品,然后,从建设一个整体系统安全角度出发,针对烟草行业的计算机系统的实际,提出了一些安全系统的建设原则,作为安全系统建设需要考虑并遵循的基本原则。

  4.1系统的安全结构

  烟草行业计算机网络与信息系统安全体系是一个跨地域、跨平台、跨厂商的大型网络。在这样的网络中,除了技术与产品以外,安全策略与管理,到项目实施与经营运作是一个综合的系统工程。

  烟草行业计算机网络与信息安全系统总体框架示意图

  烟草行业计算机网络与信息安全系统总体框架如上图所示,在逻辑上清晰的表示出基于安全基础设施、以安全策略为指导,通过统一的安全管理平台,提供全面的安全服务内容,覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求,从而形成完整的信息安全体系架构。

  安全基础设施,位于所有其它组成之下,提供了技术构成和组织过程的保护。基于安全基础设施中相应的标准和技术,提供相关的安全服务内容。

  4.2通信系统安全结构

  4.2.1通信系统物理安全

  1.通信系统物理安全的主要内容

  环境安全:环境安全需要对物理安全保护对象的安全风险等级进行评估,并采取相应的安全防护措施,建立关键设备工作环境以及主机机房的安全防护系统。

  设备安全:对关键设备采取防盗、防毁、防电磁辐射泄露、防止线路截听、抗电磁干扰及电源保护等方面的安全保护措施,并对关键物理设备制定实体设备访问控制规则,控制对设备的非授权访问。

  存储介质安全:对信息系统中使用的各类磁盘、光盘和磁带等关键的存储介质实施严格的安全管理,按照其内容的重要程度实行分级的安全管理和控制,并对关键存储介质的存储和维护过程进行管理,确保介质中存储信息在保存和使用过程中的安全性;

  2.通信系统物理安全的具体措施

  机房环境:计算机网络与信息安全系统相关子系统的布线系统应符合系统的安全保密要求,同时应配备防火、防水、防震、防雷电等各种物理安全保障措施,保证机房的物理环境安全。在核心机房建立监控系统,通过摄像头,对机房的日常情况进行监控。

  网络设备保护:主交换机,路由器等网络设备都将放置在中心机房,各楼层的配线架、交换机等设备均有相应的物理保护措施,避免外部人员偷改线路或者网络设备配置。

  机房建设:实施屏蔽机房,机房要安装门禁系统,并有配套的管理措施严格控制对机房物理环境的访问。

  存储介质安全管理:对信息系统中使用的存储介质(如磁盘、光盘以及磁带等)进行严格管理,并建立相应的制度,包括介质的使用制度、存储制度、维护制度以及销毁处理制度等。

  防电磁辐射:尽量采用低辐射显示器,以减少信息泄漏。

  4.2.2通信系统加密

  1.通信系统加密的主要内容

  通信系统加密,包括数据链路层以及网络层通信的加密措施。由于在广域连接中,公网线路的信道是含有不安全因素的,所以在网络的链路层需要做到防止数据包被黑客窃取,造成重要的信息如密码等关键数据泄漏等事故发生。

  2.通信系统加密的技术措施

  通信系统加密的技术措施主要使用采用通信信道加密的措施,具体包括链路加密机以及网络加密机等。

  链路安全保护措施主要是链路加密设备,如各种链路加密机。它对所有用户数据一起加密,用户数据通过通信线路送到另一节点后立即解密。一般,线路加密产品主要用于电话网、DDN、专线、卫星点对点通信环境,它包括异步线路密码机和同步线路密码机。异步线路密码机主要用于电话网,同步线路密码机则可用于许多专线环境。线路加密的主要问题是,网络的拓扑结构和连接方式可能不断的变化,如果线路变更,则加密机也必须变更。此外,每一条线路的两端都需要线路加密机,实现的代价较大。

  网络加密机具有很好的网络适应性,其工作与物理线路无关,若广域网主通信链路进行扩容、改造时,不需要做任何硬件方面的改造,只需要配置参数做简单的修改即可,节省大量经费和人力。此外网络加密机实现了多点对多点的加密,而链路加密机局限于点对点的加密。

  3.加密设备

  目前国内开发并提供的主要保密设备包括:

  E1信道加密机;

  X.25信道加密机;

  FrameRelay加密机;

  ATM加密机;

  终端加密机;

  网络加密机等。

  4.3网络系统安全结构

  4.3.1安全域的划分

  1.安全域的定义

  对于一个严密和安全的系统,系统管理要有明确的任务和责任。为了规范安全管理,必须指定网络安全的范围。这个基本单元就称为“安全域”。安全管理必须明确所管理和控制的范围,即信息安全系统所控制的网络服务器的范围,这就是安全域的概念。没有安全域的安全管理是不现实的。

  一个计算机网络信息系统可能需要一个独立的安全域,也可能需要几个安全域。配置合适的安全域需要考虑以下几个因素:单位的规模、目的、需要和特殊的需求、安全性、网络拓扑结构,以及管理模式和开销等。

  2.安全域的划分

  根据烟草行业计算机网络与信息系统的网络结构、具体的应用以及安全等级的需求,进行安全域的划分,主要分为以下四个安全域:

  核心业务应用安全域:指烟草主要的应用业务系统;

  办公自动化安全域:指OA系统;

  公共信息服务安全域:包括Web服务、DNS服务以及邮件服务等;

  关键部门安全域:如人事部门、财务部门等。

  3.安全域划分的主要技术

  安全域划分的主要技术包括:

  逻辑隔离技术(VLAN-虚拟局域网)技术;

  物理隔离技术。

  4.3.2安全路由器

  路由器作为网络之间数据通信的核心设备,其本身的安全性能尤为关键,因为作为网络转接设备的路由器,需要不断接收与发送路由信息及IP数据报,而路由信息与敏感IP数据报的安全正是网络安全防护的核心。因此,强化路由器本身的安全防范往往可以收到事半功倍之效。安全路由器应该具备以下主要功能:

  1.网络的互联

  路由器面向网络层的数据报。高性能安全路由器不仅可以实现不同的局域网的互联,而且可以实现局域网与广域网的互联以及广域网与广域网的互联。为了实现网络的互联,路由器必须能完成如下几个功能:地址映射、数据转换、路由选择、协议转换。

  2.网络的隔离

  路由器不仅可以根据局域网的地址和协议类型,而且可以根据网络号、主机的网络地址、地址掩码、数据类型来监控、“拦截”和过滤信息。而桥只能根据局域网的地址和协议类型来隔离信息。这种隔离功能不仅可以避免广播风暴,提高网络性能,更主要的是有利于提高网络的安全和保密性。因为路由器连接的网络间是彼此独立的子网,便于分割一个大网为若干独立部分进行管理和维护。因此现代组网技术往往采用路由器,许多安全和管理工作也在路由器上实现(如在路由器上实现部分防火墙的功能)。

  3.流量的控制

  路由器可以有很强的流量控制能力,可以采用优化的路由算法来均衡网络负载,从而有效地控制拥塞,避免因拥塞而使网络性能下降。

  4.身份认证

  路由器中的身份认证主要包括访问路由器时的身份认证、对端路由器的身份认证和路由信息的身份认证。

  5.访问控制

  包括:对于路由器的访问控制,需要进行口令的分级保护;基于IP地址的访问控制;基于用户的访问控制。

  6.数据加密

  为了避免因为数据窃听而造成的信息泄漏,有必要对所传输的信息进行加密,只有与之通信的对端才能对此密文进行解密。通过对路由器所发送的报文进行加密,即使在Internet上进行传输,也能保证数据的私有性、完整性以及报文内容的真实性。

  7.安全管理

  内部网络与外部网络之间的每一个数据报文都会通过路由器,在路由器上进行报文的审计可以提供网络运行的必要信息,有助于分析网络的运行情况。

  因此,在建设网络系统或进行网络改造时要选购具有安全特性的路由器。

  4.3.3防火墙

  1.防火墙技术

  防火墙是部署在不同网络安全域之间的一系列部件的组合。它是信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。

  防火墙实现网与网之间的访问隔离,以保护整个网络抵御来自其它网络的入侵者。

  防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,按实现的技术手段总的来说可以分为以下几种类型:

  包过滤防火墙:数据包过滤(PacketFiltering)防火墙是在网络层对数据包进行分析、过滤。过滤的依据是系统内设置的过滤规则,称为访问控制表(AccessControlTable)。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。其特点是:速度快、费用低,并且对用户透明,但是对网络的保护很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。

  应用级防火墙:应用级防火墙主要工作在应用层。应用级防火墙往往又称为应用级网关,它此时也起到一个网关的作用。应用级防火墙检查进出的数据包,通过自身(网关)复制传递数据,防止在受信主机与非受信主机间直接建立联系。其特点是:访问控制能力强,但对每种应用协议都需提供相应的代理程序,同时网络性能比较低。

  混合型防火墙:即具有包过滤防火墙和应用级防火墙的特点,同时增加了一些其它功能,如具有状态检测技术、应用代理、网络地址转换(NAT)、虚拟专网(VPN)等功能。

  2.防火墙的主要功能

  无论何种类型防火墙,从总体上看,都应具有以下基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;网络地址转换;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。

  防火墙作为一种被动的、静态的安全防护技术是安全系统建设的一个基础设施,在烟草行业计算机网络与信息安全系统中,防火墙保证各安全域(或安全子系统)之间进行通信的基本安全机制:提供网络访问控制、应用代理、检测并防止部分攻击行为、网络地址转换等功能。通过防火墙产品的部署,再配合其它安全产品和技术,如安全管理平台、入侵检测与安全审计、漏洞扫描、病毒防范等,形成一个主动与被动互补的、动静结合的、多层次的、完善的安全防护体系,保证系统的安全。

  3.防火墙产品

  目前主要的防火墙产品有:

  软件防火墙:主要为百兆防火墙;

  硬件防火墙:百兆防火墙、千兆防火墙。

  4.3.4入侵检测系统

  1.入侵检测技术

  入侵检测系统(IDS)是实时网络违规自动识别和响应系统。它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方,通过实时截获网络数据流,能够识别、记录入侵和破坏性代码流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时,入侵检测系统能够根据系统安全策略做出反应,包括实时报警、事件登录,自动阻断通信连接或执行用户自定义的安全策略等。主要的入侵检测技术分为如下两类:

  基于模式匹配(signature-based)的入侵检测技术:需要预先定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别所搜集到的数据特征是否在所收集到的入侵模式库中出现。这种检测技术的核心是分析各种入侵行为的特征,并建立入侵特征库。

  基于异常发现(anomaly-based)的入侵检测技术:先定义一组系统“正常”情况的阀值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何分析系统运行情况。

  除上述技术外,还有基于审计的入侵检测技术、基于连接的入侵检测技术、基于协议分析的入侵检测技术、基于神经网络的入侵检测技术以及基于专家系统的入侵检测技术等。

  2.入侵检测系统的主要功能

  按获得原始数据的方法可以将入侵检测系统分为基于网络的入侵检测和基于主机的入侵检测系统。由于网络入侵检测系统与主机入侵检测系统各有优缺点,因此目前的入侵检测系统结合了两种入侵检测系统来实现,形成分布式的入侵检测系统,并使用了多种入侵检测技术,包括使用了模式匹配技术、异常检测技术、基于协议分析的检测技术、基于连接的检测技术等。因此在入侵检测的功能、检测的性能以及误报率上有了很大的改进。入侵检测系统的主要功能要求如下:

  实时性要求:如果攻击或者攻击的企图能够尽快的被发现,这就使得有可能查找出攻击者的位置,阻止进一步的攻击活动,有可能把破坏控制在最小限度,并能够记录下攻击者攻击过程的全部网络活动,并可作为证据回放。实时入侵检测可以避免常规情况下,管理员通过对系统日志进行审计以查找入侵者或入侵行为线索时的种种不便与技术上的限制。

  可扩展性要求:因为存在成千上万种不同的已知和未知的攻击手段,它们的攻击行为特征也各不相同。所以必须建立一种机制,把入侵检测系统的体系结构与使用策略区分开。一个已经建立的入侵检测系统必须能够保证在新的攻击类型出现时,可以通过某种机制在无需对入侵检测系统本身进行改动的情况下,使系统能够检测到新的攻击行为。并且在入侵检测系统的整体功能设计上,也必须建立一种可以扩展的结构,以便系统结构本身能够适应未来可能出现的扩展要求。

  适应性要求:入侵检测系统必须能够适用于多种不同的环境,比如高速大容量计算机网络环境,并且在系统环境发生改变,比如增加环境中的计算机系统数量,改变计算机系统类型时,入侵检测系统应当依然能够不作改变而正常工作。适应性也包括入侵检测系统本身对其宿主平台的适应性,即跨平台工作的能力,适应其宿主平台软、硬件配置的各种不同情况。

  安全性与可用性要求:入侵检测系统必须尽可能的完善与健壮,不能向其宿主计算机系统以及其所属的计算机环境中引入新的安全问题及安全隐患。并且入侵检测系统应该在设计和实现中,能够有针对性的考虑几种可以预见的、对应于该入侵检测系统的类型与工作原理的攻击威胁,及其相应的抵御方法,确保该入侵检测系统的安全性与可用性。

  有效性要求:能够证明根据某一设计所建立的入侵检测系统是切实有效的。即对于攻击事件的错报与漏报能够控制在一定范围内。

  3.入侵检测产品

  目前主要的入侵检测产品有:

  主机入侵检测产品;

  网络入侵检测产品;

  分布式入侵检测产品(包含主机入侵检测以及网络入侵检测系统)。

  4.3.5网络安全审计系统

  1.网络安全审计

  网络安全审计系统主要是监控来自网络内部和外部的用户活动,侦察系统中现存的和潜在的威胁,对与安全有关的活动的相关信息进行识别、记录、存储和分析,对突发事件进行报警和响应。审计系统自身的数据具备防销毁、防篡改的特性,能够为网络犯罪案件的侦破和取证提供精确、宝贵的辅助数据。它可以在内部局域网上

  建立完善的安全预警和安全应急反应体系,为信息系统的安全运行提供保障。网络层的安全监控与审计又包括入侵检测与预警、数据分析和内容检测、系统紧急反馈等几个方面。

  2.网络安全审计系统的主要功能

  典型应用的审计:审计系统能够对于网络上最常见的典型应用进行细化的审计,提供符合条件设置的典型应用的详细信息,以提供更加详尽的侦破辅助和取证功能。审计系统可实现对HTTP、Telnet、FTP、SMTP、POP等典型应用的操作进行审计,能够监视网络上这些应用的所有行为,并根据预先设定的规则产生报警,甚至能够阻断正在利用这些应用进行非授权访问等的入侵和破坏行为。

  用户自定义数据传输审计:审计系统能够提供用户对特定应用进行审计。例如对于某些内部网络上运行的某些基于客户/服务器(C/S)结构的应用系统,可以在审计系统中配置这些应用中所采用的端口号或者IP地址,以实现对此应用的审计。具体可实现IP-端口组合规则设定、反向规则设定、面向连接的数据截获、面向连接的浏览等功能。

  流量监测:审计系统的流量监测功能,包括实时流量监测和历史流量记录。具体可监测服务器的流量、客户机的流量、近期应用的流量、其它服务监测、各种流量的记录查询,同时产生各种流量曲线图以及统计报表等。

  文件共享审计:审计系统提供的文件共享审计是指对在Windows(9x/NT)中使用的基于NetBiosOverTCP/IP的文件共享应用进行审计。用户可以指定受到审计的机器(通常是重要任务使用的客户机)以及文件名或目录名列表(通常是重要文件)。凡是对指定的机器或文件采用“网上邻居”方式进行文件共享的活动将会被记录和报警。文件共享记录的内容包括:源、目的主机的IP地址和主机名、采用的用户名、对文件进行的操作(如读、写、删除等)、相关的文件名。

  主机服务审计:审计系统提供的主机服务审计主要是通过对网络上传输的数据分析来确定网络上的各个计算机所开放的服务端口,并根据确定的规则对某些主机突然开放陌生的服务端口的情况进行报警。例如:可对活跃主机服务端口、特定主机的固定服务端口进行审计监控,及时发现非法端口的使用,发现木马、蠕虫等的活动。

  实时阻断和报警响应:审计系统允许用户在设定规则的时候指定所采用的响应措施,报警和阻断是最基本的响应措施。阻断,审计系统可采用旁路阻断的方式对基于TCP连接上的应用出现违规操作和入侵的情况进行连接阻断,使违规操作不能继续下去。旁路式的阻断不同于传统防火墙的过滤措施,对现有网络数据传输不产生影响,不影响正常的应用。报警,审计系统提供的报警包括在控制台界面上显示报警信息和声音报警、向网管软件的报警、向防火墙报警等。用户可以对不同的报警级别指定使用不同的报警声音。

  审计数据和系统管理:审计系统采用数据库对审计数据进行管理,提供用户对历史审计数据进行查询、浏览、删除、转存、报表制作等操作,并可以通过界面完成

  各种代理(Agent)的参数设定。由于数据采用数据库方式存储,所以也支持用户在数据库存储的数据的基础上进行二次开发,实现特殊的统计功能。

  4.3.6VPN系统

  1.VPN定义

  虚拟专用网络(VirtualPrivateNetwork,VPN)技术是利用“不可靠”的公用互联网络作为信息传输媒介(在传输过程中信息容易被窃取),通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能,从而实现对重要信息的安全传输。

  2.VPN技术以及种类

  (1)实现VPN的主要技术

  安全隧道技术(SecureTunnelingTechnology):通过将待传输的原始信息经过加密和协议封装处理后再嵌套装入另一种协议的数据包送入网络中,像普通数据包一样进行传输。经过这样的处理,只有源端和目标端的用户对隧道中的嵌套信息能进行解释和处理,而对于其它用户而言只是无意义的信息。VPN的隧道协议包括:第二层隧道协议,它在数据链路层实现数据封装,常用的有PPTP、L2TP等;第三层隧道协议,它在网络层实现数据封装,如IPSec。

  用户认证技术(UserAuthenticationTechnology):在正式的隧道连接开始之前需要确认用户的身份,以便系统进一步实施资源访问控制或用户授权。

  访问控制技术(AccessControlTechnology):由VPN服务的提供者与最终网络信息资源的提供者共同协商确定特定用户对特定资源的访问权限,以此实现基于用户的访问控制,以实现对信息资源的最大限度的保护。

  (2)VPN的种类

  VPDN(VirtualPrivateDialNetwork):在移动用户和企业局域网之间的VPN,称为VPDN。其过程如下:用户拨号网络服务提供商(NSP)的网络访问服务器NAS(NetworkAccessServer),发出PPP连接请求,NAS收到呼叫后,在用户和NAS之间建立PPP链路,然后,NAS对用户的身份进行验证,确定是否为合法用户,确认后就启动VPDN功能,与企业总部内部连接,访问各种资源。

  内联网VPN(IntranetVPN):在企业远程分支机构的局域网和企业总部局域网之间的VPN。通过Internet这一公共网络将企业在各地分支机构的局域网连到企业总部的局域网,以便企业内部的资源共享。

  外联网VPN(ExtranetVPN):在供应商、商业合作伙伴的局域网和企业局域网之间的VPN。由于不同企业网络环境的差异性,该产品必须能兼容不同的操作平台和协议。由于用户的多样性,企业的网络管理员还应该设置特定的访问控制表

  ACL(AccessControlList),根据访问者的身份、网络地址等参数来确定相应的访问权限,开放部分资源而非全部资源给远程的用户。

  3.VPN设备

  目前主要的VPN设备有:

  防火墙VPN网关;

  专用VPN网关;

  VPN软件客户端等。

  4.4主机与系统安全结构

  4.4.1访问控制系统

  传统操作系统本身简单的访问控制机制不能满足实际的安全需求,存在很多的安全隐患。因此,需要在计算机网络与信息系统中采用先进的访问控制系统完善计算机系统的访问控制,严格划分、管理、控制用户的权限和行为,达到更高层次的安全级别。

  在信息系统中,对于核心业务服务器以及关键数据库服务器采用主机访问控制措施,增强系统的安全等级。主机访问控制系统应该具有以下功能:

  1.用户认证

  访问控制系统可以限制用户登录的终端、用户登录的时间段、用户的登录次数和控制用户登录时输入错误口令的次数。

  2.口令质量控制

  对系统的安全威胁有许多种,但是威胁最大的是普遍存在的口令选择不当所构成的威胁。访问控制系统应可以帮助安全管理人员实施这些口令质量控制的规范,强制用户按照规章制度的规定选择口令,从而消除最大的安全隐患。

  3.访问控制

  商用操作系统的安全级别一般最高达到C2级。它采取自主存取控制(DAC)按用户意愿进行存取控制。访问控制系统对资源的保护采用访问控制列表(ACL)的方式,使操作系统的安全级别达到B1级,大大提高了操作系统的安全性。

  4.取消“超级用户”

  访问控制系统把管理的权限付给三个角色:安全管理员、审计员和口令管理员。安全管理员制定、实施安全策略、建立、修改和维护用户属性;但是不能修改用户的口令,也不能改变策略的审计属性;这两部分工作分别由口令管理员和审计员负责。这三个角色互相制约,任何一个人的操作都可以得到其它人的监督,共同完成安全

  管理功能。这样,即便是操作系统的超级用户,也无法超越授权访问资源,从而解决了上述商用需求和技术实现之间的矛盾。

  5.审计日志功能

  访问控制系统提供了强大的实施跟踪和安全审计的功能,提供了详尽而完善的审计日志,审计员可以随时察看各种被访问控制系统记录和禁止的访问控制信息,分析其中问题,与安全管理员一起细化访问控制策略,以更好地保护系统。

  除了以上这些功能外,访问控制系统对UNIX操作系统提供的特殊功能有:目录和文件保护、特权进程保护、进程保护、网络连接保护、授予普通用户超级权利等额外的功能。

  访问控制系统对Windows操作系统提供的额外特殊的保护有:注册表保护、文件保护、限制管理员帐号权限、任务委派、增强文件保护、增强口令保护、程序路径保护等手段。

  4.4.2漏洞扫描系统

  1.网络安全检测技术

  网络安全检测技术是对网络进行风险评估的重要措施,通过使用网络安全性分析系统,可以及时发现网络系统中最薄弱的环节,检查报告系统存在的弱点、漏洞与不安全配置,建议补救措施和安全策略,达到增强网络安全性的目的。

  实现网络安全检测的主要技术是漏洞扫描,包括网络漏洞扫描、主机系统漏洞扫描以及数据库系统漏洞扫描等几个部分。

  漏洞扫描(也叫漏洞检测)目前已经越来越为网络安全管理员所重视。因为,利用系统设计、配置和管理中的漏洞来攻击系统是最为典型的技术型攻击手段。专家认为,如果系统在建立时就具备严密的安全环境,那么成功的技术入侵事件数量就会大大减少。漏洞扫描就是对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞。这种技术通常采用两种策略,即被动式策略和主动式策略。被动式策略是基于主机的检测(SystemScanner),对系统中不合适的设置、脆弱的口令以及其它同安全规则相抵触的对象进行检查;而主动式策略是基于网络的检测(NetworkScanner),通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而发现其中的漏洞。漏洞扫描的结果实际上就是系统安全性能的一个评估,它指出了哪些攻击是可能的,因此成为安全方案的一个重要组成部分。

  2.网络安全检测的内容

  网络安全检测主要包括两个部分:安全漏洞扫描以及系统安全加固和裁剪。

  (1)安全漏洞扫描包括如下内容:

  制定安全定时扫描策略;

  扫描分析;

  对系统中主机、服务器、路由器设备进行安全扫描,以发现操作系统、网络、系统应用程序等存在的主要弱点和漏洞;

  出具漏洞数据分析报表;

  对检测结果进行综合统计分析,提出有效的安全加固专家建议;

  完成系统漏洞的修补工作,配合制定相应的管理措施。

  (2)系统加固专家建议的内容包括:

  经过验证的漏洞信息,漏洞被利用的可能性,一旦被利用后对系统造成的危害;

  采用补丁软件和系统安全加固策略,以及这些策略可能对系统带来的影响;

  采用多种安全手段来控制和避免漏洞的优选方案,以及优选方案所涉及的相关安全产品(如安全审计系统),系统平台和网络设备的具体规则配置;

  相关的管理措施建议;

  设备的系统加固与漏洞修补建议;

  系统的综合安全分析与安全措施建议。

  3.漏洞扫描产品

  目前主要的漏洞扫描产品有:

  网络扫描器;

  主机扫描器;

  数据库扫描器。

  4.4.3病毒防范系统

  随着计算机技术的不断发展,病毒也变得越来越复杂和高级。从最简单的DOS引导病毒到现代的宏病毒和变形病毒,病毒在不断的进化之中。随着近年Internet的发展,E-MAIL和一批网络工具的出现改变了人类信息的传播方式和生活,同时也使计算机病毒的种类迅速增加,扩散速度大大加快,出现了一批新的传播方式和表现力的病毒。病毒的主发地点和传播方式已经由以往的单机之间的介质传染完成了向网络系统的转化,如CIH、Melisa、CodeRed、NIMDA等网络病毒对企业及个人用户的破坏性和传染力是以往的病毒类型所不可比拟的。因此如何建立一套完整的主动病毒防护体系是信息化建设面临的主要问题之一。

  1.病毒防范的主要内容

  病毒防范主要是指在网络环境下,能够及时地检测、清除、报告各种已知和未知的计算机病毒,在病毒造成破坏前能够及时地采取措施,控制病毒的传播和破坏。其主要技术有:

  预防病毒技术:它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有:加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡等)。

  病毒诊断技术:它是通过对计算机病毒的特征来进行判断的技术,如自身校验、关键字、文件长度的变化等。常见的病毒检测方法有:特征代码法、校验和法、行为监测法、软件模拟法、VICE先知扫描法等。

  解毒技术:它通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。

  网络病毒检测技术:通过检测网络上常规应用(如FTP、Email)的信息流,及时地检测各种网络病毒。

  2.病毒防杀系统的主要功能

  (1)病毒的诊杀功能

  能够查杀包括宏病毒、E-mail病毒、特洛伊木马程序以及黑客程序在内的大多数流行病毒;扫描压缩文件内各文件是否染毒,支持多种压缩文件格式;灵活的设置功能,用户能够根据自己的需要进行设置扫描和杀除病毒的参数。

  (2)智能监控功能

  实时监控对文件的各类操作,必要的时候可以及时关闭对文件的访问权限,达到阻止病毒传播的作用。

  (3)全方位的网络病毒检测

  能对服务器以及客户端的全方位病毒防护;快速反馈和预警功能,配合病毒防杀软件可以有效地防止用户的计算机不受病毒入侵。

  (4)突发事件的迅速反馈

  通过整个系统的协同工作,管理员只需在控制台就可以了解到整个网络中各客户端的工作状态,对于突发的计算机病毒爆发时间可以及时掌握,并做出最快速的反应。

  (5)强大的管理功能

  基于防杀病毒政策的集中式管理;定期自动进行客户端病毒诊杀;软件的自动升级和安装管理;防杀病毒数据库的自动更新;报警、统计等其它管理功能;日志记录。

  3.病毒防杀产品

  目前主要的病毒防杀产品有:

  病毒防杀网关;

  服务器病毒防杀产品;

  桌面病毒防杀产品;

  群件病毒防杀产品(包括Exchange以及LotusNotes群件系统);

  硬件防毒墙(网关)等。

  4.5数据与应用系统安全结构

  4.5.1信息加密和完整性

  1.主要内容

  信息加密和完整性主要包括:加密算法、加密软件、密钥系统和密钥管理系统、信息摘录、数字签名等。

  2.加密算法

  加密系统划分为对称密钥系统、公开密钥系统和混合密钥系统。

  (1)对称密钥系统

  DES算法:数据加密标准,用来保护敏感而不机密的信息。DES被大量用于金融和通信领域,例如加密PIN。除非发现DES算法有新的致命缺陷和弱点,或是在解密方法上有新的突破,DES算法是当前最安全的私有密钥加密算法。可以实施三次DES(即3DES算法);

  RC2:私有可变密钥长度的数据分组密码,用于商业加密;

  RC4:私有可变密钥长度的数据流密码,用于商业加密;

  RC5:私有可变密钥长度的数据块密码,用于商业加密,允许用户自己定义密钥长度,数据分组长度以及加密的迭代次数;

