启明星辰烟草行业“三全”检查评估系统解决方案

　　近年来，国家烟草专卖局根据行业信息安全建设实际情况和需要，一方面通过发布信息安全相关行业标准规范为行业单位信息安全建设提供指导和统一要求，另一方面通过每年度一次全面信息安全检查和专项信息安全检查，面向全行业“以查促建、以查促管、以查促改、以查促防” 推动行业整体信息安全建设水平的提高。

　　在“两化”融合的行业发展需求下，现代工业控制系统的技术进步主要表现在两大方面：信息化与工业化的深度融合，为了提高烟草行业生产高效运行、生产管理效率，行业大力推进信息系统的集成化，集中化管理，工控网络与办公网、互联网的互联互通成为重要前提。

　　近几年行业总局根据行业特点陆续制订发布了《烟草行业等级保护基本要求》、《烟草行业移动应用安全规范》、《烟草行业网络安全基线管理技术规范》、《烟草行业网络与信息安全检查自查指南》、《烟草工业企业生产网与管理网网络互联安全规范》和《烟草行业工业控制系统网络安全基线技术规范》，为行业的信息安全规划、建设提供了依据与标准。

　　行业需求

　　安全配置核查需求

　　烟草行业通过对安全事件的分析，发现安全事件主要由3个方面引起，安全漏洞方面、安全配置方面，以及异常事件等方面。安全配置通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP通信等方面内容，反映了系统自身的安全脆弱性。由安全配置的不足可能带来非常多的安全隐患，因此对安全配置进行有效的检查和加固成为整体安全体系建设中的重要一环。

　　同时根据国家烟草局制定的《烟草行业信息安全基线管理技术规范》作为烟草行业各单位信息安全保障体系建设和管理工作的基线要求。

　　工业控制系统安全需求

　　烟草行业工业控制系统由于长期缺乏安全需求的推动，现有的工业自动化控制系统在设计、研发、部署、运维中没有充分考虑安全问题，一旦被无意或恶意利用就会造成各种信息安全事件。整体工业控制系统安全趋势不容乐观，行业工控安全建设迫在眉睫。

　　烟草行业工业控制系统安全需求：

　　1、车间内安全域划分及安全域访问控制需求；

　　2、车间内未知资产、未知IP发现需求；

　　3、上位机安全防护需求；

　　4、工控设备、工控协议安全漏洞发现需求；

　　5、无线通信安全防护需求；

　　6、统一监控管理需求；

　　7、安全配置检查需求；

　　8、第三方运维安全审计需求；

　　系统概述

　　烟草行业“三全”检查评估系统是按照烟草行业信息安全基线管理技术规范的要求，实现具有烟草行业特点的三全业务梳理、诊断等功能，具备安全运维、巡检、检查的自动化实现。

　　系统在研究烟草行业的基线安全需求后，制定了针对行业信息系统中的网络设备、操作系统和数据库的安全配置核查和功能测试规范，包括各品牌路由器、通用操作系统、AIX主机系统、Windows主机系统，通用数据库、Oracle数据库等设备、系统的安全配置规范和安全功能测试规范。

　　系统策略库的研究内容主要包括账号、口令、授权、日志、IP地址以及其它方面的内容。这些内容涉及可能会影响设备或系统安全性的方面，比如口令的复杂性，生存期、历史口令、口令修改、口令存放等方面的内容。规范中的配置核查部分明确了设备的基本配置安全要求，为在设备入网测试、工程验收和设备运行维护环节明确相关安全要求提供指南。

　　“三全”检查评估系统架构图

　　功能介绍

　　三全工作可视化：按照行业总局三全要求对业务系统进行核查，并生成报表。如下图所示，从系统必要达标率以及参考达标率进行数据统计。并且按照“三全”要求显示出安全技术、安全管理的详细指标统计。

　　自定义填报： 按照自身业务系统的特点进行自定义的填报年、月报表。

　　[键入文档副标题]

　　[标题 1]

　　对于“插入”选项卡上的库，在设计时都充分考虑了其中的项与文档整体外观的协调性。 您可以使用这些库来插入表格、页眉、页脚、列表、封面以及其他文档构建基块。 您创建的图片、图表或关系图也将与当前的文档外观协调一致。

　　[标题 2]

　　在“开始”选项卡上，通过从快速样式库中为所选文本选择一种外观，您可以方便地更改文档中所选文本的格式。 您还可以使用“开始”选项卡上的其他控件来直接设置文本格式。大多数控件都允许您选择是使用当前主题外观，还是使用某种直接指定的格式。

　　[标题 3]

　　对于“插入”选项卡上的库，在设计时都充分考虑了其中的项与文档整体外观的协调性。 您可以使用这些库来插入表格、页眉、页脚、列表、封面以及其他文档构建基块。 您创建的图片、图表或关系图也将与当前的文档外观协调一致。

　　三全工作自动检查：可实现三全工作的定期执行

　　KPI考核：上下级单位的级联，可实现上级单位对下级单位的达标率的查看、分析以及考核。

　　部署模式

　　系统常见的部署方式依据客户的组织架构的不同主要有单级部署和级联部署两种方式。而单级部署的结构上又可依据客户的网络的分布情况主要分为单点部署和分布式部署两种方式。以下就分别对单级部署和级联部署分别介绍。

　　单级部署：单级部署系统的组网模式比较简单，可以将其旁路部署在既有网络中。管理员通过WEB页面登录系统下达核查任务，检查任务既可以远程执行也可以本地执行。

　　多级部署：总部（如省级单位）部署一套系统，根据各个地市的实际情况同样也部署一套系统。实现对地市、省级单位的二级级联。而各下属各分支机构为了实现对各自信息系统的安全配置管理、“三全”工作统计，分别部署了各自的安全配置核查系统。总部与分支机构的安全管