  IDEA:国际数据加密算法,密钥128位,被用于PGP程序加密文件和电子邮件。

  (2)公开密钥系统

  RSA:是当前最著名、应用最广泛的公开密钥加密算法,它的安全性是基于大整数素因子分解的困难性,而大整数因子分解问题是数学上的著名难题,至今没有有效的方法予以解决,因此可以确保RSA算法的安全性。RSA方法的优点主要在于原理简单,易于使用。

  DSA(DataSignatureAlgorithm):是基于离散对数的公钥密码技术。DSA是基于有限域离散对数问题的数字签名标准,它仅提供数字签名,不提供数据加密功能。

  ECC(EllipticCurveCryptography):是基于有限域上椭圆曲线的离散对数计算困难性。椭圆曲线密码系统安全强度不但依赖于在椭圆曲线上离散对数的分解难度,也依赖于曲线的选择和体制,目前200比特长的椭圆曲线密码体制已经有相当高的安全强度。ECC算法的优点是安全性能更高、计算量小和处理速度快、存储空间占用小等。

  3.信息完整性和抗抵赖技术

  信息完整性和抗抵赖主要是通过数字签名技术实现的。数字签名是某人利用专用的密钥加密的消息摘要,用于信息的完整性确认,也是抗抵赖的重要方法。

  消息摘要是密码的检查值、Hash值或消息确认码(MAC)。

  消息摘要函数有:MD2、MD4、MD5、SHA、HAVAL、checksum以及MAC等。

  4.加密软件

  DES加密程序:通用的数字加密标准。

  PGP加密程序(PrettyGoodPrivacy):PGP程序既可以使用公开密钥加密,也可以用私有密钥加密。该加密软件是由PhilZimmermann编写的程序,后被MIT在Internet上发布。PGP加密软件允许使用RSA公开密钥、IDEA密钥和DES密钥加密算法,还可以实现数字签名。

  4.5.2身份认证与授权体系

  1.主要内容

  身份认证与授权系统的主要内容包括PKI体系、身份认证体系以及授权管理与访问控制体系。

  2.PKI体系

  (1)PKI的基本原理

  PKI(PublicKeyInfrastructure,公钥基础设施),从字面上理解,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理的接触,因而使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,它能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。

  通常,一个实用的PKI体系应该是安全的、易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它所包含的认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤销系统等功能模块应该有机地结合在一起。

  在加密应用中,发送者利用接收者的公开密钥对要发送的敏感信息进行加密,然后把加密后的密文发送给接收者;接收者收到密文后,再用自己的私钥进行解密,这样就安全保密地得到了原始的敏感信息。在这里,接收者的公钥是完全公开的,任何想给接收者发送保密信息的人都可以公开、自由地得到接收者的公钥;而接收者的私钥则是需要严格保护的,绝对不能泄漏给其它人,这样,就算在密文的发送过程中,密文被别有用心的人截获、拷贝,但由于没有私钥,也是不能解密的。

  数字签名是防止网上交易时进行伪造和欺骗的一种有效手段。发送者在自己要公布或发送的电子文档上“签名”,接收者通过验证签名的真实性确认文档是否被篡改过。在公布一份电子文档时,发送者首先对要公布的文档进行哈希(Hash)运算,然后发送者就可以用自己的签名私钥对Hash运算得出的简洁数据进行加密签名;接收者收到签名文档后,用发送者的公钥进行解密,得到解密后的Hash运算结果和文档。此时,接收者只需要计算出该文档的Hash运算结果并与解密得到的Hash运算结果进行比较,即可知道该文档的真伪。在数字签名应用中,发送者的公钥可以很方便地得到,而他的私钥则需要严格的保密。

  (2)PKI的功能模块

  PKI的核心是信任关系的管理。第三方信任和直接信任是所有网络安全产品实现的基础。所谓第三方信任是指两个人可以通过第三方间接地达到彼此信任。当两个陌生人都和同一个第三方彼此信任并且第三方也担保他们的可信度时,这两个陌生人就可以做到彼此信任。在任何大规模的网络里,基于第三方的信任是必要并且有效的。当在很多人中建立第三方信任时,就需要有一个权威中心来确保信任度。

  CA(CertificationAuthority)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。我们可以把CA看成是一个国家的护照签发中心。护照是由权威中心(护照签发中心)颁发的一种安全文件。它是护照持有者的一种纸质身份证明,任何信任该国护照签发中心的其它国家也会信任该国护照签发中心所签发的护照。由CA签发的网络用户电子身份证明——证书就像护照一样,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。当然,就像护照需要防伪一样,CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活性也是CA能否得到市场认同的一个关键,它必须支持各种通用的国际标准,能够很好地和其它厂家的CA产品兼容。

  RA(RegistrationAuthority)是用户和CA的接口。它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记,如通过电子邮件、浏览器等方式登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。

  在PKI系统中,制定并实现科学的安全策略是非常重要的。这些安全策略必须适应不同的需求并且能够通过CA和RA技术融入到CA和RA的系统实现中。同时,这些策略应该符合密码学和系统安全的要求,科学地应用密码学与网络安全的理论,并且具有良好的可扩展性和互用性。

  为了确保数据的安全性,定期更新密钥、恢复意外损坏的密钥(比如硬盘等物理介质突然损坏)是非常重要的。设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。

  此外,PKI系统还需要构建一个安全有效的撤销系统。证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里都是有效的。但是,有时也会出现一个已颁发证书不再有效的情况,如果这个证书还没有到期,就需要进行证书撤销。证书撤销的理由是各种各样的,可能包括从工作变动到对密钥的怀疑等一系列原因。因此,需要采取一种有效和可信的方法,能在证书自然过期之前撤销它。证书撤销的实现方法有多种:一种方法是利用周期性的发布机制撤销证书;另一种方法采用在线查询机制,随时查询被撤销的证书。

  3.身份认证

  由于网络空间中的虚拟和匿名特性,在信息系统进行基于用户身份的访问控制时必须首先对用户的真实身份进行验证。身份认证技术的核心是利用被认证方的某些第三方无法伪造的特征信息来确认被认证方身份的真实性。根据认证过程中所使用的认证信息来分,用户身份认证技术大致包括以下几类:

  (1)口令方式

  采用口令方式进行身份认证,口令长度必须大于10位,更换周期小于一个月,并且口令由系统自动生成,记录更改情况,口令在数据库中加密保存,加密传输。

  (2)基于秘密信息的认证手段

  基于秘密信息的认证手段主要依赖于数字签名技术通过签名信息的唯一性验证来间接地进行身份认证。目前最成熟的技术是数字证书认证技术,利用可信第三方机构发放的数字证书来确认网络用户的身份,其作用相当于网络空间的电子身份证。

  (3)动态口令身份认证

  动态口令身份认证系统一般由动态口令卡与身份认证服务器组成,为面向外界提供服务的计算机系统和企业的内部网络资源提供强大的身份认证服务功能。

  动态口令卡使用“密钥——时间(事件)”双因素,自动产生动态口令,弥补了传统静态口令安全漏洞,抵御未经授权的访问和针对口令的攻击。动态口令卡每次使用

  时变换一次口令,攻击者没有办法推测出用户的下一次登录口令。身份认证服务器和动态口令卡之间使用时间同步技术,保证授权用户的可靠使用。

  (4)基于物理安全性的认证手段

  基于物理安全性的认证手段主要依赖于用户自身特有的某些生物学信息(一般是具有唯一区别特性的生物学信息,包括指纹、声纹、虹膜等)或用户所持有的特定硬件(包括IC卡、USBKey等方法)。

  4.授权管理体系

  通过用户身份认证系统对用户的身份进行确认之后,即可对用户的访问请求根据系统运行环境和访问控制策略进行授权,以确定用户对他人资源、网络资源和信息资源的访问权限。实施有效的访问授权的基础是系统访问授权规则的制定,这需要结合安全管理体系对企业内部工作流程和安全职责划分进行调研。

  授权管理实现的主要功能是在确认用户身份的情况下,对于该用户访问系统资源进行控制。目前的比较通用的授权管理技术是:采用规范ACL描述用户的授权信息;采用授权管理中心进行集中授权;提供各种实施授权查询和控制的API和接口;在操作系统或应用平台上增加嵌入型的授权管理模块。

  4.5.3数据备份与恢复系统

  1.备份的主要技术

  (1)直接附加存储DAS(DirectAttachedStorage)

  DAS备份是以服务器为中心的,DAS数据存储设备直接挂接在各种服务器或客户端扩展接口下,其本身是硬件的堆叠,不带有任何存储操作系统,而应用服务器本身的操作系统及第三方应用软件挂接,因此DAS设备的价格相对比较便宜。

  (2)网络附加存储NAS(NetworkAttachedStorage)

  NAS是一种专业的网络文件存储及文件备份设备,或称为网络直联存储设备、网络磁盘阵列。NAS是基于LAN的,按照TCP/IP协议进行通信,面向消息传递,以文件的I/O方式进行数据传输。NAS通过自带的网络接口把存储设备直接连入到网络中,实现海量数据的网络共享,把应用程序服务器从繁重的I/O负载中解脱出来。在LAN环境下,NAS可以实现异构平台之间的数据级共享,比如NT、UNIX等平台的共享。

  一个NAS备份网络包括处理器、文件服务管理模块和多个的硬盘驱动器用于数据的存储。NAS可以应用在任何的网络环境中。主服务器和客户端可以非常方便地在NAS上存取任意格式的文件,包括SMB格式(Windows)、NFS格式(Unix、Linux)和CIFS格式等等。

  (3)存储区域网络SAN(StorageAreaNetwork)

  SAN的支撑技术是光纤通道FC(FiberChannel)技术,这是ANSI为网络和通道I/O接口建立的一个标准集,支持HIPPI、IPI、SCSI、IP、ATM等多种高级协议。它的最大特性是将网络和设备的通信协议与传输物理介质隔离开。这样多种协议可在同一个物理连接上同时传送,高性能存储体和宽带网络使用单I/O接口使得系统的成本和复杂程度大大降低。

  2.数据备份的主要内容及措施

  在信息安全系统中,针对关键的业务服务器、应用服务器、数据库服务器以及比较重要的主机,建立完善的数据备份与恢复系统,具体包括:

  (1)双机热备份

  对关键系统主机设备(数据库服务器)实现双机热备份机制,保证系统的CPU、网卡、硬盘等关键设施的无单点故障。

  (2)日常备份机制

  建立网络备份管理系统,进行日常的备份工作。日常备份包括所有的数据库、业务数据、关键系统信息、重要主机。采用全备份、增量备份以及差量备份相结合的备份措施。

  日常备份需要通过制度来保证每天的正常执行,包括磁带的使用、备份时间等。同时保存好备份介质。

  (3)灾难恢复措施

  优秀的网络备份方案应能够备份系统的关键数据,在网络出现故障甚至损坏时,能够迅速地恢复网络系统。网络备份提供完善的灾难恢复手段,能够将备份硬件的优良特性完全发挥出来,使灾难恢复时间大大缩短。

  (4)灾难备份中心

  建议针对业务系统建立灾难备份中心,进行系统主机的硬件备份,实现数据的异地保存。系统数据中心和灾难备份中心实时同步业务数据,保证发生灾难问题后,系统数据中心遭到异常破坏后,能够使系统通过使用灾难备份中心的数据继续开展业务。

  (5)容错与备份

  采用容错与备份技术与措施:在系统出现异常情况时,用最短的时间由容错系统接管工作并对异常情况进行恢复;当系统出现崩溃时,起用灾难备份中心接管工作并在最短的时间内对系统进行恢复,使损失减至最小。

  3.备份产品

  目前主要的备份产品有:

  磁带机、磁带库(光盘库);

  NAS备份产品;

  SAN备份产品;

  网络备份管理系统等。

  4.5.4数据及应用监测系统

  1.数据及应用监测系统的内容

  数据库及应用监测是在应用层上实时监控数据库、应用系统、操作系统及网络系统的关键性操作,并且对意外事件提供反应措施,从而进一步增加对网络及信息资源的可控性。

  2.数据及应用监测系统的主要技术

  系统提供专用的API接口:关键应用系统可以通过该接口把当前状态和重要的流程信息报告给应用监测中心,使系统可以对应用系统用户的业务应用操作进行详细的审计。

  日志采撷器:对于提供完整日志输出的系统服务应用,日志采撷器主动获取它们的日志,处理后转发给应用监测中心。

  用户登录审计:监视用户认证和授权的全过程,一旦有可疑迹象,即汇报给应用监测中心。

  数据库监测:采用旁路或嵌入式Agent的方式对数据库的访问进行有效的监控,及时发现非法用户对数据库资源的访问与侵入,并给予报警。

  3.数据及应用监测产品

  目前主要的数据及应用监测产品有:数据库安全审计系统和数据库自带的审计软件。

  4.6安全产品选型原则和依据

  4.6.1安全产品选型的原则

  网络安全防范是通过安全技术、安全产品集成及安全管理来实现。其中安全产品的集成涉及如何选择网络安全产品。烟草行业计算机信息与网络安全系统在进行网络安全产品选型时,应该要求网络安全产品满足以下两方面的要求:

  1.安全产品必须符合国家有关安全管理部门的政策要求

  针对相关的安全产品必须查看其是否得到相应的许可证,至少包括:

  密码产品满足国家密码管理委员会的要求;

  安全产品获得国家公安部颁发的销售许可证;

  安全产品获得中国信息安全产品测评认证中心的测评认证;

  安全产品应该符合相关的国家标准。

  2.安全产品选择的基本原则要求

  针对安全系统的建设,安全产品的选型应至少符合以下基本原则:

  (1)高性能

  必须确保在安全产品接入以后,原有的业务可以正常进行,传输速度上不会受到明显的影响;同时安全产品应该满足系统网络以及应用业务的性能需求。

  (2)可靠性

  安全产品自身必须能够确保正常运行,不能因为安全产品出现故障导致整个网络出现瘫痪。一旦发现系统故障,应当尽快排除,并在故障排除之前需提供备用的安全设备,以确保系统的连续正常运行。

  (3)安全性

  安全产品既要保证网络和应用的安全,又要保证自身的安全。

  (4)先进性

  选择技术含量高、先进、可靠的安全产品。

  (5)开放性

  必须保证安全产品的开放性,以保证不同厂家的不同产品能够集成到网络系统中来,并保证网络系统以及各种应用的安全可靠运行。

  (6)可扩展性

  系统的安全性不应由于技术的迅速发展和更新而有减弱,这不但要求选用当前业界的先进、可靠、功能全面的安全产品,而且要有良好的可扩展性,便于针对新的系统攻击技术加强防护功能。因此安全产品必须是可扩展性的,以适应不断发展的安全技术需求。

  (7)易于管理

  包括两方面的含义,一方面安全产品本身必须是易于管理的,另一方面安全产品对其管理对象的管理必须是方便、简单的。

  4.6.2安全产品选型的依据

  在烟草行业计算机网络与信息安全系统的现阶段建设过程中,对于安全产品选型的依据,应该符合以下标准及规范:

  1.访问控制产品——防火墙

  GB/T18019-1999信息技术

  包过滤防火墙安全技术要求

  GB/T18020-1999信息技术

  应用级防火墙安全技术要求

  2.鉴别产品

  GB/T15843.1-1999信息技术

  安全技术

  实体鉴别

  第1部分:概述

  GB15843.2-1997信息技术

  安全技术

  实体鉴别

  第2部分:采用对称加密算法的机制

  GB/T15843.3-1998信息技术

  安全技术

  实体鉴别

  第3部分:用非对称算法的机制

  GB/T15843.4-1999信息技术

  安全技术

  实体鉴别

  第4部分:采用密码校验函数的机制

  3.安全审计产品

  GB/T17143.7-1997信息技术

  开放系统互联

  系统管理

  安全报警报告功能

  GB/T17143.8-1997信息技术

  开放系统互联

  系统管理

  安全审计跟踪功能

  4.安全管理产品

  ISO/IECTR13335.1-1996信息技术-IT安全管理指南

  第1部分:IT安全的概念和模型

  5.数据完整性产品

  GB15852-1995信息技术

  安全技术

  用块密码算法作密码校验函数的数据完整性机制

  6.数字签名产品

  GB15851-1995信息技术

  安全技术

  带消息恢复的数字签名方案

  GB/T17902.1-1999信息技术

  安全技术

  带附录的数字签名

  第1部分:概述

  7.抗抵赖产品

  GB/T17903.1-1999信息技术

  安全技术

  抗抵赖

  第1部分:概述

  GB/T17903.2-1999信息技术

  安全技术

  抗抵赖

  第2部分:使用对称技术的机制

  GB/T17903.3-1999信息技术

  安全技术

  抗抵赖

  第3部分:使用非对称技术的机制

  8.信息安全系统

  GB/T18336.1-2001信息技术

  安全技术

  信息技术安全性评估准则

  第1部分:简介和一般模型

  GB/T18336.2-2001信息技术

  安全技术

  信息技术安全性评估准则

  第2部分:安全功能要求

  GB/T18336.3-2001信息技术

  安全技术

  信息技术安全性评估准则

  第3部分:安全保证要求

  4.7主要安全产品的指标参数

  根据当前安全产品的现状和技术实现的情况,主要安全产品的指标参数要至少达到如下要求:

  4.7.1防火墙指标要求

  1.数据包过滤

  支持源地址与目标地址的过滤条件;

  可基于端口、接口、流量、协议类型、工作时间段来设置过滤条件;

  支持TCP单向控制的数据包过滤。

  2.支持网络地址转换(NAT)

  支持静态网络地址转换,即“一对一”的网络地址转换;

  支持动态网络地址转换,即IP地址池。

  3.流量统计与控制

  具有流量统计与控制功能,能根据IP地址(网段)、IP包进行流量统计和相对应的对象进行流量控制。

  4.抗攻击能力

  具备一定的抗攻击能力,防火墙可以对已经发生的攻击行为做出适当的反应以消除或缓减攻击对目标主机的影响;

  防火墙自己的安全性,能防止针对防火墙本身的攻击行为。

  5.管理功能

  支持本地及远程管理方式,可以集中管理多台防火墙;

  具有图形界面的管理方式;

  支持用户的认证与管理。

  6.日志与审计

  提供完备的日志记录及报警功能,在日志中记录网络流量、对发生的攻击的安全分析等信息。

  7.性能指标

  设备连续无故障运行时间大于4万小时;

  时延小于0.04ms;

  不产生网络瓶颈,防火墙吞吐量不低于95Mbps(百兆环境下);

  在不影响性能的情况下,有效规则数不低于400条。

  国家局、省级局和重点工业企业使用的防火墙并发连接数不低于20万条,每秒可处理新会话数大于1.5万个,能同时响应1000条以上安全策略;其它单位使用的防火墙并发连接数不低于8000条,每秒可处理新会话数大于3000个,能同时响应400条以上安全策略或规则。

  8.其它功能要求

  支持透明接入方式(桥接方式);

  具有开放接口,可与其它安全产品(如入侵检测产品)联动。

  4.7.2入侵检测系统指标要求

  1.入侵检测功能

  提供实时的网络入侵检测,可自动识别各种入侵攻击模式;

  提供定期的入侵检测规则库升级;

  对最新出现的攻击有较快的响应速度。

  2.规则配置

  灵活定制各种入侵检测规则;

  提供用户自定义规则,可灵活定制攻击特征。

  3.响应方式

  具有多种响应方式,包括声音报警、E-mail报警、阻断TCP会话等;

  与其它安全产品(如防火墙产品)联动能力。

  4.审计日志及报表

  提供详细的入侵检测日志;

  提供灵活的、多种格式的分析报表;

  提供灵活的查询手段。

  5.管理功能

  管理配置界面友好、易用;

  具备分布式部署统一管理功能,支持远程管理;

  具备灵活的用户管理措施。

  6.性能要求

  在百兆以太网的网络环境中,当流量较大(如80Mbps/s)时,能够保证基本不丢包(95%);

  误报率不高于5%,成功检测率不低于90%;

  成功拦截率不低于85%;

  对现有网络性能的影响不高于3%,对现有主机性能的影响不高于5%。

  7.其它要求

  基本不影响原有网络结构以及网络性能。

  8.提供产品二次开发的接口及服务

  4.7.3网络安全审计系统指标要求

  1.网络审计功能

  能够忠实记录网络系统中用户活动的过程以及进行的操作,支持HTTP、Telnet、FTP、SMTP、POP3等标准协议;

  支持标准协议的还原功能,如Telnet等协议;

  支持Windows文件共享(NetBIOS协议)审计功能。

  2.规则配置

  可灵活定制各种协议的审计规则;

  提供用户自定义规则。

  3.响应方式

  系统应该具有多种响应方式,包括声音报警、阻断TCP会话等;

  与其它安全产品(如防火墙产品)联动能力。

  4.审计日志及报表

  提供详细的网络审计日志;

  提供统计分析报表;

  提供灵活的查询手段。

  5.管理功能

  具备分布式部署统一管理功能,支持远程管理;

  具备用户管理能力,可对访问权限进行控制。

  6.其它要求:

  基本不影响原有网络结构以及网络性能;

  提供产品二次开发的接口及服务。

  4.7.4漏洞扫描软件指标要求

  1.必须支持对以下操作系统的漏洞扫描:WindowsNT/2000、主流UNIX平台,以及LINUX平台;

  2.必须支持对以下应用系统扫描:WEB服务、Mail服务(包括ExchangeServer)、数据库服务(Sybase、MSSQL、Oracle、DB2等);

  3.能对网络设备进行漏洞扫描;

  4.具有安全扫描策略模板,支持用户自定义安全扫描策略;

  5.支持并行扫描,能够对大的网络同时执行多个扫描;

  6.可以设置定时扫描或手动扫描;

  7.提供多样化的报表,包括总体趋势分析报表、详细漏洞描述分析报表等;

  8.对检测结果进行综合统计分析,提出有效的安全加固建议;

  9.提供定期漏洞库的升级服务;

  10.性能要求:

  误报率不高于5%;

  成功检测率不低于90%;

  对现有网络性能的影响不高于3%,对现有主机性能的影响不高于5%。

  4.7.5病毒防杀系统指标要求

  1.全方位网络病毒防范体系

  提供对服务器以及客户端的全方位病毒防护,支持的系统至少应包括MSWindows95/98/NT/2000/XP。

  2.病毒防杀能力

  能够防杀目前世界上流行的各种病毒及其变种;

  具备收集国内国际上最新病毒的能力,病毒库更新快速有效。

  3.实时和定时扫描功能

  对用户当前操作的数据进行实时检测,防止病毒传播;

  具有定时扫描功能。

  4.方便的病毒防护管理功能

  具有全网服务器、客户端的统一安装、统一配置功能,可形成全省统一的病毒防护体系;

  具有全网集中式日志管理功能。

  5.系统资源占用率

  资源占用率不超过系统资源的10%。

  6.方便的升级和维护功能

  定期自动将升级文件通过企业内部网络进行发送;

  能实现全网的自动更新。

  7.系统扩展性

  具有二次开发接口及服务的能力。

  4.7.6数据备份与恢复系统指标要求

  1.集中式管理

  具有图形用户界面(GUI),支持远程集中任务管理。

  2.全自动备份操作

  支持任务调度和自动操作功能,可实现无人值守的安全操作;

  支持完全备份、增量备份、差量备份等多种备份方式。

  3.数据库备份和恢复

  支持多种数据库的备份和恢复,包括Sybase、MSSQL、Oracle、DB2等数据库。

  4.具有系统灾难恢复的能力

  5.任务调度能力

  支持基于日历的调度程序,使用户能定制自己的存储和备份策略。

  6.广泛的设备支持

  支持多种存储设备,包括磁带、可擦除驱动器或光设备等介质。

  7.介质管理功能

  具有强大的介质管理功能,可提供自动化磁带输出功能、基于日期的拷贝等功能。

  8.保证数据的完整性

  提供多种验证方式,确保数据完整性。

  9.报警功能

  具有多种报警功能,进行故障通知,如通过电子邮件、SNMPtrap、事件日志等。

  10.安装简便,操作简单,易于使用

  4.7.7数据库安全审计系统指标要求

  1.数据库监测

  能够记录网络中对核心数据库的登录及操作过程,支持对Sybase、MSSQL、Oracle、Informix、DB2等数据库平台中的一种或几种;

  支持标准数据库操作协议的还原功能,应能实现SQL语句的TEXT方式还原;

  可以中断对数据库的恶意操作。

  2.应用系统监测

  能够记录并分析用户对业务系统的操作活动,支持C/S结构和B/S结构的网络应用系统;

  记录对业务系统的登录注销等动作,可以记录应用系统中特定的操作行为,可以中断恶意操作。

  3.规则配置

  可灵活定制各种检测规则。

  4.检测日志及报表

  提供详细的检测日志;

  提供统计分析报表;

  提供灵活的查询手段。

  5.其它要求:

  基本不影响原有应用系统及网络结构与性能;

  提供产品二次开发的接口及服务。

  5烟草行业信息安全系统建设的目标、原则和要求

  5.1信息安全系统建设的主要目标

  1.网络和系统实体的安全性、抗攻击性

  通过一定的安全防范措施,保证各种相关的网络和主机系统具有相当的抗攻击性,能够检测并及时对各种攻击行为做出响应。

  2.信息的安全性、保密性和可靠性

  信息在存储或传输过程中保持不被修改、不被破坏和不丢失。信息的使用必须进行相关的授权。信息的传输和传播的过程必须进行相关的控制、监视和跟踪。

  3.整体系统运行状态的可控性

  能够对整个网络和系统的相关状况进行实时的监控,对应用服务,数据和资源的使用进行监控。对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制。

  4.安全系统的可管理性

  通过建立各种安全管理的制度,规范员工的行为;通过培训提高工作人员安全方面的意识和技术素质;通过一些技术手段,建立所有相关安全产品的管理体系。

  5.2信息安全系统建设的基本原则

  正如上一章所述,一个系统的安全子系统必须要以系统工程的观点来思考和解决。因此,一个信息系统的安全产品和安全技术的运用也必须从这一观点出发进行全面综合考虑。作为烟草行业计算机网络和信息系统的安全建设,首先要遵循以下几个基本原则:

  1.必须符合国家有关法律、法规、政策;

  2.必须符合国家相关计算机信息安全管理部门的有关规定;

  3.必须满足烟草行业自身系统的要求,制定切实可行的信息网络安全解决方案;

  4.本着实用、可靠、先进、经济、完整的行业信息化建设基本原则,总体规划、分步实施。

  5.3信息安全系统建设的阶段性目标

  由于烟草行业各单位信息化建设的深度和广度不同,所以在信息安全系统的建设中,应按照总体规划,分步实施的原则,结合各单位的实际情况,制定切实可行的阶段性目标,即近期目标和长远目标。考虑到各单位信息安全系统的建设将直接影响到整个行业网络和信息系统的安全,为此,给出以下阶段性目标的要求:

  1.近期目标

  在一至两年内,所有上行业网络的单位要参照本规范中安全管理制度的内容,制定相应的安全管理制度并在日常的运行维护中不断修正完善,要至少完成病毒防范和数据备份系统建设,在保障基本的物理安全的基础上,达到杜绝发生大范围病毒泛滥事件和数据基本安全的目标。其中,国家局、省级局以及各卷烟工业企业还应建成网络防护(防火墙)、入侵检测和安全审计以及访问控制等系统,达到基本防止网络入侵的目标。

  2.长远目标

  随着整个行业网络信息系统建设的不断发展,应该不断完善信息安全建设,最终达到三个目标:所有的网络单元都具有完备的安全手段和措施,具体包括全面的网络防护系统、全面的入侵检测与审计系统、全面的数据备份与恢复系统、统一的身份认证系统、全面的主机评估系统、全面的访问控制系统、全面的网络监控系统。

  整个安全体系不仅包括本规范所涵盖的通信级,网络级以及系统级,还应该跨越到应用级的安全。应用主要分为办公自动化(OA)应用系统和各种业务应用系统。OA应用包括对外部和内部的信息共享以及各种跨局域网的应用方式,其安全需求是在信息共享的同时,保证信息资源的合法访问及通信隐秘性。业务应用系统的安全性主要考虑应用系统能与系统层和网络层的安全服务无缝连接,主要的防护手段为身份认证、访问控制、数据保密性和完整性(安全通信)、内容审计、记录与抗抵赖。这些需要从系统建设、应用开发和用户素质培训三个方面加强。

  所有的单位都制定了完善的安全管理规范,并有常设的组织机构负责管理。另外在用户素质方面,不仅专门的安全技术人员具有相应的技能和安全概念,普通用户也应该具有一定的安全意识,建立健全安全管理的培训机制,对新员工有安全教育培训的科目。有相对完整的安全事故处理和管理流程,有能力独立处理紧急的和重大

  的安全事件,建立有应急事故预案制度等等,有这些都需要长时间的教育、培训与积累。

  5.4信息安全系统建设的基本要求

  烟草行业计算机网络和信息安全系统的设计,具体说来,应该满足或至少应满足以下几个要求:

  1.涉及国家秘密计算机信息系统的物理隔离要求

  当前建设的烟草行业计算机网络(行业内联网)的基本定位是非涉及国家秘密的计算机信息网络系统,但是在该网络上有可能存放、处理和传输在一定时间内不宜公开的行业性的管理和业务信息。为此,进行安全系统建设是必要的,建立上网信息的审查制度也是非常重要的。

  各单位要严格执行涉及国家秘密的信息不上网的基本要求,确有需要时,可以建设涉密计算机网络,但存放和处理涉及国家秘密信息的系统和网络要与行业计算机网络和互联网实行严格的物理隔离,设置电磁保护等措施。涉密系统的建设要符合国家保密局颁布的相关标准和要求。

  2.严格控制互联网(Internet)出口

  Internet是大部分攻击和病毒的来源,所以尽量减少Internet出口是降低网络安全风险的一个必要手段。烟草行业计算机网络要严格控制Internet出口数量,原则上整个行业网络只保留一个出口。但是在目前行业网络暂时无法满足全行业访问Internet需求的情况下,从工作实际出发,可以建设Internet出口,但是必须符合以下要求:

  省级局(公司)和重点卷烟工业企业可以根据需要建设Internet出口,但必须实施与行业内联网的逻辑隔离,并连同安全方案一起报国家局信息化工作领导小组办公室审批;地级局(分公司)、县级局(公司)和其它工业企业不得建设与行业内联网有物理连接的Internet出口。

  建有Internet出口的单位必须采取严格的安全防护措施,至少配置防火墙和入侵检测措施,对Internet提供公共服务的服务器(如WEB服务等)应放置在防火墙的非军事化区(DMZ),采取与行业内联网逻辑隔离的设置,不得允许来自Internet的用户访问行业网络。

  不得采用一台路由器同时与Internet和行业内联网进行互联。

  3.烟草行业CA系统建设的基本原则是由国家局进行全行业统一规划和实施,各省不单独建设CA中心,具体作法另行制定。

  4.引进的、要在行业推广的、涉及行业关键信息和数据的商业软件须通过国家局信息化工作领导小组办公室组织的安全评估后,方可在行业内联网上运行。

  5.对于向Internet发布的内容,必须经过各级行政机关主管部门的审查批准,即要建立上网信息的审查批准制度。

  6.必须在全网范围内提供防病毒手段,在一定级别的网络,如国家局、省级局、卷烟厂的网络中必须提供防病毒中心。

  7.提供拨号服务的设备必须提供相应的认证手段。

  8.在强调经济原则的前提下,尽量提供整个信息系统的关键部位的可靠性,国家局、省级局和卷烟厂的关键网络设备和关键主机应该采取双机热备的方式保障关键业务的不间断运行。

  9.在注意外部安全隐患的同时,更要注意来自内部的安全隐患,并采取必要的管理和技术措施。

  10.在外联网(Extranet)的交界处(和各级政府机构,如银行,税务等互联的接口处),必须提供相应的安全保护措施。

  11.在资金资源等条件允许的情况下,提供多层次保护手段。

  12.对于主干上的路由器,防火墙,主干交换机等设备尽量实行集中式管理,在类似产品的采购中,也以具有集中式管理功能的产品优先。

  13.基于重点建设重点保护的发展趋势,国家局、省级局和卷烟厂应该加大数据中心的建设,从而保证数据的处理能力、处理效率以及更有效的保护。应用系统原则上都不与数据中心直接相连。

  5.5各级网络信息安全系统建设的具体要求

  目前烟草行业正在建设覆盖全行业的数据通信网络和业务系统。在安全建设方面,由于各个地区的网络和应用不同,应采取不同等级和不同层面的安全保护手段。

  烟草行业各级网络的信息安全系统建设应本着总体规划、分步实施的原则进行。总体规划应涵盖的内容详见附录一。当前,各级网络应尽快建设的内容至少包括:

  1.国家局(总公司)

  要尽快建成全面、完整的计算机网络和信息安全系统,主要包括:全面的网络防护系统、全面的入侵检测与审计系统、全面的数据备份与恢复系统、统一的身份认证系统、全面的主机评估系统、全面的访问控制系统、全面的网络监控系统。

  省级局与烟草工业企业的安全建设可以参照国家局的建设。

  2.省级局(公司)

  省级局(公司)当前须立即启动建设的信息安全系统至少应包括防火墙、入侵检测系统、网络防病毒系统、访问控制系统、全面的数据备份与恢复系统。

  3.地级局(分公司)

  地级局(分公司)当前须立即启动建设的信息安全系统至少应包括防火墙、防病毒系统、访问控制系统、数据备份与恢复系统。

  4.县级局(公司)

  县级局(公司)须当前立即启动建设的信息安全系统至少应包括防病毒系统和数据备份与恢复系统。

  5.其它烟草工业企业(卷烟厂、烟机厂等)

  烟草工业企业当前须立即启动建设的信息安全系统至少应包括防火墙、入侵检测系统、网络防病毒系统、访问控制系统、全面的数据备份与恢复系统。

  6.行业卫星通信网的安全机制及管理要求

  作为当前行业骨干通信链路的卫星通信网络本身也具有一定的安全通信机制。烟草卫星通信网采用了优化的空间链路控制规程ODLC(OptimumDataLinkControl)的通信体制。ODLC是休斯公司综合卫星商用网(ISBN)系统专用的,不与任何链路控制规程兼容。它在数据包中加入了ODLC包头,这样只有通过专用卫星设备才能接收并解读数据。卫星设备采用三重DES(DateEncryptionStandard)的加密方式加密出向数据。每个设备单元在制造时都被烧制一个唯一的硬件密钥,并生成了一个基于主站标识的软件密钥,发送到主站。当传送数据时,对每个连接(单播或组播)都会分配一个连接密钥,优先发送到接收设备单元,只有拥有连接密钥,小站才能接收所需数据,而非法的卫星接收设备不能正确解出连接钥匙,因而不能接收数据。

  卫星主站在加强全网通信监控的基础上,各端站也要建立卫星设备管理制度、日常维护制度、技术资料管理制度等,加强卫星通信的监管,防止垃圾信息上卫星通信网,从而在技术与管理两个方面保证行业卫星通信网的安全稳定运行。

  6安全管理的组织、制度和职责

  安全管理是系统安全的重要组成部分,负责对安全架构的其它几个部分进行协调和监管,以实现安全保密架构的整体安全防范职能。安全保密管理部分在很大程度上涉及到人员管理和资源调配等管理层面的内容,因而也是整个安全保密架构中技术手段和管理手段结合较紧密的一个部分。

  6.1安全管理的主要内容

  烟草行业信息安全管理工作的主要内容包括:

  6.1.1组织体系的建立

  由于烟草行业网络安全保密系统架构的建立和实施将涉及到整个烟草行业从管理、技术到一般工作人员的各个层面,并需要各方面资源的有力支持。因此,信息安全系统的建设必须首先获得各级领导的同意与支持,并从管理体制上进行必要的调整以适应安全系统建设的需要。

  在组织安全管理体系的建设方面包括如下三个方面:行政管理体系、技术咨询体制、信息系统安全管理准则。

  1.行政管理体系的内容

  建议建立以各级办公室、保密办和信息中心等部门组成的各级网络和信息安全管理机构(小组),负责行业各级网络的安全保障工作。这个机构负责协调、调度、处理整个网络的安全事宜,其中办公室和保密办主要负责管理制度的制定、监督和检查,信息中心主要负责安全技术保障。

  安全管理机构的具体职责包括:

  根据工作的重要程度确定各系统的安全级别及潜在的安全威胁;

  根据系统的安全级别及安全风险确定所需的安全保护水平;

  制定关键设备及资源的使用授权规则;

  制定与安全相关的操作规程;

  制定完备的系统维护制度;

  制定系统应急处理计划;

  对操作人员进行安全教育及安全操作培训。

  2.技术咨询体制

  主要由各级的信息中心纵向合作,建立一个技术咨询中心。这个中心由各级的信息中心人员组成。该中心的具体职责和活动内容包括:

  跟踪现有的网络安全技术;

  对企业内部的用户进行培训;

  网络出现问题的时候负责提供解决方法和咨询。

  3.信息系统安全管理准则

  这个部分定义了企业在安全管理方面,员工在安全管理方面所应该遵循的规范。

  6.1.2具体化的安全策略的制定

  应在对各级烟草机构网络的内部各个业务流程的安全需求进行全面调研的基础上制定统一的安全管理策略和各个部门的细化安全管理策略,明确各级的安全管理目标、内容和方法,并通过各级安全管理规章制度加以确定。这一策略应是烟草行业安全策略的细化和具体化的内容。在安全管理策略及相关的规章制度出台后,应通过各种形式(包括正规和非正规的方式)对内部工作人员进行安全意识教育和与安全策略相关的安全操作的培训,使每个工作人员明确自身的信息安全防范责任并掌握有关安全子系统的基本操作技能。

  在安全管理策略的实施过程中应及时对发现的问题进行分析,并根据系统自身安全需求的变化或安全技术的发展对安全策略自身进行修正与调整,使安全管理策略与安全保密系统实际的安全需求相一致,并与安全技术的发展一致。

  6.1.3安全管理技术平台的构建

  在技术手段方面,需要构建一个专门的安全管理平台,将各类安全管理工具集成在这个统一的平台上,对烟草行业网络和信息安全系统的实施进行实时监视,并对发现的问题或安全漏洞从技术角度进行分析,为安全管理策略的调整提供建议和反馈信息。

  统一的安全管理平台将有助于各种安全管理技术手段的相互补充和有效发挥,也便于从系统整体的角度来进行安全的监视和管理,从而提高安全管理工作的效率。

  6.2安全管理体系

  6.2.1安全保障体系

  在烟草行业的网络建设中,一些基础的保障手段必须提供。这些保障手段的综合构成了整个行业的信息安全保障体系。保障体系的内容应该包括:组织管理、技术保障、基础设施、行业支持、人才培养。

  1.组织管理

  为确保业务网络正常、安全的运行,在系统安全管理体系中应建立并逐步健全一套自上而下的安全组织机构和有关安全管理的规章制度。其安全组织机构建议采用分层结构,分别与各级业务网络的组网层次结构相对应。

  在安全管理中应设一个安全中心,作为全网安全的常设机构,负责全网所有日常安全管理活动。该机构的人员为常设人员,主要职责有:监视全网运行和安全告警信息、网络审计信息的常规分析、安全设备的常规设置和维护、接受上级领导机关的日常领导和汇报工作、执行安全响应中心制定的具体安全策略、提出下一级网络具体的安全策略和实施方案、向安全响应中心和领导机构报告重大的网络安全事件等。

  安全中心建议附设一个安全响应中心,该中心是一非常设机构,其人员主要为安全专家,其职责主要是为全网制定重大的安全策略,并对重大的网络安全事件(例如:网络入侵)做出响应。

  省级网络的下一级应设有安全小组,该安全小组行政隶属与下一级中心一致,技术上接受安全中心的指导,安全小组的人员应保证至少一人为常设人员。安全小组的职责和工作内容与安全中心的人员类似,所不同的在于其仅负责本级网络的安全事务。

  上述机构的设置尽量与行政隶属关系一致,借助行政手段确保网络安全政策的顺利实施。

  2.技术保障

  技术保障的工作应该遵循上面的技术保障体系,由各级信息中心负责整个技术保障体系的建设与发展。技术保障的内容和职责是为网络安全提供有效、有力的技术保障。

  具体内容包括具体安全防护体系的建设、日常的用户培训与事件处理、跟踪前沿技术。这个体系的一个主要的日常工作就是跟踪前沿技术,其人员应该隶属于安全管理结构。但是该体系的职责不负责日常的网络维护。网络维护的事情应该由安全中心的人来负责调度,技术保障体系的人员参与。

  3.基础设施

  基础设施包括几个方面的建设:物理环境的建设、网络安全技术手段即网络安全保护体系的建设。这些是保障网络建设的必须手段。其中物理环境建设的内容参见管理制度部分,安全保护体系的建设参见第五章。

  4.行业支持

  全行业应该从上到下的对网络安全投以必要的关注。在整个安全保障体系中,由于行业网络是连接在一起的,所以网络中的任何一环出了问题都会对整个的行业网络产生安全隐患。所以,整个行业从上到下的对安全建设的支持是必须的。这种支持包括各个方面,如组织管理的建设、安全保护体系的建设和技术保障体系的建设。

  5.人才培养

  定期的人员培训是必须的。这项工作应该由技术保障体系方面来筹措相应的讲座与培训,跟踪最前沿的技术和对内部员工的培训。人才培养是多层次的,既包括专业人员的培训,也应包括所有人员的常规性培训。

  6.2.2安全管理制度

  安全管理制度的内容应该遵循ISO17799的框架。

  整个安全管理得内容应该包括:安全策略、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发和维护、责任管理。

  1.安全策略

  安全策略的内容与手段参见本规范的第五部分的建网原则与各级防护手段。该部分的内容视为安全策略的一部分。

  企业网络应该只开放http、https、telnet、ftp、pop3、smtp等和业务相关的必要的服务端口。

  2.安全组织

  作为安全管理规范的一部分,一系列的安全机构必须建立。一个管理框架应该是为初始化并控制实现组织内部的信息安全而建立的。合适的系统的管理应支持信息安全政策,指定安全系统中的各类角色,并协调组织内各项因素,以实现信息安全。必要时,在系统内应建立一些专用的信息安全知识的资料库,供组织内部使用。同时,完备的信息安全系统应时时与组织外部的安全专家联络,跟踪最新动向、监测标准和评估方法,并在处理安全事件时,提供适当的解决办法。在信息安全系统中应鼓励采用多重接入的方法,例如,在管理者、用户、应用设计者、审计人员和安全职员之间的协作关系时,应根据不同的需求来不同对待,或者在保险及风险管理等领域,需要更专门的技术来实现。

  在安全组织的建设中,应该包括两个部分:安全管理中心和技术咨询保障中心。

  其中安全管理中心属于常设机构,建议由办公室、保密办、信息中心三方组建成立,负责日常网络安全的运行管理,事件处理。技术咨询保障中心属于一个虚拟的组织,其人员在行政上隶属于安全管理中心。但是,这个组织应该定期的进行一些活动,目的是交流技术、经验等。

  3.资产分类与控制

  资产分类的目的主要是对资产进行适当的分类,以进行更好得保护。

  要对所有主要的信息财产负责,所有的财产都应有名义上的所有者。

  财产责任有助于确保财产受到适当的保护。所有的财产都应明确归属于某个所有者(或部门),并划分其维护责任,对其进行适当的控制。实施控制的责任必须委派。

  财产所有者应负有财产责任。

  资产的重要性以及是否涉密的鉴定,应该由各级保密办牵头负责,安全管理中心负责协调,给所有的资产进行安全等级的划分,并进行标志。

  要建立相应的财产清单,应由企业的设备管理机构和信息中心合作完成。除了可以确保有效的财产保护,列出财产清单是进行风险评估的一个重要方面。组织需要能够鉴别其财产的价值及其重要性。基于财产清单,组织可以依据财产的价值及其重

篇五:烟草网络安全和信息化

  

  烟草行业信息化建设篇1:烟草行业如何推进信息化建设

  烟草行业如何推进信息化建设

  (2008-10-1016:50:25)“数字烟草”是21世纪信息科学技术与烟草生产管理结合的必然产物,是未来烟草生产科技革命的重要内容,也是我国烟草行业发展的一个重要方向。

  “数字烟草”是21世纪信息科学技术与烟草生产管理结合的必然产物,是未来烟草生产科技革命的重要内容,也是我国烟草行业发展的一个重要方向。当今中国的烟草行业面临着全球化、信息化的冲击,只有适应变化、迎接挑战、以变应变,才能在市场竞争中立于不败之地。为此,我国的烟草行业在传统的专卖管理模式中注入了信息化的内涵,大力打造“数字专卖”、“数字烟草”。

  对比国内外同行业信息化建设水平,烟草行业信息化建设与国内其他行业相比还是比较领先和有特点的,行业信息传输公路已基本开通,技术设施较为领先,为系统集成奠定了基础;行业信息应用系统普及,办公自动化手段有了较大改进,提高了行业办公和行政审批效率,为行业信息化建设起到了较大的促进作用。然而,也应该看到,行业整体信息化建设和应用水平还比较低、集成度较差、存在问题也不少。

  烟草行业的信息化建设作为国家信息化建设的一个组成部分,存在的问题与大环境分不开,大部分问题属于共性问题,主要表现在以下几方面:

  一是照搬国外。信息化是从西方国家发展起来的,是建立在高水平管理机制上的。把在这个基础上形成的信息化方案拿到管理水平总体上

  还处于初级阶段的中国来,不可能完全适应。

  二是信息化建设各自为主,“信息孤岛”和“信息烟筒”现象严重。由于行业信息化建设项目缺乏明确和严格的立项审批程序和管理制度,行业信息化总体建设规划和指导原则不健全,各单位在开发和建设信息化项目中,自主性较大。在卷烟企业、商业企业,不少单位还对单一系统分别立项开发和建设,而不考虑系统的整体和集成性,造成同时建设的项目不能集成,无法实现信息共享和资源共享。工业、商业和政务信息脱节,各卷烟企业很难及时获得商业流通领域的全面、及时、详细和准确的销售信息与市场信息,实现以销定产。同样,国家烟草专卖局、省烟草专卖局也一直不能及时准确地掌握卷烟企业的生产、库存和销售信息,难以为卷烟生产与销售进行科学的宏观管理、决策与调控。

  三是行业信息化建设发展不平衡,省际之间和企业出现“数字鸿沟”。由于各地区市场经济、环境建设与知识水平发展不一,各地区信息化发展不平衡,各单位根据自己眼前的经营模式,开展信息化系统建设,强调和突出个性多,追求共性少。

  四是将业务简单地电子化。目前,大多数烟草企业信息化建设打下了一定的基础,但多数的信息系统只是达到数据处理的初级水平,许多信息系统往往只限于对数据的统计分

  析,而真正涉及到预测、决策及优化方面的工作较少。

  五是缺乏全行业性的总体规划,标准化体系建设不健全。国家烟草专卖局在行业信息化建设项目中进行了系统规划,制定了一些代码信息标准。但是,缺乏全行业信息化建设的总体规划,缺乏行业整体性和系统性考虑,行业内低水平重复开发现象严重,行业内各部门间、各系统间信息不畅通。

  就目前烟草行业信息化的现状来说,由于烟草行业纵向管理层次多、横向管理宽度大、生产经营环节多,这就对需要依赖大量来自于基层的真实数据及时进行决策的中高层指挥机关有两点要求:一是必须坚持行业的统一规划和组织,这样才能保证行业现有资源通过整合和优化产生最大的效益;二是烟草信息化工作的重点主要在基础层和管理层,要利用信息化手段规范经营,加强管理,为烟草行业的可持续发展打下坚实的基础。

  从行业当前的实际情况来看,烟草信息化建设必须在各级领导的指挥下,由多个部门切实拧成一股绳、形成一种合力,才能顺利进行。信息化建设项目的实施需要大量的人力,只有保证人力资源的充足,才能保证项目按期、按质、按量地完成。通常,项目组成员由企业内部成员和外部的实施伙伴共同组成,其中内部人员的来源主要是企业高层领导、信息和业务等相关部门的业务骨干和技术人员。如果说信息化建设项目是一个平面,那么领导者、开发员、业务员是支持和决定这个平面的三个点。信息化建设需要领导的重视与支持,需要开发员和业务员经常互相沟通、交流。信息化工作不单纯是技术问题,从企业组织框架和流程的重组和再造,到行业管理模式的变革,信息化工作涉及到行业的方方面面。信息化建设是一个系统工程,牵涉面很广,与企业的发展战略、经营管理模式、业务流程、组织架构、企业资源等密切相关,与企业的每个部门、每个员工都有密切联系。

  企业信息化建设不仅要投入大量人力和物力,还涉及到企业的组织机构、管理体制、工作方法和工作基础等一系列重大问题。信息化建设不仅是技术变革,也是管理创新、思想观念创新。企业搞信息化建设工程,绝不仅仅是引进一些硬件设备;企业信息化建设是企业技术进步的一个极其重要的组成部分。

  要选好合作伙伴,包括开发伙伴和产品的供应商。在企业自身开发实力不足的情况下,找一个好的开发伙伴十分重要。再好的规划、再好的技术、再好的项目也都要体现在所采用的设备上。面对日新月异的技术潮流、品牌林立的设备,企业在设备选型过程中,要特别重视对合作伙伴的选择,因为好的合作伙伴具备不断解决问题的能力,能够帮助客户在技术上一步步提高。

  烟草信息化为生产经营和管理提供一种先进的手段,它是为“两烟”生产、经营、财务管理、专卖管理等各项业务工作服务的。在信息化项目的酝酿规划阶段,必须由业务部门提出管理思想、目标需求和工作流程,然后才能通过信息技术加以实现;在信息化项目的开发阶段,必须有业务部门的积极参与,才能及时修正不符合业务要求的偏差;在信息化项目的推广实施阶段,必须由业务部门组织、协调和监督,并通过实践发现和解决存在的问题,才能保证系统的顺畅运行和日益完善。

  要利用信息化带动工业化。信息资源是共享资源,但又是稀缺资源,要在拥有优质原料资源优势及加工工业优势、品牌优势、技术优势、资本优势的基础上,及早完成数字化烟

  草建设,创造信息优势,为决策和生产经营提供现代化服务。在信息化建设方面,信息化工作部门要对本单位信息化建设提出有关规划,当好领导在信息化工作方面的参谋,协调系统内部的信息化工作;针对各个业务部门提出的管理思想、目标需求和工作流程,及时确定最优的信息技术解决方案,并在按照方案进行开发的过程中加强与技术合作单位的配合,在技术上保证项目开发的顺利进行;搞好全方位技术支持和技术服务,尽其所有实现信息共享,积极完善信息支撑,不断应用现代

  化信息平台来提高效率,降低成本;加大投入,完善和提升网络信息支撑平台,保证生产、管理、销售的顺利进行。

  烟草是个比较特殊的行业,在专卖体制下实行“统一领导、垂直管理、垄断经营”,处于一种行政限产型的垄断状态。烟草行业这种专卖专营的特点决定了烟草行业信息化建设的“专营”特点,也使烟草行业的信息化建设有着与其他行业不同的特色。同时,随着烟草行业“重组、整合”的不断深入,必然带动烟草的信息化整合。因此,在这样的发展趋势下,烟草企业的信息化建设必须满足烟草企业的个性化发展和快速调整需求,并成为企业提高竞争力和获得广阔发展空间的有效工具。

  总之,在烟草行业“重组、整合”的大趋势下进行信息化建设,要坚持“实用性、先进性、安全性、开放性、完整性”的原则,在烟草行业信息化建设的过程中,坚持统筹规划、分步实施、逐级集成,推动烟草行业快速健康发展。

  自1982年1月1日国家烟草专卖局、中国烟草总公司成立以来,烟草行业信息化建设从最初的单机使用、分散开发,发展到了目前的统一平台、统一数据库、统一网络的全面建设,经历了初始、规范管理、全面发展、集成和提升这样四个阶段。

  “七五”期间,是烟草行业信息化建设的初始阶段,主要以计算机单机使用为主,单独开发或购买相关业务需要的软件,如会计电算化软件等。该阶段主要是面向具体事务的低层次的应用。

  “八五”期间,是烟草行业信息化建设逐步规范管理的阶段,即基础阶段。1991年,成立了国家局(总公司)计算机应用领导小组,制定了“八五”期间至2000年前烟草行业计算机应用工作的发展规划,明确提出了计算机工作要统一规划、统一标准、统一管理、分步实施的要求。1995年,国家局编制了《烟草行业计算机应用总体规划》,确立了“自上而下”的信息化建设方针和分“两步走”的目标。2000年前,计算机在行业的工商、各企事业单位得到了普及应用,初步建成了国家局管理信息网络系统,建立了一支从事计算机应用和开发的技术队伍,系统建设确定了TCP/IP协议、C/S体系结构、UNIX操作系统和Sybase数据库等四项技术平台。为适应计算机应用快速发展和统一标准的要求,由国家局(总公司)计算机应用办公室负责,制定了《烟草行业信息分类与标准汇编》。这是第一个行业系统的信息分类与编码标准。同时,信息管理系统在行业内许多基层分公司开始推广使用,烟草工业企业计算机集成制造系统(CIMS)工程也开始启动。各省级局(公司)和烟草企业信息管理系统进入开发实施阶段。信息技术的应用,在企业管理等方面取得了初步成效。

  “九五”期间,是烟草行业信息化建设全面发展阶段。为保障行业信息化工作顺利进行,加强烟草行业信息化工作的领导和管理,1998年8月国家局成立了烟草经济信息中心,之后成立了以国家烟草专卖局局长为组长的信息化工作领导小组,各省级局(公司)及地(市)级局(分公司)也相继成立了信息化工作领导小组及信息中心。国家局制定了《国家烟草专卖局(总公司)信息系统建设工程总体方案》,从组织机构建设、应用系统建设、计算机基础建设及通信系统建设等方面,规划了烟草行业信息化建设的目标,初步形成了行业信息化建设体系。烟草行业信息化建设工程于

  1997年5月12日统一定名为“金叶信息系统工程”,提出的目标是:在烟草行业建设集计算机、通信、自动化、信息、管理为一体和集农、工、商、贸为一体的具有跨世纪水平的烟草信息系统。随着行业信息化建设

  的发展,从国家局和行业信息化工作实际发展状况出发,国家局信息中心又对“金叶信息系统”工程总体方案作了进一步的补充完善,制定了《烟草行业2000年信息化工作计划和2005年发展规划》,并结合行业信息化工作特点和管理要求,制定下发了《烟草行业信息化建设“十五”计划》、《烟草行业信息化工作暂行管理办法》和《烟草行业计算机信息网络安全保护规定》等规范性文件。

  “九五”期间,烟草行业信息化建设加大了资金投入,主要是管理信息系统开发、计算机网络建设、自动化物流系统、实时监控系统和信息化技术标准规范等方面。根据国家局开发应用管理信息系统“试点先行、联合开发”的部署,共有18个省级局(公司)的管理信息系统在国家局立项,在计算机应用基础工作方面,进行了“管理信息系统开发规范研究”、“数据库格式规范化研究”、“管理信息系统应用软件产业化研究与开发”,制定了《计算机网络技术规范和网络管理条例》,进行了CIMS工程、立体仓库和自动化物流系统等的建设。这些研究工作和项目建设对烟草行业计算机及自动化技术应用发展起到了良好的推动作用,成为全行业“金叶信息系统”建设的基础。

  “十五”期间,是烟草行业信息化建设集成和提升阶段。该阶段的目标是“系统集成、资源整合、信息共享”,努力实现以信息化带动烟草行业现代化建设,以信息化促进烟草行业生产力跨越式发展。在“九五”建设的基础上,建成了以国家局为中心覆盖全行业的广域网。国家局在总结以往信息化工作成果和经验的基础上,着力组织开发了“卷烟工业基础软件”、“烟叶信息管理基础软件”、“卷烟销售管理基础软件”,开发应用了专卖证件管理系统、统计信息系统、财务报表系统等,建成了一批具有相当规模的基础信息数据库,承担了国家“863”计划研究课题——

  《烟草行业现代集成制造系统总体方案设计及关键技术攻关》;实现了卷烟和烟叶网上集中交易,烟草物资电子商务网也投入使用。这些系统开发的应用进一步提高了行业生产经营、管理水平。

  按照烟草行业改革与发展的要求,行业信息化建设的总体进程进一步加快。国家局提出了开发应用“烟草行业卷烟生产经营决策管理系统”,及以国家局办公自动化为重点的行业电子政务系统和电子商务系统。为保证全行业信息化建设按照统一平台、统一数据库、统一网络的要求,努力实现系统集成、资源整合、信息共享,国家局先后制定、发布了《全国烟草行业信息化工作管理办法》(修订)、《烟草行业计算机网络和信息安全技术管理规范》、《全国烟草行业卫星通信网运行管理办法》、《烟草行业组织机构代码编制规则》、《卷烟代码编制规则》等一系列文件,并于2003年6月成立了烟草行业标准委员会信息技术分标委员会。

  烟草行业的信息化建设经过十几年的发展,已具备了一定的基础。一是信息技术已得到广泛应用。2003年行业利用卫星通信网召开各类电视电话会议一百多次,大大提高了行业生产经营、管理的工作效率。电子商务技术开始发挥作用,省际、省内的烟叶开展网上集中交易,烟草物资电子商务网也开始使用。二是行业信息“修路”工作初见成效。主要表现在行业卫星通信网络运行稳定,国际互联网(Internet)和拨号网络系统作为补充发挥了积极作用等方面。目前共有28个省级局(公司)建成了省域网,各卷烟工业企业特别是重点工业企业也都建成了自己的局域网,全行业以国家局为中心,各地区、各企业的信息通信网络构架基本形成。三是行业信息“建库”工作初具基础。主要表现在近几年国家局开发应用的专卖证件管理系统、统计系统、财务报表系统、工业基础软件、卷烟销售基础软件、烟叶基础软件,以及行业内各单位、各企业

  自行开发建设的各类信息系统的应用等方面,积累了大量的信息资源,初步建成了各业务主题数据库,为行业数据中心的建立奠定了基础。四是行业信息“服务”工作初上层次。主要表现为培育了一支从事信息化工作的专业队伍。目前,行业共有28个省级局(公司)成立了信息中心,6个省级局(公司)的信息中心与其他部门合署办公,新成立的16个工业公司都有专门部门、专人从事信息化工作,各基层企业也大多成立了信息化管理部门。

  从行业信息化建设总体情况看,目前烟草行业的信息化建设已经进入集成的数字化阶段。其主要表现在:一是“集成”上,即纵向的行业决策、管理、生产经营三个层次之间的信息集成,横向的农、工、商企业之间的信息集成;二是“数字化”上,即对业务、管理用数字加以量化,通过数字量化,实现管理从粗放型向精细化的转变。为此,烟草行业

  将适时调整信息化建设规划和计划,全力打造“数字烟草”,为保持烟草行业持续、稳定、协调、健康发展发挥重要作用。

  烟草行业信息化建设篇2:烟草行业信息化建设分析

  烟草行业信息化建设分析

  21世纪是以信息技术为核心的高新技术主导的世纪。信息化已成为衡量一个国家、一个行业现代化程度的重要标志之一。烟草行业在世界经济全球化、信息网络化的时代背景下,特别是在加入WTO后,面临国内市场国际化的严峻挑战,以及行业内部兼并、重组,深化改革的形势,尤其是国家对垄断行业市场化改革的不断加快,行业的宏观调控与企业

  创新能力将是决定行业竞争成败的关键。烟草行业用信息化推进现代化,就是要用最先进的信息技术全面渗入烟草行业生产、流通、管理过程,改变传统的生产经营模式,加速烟草产业、产品结构的调整,完善烟草行业管理体制,满足市场和消费者的需求,提高适应市场能力,提升整体竞争实力。行业信息化发展与企业联合重组、资产一体化、集团化管理、工商信息协同密不可分,但又是动态变化的。可以说,其建设成功与否是体现行业综合实力强弱的重要标志。因此,对行业信息化建设的实施策略进行研究与探索,具有十分重要的现实意义。

  烟草行业信息化基础已具规模

  烟草行业信息化建设在党的十六大提出的以信息化带动工业化、以工业化促进信息化,走新型工业化道路的战略指引下,按照“统一标准、统一平台、统一数据、统一网络”,逐步实现系统集成、资源整合、信息共享的总体要求,全面启动数字烟草建设,有效地推动了行业的规范管理,有力地促进了行业的深化改革。

  (一)烟草行业网络基础设施建设已具规模,实现了互联互通。

  行业地面通信骨干网已建成并全网投入运行,实现了国家局与行业各直属单位及所属卷烟厂、分公司、烟机厂和进出口口岸公司等69个节点之间的互联互通,入网率达到了100%;基本完成了行业各直属单位省域网建设,各直属单位与所属单位的联网率达到了96%;行业网络与信息安全体系初步形成,网络运行管理进一步加强。启动了烟草行业安全认证体系(CA)建设和烟草行业信息安全等级划分的研究工作。

  (二)信息化在行业应用范围更加广泛,建成了业务主题数据库。

  随着烟草市场竞争的国际化,行业信息化重点工程建设已经关系到烟草行业的生存和发展,促进和推动了行业信息化整体水平的提高。近

  年来,行业信息化工作围绕应用系统建设,狠抓重点、突出亮点、破解难点,取得了实质性进展。

  1.完成了以办公自动化为主要内容的行业电子政务体系建设,建成有“公文传输、公文流转、档案管理、门户网站”基本功能的办公自动化系统。自2004年9月系统运行以来,公文传输效率由原来的平均5天下降到平均2分钟,效率提高多倍,实现网上查询文档,实行网上审批,有力地促进了办公效率和服务质量的提高,促进了转变职能和政务公开。

  2.完成了“行业卷烟生产经营决策管理系统”(以下简称“决策管理系统”)的重点工程,初步实现了全行业卷烟生产经营数据的实时自动生成,有效保障了行业生产经营决策和宏观调控的科学性、及时性。

  该项目采用了物流数码跟踪技术,将卷烟生产计划管理与生产过程结合起来,通过“计划取码、物流跟踪、到货确认”这样一个流程,实现对行业生产经营的日跟踪、旬分析、月调控,有效地保障了卷烟生产经营基础数据采集和管理的准确性、及时性,实现数据采集自动化;形成了行业统一的数据交换与传输体系、标准体系、数据中心及应用集成平台,为行业信息化的集成与整合提供手段,也为行业现代化物流建设奠定了一定的基础。

  通过“决策管理系统”这一快捷有效的信息通道,行业可以更为及时地把握市场信息,提高应对变化和抵御风险的能力,并以此为契机进一步规范内部管理,促进管理创新,提升管理水平。这不仅是提高行业宏观决策水平的必要手段,也是提高企业核心竞争力的有效途径。该系统已全面实施并于2006年3月通过验收。

  3.建设了电子商务系统,实行网上交易。2003年,行业取消了现场交易模式,一律在网上进行交易。随着行业卷烟交易方式的改革,行

  业内卷烟、烟叶和卷烟辅料等均在网上交易,完成了省内卷烟交易统一平台的建设工作。同时,以信息技术为手段的卷烟销售网络建设水平不断提高,有力地推进了传统商业向以“电话订货、网上配货、电子结算、现代物流”为主要特征的现代流通的转变。

  4.国家局开发应用的专卖证件管理系统、统计和财务报表系统、卷烟工业基础软件、卷烟销售基础软件、烟叶基础软件等以及行业各单位自行开发建设的管理信息系统(MIS)、企业资源计划(ERP)、办公自动化(OA)、业务流程再造(BPR)、制造执行系统(MES)、供应链管理(SCM)、客户关系管理(CRM)、现代集成制造系统(CIMS)等,为行业数据中心的建立积累了大量的信息资源,奠定了一定的基础。

  (三)行业信息化服务工作已上新台阶,加强和规范了行业信息化建设。

  行业信息化服务工作从加强管理、加强规划、加强指导入手,服务质量和水平不断提高。行业信息化组织机构和人才队伍建设更加完善,有一支近5000名信息化专业队伍;行业信息化发展的目标更加清晰,制定并发布了《数字烟草发展纲要》,进一步明确了打造数字烟草的建设目标和任务,为行业信息化建设科学有序发展提供了一个既明晰又可操作的规划。

  行业信息化的制度建设逐步完善。近几年,行业先后出台了《全国烟草行业信息化工作管理办法》、《全国烟草行业信息化工作考核办法》、《烟草行业信息化建设统一技术平台要求》、《烟草行业信息化标准体系》和《烟草行业计算机网络和信息安全技术与管理规范》等重要文件,用制度规范了行业信息化管理工作。

  行业信息化建设更加适应并促进了行业体制优势。整个行业的信息

  化建设逐步实现了从基础性向应用性、从局部性向全局性、从分散性向集中性建设与管理的转变,从而有力地保证和促进了行业“统一领导、垂直管理、专卖专营”的体制优势。

  业务复杂多变困难多多

  近年来,烟草行业信息化建设虽然取得了较大进展,收到了一定效益,技术水平不断提高,信息资源有了一定的积累,技术应用

  初见成效。但行业信息化的实施还面临着环境复杂多变的挑战。

  首先是业务的复杂多变和企业组织结构的调整。面对日益激烈的国际国内竞争,适应市场需求的变化,企业业务流程再造,企业重组和资产重组,企业组织结构、管理体系和业务模式等更加复杂多变,在此背景下,信息化项目就必须具备能满足这些变化要求的能力。

  其次是IT产业格局和技术快速发展,对行业信息化建设的投资保护、IT成本控制等提出了更严峻的挑战。在行业信息化建设过程中这两个挑战集中反映为以下突出问题:一是信息不共享,现有的信息系统存在“信息孤岛”问题。无论是独立的工具软件还是集成的解决方案,大多数是孤岛型的应用,或者是业务功能模块的简单累加,相互之间是孤立封闭的,无法做到信息资源的共享;二是行业应用系统的开发、推广、应用多是以条、块为主,开发比较分散,也基本是相互独立的,形成较多的“信息烟囱”,给行业统一管理、共享数据资源造成了障碍,影响了国家局对整个行业的监控力度和管理的有效性;三是信息化建设不统一、发展不平衡,缺乏统筹规划和统一标准,对总体技术规范、标准、技术要求贯彻执行的力度不够;四是网络互联互通不到位,信息传输通道不统一,安全体系建设不完善,网络管理能力不足。由于上述问题的存在,影响了行业信息化的进程,制约了行业信息化建设水平的提升。因此,信息资源和应用系统的整合集成、应用提高是目前行业信息化建设的重点工作。要实现系统集成、资源整合、信息共享,就要逐步解决影响行业信息化建设的障碍性因素,实施消除“信息孤岛”,整合信息资源的策略,促进行业信息化建设协调健康发展。

  烟草行业信息化该怎么建设?

  “信息系统发展阶段论”研究成果可以概括为:起步期、增长期、成熟期和更新期四个阶段及五要素模型,即米歇模型。

  用此模型考察行业信息化,可以认为,烟草行业整体上处于增长阶段,其典型特征就是系统林立,耗资甚大,而技术标准与业务规范并不统一。随着实践的发展,行业必须充分考虑在标准规范基础上的数据集中管理和数据综合利用、深度挖掘等问题,也就是向成熟阶段过渡。这是几十年国内外信息化建设实践所证明的不可逾越的一个阶段。

  借助理论工具和实践考量,确认烟草行业信息化目前处于增长阶段,对于科学规划行业信息化发展战略,推动信息化进程具有重要的现实意义。

  行业信息化走向“集成和整合”,是信息化的发展规律和现实所决定的。围绕行业体制改革,进行数据集成和系统整合是行业改革与发展的内在需要,是行业信息化进一步发展的主要任务和核心内容。通过数据集成和系统整合,可以快速有效地推进行业的业务流程标准化、规范化,实现流程重组和再造,从而推动行业体制改革和信息化的进程。

  (一)烟草行业信息化建设目标要求。

  围绕烟草行业发展的新形势、新任务和新要求,行业信息化建设的总体要求是:进一步贯彻落实科学发展观,坚持以信息化促进行业的现代化,全力打造数字烟草,充分发挥信息化在改造传统产业、优化资源

  配置、提升管理水平、提高总体竞争实力等方面的作用,努力使行业信息化建设水平达到国内先进水平。认真落实《数字烟草发展纲要》,建立统一标准、统一平台、统一数据库、统一网络的行业数据中心,有效整合信息资源。围绕行业电子政务、电子商务、管理决策三大应用体系建设,积极推进行业信息化重点工程项目建设。

  烟草行业按照“四统一”的要求进行信息化建设。

  统一标准就是统一烟草行业信息标准体系,它是行业信息化建设的前提。统一平台就是统一烟草行业信息技术平台,它是行业信息化建设的基础。统一数据库就是统一烟草行业数据中心建设,它是行业信息化建设的核心。统一网络就是以行业地面骨干网为核心,覆盖全行业互联互通的地面网络。统一网络是行业信息化建设的保障。

  烟草行业信息化建设按照上述“四统一”的要求建设行业数据中心,进行数据集成、应用集成、流程集成和面向用户的集成。建设行业信息化三大应用体系,保障行业网络互联互通和信息安全,努力实现系统集成、资源整合、资源共享的目标

  (二)烟草行业信息化建设实施策略

  1.建设行业数据中心,有效整合信息资源。

  数据集中是信息化发展的必然选择。统一的全国性数据中心,既可以改变传统的管理模式,又可以改变生产经营的运营模式,是管理理念、管理技术、管理水平的一次提升,可有效实现对业务的集约经营、集中监控和风险防范。

  要建设好行业数据中心,就要在保证不同业务系统数据相对独立的基础上,建立数据交换和共享机制,通过对数据的加工、清洗、传递和交换,使得不同业务系统及时汇集相关的共享信息,实现行业公用数据

  的标准化、一致化,并不断更新和加强信息安全管理。逐步建立和完善数据分类描述、分析处理和传输交换等技术标准,以指导行业各级数据中心的建设。

  要建设好行业数据中心,关键是要建成基于不同类型业务主题的高水平数据应用环境,统一数据标准,做到资源上协同应用,技术上协同关联,应用上协同共享,提高信息资源有效利用率。

  (1)烟草行业数据中心建设目标:建设为行业改革与发展服务的数据中心;建设有价值的数据中心;建设有力支撑生产经营管理的数据中心;建设三大应用体系构成的数据中心;建设统一标准、统一技术要求的数据中心;建设行业不同层级、互联互通、信息共享的数据中心。

  (2)基本思路:数据中心建设是实现系统集成、资源整合、信息共享的必然途径,是行业信息化更高层次的要求,要统筹规划、突出重点、分级建设、逐步完善。要以行业重点工程的数据为基础构建行业数据中心,完善数据交换平台,构建工商信息协同平台,不断充实和完善数据中心的内容及标准体系,并进行主题分析,提供辅助决策支持。

  (3)建设内容:包括三部分:一是行业数据交换平台,从技术上保障行业各类数据的上传下达;二是行业信息协同平台,用于工商信息衔接,支持新型工商关系的建立;三是行业信息资源服务平台,用于加强对信息的分析应用,服务行业宏观调控和科学决策,服务行业经济运行,提高行业管理水平。

  (4)建设要求:行业数据中心由国家局、省级局及工业公司、基层工商企业三级数据中心构成,逐步向上集中。在国家局数据中心的统一管理下,要通过数据整合,按照一定的规则和权限,在行业内部实行各取所需、授权访问,做到行业信息共享,横向纵向互联互通。各省级

  局、工业公司(集团)按照集成整合的要求和统一技术标准,规划和建设数据中心;不具备数据中心建设条件的单位,也要保证国家局行业数据中心对数据的要求。

  2.建设行业信息化三大应用体系,加快重点工程的实施。

  行业进行电子政务、电子商务和管理决策三大应用体系建设,需要通过统一的、具体的行业信息化项目建设来实现,以构成三大应用体系。

  (1)做好“决策管理系统”打码到条及订单采集系统建设。打码到条是为了卷烟产品物流信息的完整,为行业现代物流建设打下基础;是“决策管理系统”的延伸,同时一并有机整合呼叫中心功能,实施订单数据的采集,实现行业供应链环节的商业企业与零售客户的信息协同,做到真实、客观地反映市场需求,不断提高快速响应订单和适应市场能力,提高行业市场化水平。

  建设原则:突出信息整合、实现系统集成,利用现有资源、降低运行成本。

  建设目标:一是完善卷烟产品实物流跟踪;二是通过统一行业电话订货系统的业务规范和数据标准,逐步做到真正统一行业网建标准和模式,建立订单信息的共享渠道,实现供应链环节上的商业企业与零售客户的信息协同,做到真实反映市场需求,支持行业市场化取向的改革;三是通过与“决策管理系统”和行业电子商务系统的集成,实现烟草行业工业、商业和零售客户的数据交换与信息协同,为“按客户订单组织货源”提供有效支持,进一步实现系统的集成与整合;四是提高行业对卷烟成品经营流通的专卖监管水平。

  基本思路:统一功能需求、统一数据标准、统一操作流程;以省为单位自行按上述标准,对呼叫中心软件进行改造和升级;横向打通供应

  链的商业企业与零售客户环节,同时使该环节的纵向信息流协同共享,与“决策管理系统”紧密衔接,使商流、物流更加耦合;在国家局建立客户订单电话监督与审计系统,为有效考核监管提供手段。

  建设内容:一是打码到条。通过对出库领用的件烟扫码(三扫),件码派生条码,实现打码到条,获取准确、真实、完整的卷烟库存和销售,完善卷烟成品的物流信息;统一行业条烟打码内容,实现货单关联和件条关联,使条烟具有身份识别码,为规范内部管理、加强专卖管理提供手段。

  二是呼叫标准体系建设。制订呼叫业务系统的标准体系,包括:基础数据字典、业务指标体系、数据交换标准、业务功能流程图、技术环境规范等。

  三是远程呼叫监督。远程呼叫监督:通过对行业呼叫座席通话情况进行抽样,同时实时抓取座席操作界面,实现实时远程监督。异步语音与采集订单数据联查:通过对行业呼叫座席进行远程录音,并与数据采集渠道上传的需求订单数据进行关联,对录入的需求和订单数据与语音数据进行事后异步核对、检查、查询。

  四是采集与传输。利用行业基础信息平台提供的数据采集及交换功能,通过增加数据指标项,采集卷烟实物库存和销售数据、电话呼叫客户档案、客户需求和执行订单的汇总数据,以及与语音关联的需求和订单明细数据,上传至省公司和国家局。

  五是分析与反馈。在国家局数据中心,实现完整物流信息的跟踪分析和展现应用,以及对呼叫数据的汇总、排名对比、覆盖情况、区间对比走势等进行分析展现应用。通过“在线查询、离线应用”的方式,将汇总分析的数据反馈给省工业公司、卷烟工业企业。

  (2)加强行业电子政务建设,完善办公自动化系统。烟草行业从巩固和完善现行管理体制出发,以加强监管、转变职能、政务公开、提高办公效率和服务质量为目标,依照国家电子政务建设标准和要求,全面推进烟草行业特色的电子政务建设。进一步推动行业办公自动化系统建设,推进网上审批系统的应用和系统对接。通过改进审批方式,开展网上审批,促进政务公开,增强透明度和公正性,提高管理水平、办事效率和服务质量。

  (3)加强行业电子商务系统建设,实现商流、物流、资金流的统一。在专卖管理体制下,推动行业电子商务向更高水平迈进,建立高效、协调、完整的行业现代流通电子商务运行体系,是行业工商交易方式改革的需要,是行业“按客户订单组织货源”试点工作的需要。烟草行业电子商务应用体系可概括为:两级平台,一个中心。两级平台,即工商交易电子商务平台和商业与零售客户交易的电子商务平台,实现支付型电子商务与现代物流相结合;一个中心,即行业统一的工商协同中心,实现行业协同供应链管理与企业内部资源计划相结合。

  行业电子商务系统包括交易子系统、准运证管理子系统和网上资金结算子系统三个部分。在总体设计上以“决策管理系统”的物流信息为基础,实现商流、物流、资金流和专卖等信息流的统一。电子商务平台要建成一个标准统一、高效运行、提高服务价值、降低交易成本的大平台,全面支持卷烟、烟叶、物资、烟机及零备件等的网上购销活动。要在网上交易的基础上实行网上资金结算,实现工商支付型电子商务,加强对企业资金收支情况的实时监测,逐步开展资金监管系统建设工作。

  行业电子商务系统建设目标:在供应链管理环节上打通工业与商业企业之间的信息流;完成卷烟、烟叶等成品交易的业务协同和信息协同;

  为卷烟产销间的相关商务流动提供切实的业务支持服务,并为“按客户订单组织货源”提供技术手段。

  基本思路和内容:交易、准运证管理、网上资金结算三个子系统为一个项目,要统一规划、分部实施。交易子系统:完成工商企业之间产销交易的商流,为工商企业的产销交易活动提供平台。准运证管理子系统:统一省内省际准运证,完成准运证的申领、发放,并与“决策管理系统”对接,在物流环节实施协同。

  网上资金结算子系统:完成交易活动中的资金流,通过银行实现货款收支与资金结算,并为行业资金监管提供服务。

  3.严格执行《烟草行业信息化标准体系》,加强行业信息化标准制定和贯标工作。

  标准化工作是一切工作规范化的基础,统一标准是烟草行业信息化建设的基础工作,是实现信息共享的基本前提。离开了标准化,计算机系统就无法体现其技术优势。因此,行业在信息化建设中必须高度重视并实施信息化管理相关的各种数据、指标和流程的标准化工作,要统一信息化建设标准,统一信息资源标准,统一数据传输标准。要按照行业的统一要求,逐步规范行业各方面信息化建设的基本业务流程、信息资源标准和数据交互机制,形成标准化体系框架。建设标准化体系要采取渐进方式,一是要先建立标准化框架,行业已发布《烟草行业信息化标准体系》;二是对急需的、重要的标准要优先制定。行业将制定烟叶类代码、烟草行业工商统计数据元、烟草行业统一会计科目及编码等标准规范;三是通过行业重点信息化工程项目的推广运行,完成相关标准化工作。做好代码标准化、接口标准化、业务流程规范化、数据结构规范化等一些标准、规范性工作,最终实现横向纵向信息的互连互通,达到

  信息共享。

  要切实加强贯标力度。要以新的行业信息分类编码管理系统的建设为契机,提高代码类和数据元类标准的信息化水平,逐步建立更加快捷的代码申报、审核、发布、下载和维护机制,通过技术手段支持统一标准目标的实现。

  4.贯彻落实两个《技术与管理规范》,做好行业内联网的运行维护和信息安全保障工作。

  随着行业信息化建设的全面推进,传统的管理机制在改革与创新中逐渐消亡,人们在处理信息和日常办公中越来越依赖计算机和网络,机密与财富越来越集中在计算机系统和网络中。因此,行业各应用系统和计算机网络的安全可靠运行,面临着十分严峻的挑战,网络与信息安全已成为行业信息化建设非常重要的问题。烟草行业必须从行业内联网和信息安全的高度,切实加大网络建设的管理力度,建立严格有效的制度,落实好《烟草行业计算机网络建设技术与管理规范》和《烟草行业计算机网络和信息安全技术与管理规范》。运用先进的安全技术,切实组织管理好信息网络安全工作,建设行业网络与信息安全体系,逐步开展行业网络安全审计和行业计算机病毒防护系统建立工作,提高信息系统的安全性,保证系统稳定、可靠运行。要加强安全管理建设,切实做好信息系统的软件安全设计,强化数据安全策略,采用成熟的信息系统安全技术和控制方法,逐步实现网络管理的可视、可控、可管,所有网上运行的应用系统与设备应实现统一、智能化的实时监控,实现应用系统与设备故障的预警和自动报警,实现网络资源的合理分配。凡由国家局统一组织开发的在全行业运行的信息系统,要统一使用行业CA安全认证体系,实现全行业的互通、互认和互信。要建立行业信息安全管理标准和

  技术标准,构筑行业信息化安全机制,降低和消除各种信息安全隐患,确保信息传输与反馈畅通、及时和安全,为行业信息化建设保驾护航。

  烟草行业信息化发展已经进入到一个新的历史阶段。用信息化改变传统生产经营模式,通过实施行业整个供应链一体化管理,实现以市场为导向、优化资源配置、提高效率、降低成本、提升效益的目标,运用信息化开展产品创新、技术创新、管理创新和制度创新,提升行业宏观调控能力和生产经营管理水平,提高应对国际竞争环境的能力,实现物流、资金流、信息流的集中控制,为行业宏观调控和科学决策提供有力的支撑。在烟草行业信息化建设中要牢固树立和认真落实科学的发展观,体现时代性、把握规律性、赋予创造性,全面推进数字烟草建设。

  烟草行业信息化建设篇3:烟草行业信息化建设解决方案

  烟草行业信息化建设解决方案模板

  烟草行业信息化建设解决方案

  中国移动通信集团江苏有限公司

  盐城分公司

  2007年9月

  第一部分

  烟草现状及需求分析

  1、烟草行业语音市场现状

  盐城市烟草分公司现有正式人员326人,从收集到的通讯录分析,移动成员为290人,联通用户为46人,小灵通及双机用户为48人,移动占比为79%。其中市公司为单独的语音集团,其余县公司各成一体,未

  形成统一的语音集团。

  零售户语音状况:目前烟草客户经理能收集的烟草专卖户的资料共10811户,其中移动占比58%,联通约占19%,小灵通用户占比为23%。

  2、烟草行业信息化建设背景

  “订单供货”是烟草行业继工商分离后的又一次重大的改革。在烟草行业,卷烟交易很大程度上是自上而下的交易方式,订单不是真正来自市场,卷烟产销与市场存在脱节现象.当前烟草订烟主要以电话访销方式为主,但存在较多问题:1)、运营成本较高;2)、与零售商之间的信息存在严重的不对称;3)、不能为零售商提供畅通的沟通平台,客户满意度较差。

  目前解决烟草订烟的移动信息化产品主要有:烟草信息机(基

  于移动GPRS网络)和OTA卡,均存在较大的缺点:一是烟草信息机终端昂贵,每台700-1000元,部分烟草零售商无法承担,同时后期维护成本较高,有一定推广难度;二是OTA卡基于手机短信技术,由于烟草种类繁多,订烟过程中短信互动频繁,使用不便。

  借助移动网络优势和用户规模优势,通过手机上网(WAP方式)+烟草信息机模式实现网上烟草订购、查询、退订等等功能。无线订烟系统将作为烟草公司与零售商沟通的基础平台,通过此平台,烟草公司可以实现对烟草零售户的销售管理、库存管理、需求收集,以及完成烟草内部一些报表原始数据的收集。

  第二部分行业解决方案

  一

  定烟系统解决方案

  1、方案简介:盐城烟草订烟系统的主要功能是实现通过手机+信

  息机提交烟草定单,同时在烟草公司与零售商之间架起一个便捷沟

  通平台,提高工作效率。

  本系统由WAP订烟程序、管理程序和后台服务程序三部分组成。

  WAP订烟程序包括用户登陆、定单查询、卷烟订购和密码修改四个

  部分。实现手机订烟的全过程。

  管理程序包括系统配置、短信发送、用户管理和访销管理四个部

  分。实现系统参数、短信、管理员、访销列表的管理。

  后台服务程序,以windows服务的方式实现短信发送、订货提醒

  和数据库维护功能。

  二

  功能介绍

  (1)手机订烟:烟草零售户通过手机登陆到盐城烟草无线订烟网

  站,进行订购自己需要的卷烟,也可通过网站直接向烟草公司反馈自己对烟草服务的意见和举报烟草销售中的问题,同时可以浏览网站相关信息。

  (2)信息收集。借助无线订烟平台,收集各类信息,包括零售户的库存、销售情况,服务满意度调查。

  (3)需求分析,通过对收集一线数据分析,掌握市场动态,科学

  分配货源。

  第三部分行业拓展计划

  盐城市烟草分公司行业拓展主要有以下四个部份:

  第一部份:以呼叫中心优化为突破,实现烟草话务中心、客户经理、烟草零售户之间通话优惠。

  第二部份:定烟系统解决方案。

  第三部份:语音集团进一步扩大至全市范围内的聘用人员。

  第四部份:对物流中心的所有配送车辆进行GPS定位。

  针对以上情况,行业拟推出以下解决方案

  呼叫中心:为解决现在的所有烟草零售户必须守在电话机旁等定货电话的局面,使用户实时、实地、更加快捷的得到定货信息,同

  时也为降低烟草访销过程中的运营成本,具体方案为:在烟草

  公司的“东软”营销平台上植入移动公司提供的移动总机的号码,取代当前的电信固定电话号码,成立移动烟草话务中

  心,将中心、客户经理、零售户的所有移动号码加入烟草集

  团网,实现相互通话优惠,以此来带动烟草零售户中的联通、小灵通用户的转网。

  目前烟草每月上缴电信电话费4万元左右,我们可以将呼叫中

  心费用减半或者直接免掉。从而带动语音市场的移动普及率。

  定烟系统:实现盐城烟草与烟草专卖户进行信息交互,收集烟草专卖户的销售需求,同时提供其他的服务信息。目前具备订货、订单

  查询、退货、货源与计划、意见反馈和帮助6大功能。

  语音集团:为使市县公司联系更加通畅便捷,节约通讯成本,移动公司

  拟为烟草公司组建市级语音集团,将现有的正式编制及聘用

  人员中的移动成员直接加入市公司语音集团,同时针对联通

  和小灵通用户提供相应的转网优惠。

  车辆定位:省烟草公司于下半年开始招标“优化配送路线”软件,针对

  此情况下一步即是所有物流配送车辆的运送轨迹的实时监控

  和定位。江苏移动现有的公共定位平台具有地图地理信息全

  面、定位精度准确的优点。烟草企业使用该平台业务实施对

  物流车辆的监控,将节约高额的系统建设费用与平台维护费

  用,起到低投入、高回报的效果。信息化的应用,将物流配送环节由原有的无从监控管理到现有的实时控制调度,通过无线定位手段进行科学的管理,实现最优化的组合。大大降低物流成本。

篇六:烟草网络安全和信息化

  

  烟草行业信息化

  整体解决方案

  ——XX公司

  第一章、概述

  1行业背景

  我国是全世界最大的烟草生产国与消费国,雄踞八个“世界第一”:烤烟种植面积第一;烤烟产量世界第一;烤烟增长速度世界第一;卷烟产销量世界第一;卷烟增长速度世界第一;吸烟人数世界第一;吸烟人数增加数量世界第一;烟税增长速度世界第一。中国的烟草工业仍然是国营部门,几乎是中国未被外国产品和外资所侵入的最后的堡垒。

  自国家烟草专卖制度实施以来,中国烟草行业在“满足居民消费需求、提高烟草制品质量、增加国家财政积累、支持民族企业发展”等方面取得了很大成绩.不过,这些成绩的取得与烟草行业处于生命周期的成长阶段、行业主管部门和各级政府有关部门对国内烟草市场实行“行政垄断”并通过设置较高的政策壁垒把国外烟草商拒之门外、中国社会存在大量的灰色烟草消费等这些特定历史时期的经济、政治、社会条件和国际环境是息息相关的。随着时间的推移和各方面条件的发展变化,中国烟草行业正面临或即将面临着较为严峻的挑战,主要表现就是拉动行业发展的需求力量正日趋减弱、国内市场国际化竞争日益激烈、优势企业和名牌产品难以持续成长、过分依赖国内市场导致国际竞争力严重缺乏、中国市场化改革的深入和国家反垄断指向的增强以及中国“入世”后自由贸易规则的普遍推行将使烟草专卖体制面临多方压力等。

  我国的烟草专卖局(公司)具有政企合一的性质,一方面作为政府职能机构,负责对整个烟草行业的管理和控制;另一方面也作为一个独立的企业,进行正常的运营。正是这种特殊性,使得烟草行业既沿袭着传统的计划经济体制,同时也融入了一定的市场经济成分。卷烟作为国家专卖商品,统一组织生产和调配是烟草行业的特性,烟草行业内工业企业的生产和商业企业的销售都要受到计划和市场的双重影响,而计划和市场同时也在相互起着作用。但卷烟和其他商品一样,也需要根据市场的需求调控生产;通过品牌和企业形象的确立,吸引广大消费者;通过完善的分销网络和物流配送控制市场和客户。

  中国加入世贸组织后,如何经受住市场的洗礼和挑战,成为摆在烟草行业面前一道难题。国外的烟草企业资金雄厚、品牌形象好、管理水平高.中国的烟草企业只有加强管理,向管理要效益,练好企业内功,才能提高烟草行业的综合实力和竞争能力,才能在激烈的市场竞争中稳脚跟,而这就必须依赖于先进的信息技术和管理方式.

  2行业信息化发展现状

  烟草企业信息化建设有两大部分:一部分是设计、生产过程的信息化,实际上是生产过程的自动化,属于工业控制范畴。用自动化生产、测量、显示、控制等工具,通过控制信息达到生产的自动化。另一部分是管理的信息化,就是建立管理信息系统MIS、办公自动化系统OA以及决策支持系统DSS等。烟草企业信息化建设在工控方面将向计算机集成制造系统CIMS方向发展;在管理方面将向数字化、智能化发展.在企业内部将建立起全面的数据分析、决策支持,在企业外部将建立完善的电子商务EC环境,通过建立供应链管理SCM系统、客户关系管理CRM系统,提高整个烟草企业的市场竞争能力。

  回顾烟草行业信息化建设,经历了从农网到城网,从网点延伸到全面访销、集中配送,从最早“三网合一”的南通模式、“访送分离”的武汉模式、“四经一纬”的成都模式、“现代流通”的上海模式到“全省网建学上海"的江苏模式,中国烟草行业积极推动从传统商业向现代流通的转变.按照“统一平台、统一数据库、统一网络"的总体技术要求,具体落实“突出重点工程、建设数据中心"的目标要求,电子商务、办公自动化系统和全行业卷烟生产经营决策管理决策三大应用体系构成了烟草行业信息化建设的主体框架,全行业形成了覆盖国家局、各省级局与工业公司、工商基层企业的信息化建设局面。全行业卷烟生产经营决策管理决策系统2003~2005年是建设高峰期,办公自动化系统2004~2007年是建设高峰期。

  同时,卷烟销售网络、现代物流体系和网络安全的建设也取得了较大的进展,并在建设的过程中,呈现了IT应用从单系统向集成化整合统一、IT系统建设从企业内部到外部逐步进行等趋势。此外,2006年国家烟草专卖局加大了烟叶信息管理基础软件推行力度,2007年是实施国家局烟叶信息管理基础软件的第二年,各烟草企业都认真贯彻落实国家局、省局《关于推广国家局烟叶信息管理基础软件的进度安排意见》。

  2006年~2007年,卷烟生产经营决策管理系统稳定运行,并积极拓展在卷烟工业企业的应用;卷烟打码到条及订单采集系统、按定单组织货源、内部监管系统等项目全面实施;行业数据中心建设开始启动,推动各业务系统集成整合、信息共享;办公自动化系统应用更为广泛,网上审批系统在国家局和行业各直属单位之间开始试运行.随着“工商分离”的逐步推进,烟草商业的定位已经发生了根本变化,它不再是传统意义上的批发企业,而是具备先进营销理念的现代流通服务企业。在这种变化的过程中,各地烟草商业企业也将工作重点放在培育卷烟销售网络的核心竞争力上,其中信息化是其应用的主要

  手段之一。

  3信息化特点

  因此,烟草行业也迫切需要通过先进的信息技术对传统的运营模式、业务流程进行改造和整合,提高企业的整体实力和竞争能力。而烟草行业资金相对比较充裕,因此,近年来烟草行业的信息化建设逐渐蓬勃发展起来,总结烟草行业信息化建设特点分为以下三个方面:

  3.1提升项目管理标准,业务部门成为主力军

  烟草行业信息化项目多是由业务部门牵头,IT部门则是帮助前者。项目的承担部门是生产管理单位,而不是计算机信息中心。在项目执行的过程中,坚持进度与质量并重,抓好软件实施.同时,在系统软件和硬件设备招标过程工作中坚持公开、公正、公平的原则,严格遵守招投标法的有关规定,拥有健全监督程序和内控措施。

  3.2信息化建设采取从局部先突破,再逐步推广的方式

  采用“统一规划,分步实施,先进可靠,效益优先”的原则,集中优势兵力,从局部先突破,再逐步推广,从企业的决策层、业务层及业务支撑层3个层面,全面实现信息化管理.如国家局的卷烟生产决策管理系统和办公自动化系统,以及2006年刚刚开始的打码到条及按订单组织货源(订单采集系统)项目、2007年的内部监管项目,都是采取先试点再推广的建设模式。

  3.3选择信息化项目提供商,关注经验和实力

  烟草行业在进行信息化项目建设过程中,对合作伙伴的选择异常慎重,会针对具体项目专门成立项目领导小组.为使该项目建设成为一个模范工程,确保招标公平、公正、公开,领导小组对项目建设的各个环节做严格规定。经过招标说明、投标、述标、评标等几个环节后,项目小组会从竞标单位中选择技术力量雄厚、经验丰富、成功案例多、服务好、讲诚信的开发商作为项目合作伙伴。

  4行业信息化的不足

  据国家经贸委2001年对部分大中型企业的企业互联网应用和电子商务发展水平的调查显示:烟草行业对信息基础设施的投入,占总资产比例较高。但从整体水平上讲,烟草行业应用信息总体水平还比较低,尚处在信息发布与交流的初级阶段,烟草行业电子商务建设仍处

  在尝试阶段。行业内还有很多企业没有基本数据库,企业计算机的应用还停留在单机应用和文字处理阶段。

  烟草行业电子商务发展的不足主要有:1)信息技术应用的广度和深度不够,地区之间、部门之间信息化发展存在一定的不平衡,行业的计算机基础设施还不完善。

  2)部门利益冲突,条块分割,有重复建设现象;没有完善统一的行业信息化标准,开发的软件有的系统性、兼容性、扩充性不强,使用周期短,很难推广,造成资源的浪费。

  3)信息共享度低。信息资源开发利用不足,工商企业、各商企业之间,省与省、省内企业之间实现互联互通、资源共享困难。

  4)企业内缺乏大量信息技术方面的高级人才,尤其是缺少大量既懂技术又熟悉业务的复合型人才。

  5)电子商务是对业务流程进行重组,是对管理体制的改造,必将导致利益冲突.随着社会的发展和时代的变迁,传统的组织结构已经不能适应当今时代的发展,电子商务将导致企业组织变革,“扁平化、虚拟化、弹性化”的组织结构已成为大势所趋。因此电子商务的实施将促进组织结构的扁平化,管理流程的重组优化等,而现有管理机制又与现有的既得利益相关,因此会存在新模式与老体系的强烈冲突,机制的配套改革滞后于系统的建设。

  6)可能会存在“信息滞后、信息虚假、信息垄断”的现象,这都将影响到决策的合理性。信息滞后、信息虚假表现为信息的实效性、真实性差,信息垄断表现为垄断着大量信息的部门不及时提供信息,而是作为与信息的需求者进行讨价还价的砝码。这些现象都将影响到烟草企业对信息进行正确判断与分析。“信息垄断”现象有可能会演变为网络经济时代地区封锁的又一种新的形式。

  5数字烟草的战略发展方向

  烟草行业为稳步推进烟草行业信息化建设,全力打造数字烟草,努力实现用信息化带动烟草行业现代化建设,促进烟草行业持续稳定协调健康发展,制定《数字烟草发展纲要》纲要,指导今后三至五年行业信息化工作。

  建设数字烟草,一是要用信息化改变传统的生产经营模式,通过实施行业整个供应链的一体化管理,实现以市场为导向优化资源配置、提高效率、降低成本、提升效益的目标;二是

  要把信息化融入到行业、企业的实际工作中,全面落实依法行政、依法管理、依法经营,运用信息化开展技术创新、管理创新和制度创新,建立全面准确量化的管理体系,实现管理从定性向定量、由静态向动态、由事后向实时的转变,提升行业生产经营管理水平,提高应对国际竞争环境的能力。

  数字烟草建设要按照“统一平台、统一数据库、统一网络"的总体技术要求,建设行业信息化建设的电子商务、电子政务和管理决策三大应用体系的主体框架,形成覆盖国家局(总公司)、省级局(公司)与工业公司、工商基层企业三个应用层面的信息化建设局面,行业信息化综合指标达到国内先进水平,具体建设目标如下:

  要在一年内进一步完善行业信息化基础建设,建成布局合理,先进实用的行业信息网络体系和安全管理体系,确保互联互通;加强行业信息化标准体系建设。

  要在两年内将电子政务运行体系基本建成,在行业“统一领导、垂直管理、专卖专营”的管理体制中发挥有效作用.?

  要在两年内将管理决策体系进一步完善,不断提高行业管理水平和宏观调控、科学决策水平,提高行业整体实力。

  要在两年内将信息资源开发和利用机制基本建成,加强信息增值服务,实现全行业资源共享。

  要在三年内将电子商务体系建成,确保电子商务运营模式全面开展,促进行业由传统的生产经营模式向现代流通的转变.?

  要把信息技术在行业各个方面的应用全面推进,提高科技、产品质量、烟叶、进出口集团、烟机集团等管理水平。

  根据建设目标,明确的建设任务内容包括:

  5.1电子政务体系建设

  专卖管理是烟草行业电子政务建设的重要内容.通过数字化专卖管理,促进依法行政、规范执法,实现对行业生产经营活动的全程管理、全程监督、全程控制,建立公平、公开、公正的烟草市场准入、退出及监管机制,加强对案件管理的监督和评查,同时逐步建立起烟草行业诚信等级管理体系,营造良好的市场环境。通过改进审批方式,开展网上审批,促进政务规范公开,增强透明度和公正性,提高管理水平、办公效率和服务质量.通过实行行业办公自动化,加强公文管理、网上办公、信息发布等工作,实现公文传输无纸化、办文流转程序化、业务查询自动化、档案存储电子化、远程办公网络化、督办检查制度化。

  5.2电子商务体系建设

  行业电子商务应用体系可以概括为:两级平台,一个中心。两级平台,即:工商交易电子商务平台和商业与零售户交易的电子商务平台,实现支付型电子商务与现代物流相结合;一个中心,即:行业统一的工商协同中心,实现行业协同供应链管理与企业内部资源计划相结合。

  工商交易电子商务平台要建成一个标准统一、高效运行的大平台,全面支持卷烟、烟叶、物资、烟机及零备件等的网上购销活动。要在网上交易的基础上实行网上资金结算,实现工商支付型电子商务,加强对企业资金收支情况的实时监控,规范资金结算行为,确保企业资金安全运行,发挥资金的整体效益,降低财务费用。要将电子商务与现代物流有机结合,在行业物流总体规划布局下,运用打码技术,实现对工商交易物流信息和资源的实时跟踪、有效控制、全程管理。

  商业与零售户交易电子商务平台建设以省为单位实行统一,逐步实现省集中模式。按照“电话订货、网上配货、电子结算、现代物流”的运营模式,在零售户卷烟订单采集、网上配货、资金结算等方面要进一步电子化、集约化;在整合和优化卷烟分销网络资源的基础上,实现商流、物流、资金流的统一,建立起一个流程优化、管理科学的“一库式"配送物流系统,使流通运行实现低成本、高效率,支持统一、开放、竞争、有序的全国卷烟市场体系的形成。

  行业统一的工商信息协同中心是确保两级电子商务平台信息交互、协同运作的枢纽,是行业电子商务体系的重要组成部分,对行业整个供应链一体化运作起着至关重要的作用。打通行业信息流,统筹生产、批发、零售各个环节的协同关系,实现完整的商流、资金流和物流在整个供应链内的有序流动,形成商业企业按订单组织货源,工业企业按订单组织生产的协同供应链管理模式.行业工商信息协同要按照授权访问,各取所需,实行双向互动的原则,确保灵敏地反应市场、准确地调控市场的高效、协调、完整的运行方式,提高行业市场化水平。

  5.3管理决策体系建设

  建设“一个门户”,统一行业信息资源,建立全面准确量化的管理体系,实现管理从定性向定量、由静态向动态、由事后向实时的转变,建立健全宏观调控和科学决策支撑体系,具体管理决策体系建设包括四个方面内容:

  推进卷烟生产经营管理决策系统建设.?

  推进集中财务管理体系建设。

  推进全面预算管理体系建设。

  推进绩效考核管理体系建设。

  5.4数字企业建设

  工商企业是行业生产经营主体,建设数字企业是打造数字烟草的基础和关键。

  商业企业要全面落实行业网建工作整体推进、全面提升的要求,始终坚持“三个满意”,提高效率和服务水平,推进网建工作。通过整合采购信息、库存信息、业务运营信息等资源,规范和优化企业内部流程,使分销资源面向市场,保证物流、商流、资金流能够按优化的流程和规则快速流动,实现降低经营风险,提高客户服务水平,提高零售户的满意度,降低资源配置成本的目标.工业企业实行业务流程再造,走新型工业化道路为目标,大力推进数字企业建设,带动、促进企业提高核心竞争力,用信息化支持中式卷烟核心技术的突破.同时要积极运用信息化带动技术进步,实现产品数字化、生产智能化;要积极运用信息化整合内部资源,实现管理现代化;要积极运用信息化开展外部供应链管理,实现市场网络化。随着行业体制改革的不断深化,要大力运用信息化提升跨地区业务运作大企业的管理整合能力,发展集团化企业运作模式,建立资产、品牌、采购、销售等统一的信息化管理体系。

  第二章、项目特点

  XX公司公司通过行业知识库加强了和烟草行业用户的联系,向全国各个省推广,公司内部全部的解决方案通过知识库管理起来,同时解放方案中心也作为公司的形象对外展示。总体来说XX公司建设行业知识库的收获主要包括如下三个方面:

  1XX公司自身

  首先,建设的行业信息化知识库在XX公司公司内部全面推广,不仅是烟草行业,XX公司所专注的其他政府、电力、公安、电信、铁路、国防、教育等多个行业的知识、构件、模型、解决方案等也通过行业知识库管理起来,提高了知识的使用和共享效率,目前知识库的理念已经深入人心。同时,解决方案中心作为用户的体验和操作中心,扩大了行业拓展的市场。

  其次,行业信息化知识库有着很高的附加价值,通过行业知识库的建设,XX公司以业务

  模型作为增值服务的突破口,实行数字化业务模型,管理资产有形化,带来了很大的附加价值。从2006年初至今,XX公司在电子政务领域收益不断扩大,带动和储备了大量的能量,形成了XX公司独特软件产品、知识产品、过程产品、人才产品体系。目前,发改委项目可研及初设XX公司承担了很大的比例。行业知识库中占不到30%的业务模型,让XX公司收益非浅。

  2行业用户

  XX公司打造的烟草专卖行业解决方案,基于“全员流程化”的业务检验和推动,实现管理可视、流程可控、绩效可考;四维协同营销打造“营销作业舱”计划、执行、预测、监控、考核一体化多岗位集成工作平台,构造烟草行业业务协同流程监控管理,异构分散环境下的应用集成、数据集成的利器。XX公司烟草解决方案包括订单管理系统、业务管理系统、配送管理系统、仓储管理系统、结算中心系统、营销作业舱、品牌管理系统、专卖信息管理、企业中控室、综合业务查询、卷烟订货服务平台系统、BI商业智能等,涵盖了营销、专卖、物流、管理等各个方面的业务应用。知识库专项产品让用户自己使用的业务建模工具进行建模,形成企业模型文化,让用户深刻体会到行业知识库带来的巨大便利.?

  降低企业管理体系上线的风险

  通过对现有及未来“业务模型”的仿真、校验、设计和研讨,使管理体系最终上线,全面落实“全员流程化"的指导方针,做到心里有数、胸有成竹。

  减少信息系统建设上线风险

  通过“业务模型"建设有效地降低了软件和业务之间两层皮的问题,将信息系统模型建设建立在“业务模型”建设的基础上;通过培训平台解决信息系统与业务人员之间两层皮的问题,业务人员通过培训平台了解自身业务和信息系统操作流程。

  面向经营业绩提升

  显性化管理资产发挥了开源节流的作用,通过对企业“业务模型"的建设,优化了物流、营销等多个管理流程.提高了工作效率,减轻了员工的工作强度,提升了对客户服务的效率、质量、水平,利润率增长幅度高于销售额的增长幅度。

  未来规划

  将全员流程化融入到信息化建设中,开展企业业务建模方法与模型建设规范的研究及交流。

  此外,XX公司的烟草专卖行业信息化知识库已经做到了和用户同步,用户根据自己的需要不断的更新扩充自己的知识,XX公司和用户共同将现有的烟草行业应用知识经验和最新研

  究成果填充到知识库中,提供最新的知识应用服务,形成了“XX公司模式".目前已经在两个省会城市部署并全员参与,并在全国网建会上成功亮相,得到了国家烟草专卖局的认可.3第三方咨询公司(中小企业)XX公司烟草专卖行业知识库的建设也吸引了广大咨询公司的注意,有大量的咨询公司跟进来。第三方的咨询公司通过知识库了解用户及相关业务,如专卖内部控制系统,通过知识库了解行业内部节点监控,内控点的分布、布置、检查等,进一步提高咨询公司的咨询能力。目前为止在其他第三方公司开发的“智能终端系统”、“银行电子扣划系统”、“内部监管系统"、“PDA营销终端系统”、“物流最优化系统”等项目中发挥了积极作用。

  XX公司将自身的产业定位也提升到咨询规划服务,2005—2007年针对行业内中小企业形成了本地化服务商联盟,目前已经发展和建立了两个地市4家本地化服务商,分别服务于应用软件和系统集成服务.在专业服务提供商集成方面,XX公司基于烟草行业信息化知识库形成了针对性IT规划,构建整体应用解决方案,已经构成了6家基于XX公司平台的专业服务提供商。带动中小企业的发展,在行业影响不断扩大.第三章、总体方案

  3.1XX公司烟草行业信息化整体解决方案

  XX公司烟草行业信息化整体解决方案是一套贴合现代烟草领先管理理念,充分提取实际业务精华的,建立在统一应用集成和交换平台架构的整体解决方案。该方案充分贯彻国家烟草专卖局《数字烟草发展纲要》精神,有效满足烟草行业当前发展需求,充分体现了大集中管理和“按订单供货”的业务要求。

  解决方案涵盖了决策支持、业务支持、市场支持、伙伴支持、管理支持、电子政务等六大方面。

  图1烟草解决方案架构

  解决方案技术架构实现基于J2EE体系,完全符合SOA服务框架,具有高可配置性、定制性、伸缩性的特点,先进的多层构架体系可以充分适应不同客户的独特的业务需求,充分保护客户的投资。

  3.2XX公司烟草行业信息化战略规划

  烟草流通行业应用体系经过近几年的快速发展,已经日趋稳定和成熟,核心分销、仓储、专卖部分业务模型已经形成一套较为标准的业务模式,与之相关的信息系统也随之趋于稳定;根据烟草数字发展纲要,下阶段主要工作目标将集中于信息应用提升和提升行业供应链整体信息化应用水平,据此XX公司烟草流通行业应用体系建设将主要以提升和完善现有应用体系,发展行业软知识体系,探索和拓展新的商业模型方面为重点,让信息化在烟草流通行业应用深度和广度进一步提升.?

  提升和完善应用体系

  应用体系建设方面,按照行业规划和总体要求,主要提升包括三方面应用,第一,完善按订单组织货源;第二、建立流通行业数据仓库和决策支持系统;第三、行业内管应用探索和推广。

  构建行业知识库体系及增值服务

  在回顾和总结烟草行业应用的成果和经验的基础上,XX公司公司利用掌握的行业背景知识,对行业信息化知识进行全面的收集、整理、分类,在此基础上为企业自身提供规划服务支持,提供战略性发展思路,提供系统集成、应用开发、培训、运维等全方位实施服务;为参与本行业信息化建设的协作企业提供具体应用需求、规范、标准等行业知三识,共同开展行业信息化领域的应用服务.?

  构建并推进商业模型行业应用

  综合XX公司对烟草行业的深刻理解和其它信息化领先行业的实践经验,在分析目前烟草行业商业模式与国家局总体建设目标差距的基础上,研究新的烟草行业商业模型,积极开展业务和应用实践,为行业发展、信息化深入应用做出贡献.引出课题目标,走高端咨询的道路。

  第四章、分建设内容

  行业信息化整体解决方案,是指对行业核心应用软件起支撑作用的行业信息化经验积累的集合,核心内容包括面向行业信息化的行业知识分类体系、行业标准规范、行业业务模型、数据模型、应用软件构件、行业解决方案、技术与平台规范、行业解决方案演示中心等,各龙头企业按照相关规范,构建各自行业应用知识库及行业应用服务中心,并将已有的行业应用知识经验和最新研究成果填充到知识库中,最终提供行业信息化的整体应用服务,利用行业

  11知识库进行行业信息化建设咨询、应用解决方案的设计、推演、模块外包、实施、维护、培训等行业知识的高端服务。

  XX公司集团公司建设烟草行业知识库在全国具有首创性,对提高XX公司计算机集团公司核心竞争力具有多个方面的重大战略意义.第一,促使XX公司公司作为行业龙头软件企业向高端咨询和服务商成功转型

  第二,引导中小企业向专业化、协作化服务转型。

  第三,加强行业用户与软件企业的战略合作。

  第四,拓展行业应用市场,提高高端应用领域与国外对手的竞争能力,扩大市场份额.第五,优化行业结构,提升北京软件行业发展速度。

  1烟草行业信息化知识体系构建

  烟草行业信息化知识体系是烟草信息化建设所需内容按其内在联系构成的科学有机整体。XX公司根据多年从事烟草行业信息化建设的经验积累,结合烟草行业用户需求以及专家团队的指导意见,参照《行业信息化知识库系统建设规范指南》将烟草行业信息化知识分成烟草法律法规、烟草标准规范、业务模型、数据模型、应用软件构件、行业信息化分析报告、行业信息化解决方案、行业信息化全景图八类。以业务模型主导烟草行业信息化知识库内容建设,进行知识的整理、归纳、编目及展现并应用本体技术实现知识关联和共享。

  图2以业务模型为核心的行业信息化知识分类

  1.1烟草业务模型

  烟草业务模型是烟草行业信息化知识的核心,描述企业组织的组织架构、业务功能、业务流程、业务信息等方面的业务内容。业务模型按照国家标准《GB/T19487—2004电子政务业务流程设计方法通用规范》分为分工组成结构树、业务协作流程图、职责执行流程图、业务信息化关系图。

  1.2烟草法律法规

  烟草法律法规是烟草行业企业需要遵守的法律规范及部令规章制度等.XX公司根据多年从事烟草行业信息化建设的经验积累,结合烟草行业用户需求通过专家团队的指导,将烟草行业法律法规分类分成烟草专卖管理、行政综合管理、市场管理、运输管理、烟草制品、烟叶管理、烟机辅料、行政处罚、地方烟草法规、信息化规章制度和烟草相关法规等11个字分

  12类。经过内部收集、下载、购买等方式共收集到烟草法律法规134项。

  法律法规的元数据结构分为法律法规名称、发布日期、摘要、法律法规负责方、法律法规格式、构件语种、版本、使用范围、使用限制、安全限制分级、类目编码、资源类型、资源标识符、主题词、原文地址、法规内容.使用该元数据结构对法律法规方面的知识进行著录、审核、发布、维护。实现对烟草法律法规的分类管理和维护。法律法规的元数据描述和原文展现形式见下图,行业信息化知识库系统提供法律法规的元数据检索、原文查阅、下载等功能,同时根据著录时定义的标引项,用户可以方便的检索到与该条知识相关的各类知识。

  1.3烟草标准规范

  烟草行业标准通过广泛调研并与向中国烟草标准化研究中心进行相关咨询,依据烟草行业标准体系将烟草行业标准分成综合基础标准、烟草标准材料、加工工艺标准、劳动定员定额标准、工程建设标准、烟草计量规程、烟叶生产标准、烟草机械标准和信息管理标准等九个子分类。

  烟草行业标准的核心元数据结构分别为行业标准名称、发布日期、摘要、行业标准负责方、行业标准格式、构件语种、行业标准版本、使用范围、使用限制、安全限制分级、类目编码、资源类型、资源标识符、主题词、原文地址、标准内容。使用该元数据对烟草行业标准方面的知识进行著录、审核、更新、发布.烟草行业标准的元数据描述和展现形式见下图,可以对烟草标准进行查阅、下载,同时根据著录时定义的标引项可以检索到与该条知识相关的各类知识。

  1.4数据模型

  烟草数据模型依据烟草行业各信息化业务系统的数据结构设计分成订货、分类、关系、临时、外网、业务、营销、其他等八个子分类。

  烟草数据模型的元数据结构描述分为数据库表名称、发布日期、所属分类、摘要、负责方、格式名称、安全限制分级、来源说明、资源类型、资源标识符、类目编码、主题词等、原文地址等。利用该结构对数据模型进行著录、审核、更新、发布。数据模型的展现形式见下图,可以对数据模型进行查阅、下载,同时根据著录时定义的标引项和主题词可以检索到与该条知识相关的各类知识。

  1.5应用软件构件

  应用软件构件按照《行业信息化知识库系统建设规范指南》分成通用构件和领域构件。

  13其中,领域构件依据烟草专卖行业特点又分成订单供货、品牌培育、绩效考核、客户拜访、关怀服务、信息采集、营销计划、供货政策八个子类.构件的元数据结构分为构件名称、构件接口名称、构件发布日期、构件摘要、构件负责方、构件版本格式、主题词、使用范围、输入参数、输出参数、构件使用限制、构件安全限制分级、构件语种、版本、构件分类、构件来源说明、在线构件执行地址、资源类型、资源标识符、主题词。利用该模板对应用软件构件进行著录、审核、更新、发布。其中Web服务类型的构件可根据著录时提供的在线执行地址(服务地址)对构件的描述文件(WSDL文件)进行解析,展示构件提供的服务、接口及接口参数,输入符合条件的参数后可以动态调用执行构件,展示执行返回结果。

  图7烟草领域构件分类

  1.6烟草行业信息化分析报告

  烟草行业信息化分析报告包括IT应用市场发展环境分析报告、IT应用现状分析报告、应用系统建设状况分析报告、市场竞争分析报告、市场发展影响因素与趋势分析报告、市场发展预测分析报告。

  烟草行业信息化分析报告的元数据结构分为分析报告名称、发布日期、分析报告摘要、分析报告负责方、分析报告格式、分析报告版本、使用范围、使用限制、安全限制分级、语种、类目编码、资源类型、资源标识符、分析报告内容、主题词、原文地址。利用该模板对烟草分析报告进行著录、审核、更新、发布。烟草行业信息化分析报告的展现形式见下图,可以对分析报告进行查阅、下载,同时检索到与该条记录相关的信息。

  1.7烟草行业信息化解决方案

  烟草行业信息化解决方案按照烟草行业用户一般性需要可分为十三个部分,包括需求分析方案、总体设计方案、基础环境设计方案、数据中心/数据仓库设计方案、支撑平台设计方案、应用系统设计方案、系统集成方案、信息安全方案、项目管理方案、质量保障措施、测试方案、培训方案、技术支持和售后服务方案等。

  烟草行业信息化解决方案的元数据结构分为解决方案名称、发布日期、解决方案摘要、解决方案负责方、解决方案格式、解决方案版本、使用范围、使用限制、安全限制分级、语种、类目编码、资源类型、资源标识符、解决方案内容、主题词、原文地址。利用该模板对烟草解决方案进行著录、审核、更新、发布。烟草行业信息化解决方案的展现形式见下图,14可以对解决方案进行查阅、下载,同时检索到与该条记录相关的信息。

  1.8烟草行业信息化全景图

  烟草行业信息化全景图根据其包含的内容可分为行业信息化进程全景图、行业信息化内容全景图、行业信息化组织全景图和行业信息化资源全景图.烟草行业信息化全景图的元数据结构分为全景图名称、发布日期、全景图摘要、全景图负责方、全景图格式、全景图版本、使用范围、使用限制、安全限制分级、语种、类目编码、资源类型、资源标识符、全景图内容、主题词、原文地址.利用该模板对烟草行业信息化全景图进行著录、审核、更新、发布.烟草行业信息化全景图的展现形式见下图,可以对全景图进行查阅、下载,同时检索到与该条记录相关的信息。

  2知识库系统研发

  烟草行业信息化知识库按照行业信息化知识库系统建设规范指南架构,结合自身的业务逻辑和规范构造如下:

  用户层

  行业解决方案中心

  应用服务中心

  行业应用系统

  行业信息化知识库系统、培训系统

  应用支撑层

  行业解决方案

  模型管理与本体展示

  行业知识目录

  标准规范体系共享服务接入与集成

  信息表示、数据访问、目录服务、流程控制、消息服务、数据交换、事务处理

  知识管理层

  标准规范库、法律法规库、业务模型库、数据模型库、应用软件构件库、行业信息化解决方案库、行业信息化分析报告库、行业信息化全景图库

  SOA服务集成层

  全文检索服务、知识编目服务、数据集成服务、服务关联、服务参照、本体关联、OWL解析服务

  基础设施层

  网络、服务器、客户机、操作系统

  安全服务体系

  图31烟草行业信息化知识库研发架构图

  152.1SOA开发支撑平台

  开发支撑平台按照SOA的架构,完成烟草行业构件的开发和服务整合;

  开发平台采用EclipseEDI使用Java开发语言;

  开发框架支持JSF、Spring和Hibernate;

  知识库构件的开发采用J2EEServiceLocator模式完成,并通过WebService封装工具完成WSDL的构件描述。

  2.2信息资源目录系统

  信息资源目录系统是行业信息化知识库系统的组成核心,用于采集、存储、使用和管理行业信息化知识目录内容。

  烟草行业知识目录系统由分类维护、元数据著录与编目、元数据审核、发布管理、检索查询等模块构成,通过标准化体系来保障系统的开放性和标准性.最终实现对信息资源数据的导航、检索、定位、交换,达到联建联查、共建共享的目的.

  著录编目

  审核发布

  检索查询

  分类导航

  更新维护

  烟草行业信息化知识目录

  控

  制

  管

  理

  维

  护

  体

  系

  唯一标识符管理

  元数据标引

  元数据参照

  元数据展示

  元数据定义

  元数据维护

  资源定位管理

  元数据著录

  分类标准维护

  资源管理服务

  工作流程

  配置管理

  字典维护

  缓存管理

  数据转换

  事务管理

  数据访问

  日志管理

  权限管理

  检索引擎

  应用支撑服务

  J2EE规范

  WebService技术支撑

  技术支撑体系

  管理制度

  标准规范体系

  非技术支撑

  元数据审核

  安

  全

  保

  障

  体

  系

  图33目录系统技术支撑体系

  2.3本体展现开发支撑平台

  开发支撑平台按照Protégé构建的烟草行业本体,采用EclipseEDI和JenaAPI完成烟草行业本体展现的开发。

  知识的关联

  161、利用业务建模工具梳理的业务模型,提取烟草行业的标准规范、法律法规、行业信息化全景图、行业信息化分析报告、行业信息化解决方案、数据模型、构件等信息的相关知识形成行业信息化知识库中本体的术语集;2、根据提取的烟草行业术语集提取本体概念、实例及关系;

  3、利用本体构建工具Protégé建立实例之间的关系,构建烟草行业本体;4、构建的本体将业务模型和行业信息化知识关联起来,为知识的检索和推理提供了依据。

  5、本体的目标是捕获相关的领域知识,提供对该领域知识的共同理解,确定该领域内共同认可的词汇,并从不同层次的形式化模式上给出这些词汇和词汇之间相互关系的明确定义。把本体当作是研究领域内部不同主体之间进行交流的一种语义基础,是对领域内的知识的一种共同的认识,即由本体提供一种明确定义的共识。这种共识的目标主要是为计算机处理领域知识服务。

  主要功能

  1、行业术语、本体概念、本体关系及本体实例的定义

  行业术语是对行业对象的抽象描述,本体概念是根据本体的构建规则,将语义相近的术语聚在一起,形成本体概念,概念的属性形成本体的实例。

  2、本体展现是通过Jena对本体文件的解析将protégé构建的本体通过web方式将知识的关联展现出来,因此实现了为计算机处理领域知识服务的最初目的。

  3行业解决方案中心建设

  XX公司烟草行业信息化解决方案是一套贴合现代烟草领先管理理念,充分提取实际业务精华,建立在统一应用集成和交换平台架构的基础之上的整体解决方案,充分贯彻“数字烟草发展纲要”精神,有效满足烟草行业当前发展需求,充分体现了大集中管理和“按订单供货”的业务要求。为了让用户切身体验XX公司的烟草行业解决方案,XX公司公司精心构建了烟草解决方案中心,专门供用户体验操作,了解烟草专卖解决方案。同时XX公司解决方案中心也是“创新中心",在该中心可以对业务模型进行描述、演练和业务创新;创新业务模型仿真和推演将导致新业务模型的完善,是XX公司烟草行业信息化知识库建设的一大亮点。

  解决方案中心具备模型可展示、系统可操作、业务可创新三大特点:

  模型可展示:达到展示业务模型、仿真业务系统、解释业务流程的目的.

  1?

  系统可操作:烟草行业业务系统可以实际操作,并通过操作了解和确认整个业务系统的实际情况和解决方案。

  业务可创新:可以演练和创新业务模式,共同探讨新业务的流程合理性、可操作性问题

  图35烟草行业知识库解决方案中心架构

  烟草行业解决方案中心的建设采用JSH框架开发(见图35),在建设过程中注重3D的虚拟仿真技术及RIA的视频技术的应用.3.1解决方案中心架构

  系统分为“电访系统”、“烟草信息管理系统"和“知识库知识目录系统”三大部分;

  BI使用独立数据库和服务器与烟草信息管理系统结合支撑烟草业务;知识库和烟草信息管理系统使用相同数据库服务器和应用服务器;

  电访系统是一个具有数字交换和座席功能的“呼叫中心系统”与烟草信息管理系统使用相同数据库服务器;?

  以上三大系统在三维模型驱动下承担“解决方案中心”的演示.3.23D虚拟仿真技术

  3D虚拟仿真技术(VirtualReality),又称灵境技术。九十年代初逐渐为各界所关注,在商业领域得到了进一步的发展。这种技术的特点在于,计算机产生一种人为虚拟的环境,这种虚拟的环境是通过计算机图形构成的三维数字模型,编制到计算机中去产生逼真的“虚拟环境”,从而使得用户在视觉上产生一种沉浸于虚拟环境的感觉,这就是虚拟仿真技术的浸没感或临场参与感.虚拟仿真与通常CAD系统所产生的模型以及传统的三维动画不一样,它不是一个静态的世界,而是一个开放、互动的环境,虚拟现实环境可以通过控制与监视装置影响或被使用者影响。

  用户可以使用一个鼠标、游戏杆或其它跟踪器,随意“行走"在方案规划中的各个场景,任意进入其中的建筑,甚至可以“乘座"电梯,感受大厅的装饰和其透过明媚阳光的窗户.

  图36烟草营销中心3D虚拟仿真技术效果图

  另外,虚拟仿真不仅仅是一个演示媒体,而且还是一个设计工具。它以视觉形式反映了设计者的思想,在盖一座现代化的大厦之前,首先要做的事是对这座大厦的结构、外形做细致的构思,为了使之定量化,还需设计许多图纸,而虚拟仿真可以把这种构思变成看得见的虚

  1拟物体和环境,使以往只能借助传统沙盘的设计模式提升到数字化的即看即所得的完美境界,大大提高了设计和规划的质量与效率.

  正是由于虚拟仿真技术的上述特性,它在许多领域的应用,可以大大提高项目规划设计的质量,降低成本与风险,加快项目实施进度,加强各相关部门对于项目的认知、了解和管理,从而为用户带来巨大的经济效益。

  3.3RIA技术

  RIA技术是RichInternetApplications的缩写,是将桌面应用程序的交互的用户体验与传统的Web应用的部署灵活性结合起来的网络应用程序。传统网络程序的开发是基于页面的、服务器端数据传递的模式,把网络程序的表示层建立于HTML页面之上,而HTML是适合于文本的,传统的基于页面的系统已经渐渐不能满足网络浏览者的更高的、全方位的体验要求了。

  图37富因特网应用程序的发展阶段图

  而RIA技术是集桌面应用程序的交互用户体验界面与Web应用程序的部署灵活以及互动多媒体通信的实时快捷于一体的新一代网络应用程序。其中的丰富客户端技术提供了可承载已编译客户端应用程序的运行环境,客户端应用程序使用异步客户/服务器架构连接现有的后端应用服务器,这是一种安全、可升级、具有良好适应性的面向服务模型,这种模型由采用的Web服务所驱动。结合了声音、视频和实时对话的综合通信技术使RIA具有前所未有的用户体验.图38RIA的应用程序模型

  RIA技术的特点如下:

  RIA应用程序展现给用户的界面是像安装在本地桌面系统上的GUI程序界面,它有很多的复杂界面交互元素如树、菜单、网格等,用户的友好性和交互性大大增强。

  WebTop客户端支持flash的浏览器,解析表示层服务器发来的Flash内容.Flash客户端目前在98%的浏览器上运行,主流操作系统的浏览器都支持Flash插件,甚至还可以在一些性能良好的网络终端设备如:PDA、智能手机、机顶盒等上使用。

  RIA技术是面向交互的,交互密集的应用意味着虽然用户向网络后台发送的请求的次数很多,但是所需要的数据量却相对较少。基于RIA技术所赋予的强大客户端处理能力,可以缓存大量的客户端数据,提供了一定程度的离线操作功能。这样,在提高了用户交互效率的同时,还能较大程度的降低服务器的负载。

  1?

  由于客户端与服务器端主要采取XML数据

  和

  WebServices两种方式交互,在这两种方式下,客户端和服务器端仅仅传递必要的数据信息,这与传统HTML网页的交互数据和显示信息混在一起传输的方式相比,基于RIA技术大大降低了数据通讯量,降低了对网络带宽的要求,下面是两类技术的数据流量状况对比:

  图39两类技术的数据流量状况对比图

  从数据中可以看出基于RIA技术的WebTop应用对于多次请求的处理情况能够有更平均更稳定的性能表现,而传统的HTML应用在业务复杂度提高时表现出极大的限制。

  快速的开发和部署:基于RIA技术的WebTop平台提供了一套API,利用这些API可以快速开发基于WebTop的网络应用。并且通过配置文件就可以将这些应用部署到WebTop平台中,是非常灵活的开发方式。

  高度的个性化可配置性:传统的基于Web的应用只能在显示风格上略作配置。然而WebTop平台可以最大限度的给予用户个性化的定制空间,用户不仅可以定义显示风格、还可以定义平台上应用的种类、个数、大小。

  行业知识库选择RIA的另外5大优势:

  1.

  RIA技术可以使用现有的应用程序模型,构建更为直观、易于使用、反应更迅速并且可以脱机使用的应用程序。

  2.

  有利于提供多元化的重要业务效益,包括产品提高销量、提高品牌忠诚度、延长网站逗留时间、较频繁的重复访问、减少带宽成本、减少支持求助以及增强客户关系等。

  3.

  在线更密切的接触、引导和聆听顾客,以改善服务、加深顾客关系、突出公司形象或引导产品开发。

  4.

  充分利用声音、图像、文本和图形来创造引人入胜的界面,简化注册、配置或采购等过程,吸引逗留时间和访问次数,达到简化通信、增加销量目的,创造一个值得多次访问的独特在线体验。

  图40烟草行业知识库解决方案中心界面演示

  5.

  将信息以清楚、创新、直觉和有效的方式向职员、管理层和伙伴表达,提高生产率、信息共享、决策和竞争优势。

  3.4XX公司烟草专卖行业解决方案

  XX公司烟草行业解决方案涵盖了营销、专卖、物流、管理等各个方面的业务应用包括:?卷烟销售系统

  2?

  订单管理系统

  业务管理系统

  配送管理系统

  仓储管理系统

  结算中心管理系统

  ?烟草营销作业舱

  营销作业舱

  品牌管理

  专卖信息管理

  企业中控室

  综合业务查询

  ?卷烟批发订货服务平台

  ?BI商业智能系统

  图41XX公司烟草专卖行业解决方案

  演示画面基于RIA(WPF/E、RCP、RIA等IDE开发),通过虚拟现实对烟草业务系统进行模型、仿真和操作,达到了解系统功能和业务逻辑、推演创新业务模型的目的。场景、部门、人物等基本3D基本视图制作与提炼,并基于营销作业舱系统完成仿真订单供货,仿真烟草商业销售全过程.解决方案展现按照菜单导航进行。通过视频、语音、模型、实际系统操作全面了解烟草系统全貌,通过知识库的支撑,有效认识和理解烟草解决方案。视频导视即对业务模型的视频效果展示。目的是将业务模型演播出来,达到身临其境的效果,帮助用户体会业务模式的实际场景加深对业务模型的理解。

  图42XX公司解决方案中心实际展示环境-控制台

  第五章、行业核心业务系统产品化

  XX公司在烟草行业整体解决方案的基础上,对核心业务系统实施产品化过程,走产品化的道路。

  1.烟草营销作业舱

  图43烟草营销作业舱功能图

  营销作业舱是贯彻国家局“按订单组织货源”的产品,客户经理、市场经理、品牌部、营销

  21中心四个工作室的协同营销平台,实现订单供货、帮扶关怀、品牌培育、信息采集、拜访服务、营销计划、货源供应、绩效考核八大功能,是一套将营销工作精细化管理与订单供货业务流程统一的综合信息管理系统,将需求预测、营销计划、执行履历、过程控制、绩效考核有机融入到营销活动的日常作业、协同和管理的各个环节,强有力推动、规范营销团队成员的工作,做到了“工作有目标、执行有依据、过程可监督、绩效可考核、政策可落实、方针能贯彻”.

  2.3订单供货

  引入隔月多维预测;工商二次协商与订单供货集成,预留准备期,提高预测精度;模型预测与手工采集作业有机结合;预测量调整偏差自动控制;实现订单供货流程全程可视、可考、可控制。经营指导意见书多级分解,实现手工采集自动模型筛选和二次预测多级可控偏差上报。

  2.4帮扶关怀

  弱势群体客户核定全生命周期管理;实现帮扶计划、执行、跟踪、反馈一体化;关怀、帮扶方案实现真正的货源帮扶和控制;系统自动监控需要关怀的客户,关联方案制定;帮扶与日常拜访有效集成,帮扶计划、过程执行和监控环环相扣。弱势群体的帮扶执行过程和执行记录全部保留。真正的为弱势客户进行有效的帮扶管理。

  2.5品牌培育

  品牌培育范围模型筛选,品牌培育有的放矢;品牌培育执行过程与拜访计划相结合,提高组织工作效率,加强执行层执行力;品牌投放和客户拜访有效联动,量化客户经理品牌宣传实效,品牌培育与呼叫系统的统一,立体加强宣传力度。组织多种科学有效的方法进行品牌的宣传和投放,使新品或者主导品牌能够更好更稳固的迈向市场。

  2.6信息采集

  社会库存采集计划方案制定、审批、执行、跟踪全程管理;采集执行过程与拜访计划相结合,为客户经理日常工作的有效安排和管理提供支持;采集计划支持部分、全量、比例等多种模式,满足各种规模、级别的信息采集任务要求。掌握市场的库存,了解市场中存在的畅销和滞销品牌,对不同的商品进行不同的控制。

  2.7拜访服务

  拜访计划、服务不再孤立。接收来自各业务的任务,由客户经理统筹安排;图形化拜访计划安排功能,为客户经理提供直观的工作计划图解;多种预置工作任务,即为管理层工作的统一

  22部署、落实提供保障,又为客户经理发挥主观能动提供支持。拜访计划完成以后,可以根据反馈信息来进行对人员任务完成情况的了解.2.8营销计划

  支持营销计划四级分解;计划执行层回报核定,体现订单供货思想;执行过程监控,客户经理即时掌握执行情况.对于自己的预测品牌的预测准确率能够有比较准确的了解和掌握.有利于各个阶层的人对自己的预测和实际销售的偏差的控制.2.9货源供应

  可按客户分类进行货源分配管理;按品牌定点货源分配管理;按核定重点户货源分配管理;执行货源投放管理;客户访销周期初始化管理。货源投放过程中结合库存、客户每日核定量、已投放量、自动计算优化可投放货源,同时预测销售天数,全面提升货源投放控制能力;多种货源分配模型,为滞销、畅销、平销烟提供丰富的投放模型;为品牌培育提供品牌定点投放,提升品牌宣传力。科学有效的进行商品分配,针对不同类型的用户进行不同的投放方式方法来最大限度满足客户的需求。

  2.10绩效考核

  自定义考核体系,根据考核要求随需定制;可定制的考核指标,满足不同考核体系;计划执行过程动态监控,考核对象随时掌握自身实时绩效。

  营销作业舱帮助客户经理从手工统计录入、手工计算、报表查询、数据核对、沟通协调等底层的事务性的工作中解放出来,将有限的精力从大量的基础性工作移至对客户的销售分析和市场预测上,工作效率和工作质量显著提高。比如,未上作业舱之前,分析品牌频次异常和订量异常,需要长达一个小时,上BI系统之后,仅仅需要五分钟左右。

  2.订单管理子系统

  订单管理系统是实现进销存一体化中“销”环节的重要组成部分。订单管理系统实现了科学、高效的商品销售(滚动访销),及时反馈客户意见(客户留言管理),包含了对员工(座席员)的考核(动态绩效)和管理(工作报告管理),完成了从烟草公司到经营户的商品销售。订单管理系统主要完成以下目标:

  2.1滚动访销

  针对普通经营户,通过数字化CTI访销系统,采用滚动访销的方式,使用电话沟通的23方式,对普通经营户及重点经营户进行滚动访销,记录经营户需求并生成经营户正式订单,实现了商品的销售。滚动访销为与经营户的沟通和协调提供了一个交互平台,提高了和经营户沟通的效率,节省了销售成本。

  2.2临时订单管理

  针对部分商品需求量较大的经营户采用销售终端订货的方式。经营户将预生成临时订货单下载到销售终端POS机上进行确认,如果与实际需求不一致,可联系营销中心进行调整和修改;确认无误后,经营销中心审核生成正式订单,经营户完成订货。

  2.3电子扣划

  针对部分经营户存在订货量较多、交易金额较大,现金结算存在不便性和安全隐患的情况,联合银行,实现了对部分经营户依据客户订单进行电子扣划的功能,提高了商品结算的便利性,有效降低了可能存在的安全隐患。

  2.4动态绩效

  在滚动访销过程中,通过记录座席员访销客户的开始和结束时间,计算得出访销用时,并综合订单信息(商品数量、商品金额、毛利等)的方式,实现了对座席员绩效的实时计算和考核。

  2.5客户留言和互动留言

  在滚动访销中和经营户进行电话沟通的过程中,可及时的查看其它业务部门反馈的信息,并有效地记录经营户的意见和建议、及时的反馈到相关业务部门,提高了服务质量,促进了经营户互动性的提高。

  2.6访销任务管理

  实现对当前的访销任务进行实时监控,提供查看访销户数、未访户数、购烟户数、未购烟客户等信息的功能,方便了对访销进度调节和把访销有效的控制在一个时间段。

  在访销任务结束后,提交当天订单物流中心进行备货,业务流程转入配送,保证了业务的正常流转进行。

  2.7工作报告管理

  工作报告记录了座席员当日的工作情况,为总结不足和成功经验、提高工作效率提供依据。定时的填写自己的工作经验和心得体会,有助于工作经验的积累和丰富,定时的周

  24报、日报、月报体现了自己的工作成果和工作内容,同时方便了领导对各个工作岗位的了解和管理。

  2.8电访安排管理

  物流中心设置完成送货日程后,营销中心根据送货日期,设置访销任务分组,生成对应的访销日程,为滚动访销提供了数据依据。

  2.9营销人员设置

  根据客户区域、类别、星级的差异性,安排相应的工作人员(客户经理、座席员)与经营户进行沟通和协调,提高了服务质量。通过设置座席员的分组和设置访销时间段,实现了对与座席员对应的经营户群体访销时间和顺序的设置,保证了对不同的经营户群体提供有效、优质的服务,满足了不同的经营户群体的服务需求.3.品牌管理系统

  图44品牌管理系统商品生命周期管理

  品牌管理体系的建立更好的规范和提高了烟草公司的品牌管理水平,通过品牌管理体系可以科学客观地评价一个品牌一个商品的发展状态,以此确定相应的调整措施或判断其所处的生命周期阶段。能清晰地发现商品的发展规律,更好的主动策划整个烟草公司的品牌计划。从IT系统的角度来支撑该品牌管理体系,主要完成以下目标:

  实现品牌评估自动指标的获取,汇总手工收集指标,提供品牌评估分析。

  首先把部分市场表现指标以及工商协同指标能够根据现在的业务或者系统中的数据进行整理得出指标得分.这些得分是品牌进行评估基础数据,然后辅助部分手工收集计算的指标,进行科学有效的组合,形成不同阶段的评估体系。只有实现自动采集汇总后评估体系才有可能有效、正确的建立。汇总后的评估指标可以提供长期分析,提供决策依据.?

  实现商品生命周期管理。

  提供商品生命周期管理,获取商品从最初的引进评估到最后退出的各个生命周期阶段状态,使业务人员可以很清楚方便地监控商品的发展过程,根据业务需要调整对商品的策略,如调整商品投放或决定退出该商品.系统监控所有的决策,并提供反馈信息,形成良性互动模式.

  品牌管理系统为用户提供的是一套科学的评估指标集合,根据商品的差异进行不同的指标的组合来进行评估,通过评估,可以对于商品的市场潜力等方面进行比较准确的预测,在

  25新商品引进时可以作为用户标尺来衡量新商品,在商品退出时可以作为帮手来评价出商品的剩余潜力是否足够.作为客户的一个多面的预测,评估系统。为用户带来了比较科学方便的评估商品的生命周期的工具和平台。

  第六章、实施过程及项目管理

  《烟草专卖行业知识库建设与示范工程》是XX公司计算机集团有限公司承担的北京市科学技术委员会委托建设的项目,XX公司领导将该项目列为公司重大项目,从领导到员工均给予高度重视。以项目管理为核心,应用先进高效的管理体系,严格控制项目的计划、执行、跟踪、监控各个环节。做事的每一步都要多思考、多问一个为什么,注重项目实施过程中的经验总结。

  XX公司公司项目管理理念

  工作七步骤

  《烟草专卖行业知识库建设与示范工程》是两年期限的项目,根据项目的阶段考核指标分成两个阶段的工作.在2006年度主要完成行业知识库系统研发,XX公司依据烟草行业特点,为了获得用户最真实的需求,使行业信息化知识库的建设切实做到从用户出发、方便用户。2006年2月将烟草知识库项目与烟草结合,知识库项目的开发工作移至烟草现场进行.拟定了《烟草知识库项目2006年工作计划》,落实了开发内容、资源、责任、日程。同时,以行业知识收集编目,本体、专利、论文研究和参加行业信息化知识库研讨会为主的团队留守北京,协助知识库的建设.在此期间,烟草知识库项目组与协作单位北京科技大学共同确定了,以本体论为指导、以SOA为开发架构、以信息资源目录为知识管理平台的烟草行业信息化知识库的技术路线.2006年7月初《烟草专卖行业信息化知识库建设示范工程》任务书正式下达。2006年8月在现场召开了“XX公司烟草专卖局全员流程化实施方案发布会”,之后成立了烟草全员流程化企业业务模型建设小组,烟草专卖局全局动员实施全员业务梳理。正式吹响了知识库建设的号角。同时开发团队实施HD—BMW建模工具完善性开发、SOA架构开发、构件封装、知识目录系统的开发工作。

  北京团队配合团队展开行业标准规范、法律法规、行业信息化解决方案、行业信息化全景图、行业信息化分析报告的收集和整理工作,并与北科大积极沟通,从理论、技术和内容上得到支撑。在2006年度已建设成烟草专卖行业信息化知识目录系统,收集梳理烟草相关

  26标准规范、法律法规、业务模型、软件构件等八大类行业知识并统一著录管理;开发出“HD-BMW业务建模工具”、“SOA应用开发支撑平台”以及烟草营销管理系统-“营销作业舱”等新产品;完成了行业领域构件、通用构件的封装开发及技术体系、知识体系、服务体系文档、行业知识库设计方案、研究报告等的建设并顺利通过行业知识库中期检查工作。

  2007年度将工作的重点转向解决方案中心、应用服务中心及行业知识库的应用推广。不仅制定了项目整体计划,还针对解决方案中心建设及应用推广等制定了专门的解决方案中心建设计划、市场拓展计划等。

  表1解决方案中心建设工作组划分

  工作组

  分小组

  主要工作内容

  准备知识库成果宣传海报、展板

  准备8大知识演示资料

  收集视频材料

  资料准备组

  资料准备

  收集PPT演示资料

  收集照片资料

  收集系统操作手册

  资料汇总

  系统拓扑设计

  服务器设备购买

  设备购买

  终端设备:PDA、手机、触摸屏、条码扫描卡、微型打印机等购买

  设备部署/调试

  系统维护组

  数据库部署和数据导入

  系统安装

  烟草电访CTI系统部署

  知识库系统部署

  烟草信息管理系统(B/S)部署

  服务维护

  演示讲解、维护

  典型业务需求(视频、模型等)

  需求分析

  终端移动设备需求设计

  编写典型业务演示脚本

  演示程序开发

  系统设计组

  设计开发

  终端设备开发(烟草新模式)

  海报、加工制作

  演示视频制作

  应用服务知识库门户设计

  演示内容著录

  任务描述

  海报展板等资料、素材收集为在加工准备

  八大知识文档

  相关内外景、部门、人物、工作环境等视频资料

  全部烟草演示资料PPT全部烟草相关照片

  全部操作手册

  全部资料按分类汇总整理

  演示系统拓扑、实际系统拓扑设计

  报价购买

  报价购买

  OS、网络、应用服务器等设备安装部署和调试

  Oracle数据库安装、数据导入

  CS电访安装调试

  知识库系统安装调试

  烟草信息管理系统安装调试

  负责解决方案中心的演示、培训、讲解及日常维护

  营销、专卖、仓储、管理模式梳理。

  新烟草模式开发

  按照需求编写脚本

  开发

  开发

  制作

  制作

  制作

  演示数据著录

  2在烟草知识库项目执行过程中,公司严格控制项目实施的各个阶段,实行公司决策层、项目管理部、项目经理多级分工监控管理,严格监控该项目各个阶段的进展情况并进行定期检查、督促项目进展情况,发现偏离项目计划之处,督促项目组采取措施来做出合适的调整,实现项目的目标。

  项目监控是为了保证项目按预定的计划基准进行的一系列的项目监控管理的工作,包括根据项目计划,检查和监督项目的各个环节工作,判断工作结果和项目计划、项目目标是否存在偏差。如果存在着偏差,则分析发生偏差的原因以及产生的偏差对项目的影响。并在此基础上,制定并在后期执行偏差纠正或弥补措施,以确保能够按项目计划顺利进行和项目目标的实现。该项目的具体控制措施如下:

  对工作计划的监控

  要求对于工作计划的制定要进行科学细致的任务分解,制定详细的实施方案,并要求能够显示项目各阶段、各任务、各工作包的时间进度、人员分配情况,确定主要里程碑、阶段成果以及阶段评审点(要求明确体现安排评审的时间计划)。

  此外,还要求严格限定项目范围,严格清晰界定项目边界,以吸取之前总也做不完的失败项目的教训。同时,要滚动计划,由于项目的个体性的特点,项目进度计划不可能是一个静态的计划,也有可能一开始无法将后期各阶段的计划都制定的很详细,允许项目经理先制定一个颗粒度相对比较粗的计划,先确定项目高层活动和预期里程碑、大节点,但第一阶段的项目计划须是为细化明确的。粗颗粒度的项目计划需要不断地更新迭代,根据项目的进展情况按阶段进行迭代和调整。经过不断的计划制订、调整、修订等工作,计划从最初的粗粒度,变得非常详细.这样的计划将一直延续到项目结束,延续到项目的成果出现.?

  项目组例会及定期汇报会

  项目组每周召开例会讨论项目执行中遇到的各种问题,并定期向项目管理部进行定期汇报。

  项目周报

  项目组成员向项目经理提供每周工作周报,项目经理向项目管理部、公司决策层提交项目周报.?

  质量保障计划

  项目组制定单独的质量保证计划,包括培训计划、配置管理、测试管理和介质控制。

  培训:由项目经理安排进行业务和编码规范培训;

  2配置管理:采用VSS服务器,存放文档模板、源程序以及受控文档;测试管理:采用TestDirector测试管理软件进行管理;

  介质控制:配置管理人员负责管理VSS服务器,其中VSS与缺陷库每周进行一次文件和数据库备份工作,并将备份文件保存在管理人员本机上。在项目执行期间,项目产生的所有阶段性提交物需由配置管理专员进行管理。配置管理专员负责配置管理计划制定与执行督导,相关版本控制、状态报告以及相关审计等工作.?

  项目变更控制

  若项目执行过程中出现与项目计划的偏差或不可以预计情况需要变更,项目经理需按规定编写《项目计划变更申请》,说明计划变更的原因、变更产生的直接影响、变更对项目预算的影响、变更对项目总体计划执行的影响、变更是否得到用户认可、后期补救措施和变更后的项目计划.第七章、技术培训

  针对本项工程,在系统交付前将在中国提供免费培训,并提供培训所需场地、教学设备、仪器以及所有的培训资料,并派出具有足够教学经验和实践经验的专业工程师进行授课和指导。

  1.培训对象

  项目相关的管理人员、操作人员和维护人员.2.培训目标

  经过培训使用户能了解系统的主要构成及工作原理,掌握系统的基本操作和使用方法,熟练使用和操作工程的相关系统,进行常见故障的简单日常维护和排除,并能做简单的编程和程序修改,具有一定的设备维护能力、分析故障的基本技能。

  3.培训计划

  在系统调试期间或甲方认为合适的时间/人数决定对有关人员进行培训。

  2第八章、维护服务

  1.售后服务

  无偿提供远程的电话指导技术支持;系统软件的终身免费维护、免费升级,并提供质量保证期满后详细的售后服务方案和质量保证期满后的收费标准;随时记录并解答用户提出的技术和操作问题;建立质量回访制度,定期派人检查检修各系统设备。

  2.保质期

  项目承建单位,对本项目所建设的所有系统、设备、软件等提供为期一年保修,在质保期内发现质量等问题,将予以免费更换或返修.保修期满后继续提供有偿技术支持及备品备件支持.

  30

篇七:烟草网络安全和信息化

  

  烟草企业网络安全管理对策思考

  摘要:信息时代,网络信息技术对各行各业的发展模式带来了巨大变革,同时也加大了市场竞争形势。在此背景下,烟草企业需要引进信息化手段,提高自身的管理水平和服务效率,才能适应新时期社会发展的新需求,促进自身竞争实力的提升。但是在烟草企业网络建设过程中,往往会受到病毒侵害、网络攻击、技术漏洞、物理安全等问题的干扰,致使网络安全受到极大威胁。基于此,需要加大网络安全建设力度,强化网络安全管理力度,创建优质可靠的网络运行环境。本文主要对烟草企业网络安全管理中的问题以及应对策略进行探究,旨在将进一步提高烟草企业网络安全管理水平,强化企业网络安全性与可靠性,确保烟草企业网络安全有序运行。

  关键词:烟草企业

  网络安全

  管理对策

  信息时代,信息化建设是烟草企业未来发展的重要方向。但是在网络运行过程中,容易受到病毒侵害、黑客威胁等,严重干扰整体网络系统的安全性与可靠性,甚至引起烟草企业信息泄露、丢失、被篡改等问题,非常不利于烟草企业的安全发展。因此,需要对烟草企业网络安全管理中存在的问题进行全面分析,并提出可行性的安全管理对策,减少病毒、木马的侵害,促进烟草企业网络安全管理效率的全面提升。

  一、烟草企业网络安全问题

  (1)安全意识不足,部分员工认识不到网络安全防护工作的重要性,对网络安全知识技能不熟悉,认为网络安全管理是技术部门的职责,与自己无关,导致日常安全防护意识不足,往往会出现外借账号、发布风险信息、操作不当等问题,严重危害烟草企业的网络安全性。此外,对移动储存介质随意使用,会加大病毒侵袭风险,难以正常运行网络系统,危害企业正常运行[1]。(2)物理安全问题,中心机房设计不合理,缺乏安全防护机制,导致服务器、路由器等设备受到损坏,引起严重的链路故障问题;(3)技术问题,系统安全防护技术不足,容易出现系统安全漏洞问题,(4)安全管控机制不足,烟草企业在运行中难以对无线网络进行统一管理和控制,对无线接入安全防护工作不重视,容易加大恶意接入的风险,对网络系统安全造成极大威胁。(5)病毒威胁,计算机病毒会对计算机的正常运行造成严重威胁,影响其功能的正常发挥,而且传染性、破坏性较强,还具有较强的潜伏性和隐蔽性,是计算机网络安全的重要威胁之一。一旦受到病毒侵害,会造成企业资料、数据泄露、破坏等风险,甚至引起网络系统瘫痪,非常不利于烟草企业的安全可靠性运行。(6)黑客攻击,随着网络信息技术的发展,黑客数量越来越多,他们利用网络攻击手段、工具等,对企业网站、服务器等造成侵袭,非法进入企业网络内部,盗取企业机密资料信息,对企业带来严重的损失。

  二、烟草企业网络安全管理对策

  (一)提高工作人员的安全意识

  网络安全管理人员的专业素养以及安全理念直接关系到整体网络安全管理的效果和水平。因此,需要加大对相关人员的培训力度,提高工作人员的网络安全专业素养,使其充分认识到维护网络安全的重要性,从而对计算机、软件系统等进行规范性操作,定期维护和保养,确保网络系统可靠性运行。同时需要设置专门的网络安全管理岗位,加强网络安全管控效果。同时需要加强网络安全监督,对企业内部发出的信息、账号使用等情况进行全面监督,制定可行性的管理制度,提高工作人员的网络安全意识,一旦出现违规现象,加大惩罚力度,从而减少信息泄露问题[2]。

  (二)设置合理的网络安全区域

  为了保障烟草企业网络运行安全,需要结合实际的功能需求,设置不同的网络安全区域,其中划分标准为网络应用行为、安全防护体系、业务操作规范等。同时结合烟草企业内部的生产、销售、监管等环节的具体要求,构建可行性的网络应用管理制度,从而加强网络安全防护效果,并实现人性化的管控模式,提高网络安全管控成效。其中,管理协同层与生产执行层,可以利用防火墙进行防控控制、地址转换、应用代理、事件审核、告警等安全功能;分拣工控层、办公管

  理网要利用工控安全防火墙对工业控制协议数据包进行有效识别,并对其进行解析、检查和过滤,这样可以避免病毒、木马等对办公管理网的攻击与侵害[3]。

  (三)完善网络安全防护制度

  完善的网络安全防护制度是确保信息安全体系有效实施的重要基础。因此,需要结合新时期烟草企业网络安全管理情况,制定可行性合理性的网络安全防护制度,实现制度创新与优化,促进网络安全管理工作的规范性开展,尤其要加大对日常网络活动的管理力度,确保工作流程的有序开展。要形成完善的网络安全管理组织构架,执行领导责任制,对信息化建设方向进行正确指导,对网络安全各项事务进行合理安排和规划,设置专门的网络安全管理岗位和人员,为网络安全体系的有效执行奠定良好基础[4]。

  (四)完善信息安全体系

  随着网络信息技术在烟草企业中的深度应用,网络安全管理工作受到越来越多的重视和关注,构建完善的网络信息安全体系是烟草企业未来重要的发展任务之一。要严格按照信息安全体系规划原则开展网络活动,其中包含重点保护原则、灵活性原则、责任制原则、实用性原则等;同时需要对信息安全体系的管理范畴进行明确,其中信息安全体系涉及到应用安全、网络安全、主机安全、数据安全、终端安全等;要科学设计信息安全体系规划框架,加强防御能力,展开综合性防范措施,全面提高烟草企业信息安全防护能力的提升[5]。

  (五)完善安全防护技术

  在烟草企业网络运行过程中,其网络安全干扰因素主要为病毒更新换代迅速、病毒防护效果滞后、病毒侵袭手段多样化等。针对这种情况,需要采取多样化的防护技术手段,减少网络安全威胁。要对自身的网络安全威胁进行定期分析,及时发现网络系统的安全隐患、漏洞等问题,并制定完善的入侵监测、系统动态保护等工作;同时还需要完善备份还原模块,并制定可行性的网络应急机制,从而报装对网络系统的常规功能迅速恢复,强化网络安全防控效果;要加强对信息防护企业的交流合作深度,形成病毒防护战略联盟,从而为网络防护效果的提升提供强大的技术支持[6]。

  (六)完善物理安全管控

  要优化中心机房建设,强化设备安全管理,尤其要合理选择建设位置,并加强物理访问控制,做好防雷、防静电工作,并对机房内的温度与湿度等进行合理调控,做好卫生清洁工作,避免灰尘堆积,确保网络物理安全控制效果的提升。

  结语

  综上所述,加强烟草企业的网络安全管理力度,可以保障网络信息系统的安全可靠性运行,减少病毒、木马、黑客的侵害与攻击,保障企业网络安全运行。要注重提高工作人员的安全意识,强化安全防护制度,做好物理安全防护工作,构建完善的信息安全防护体系,推动烟草企业网络安全有序运行。

  参考文献

  [1]张勇,沈磊.烟草企业计算机网络安全的风险识别及应对策略[J].网络安全技术与应用,2021(07):133-135.

  [2]刘际鑫.烟草企业网络安全建设存在的问题及对策探讨[J].中国新通信,2020,22(18):147-148.

  [3]宣越,吕保和.基于贝叶斯网络的烟草企业员工行为安全管理[J].安全与环境工程,2019,26(03):139-144+159.

  [4]韩彦福.许昌卷烟厂网络信息安全管理实践与探究[J].硅谷,2011(03):69-70.

  [5]胡明淮.论加强计算机信息安全与管理制度[C]//.河南省烟草学会2008年学术交流获奖论文集(上).,2008:304-311.

  [6]林郁.烟草企业网络系统安全建设[J].烟草科技,2004(01):13-15.

篇八:烟草网络安全和信息化

  

  烟草?业信息系统技术管理规定(试?)?录第?章

  总则第?章

  技术管理体系第?节

  组织机构第?节

  ?员管理第三章

  安全管理第四章

  硬件设施第?节

  机房第?节

  计算机、?络、通信设备第三节

  设备管理第五章

  软件环境第?节

  系统软件第?节

  应?软件第三节

  软件管理第六章

  数据、资料管理第?节

  系统数据第?节

  业务数据第三节

  技术资料第七章

  技术事故的防范与处理第?章

  附则第?章

  总则第?条

  为加强烟草?业信息系统技术管理,有效利?信息技术资源,根据国家有关信息化管理规定和《全国烟草?业信息化?作暂?管理办法》,制定本规定。第?条

  本规定是烟草?业信息技术管理?作的基本准则,?于指导?业各级信息化?作部门加强信息技术管理,指导信息系统建设,提?系统运?的安全性、可靠性和稳定性,保障?业信息化?作健康发展。第三条

  烟草?业信息系统技术管理?作的原则是:加强?业信息化建设的系列化、标准化、通?化,保障?业信息系统建设的实?性、可靠性、先进性、经济性和完整性。消除信息垃圾和信息孤岛,保证信息的实时、可靠、真实、安全。第?章

  技术管理体系第?节

  组织机构第四条

  烟草?业信息系统技术管理?作实?统?管理,各级信息化?作部门的技术管理?作接受上?级信息化?作部门的指导。第五条

  各级信息化?作部门应有专门科室或指定专?负责技术管理?作。技术管理?作的主要职责是:(?)负责制定信息系统建设的总体规划并组织实施。(?)负责制定信息技术?作的?作计划并组织实施。(三)负责制定信息技术管理?作的规章制度。(四)负责信息系统硬件与软件的选型、配置、维护。(五)保障信息系统安全运?,负责业务数据及其它重要数据的备份管理。(六)负责信息技术?员的培训与考核。(七)负责技术资料的管理、归档。(?)研究、跟踪信息技术的发展动向,提供信息化建设的技术咨询。第?节

  ?员管理

  第六条

  烟草?业信息技术?员应具备?专以上学历,具有必备的计算机理论知识和相应的专业技术?平、良好的职业道德和认真负责的服务意识。第七条

  定期对信息技术?员进?业务培训和技术培训,实?持证上岗制,不合格或未参加培训者不得上岗。第?条

  关键技术岗位应进?严格审查并保持?员相对稳定,离岗时必须严格办理离岗?续,明确其离岗后的保密义务,退还全部技术资料并?即更换信息系统的操作?令。第三章

  安全管理第九条

  信息系统安全管理的主要任务是:加强烟草?业信息系统的安全保护,制定信息系统安全管理制度,?泛开展信息安全教育,定期或不定期进?信息安全检查,保证系统安全运?;制定安全防范设施和安全保障机制,有效降低系统风险和操作风险,采取切实可?的管理制度和办法,严防不法分?利?计算机作案。第?条

  机房安全管理制度(?)建?完整的设备运??志、操作记录及其它与安全有关的资料。(?)机房值班?员不得擅?离岗。(三)定期检查安全保障设备,确保其处于正常?作状态。(四)建?并严格执?机房进出?管理制度,?关?员未经安全责任?批准严禁进?机房。(五)严禁将易燃易爆和强磁物品及与机房?作?关的物品带?机房。第??条

  操作安全管理制度(?)采取严密的安全措施防??关?户进?系统。(?)数据库管理系统和关键?络设备(如路由器、防?墙等)的?令必须由专?掌管,并要求定期更换。按分别管理、共同负责的原则,由不同?员掌管服务器操作系统?令、数据库管理系统?令和?络管理?令。(三)操作?员应有互不相同的?户名,定期更换操作?令。严禁操作?员泄露本?的操作?令。(四)各岗位操作权限要严格按岗位职责设置,并定期检查操作员的权限。(五)重要岗位的登录过程应增加必要的限制措施。(六)对数据备份和审计记录建?定期查验制度。第??条

  ?络安全与信息安全管理制度按《烟草?业计算机信息?络安全保护规定》(国烟办[1998]305号)和《烟草?业计算机信息系统保密管理暂?规定》(国烟保[1999]373号)执?。第?三条

  建?信息发布与审查制度,审查?作由同级保密?作机构或业务?作机构根据有关专门规定负责执?。第?四条

  计算机病毒防范制度(?)指定专?负责计算机病毒防范?作,定期进?病毒检测,发现病毒?即处理并报告。(?)新系统安装前应进?病毒例?检测,禁?运?未经病毒检测的软件。(三)经远程通信传送的程序或数据,必须经过检测确认?病毒后?可使?。(四)采?国家有关部门许可的正版防病毒软件并及时更新软件版本。第四章

  硬件设施第?节

  机房第?五条

  机房建设应符合系统设计要求和国家有关标准。第?六条

  机房应配备不间断电源设备,其容量应保证机房设备在断电情况下,能完成数据保护、设备正常关机等操作,以保证系统安全,重要系统要维持到后备电源供电。第?七条

  机房设置保证机房设备安全运?的接地与防雷系统。第??条

  机房环境

  (?)机房的温度、湿度、洁净度应满?设备运?的使?要求。(?)机房应保证良好的?机?作环境,保障?作?员的安全与健康,便于设备维护。(三)机房必须配备消防设施并配备必要的防潮、防尘、防盗、防磁和防?等设施。第?节

  计算机、?络、通信设备第?九条

  服务器的数据处理能?应能满?业务需求,具有充分的可靠性,硬盘留有余量,具有?定的容错特性,可采?镜像、阵列、双机、群集等容错技术,应有备品备件。第??条

  ?作站应具有良好的性能及可靠性,重要?作站应有冗余备份。第???条

  配备安全可靠的数据备份设备,重要业务数据的存储应采?磁带或光盘进?备份后异地存放。第???条

  各级机构计算机?络的建设须遵循《烟草?业计算机?络建设技术规范(试?)》(国烟办[2000]575号)的要求,确保?业?络的互联互通;?络布线系统设计可参照CECS72:97《建筑与建筑群综合布线系统?程设计规范》;?络结构应合理可靠;?络设备应兼具技术先进性和产品成熟性。第??三条

  全国烟草?业卫星通信?省级B类站的建设须遵循《全国烟草?业卫星通信?端站通信机房和电视会议室技术要求》(国烟信办[1999]43号)的要求;地市级C类站的建设须遵循《全国烟草?业卫星通信?C类站通信机房技术要求》(国烟信办[2000]25号)的要求;卫星通信速率满?正常业务开展的需要,卫星通信系统应有可扩展性;卫星通信设备具有防?扰、防截取能?,具有加密传输功能。第三节

  设备管理第??四条

  设备的选型、购置、维修、报废等必须严格按规定?续办理,并应建?设备运?和维护档案。第??五条

  选?硬件设备应遵循标准化、通?化、系列化的原则,必须经过技术论证,满??业信息?络互联的要求,具备可靠性、安全性与兼容性。新购置的设备应经过测试,测试合格后?可投?使?。第??六条

  定期对硬件设备进?专业维护保养,如有故障,应组织专业?员进?处理。第??七条

  已开通运?的卫星通信端站,未经上级管理部门批准,不得关机,不得进?中断性测试,严禁擅?改变设备参数。第五章

  软件环境第?节

  系统软件第???条

  系统软件主要指操作系统软件和数据库系统软件。第??九条

  系统软件的选?应充分考虑软件的安全性、可靠性、稳定性和健壮性,并报上?级主管部门审核、备案,应使?正版软件。第三?条

  系统软件应具备如下功能:(?)?份验证功能,防??法?户随意进?系统。(?)访问控制功能,防?系统中出现越权访问。(三)故障恢复功能,能够?动或在???预下从故障状态恢复到正常状态,防?造成系统混乱和数据丢失。(四)安全保护功能,对信息的交换、传输、存储提供安全保护。(五)安全审计功能,便于应?系统建?访问?户资源的审计记录。(六)分权制约功能,?持对操作员和管理员的权限分离与相互制约。第三??条

  数据库系统软件应具有第三?条所描述的功能要求,还应具有完整性、?致性及可恢复性保障机制。第?节

  应?软件第三??条

  应?软件指管理信息系统、决策?持系统、电?商务系统、办公?动化系统及其软件应?系统等。第三?三条

  应?软件系统应具有如下特性:

  (?)关键数据不以明码存放。(?)只能通过相应的应?程序界?查看或操作数据库。(三)系统管理与业务操作权限严格分离。(四)防?异常中断后?法进?系统。(五)具有超时键盘锁定功能。(六)业务数据在通信?络上能以加密?式传输。(七)应存储?年以上完整的系统运?记录。(?)提供系统运?状态监控模块。(九)提供数据接?,满?稽查、审计及技术监控的要求。(?)具有其它有助于控制业务操作风险的功能特性。第三?四条

  ?业管理信息系统的开发须遵循《?叶信息系统?程管理信息系统技术规范》和国家局发布的?业信息分类与代码标准的要求。第三节

  软件管理第三?五条

  ?型应?软件在开发或购买之前应报国家局正式?项,成?由技术?员、业务?员和管理?员共同组成的项??组并建?软件质量保证体系。第三?六条

  ?般应?软件开发与购买应符合?业信息化?作的有关管理规定,避免重复开发,并报上?级主管部门备案。根据应?系统对安全的要求,同步进?安全保密设计。第三?七条

  软件开发设计?员与操作?员必须实?岗位分离,开发环境和现场必须与?产环境和现场隔离。软件设计?案、数据结构加密算法、源代码等技术资料严禁流??产现场、散失和外泄。第三??条

  应?软件必须经过功能测试、试运?,确认达到设计要求后,?可正式投?使?。第三?九条

  规定软件的使?范围和使?权限;软件使??员应经过适当的操作培训和安全教育;应建?应?软件?档管理制度、版本管理制度及软件分发制度,防?软件的盗?、误?、流失及越权使?;应采取有效措施,防?对应?软件的?法修改。第六章

  数据、资料管理第?节

  系统数据第四?条

  系统数据主要包括数据字典、权限设置、存贮分配、?络地址、?管参数、硬件配置及其它系统配置参数。第四??条

  制定系统数据管理制度,对系统数据实施严格的安全与保密管理,防?系统数据的?法?成、变更、泄漏、丢失与破坏。第四??条

  设置系统管理员岗位,对系统数据实?专?管理,并定期进?核对。第?节

  业务数据第四?三条

  业务数据主要包括统计、销售、?产、财务、烟叶、专卖等与?业?产、经营、管理有关的数据及其它相关数据。第四?四条

  建?业务数据管理制度,对重要业务数据实施严格的安全保密管理。第四?五条

  设置数据库管理员岗位,对重要业务数据实?专?管理。第四?六条

  数据备份(?)定期制作数据备份,保证系统发?故障时能够迅速恢复。(?)重要业务数据必须定期、完整、真实、准确地存储到不可更改的介质上,并要求集中保存。

  (三)备份的数据必须指定专?负责保管,由信息技术?员按规定的?法同数据保管员进?数据的交接。交接后的备份数据应在指定的数据保管室或指定的场所保管。(四)数据保管员必须对备份数据进?规范的登记管理。(五)备份数据不得更改。(六)备份数据保管地点应有防?、防热、防潮、防尘、防磁、防盗设施。第四?七条

  数据保密(?)数据不得泄露,未经批准,不得外借。(?)数据应仅?于明确规定的?的,未经批准不得它?。(三)保密数据不得以明码形式存储和传输。(四)根据数据的保密规定和?途,确定数据使??员的存取权限、存取?式和审批?续。第三节

  技术资料第四??条

  技术资料是指与信息系统有关的技术?件、图表、程序与数据等。第四?九条

  制定技术资料管理制度,指定专?负责技术资料管理?作。第五?条

  借阅、复制技术资料应办理必要的审批?续;重要技术资料应有副本并异地存放;报废的技术资料应有严格的销毁和监销制度。第七章

  技术事故的防范与处理第五??条

  技术事故是指由于硬件故障、软件故障和操作失误等原因引起系统?法运?,经启动备?系统仍未恢复正常,导致系统中断并造成经济损失的事件。第五??条

  技术事故的防范原则是:预防为主、处理及时,?争把事故的损失降低到最?程度。第五?三条

  建?健全技术事故的防范对策,严格按本规范要求建设、维护信息系统的硬件设施和软件环境,定期进?事故防范演习,针对薄弱环节不断改进完善。第五?四条

  制定技术事故发?时的应急计划(?)应急计划应针对可能发?的故障制定紧急处理程序。(?)紧急处理程序应张贴在规定的地?。(三)对执?应急计划的全体?员进?专项培训,定期进?检查、测试。(四)根据测试结果不断完善应急计划。第五?五条

  发?技术事故后,应?即进?事故调查,提出书?调查报告,必要时可组织有关专家鉴定,确定事故的原因和责任,对调查中发现的技术薄弱环节,应限期整改。第?章

  附则第五?六条

  国家烟草专卖局负责对本规定的解释。第五?七条

  各单位可参照本规定并根据实际情况,制定具体实施细则。第五??条

  本规定?发布之?起施?。备注:最近更新:2021.10.08

篇九:烟草网络安全和信息化

  

  烟草行业信息网络安全管理规定

  第一章

  总

  则

  第一条

  为加强烟草行业信息网络(以下简称信息网络)安全管理,提高安全防护能力,根据国家有关法律法规及行业信息化工作管理的有关要求,制订本规定。

  第二条

  本规定适用于不涉及国家秘密及行业敏感信息的信息网络安全管理。

  本规定所称的信息网络包括行业各单位的局域网、省域网,以及行业骨干网等行业内部使用的计算机网络。

  第三条

  信息网络安全坚持积极防御、综合防护和谁主管谁负责、谁运行谁负责、谁使用谁负责的原则。

  第四条

  行业各单位要定期开展网络安全教育和培训,提高全员信息安全防范意识。

  第二章

  联网准入

  第五条

  行业各级单位的信息网络与其他单位(含行业外单位)联网,要经上级网络主管部门批准。各单位信息网络结构调整需报国家局备案。

  第六条

  行业各单位要对信息网络的互联网接入实行审批和登记制度,严格控制互联网接入数量,所有互联网接口要实行

  —

  1—

  统一安全策略。终端计算机通过互联网或其他网络远程接入信息网络,要使用数字证书方式进行身份认证。

  第七条

  行业各单位对联入信息网络的应用系统、终端计算机实行注册管理。应用系统在上线前要经过安全评估,要符合行业有关信息安全标准和管理规定。联入信息网络的终端计算机要符合行业及本单位的安全要求,不得安装其他上网设备。

  第三章

  网络保护

  第八条

  信息网络采取分区分域安全防护策略。信息网络与互联网和行业外单位网络采取逻辑隔离措施及边界安全防护措施,有效防范违规接入和外联。

  第九条

  信息网络域名和IP地址由国家局统一规划。各单位要对信息网络域名、IP地址和网络端口实行集中管理,关闭不必要的网络端口。

  第十条

  行业各单位要对信息网络采取以下措施:

  1.采取身份鉴别措施,有效防范非授权用户登录服务器、终端、应用系统以及安全保密设备。

  2.采取访问控制措施,有效防范用户对信息的越权访问。

  3.采取安全审计措施,准确记录用户和管理人员的操作行为,有效监控违规操作。

  第十一条

  部署在信息网络上的应用系统要采取访问控制、—

  2—

  数据保护、备份和监控等措施,保障数据安全和应用系统安全运行。

  第十二条

  在信息网络上发布信息,要严格遵守国家有关法律法规及行业有关规定并经主管部门审核和登记后方可发布。

  第四章

  管理监督和责任

  第十三条

  国家局烟草经济信息中心负责国家局、总公司机关信息网络安全工作,管理、监督、检查行业信息网络安全工作;行业各单位信息化部门负责本单位及所属单位的信息网络安全工作。行业各级信息化部门的主要职责是:

  1.制订信息网络安全管理制度,落实信息网络安全责任制,定期对制度执行情况进行检查和监督。

  2.定期进行信息网络安全检查,建立检查记录档案,制订并完善信息网络安全措施。

  3.指定信息化部门内部人员担任网络安全管理员,与网络运行维护单位签订安全责任书。

  4.建立信息网络安全应急工作机制,制订应急预案,明确应急处置流程和应急保障队伍,及时处理和上报信息网络安全事件。

  第十四条

  任何单位和个人不得利用信息网络危害国家安全和行业安全,不得侵犯国家、社会和个人的合法权益,不得从

  —

  3—

  事违法犯罪活动。

  第十五条

  任何单位和个人不得利用信息网络制作、复制、传播国家秘密及行业敏感信息,以及具有反动、色情、暴力倾向的信息。

  第十六条

  任何单位和个人不得进行危害信息网络安全的活动。

  第十七条

  对于违反本规定的单位和个人,视情节轻重给予相应的行政处分;构成犯罪的,移送司法机关处理。

  第六章

  附

  则

  第十八条

  行业各单位要根据本规定,结合实际情况制订本单位信息网络安全管理的具体办法。

  第十九条

  本规定由国家局负责解释。

  第二十条

  本规定自印发之日起施行。1998年6月2日印发的《烟草行业计算机信息网络安全保护规定》(国烟办〔1998〕305号)同时废止。

  —

  4—

篇十:烟草网络安全和信息化

  

  网络安全和信息化工作管理规范

  1范围

  本文件规定了网络安全和信息化工作管理的工作要求、工作范围、工作方法等内容。

  本文件适用于州烟草专卖局(公司)机关各部门、仓储中心、物流中心、各县市局(分公司)开展网络安全和信息化工作的管理与控制;金叶化肥有限责任公司、州金叶运输有限责任公司网络接入必须符合规范有关规定。

  2规范性引用文件

  ●下列文件中的条款通过引用而成为本文件的条款。

  ●凡是标注日期的引用文件,其随后所有的修订版均不适用于本文件,可根据文件评审结果确定是否引用文件的最新版本。

  ●凡是不注日期的引用文件,其最新版本适用于本文件。

  2.1《烟草行业网络安全和信息化工作管理办法》(国烟办综〔2020〕64号)

  2.2关于印发《省烟草商业系统网络安全和信息化工作管理办法》的通知(川烟综〔2020〕30号)

  2.3《省烟草专卖局办公室关于进一步加强行业信息化项目监管工作的通知》(川烟办综〔2020〕20号)

  2.4中国烟草总公司省公司关于印发《烟草商业系统第三方信息化技术服务管理办法(试行)》的通知(川烟综〔2018〕64号)

  3术语与定义

  3.1网络安全和信息化规划(以下简称网信规划):是根据国家、行业和全省信息化发展战略、网络安全要求,统筹全州网信工作的指导大纲,是全州总体规划的组成部分,实行动态调整和优化完整。

  3.2投资类项目:是指信息化基础设施建设、信息安全保障设施建设、应用系统开发及建设、应用支撑系统建设、信息化咨询和监理等投资项目。项目内容包括软件系统的开发、购置,与软件开发配套的硬件的购置以及州局(公司)在用信息系统功能完善(50万元以上,含)、改版扩建等。

  3.3采购类项目:是指信息化硬件设备(信息化办公设备、烟叶收购信息设备)、商业化软件、信息系统运维服务(信息系统接口服务、实施服务、运维服务)、线路设备租赁、在用信息系统功能完善(50万元以下)、信息耗材、信息设备维修等。

  3.4行业推广项目:是指根据行业发展需要,由国家局和省局(公司)统一规划建设实施的项目。主要包括全省行业网信规划、投资计划、采购计划和有关文件明确规定的项目,主要业务应用系统、基础技术平台等开发及建设,骨干网络、视频会议系统等信息化基础资源建设,以及网络和信息安全保障体系等建设。由省局(公司)统一规划建设实施。

  3.5全州统建类项目:是指由州局(公司)统一建设实施的项目,包括全州网信规划、投资计划、采购计划和有关文件中明确规定的项目,主要业务应用系统、基础技术平台等开发及建设,骨干网络、视频会议系统等信息化基础资源建设,以及网络和信息安全保障体系等建设、全州性的信息化咨询服务和监理服务。

  3.6本级自建类项目:是指由各单位、部门自主建设实施的项目。其中包含本级网络基础环境建设、本级网络硬件设施、本级办公类计算机采购、办公耗材采购,本级现有系统应用、运维及自主创新软件、硬件(专用设备)研发等。

  3.信息资源:是指信息系统所记录的政务管理、生产经营过程中所产生、获取、处理、存储、传输和使用的一切文件、资料、图表和数据等可综合利用的信息的总称。

  4风险与机遇识别及评价

  序过程/活动

  号

  风险因素

  可能导致的后果

  风险等级

  风险控制措施

  是否有

  新的机遇

  1业务部门项目需求存在变更频繁。

  项目未达到预定需求。

  2(1)项目需求部门明确项目需求,签订项目需求表。

  (2)严控项目进度,对项目进行分阶段验收和试运行。

  (3)引入信息化专业监理机构,对项目进展进行管控。

  否

  2经办人员业务素质或信息化专业能力不足,对招标参数设置文件各类参数或不合理

  专业知识掌握不项目管理

  全面。

  技术参数存在指单一供应向性

  商

  后期系统建设全由最初参与供应商实施,其余供应商参与度不高

  2引入信息化专业监理,咨询机构,对项目参数设置进行监督,审核。

  否

  324信息系统建设方未公布系统软、硬件接口标准,未提交程序源代码。

  2网络设备及计算机网络黑客等组织利网络安全设备瘫用网络病毒攻击信5管理

  痪,无法息系统。

  正常办公。

  2成立全州信息类专家评审库(含外部专家),由库内专家进行评审、论证。

  (1)公布信息系统软硬件接口标准,打破技术壁垒。

  (2)提前公布信息系统建设需求,给更多的供应商更长的时间熟悉现有系统架构,引入竞争机制。

  (3)签订合同明确系统所有权归甲方,提交程序设计源码。

  (1)开展网络安全演练,提升全员网络安全意识,提高信息化队伍网络安全应急解决技能,切断病毒传播路径。

  (2)引入专业网络安防运维,24小时监控网络运行状态,确保能发现攻击,预警攻击,防范攻击。

  (3)对每个自建系统必须要按照二级等保要求进行测评,整改,达标。

  合同中明文规定知识产权归甲方所有,协助甲方取得软件著作权。

  否

  否

  否

  6知识产权

  建设方未将信息系统全部知识产权转让给公司

  引发知识产权纠纷

  2否

  5职责与接口关系

  信息中心

  ——

  承担全州网信领导小组日常工作,指导协调和监督管理全州网信工作。

  ——

  拟定并组织实施全州网信规划、管理制度、办法;负责网信技术应用和技术规范的顶层设计。

  ——

  负责全州推广项目的综合协调、技术审核、网络安全监管等工作。

  ——

  负责全州统计工作;负责全州信息资源共享和管理工作。

  ——

  负责全州统建信息系统运行维护管理工作;负责烟草容灾中心的建设和管理工作。

  ——

  承担全州统建网信项目建设、管理与运行维护工作,负责开展全州网信软、硬件设备购置与管理工作等。

  归口部门

  ——

  承担全州网信基础设施、基础应用平台、数据中心等技术支撑体系和服务体系的建设与运行管理工作。

  ——

  负责对信息化自建项目进行技术可行性论证,协助相关部门开展信息化项目立项、实施、验收等工作。

  ——

  负责组织开展全州网络安全工作。

  ——

  负责对网络安全和信息化工作进行指导和检查考核。

  州局(公司)归口部门向下服务提供

  下文

  培训

  √

  √

  指导

  √

  监督

  √

  检查/验证

  √

  评价

  √

  考核

  √

  其他

  ○

  州局(公司)相关

  部门间工作接口

  ——接收信息:接收州局(公司)网络安全和信息化工作相关制度、方案和通知。

  机关各部门

  ——提交信息:提交本部门网路安全和信息化工作相关活动资料。

  ——处理过程:负责本部门网络安全和信息化工作开展与过程控制。

  综合科

  县市局(分公司)——接收信息:接收州局(公司)网络安全和信息化工作相关制度、方案和通知。

  接口部门及职责

  ——提交信息:提交本单位网路安全和信息化工作相关活动资料。

  ——处理过程:负责本单位网络安全和信息化工作开展与过程控制。

  ——贯彻落实国家、行业网络安全和信息化工作方针、政策和法律法规。

  ——统一领导、统筹协调全州网信工作,审议全州行业网信发展战略,审议相关规划、计划和规章制度。

  州局(公司)党组——研究全州行业网信重大事项、项目,审议和批准全州行业信息系统灾难恢复计划。

  (网信领导小组)

  ——审议并统筹全州年度网信项目建设需求和半年调整。

  ——审议网信领导小组办公室工作报告。

  ——负责审定网络安全和信息化工作相关资料;

  ——负责审批网络安全和信息化工作评优评奖结果。

  县级领导

  6工作程序

  6.1总则

  6.1.1为加强州烟草专卖局(公司)(简称烟草)网络安全和信息化工作的规范管理,大力推进信息化与烟草产业的深度融合,推动烟草业务数字化、网络化、智能化发展,全面提高信息化“支撑运营、服务发展、驱动创新、创造价值”水平,依据国家法律法规及行业相关规定规范,结合烟草实际情况,制订本管理规范。

  6.1.2加强党对网络安全和信息化工作(以下简称网信工作)集中统一领导,全面落实行业党组(党委)网络安全工作责任制。网络安全与信息化同步规划、同步建设、同步运行。

  6.1.3烟草网信工作遵循统筹规划、创新引领,协同推进、整合共享,安全同步、廉洁高效的原则,实行统筹规划、整体建设、分期实施、分级管理的基本模式,坚持统一架构、统一平台、安全可控的技术要求,以网络安全和信息化支撑服务和驱动引领全州行业高质量发展,实现“智慧凉烟”的战略目标。

  6.1.4按照分级管控方式,本文件所有工作遵循以下原则:

  6.1.4.1信息项目成果管理遵循“保护知识产权、保障技术安全、保守商业秘密、坚持归口管理”的原则。

  6.1.4.2各类生产经营数据管理遵循“谁产生谁负责”,以及“统一管理、分级维护、授权访问、共享使用”的原则。

  6.1.4.3全州信息网络管理遵循“统一规划、统一管理、协同建设、分级负责”的原则。

  6.1.4.4网络和信息安全管理遵循“谁主管谁负责、谁运行谁负责、谁使用谁负责、谁发布谁负责”的原则。

  ——统筹领导本单位网信工作。

  6.1.4.5网络安全等级保护制度遵循“同步规划、同步建设、同步运行”的原则。

  6.1.4.6全州信息系统运行维护管理遵循“统一管理、分级负责、流程规范、安全高效”的原则。

  6.1.4.7信息系统运维管理遵循“谁立项、谁负责、谁运维”的原则。

  6.2管理机构

  6.2.1州烟草专卖局(公司)成立网络安全和信息化领导小组(简称网信领导小组),是全州网络安全和信息化工作的领导决策机构,重大项目(100万元以上(含100万元))按照州局(公司)“三重一大”制度,经党组会(网信领导小组)研究后,提交“三项工作”管理委员会审定。具体职能职责见第5点职责与接口。

  6.2.2全州网信领导小组下设网络安全和信息化工作办公室(简称网信办),由州局(公司)信息中心履行全州网信办职能。承担网信领导小组的日常工作,归口管理、指导协调和检查监督全州网信工作,承办网信领导小组交办的其他工作。具体职能职责见第5点职责与接口。

  6.3规划管理

  6.3.1全州网信规划由州局(公司)各单位(部门)结合自身发展先期规划,网信办依据技术发展整合各部门规划,统一制定、动态调整和优化完善形成。网信规划应与行业和企业发展战略相同步、重点工作相融合、解决难点问题相结合、新技术发展趋势相协调。规划包括现状、指导思想、发展目标、主要任务、重点项目、保障措施等内容,明确业务、应用、数据和技术等架构,全面系统指导全州行业网信建设。规划作为项目立项和建设的重要依据。

  6.3.2全州网信规划经网信领导小组审议后,形成审议意见和规划编制说明并上报省局(公司)备案。各单位针对信息化特定领域、特定工作开展的专题规划由本级网信领导小组审议后报州局(公司)备案。

  6.3.3各单位、部门要按照网信规划组织实施工作,严格遵循网信规划要求,结合本单位实际情况,制定本单位网信工作计划,按计划开展项目立项和建设工作。网信规划、工作计划落实情况将作为全州行业网信工作考核评价的重要内容。

  6.4技术管理

  6.4.1全州网信总体架构由州局(公司)信息中心负责设计,遵循行业总体架构要求,细化制定全州应用架构、数据架构、技术架构和安全架构等,定义信息系统的开发、生产和运行环境,与相关部门协调配合确定业务架构。

  6.4.2基于数据存储建设的州级私有云、移动互联、数据分析应用平台等应遵循省局(公司)技术架构,其建设、运营和管理由州局(公司)信息中心负责。全州推广项目须开发、部署、运行在州公司私有云、移动互联和数据分析应用平台上。

  6.4.3全州新建网信项目,必须严格遵守网络安全和信息化相关的国家标准、行业标准规范、企业标准以及重大项目工程标准。对已有的项目,要按照统一标准进行改造和规范。

  6.4.4坚持软件产品正版化,实行软件全生命周期管理和版本管理。结合全州行业网信发展实际和业务应用需求,使用具有自主知识产权的软、硬件产品,推动信创工程信息设备在全州行业的规模化应用。

  6.5项目管理

  6.5.1网络安全和信息化项目(以下简称网信项目)按照项目类型分为投资项目和采购项目。按照建设主体不同分为行业推广项目、全州统建项目和本级自建项目。

  6.5.2网信项目应同步设计网络安全保障方案,未单列网络安全预算的需说明网络安全保障措施。年度网络安全预算占总预算比例不得低于5%(含)。

  6.5.3需求管理。网信项目建设需求一年一收集、半年一调整。业务管理类需求由对口业务部门负责提出,公共架构、技术平台和基础保障类需求由信息中心负责提出。

  6.5.3.1需求收集及统筹。网信工作部门应提前半年负责收集本级及下属单位年度和半年调整网信项目建设需求,经本单位网信领导小组进行统筹后,形成下一年度或半年调整的建设需求目录,并提前预告。

  6.5.3.2网信项目计划、预算管理按照行业相关管理规定执行。州局(公司)信息中心参与审核全州的网信项目投资、采购计划及预算。

  6.5.4立项管理。以州局(公司)业务归口部门或业务板块为划分原则,单一部门或单一业务的网信项目,由州局(公司)业务归口部门负责立项,业务主导建设;跨部门、跨业务及公共基础类的建设网信项目由州局(公司)信息中心负责立项,统一建设。县市局(分公司)自建项目由各单位自行立项,原则上办公类信息化设备由各县市局(分公司)在京东慧采平台上进行采购。网信投资项目不与其他类别投资项目作为一个项目申报,纯研发类项目可采用科技项目的方式进行立项。

  6.5.4.1立项论证。成立全州信息类评标专家库(含外部专家),由信息类专家论证评估项目实施技术可行性,对项目技术参数进行前置性评审。信息中心主要负责对技术性审查,审查报告作为立项审批依据。审4查的主要内容是与信息规划、技术路线、技术架构、技术标准、网络安全、运维管理等要求的一致性和符合性。本级自建网信项目由立项部门报州局(公司)信息中心进行技术性审查和备案。

  6.5.5项目采购。项目采购参照《精益管理采购方案》实施,全州将建立设计造价供应商库,随机抽取参与项目造价工作,并按照《供应商库管理办法》执行,确保招标控制价的来源或依据,控制价设置做到客观、合理。

  6.5.6合同管理。按照《经济合同管理程序》实施。合同中必须明确反贪污(商业)贿赂专用条款,必须明确保护知识产权、保守商业秘密、加强数据安全管理等内容,定制开发的软件版权一律归烟草投资方所有。

  6.5.7项目变更。项目变更按照《工程变更签证管理实施细则》执行,由施工方根据业务部门需求提交变更申请,项目组负责人会同监理共同审签后实施,项目金额和工程量随之调整。网信项目内容变更金额超过原项目10%以上的,由“三项工作”管理委员会研究审批后实施。

  6.5.8过程管理。网信项目执行项目组负责人制,同时引入第三方监理机构对项目进行全过程管理。严格落实项目采购、审计等制度规定和监督要求,加大监管力度,保证项目质量。原则上金额较大或复杂度较高的项目应建立信息工程类监理供应商库,随机抽取。监理库的管理按照《供应商库管理办法》执行。

  6.5.9验收管理。项目经技术测试、等保测评和不少于三个月的试运行后,项目建设单位方可向项目审批单位提出项目验收申请,审批单位立项部门组织业务使用单位(部门)、网信工作部门共同验收,立项部门和业务使用单位(部门)负责业务功能部分验收,网信工作部门负责技术部分验收。原则上200万(含)以上的以及涉及移动互联、数据分析、私有云等技术、建设要求较高的应用开发类项目,需委托具备相应资质和能力的第三方机构进行专业测评;网络安全保护等级二级以上(含)的信息系统要委托具备相应资质和能力的第三方机构进行网络安全等级保护测评。项目验收后须将可共享数据资源成果汇交数据中心,以统筹信息资源的整合、共享与利用。

  6.5.10结算管理。按照项目开展进度进行支付,因存在项目变更,合同金额为暂列金。

  6.5.10.1工程类项目。按项目进度支付,终验结算完成前累计支付的工程进度款不超过合同金额的80%;分三次支付,第一次项目签订合同后支付合同金额的20%,第二次项目进展一半支付合同金额的20%,项目初验完成后,支付合同金额的40%。待项目终验完成后,按合同金额的5%扣留质保金(质保金不计利息)后,一次性支付工程尾款。质保金在质保期满后,一次性无息退还。

  6.5.10.2服务采购类项目。到货终验后(服务期满后)支付合同总金额的95%,剩余5%作为质保金(质保金不计利息)。质保金在质保期满后,一次性无息退还。

  6.5.11成果管理。由网信工作部门对网信项目的成果、合作公司等进行归口管理。各单位要加强对网信项目软、硬件资产的管理,严格按照行业有关规定进行资产登记。所有信息化项目文档除按规定送档案管理部门、立项部门留存外,还要交本单位网信工作部门备案。

  6.6.12涉及国家秘密或国家有专门规定的信息化项目,按照国家或行业有关规定执行。

  6.6信息资源管理

  6.6.1部门级信息资源由业务归口部门负责管理,企业级信息资源由网信工作部门负责管理,行业级信息资源的管理和使用按照行业相关规定执行。

  6.6.2州局(公司)负责全州行业政务信息资源管理,按照行业政务信息资源管理总体规划和要求,依托行业政务信息资源技术支撑体系,根据“共享为常态,不共享为例外”的原则,统一组织开展全州行业政务信息资源目录编制、采集、共享和开放等工作,报上级审批后对外发布。

  6.6.3生产经营信息由州局(公司)制定数据采集标准和规范要求,统一进行信息资源采集、加工、处理等,确保“一数一源、数入一库、数出一门”,避免重复采集与多头采集。

  6.6.4全州推广项目采集的各类生产经营管理数据须纳入数据中心管理,与省局(公司)对接和全州应用,强化信息资源的高效利用,提升大数据分析与决策水平。

  6.6.5由州局(公司)统一管理全州信息资源,对于可以公开共享的信息,经各级信息公开主管部门审批后发布。涉及行业的重要数据和敏感信息,按有关规定执行。州局(公司)网信工作部门负责信息资源管理和运营,为各业务部门的信息采集、整理、分析和发布等提供全面统一的技术支持。

  6.6.6统计数据由各单位、部门按要求依法依规进行数据采集报送和分析,数据提供单位、部门对原始数据质量负责,各级网信工作部门归口管理。

  6.6.7资产管理。执行“以旧换新、据实按需”的信息资产申报、购置程序,推行资产生命周期管理,建立资产生命周期档案,加强资产领用、维修、借调、报废全过程管理,落实“半年一盘点、账卡物一致”的资产清理核查制度。

  6.信息网络管理

  6.7.1全州信息网络包括企业网和互联网。

  6.7.2企业网由州、县、物流中心、烟站(点)多级骨干网、灾备网络和各单位局域网组成,实行联网登记准入制度,未经网信工作部门核准,任何信息系统、设备和终端不得联入企业网。

  6.7.3全州互联网出口由省局(公司)统一管理,互联网接入实行审批制度,未经审批不得私自开通互联网入口。互联网应用由州局(公司)统一管理,实施审批制度。要严格控制互联网使用范围,严格执行互联网访问策略,严格管理互联网上网行为。

  6.7.4信息网络的IP地址、DNS域名遵循行业、州局(公司)统一规划和管理,各单位按规定使用。企业网与互联网和行业外单位网络实行逻辑隔离。各单位对互联网和行业外单位网络接入企业网实行审批制度并在州局(公司)信息中心备案,在企业网以外托管信息系统须报省局备案。

  6.7.5全州信息网络和视频会议系统由州局(公司)负责统一规划和制定标准,省到州由省局(公司)统建,州与所属县市、收购站之间由州局(公司)按照标准建设。

  6.网络和信息安全管理

  6.8.1按照《中华人民共和国网络安全法》履行网络运营者责任,各级网信工作部门应按照岗位需要配齐相关人员,与网信建设、管理、应用相关的内设部门须设专兼职网络安全员,建立和完善网络安全保障体系,保障网络安全经费。

  6.8.2各单位要完善网络安全管理制度,对网信项目建设实行全过程安全审查机制。按照行业要求每年组织开展网络安全检查和自查;第三方要搭建涉及含有烟草有关信息的测试系统、平台、APP等,以及组织网络安全演练,涉及第三方需要侵入式测试、扫描等作业的,必须取得州局(公司)网信办书面授权。

  6.8.3实行网络安全等级保护制度,所有新建和在用的网信项目须确定安全保护等级,并进行设计开发和建设实施,完成等级保护备案并通过等级保护测评。州局统建项目由州局(公司)统一确定安全保护等级并报省局(公司)审核,本级自建项目由各单位网信部门确定安全保护等级并报州局(公司)备案、报省局审核。

  6.8.4处理国家秘密信息及行业敏感信息的涉密计算机、打印机、复印机和涉密信息系统应与企业网和互联网实行物理隔离,严格按照国家、行业有关保密和密码管理规定进行管理。要加强信息内容安全管理,上网信息严格执行审查制度。要推进信息网络安全产品的国产化。

  6.8.5建立健全数据安全管理制度,明确数据分类分级原则,数据确权、流转和共享规则,数据安全管理和保护要求。制订数据资产清单,加强全州数据安全管控,严格依法收集和使用公民个人信息。

  6.8.6外包服务机构开发的专用软件以及系统收集和产生的数据、行业数据等相关信息的知识产权属于州局(公司),外包服务机构不能擅自读取、存储和使用。要与外包服务机构签订合同时同步签订信息安全保密协议,明确信息安全保密责任。

  6.8.7健全网络安全信息通报和预警工作机制,预防风险隐患。完善网络和信息系统应急预案,开展应急演练和攻防演习,提升应急处置能力,切实保障网络和信息系统安全。

  6.运行维护管理

  6.9.1加强信息系统运维工作的集中统一管理,提高运维项目集成整合力度。行业统一推广的按行业要求进行管理,全州统建系统由州局(公司)立项部门管理,本级自建系统由本级网信工作部门归口管理。对全州推广项目进行调整时,须报州局(公司)审核批准后方可实施。网信工作部门负责技术维护管理,业务部门和个人负责日常使用管理。

  6.9.2加强全州统一运维平台建设和应用,涉及省局(公司)统建及有关的运维严格执行《烟草信息化运维管理办法》,提升运维的技术支撑能力,做到运维流程规范化、运维过程痕迹化,实现信息资产可知、运行状态可视、服务流程可管、运维操作可控。

  6.9.3明确运维管理岗位职责,建立健全一岗双人工作机制,系统管理员、数据库管理员等涉及信息安全的运维关键岗位人员须由具有相应职业资格或中级职称以上的行业正式人员担任。运维管理人员须严格遵守保密规定和权限管理要求,统一管理运维相关账号及权限,按照规范流程开展运维工作。

  6.9.4规范开展运维外包服务采购,选择符合资质要求的运维服务机构,明确外包服务机构责任义务,同意管理运维权限,开展服务质量评价,加强运维安全管理。运维外包服务采购及运维费用标准按照《烟草行业信息系统建设相关管理和费用计算办法》及相关办法执行。行业统一推广系统、全州统建系统的优化调整按照项目需求管理相关要求执行。

  6.9.5建立健全备份恢复管理机制,提升信息系统故障及灾难风险抵御能力。要按照国家有关设计、建设标准规范开展配套机房建设,建立健全相应管理制度,加强机房运行管理,保障信息系统稳定运行。

  6.1培训、考核和奖惩管理

  6.10.1开展网信知识培训。在职人员年度接受网络安全培训时间不得少于4个学时,网络安全专业技术岗位人员开展专业技能培训时间不得少于8个学时。

  6.10.2州局(公司)每年对各单位的网信工作进行考核评估,考核评估采用自查和综合评定的方式,考核评估结果报州局(公司)网信工作领导小组。

  6.10.3加强人才培养。畅通专业技术人才成长通道,推行专业技术资格持证上岗制度,建立专业技术或职称津贴激励机制,加大网信人才职称评聘力度和聘任比例,对在网信工作中做出突出贡献的单位和个人给予表彰和奖励。

  7相关文件

  7.1《精益采购管理制度》

  7.2《经济合同管理程序》

  7.3《供应商库管理办法》

  7.4《科技项目管理实施细则》

  7.5《烟草行业信息系统建设相关管理和费用计算办法》

  7.6《烟草商业系统投资项目管理办法》

  7.7《省烟草商业系统网络安全和信息化工作管理办法》

  8相关记录

  序号

  记录名称

  编号

  形式

  保存地点

  保存期限

  9附录

  9.1《网信项目-业务归口部门一览表》

推荐访问:烟草网络安全和信息化 网络安全 烟草 信息化

版权所有:心圆文档网 2014-2024 未经授权禁止复制或建立镜像[心圆文档网]所有资源完全免费共享

Powered by 心圆文档网 © All Rights Reserved.。备案号:豫ICP备14024556号-1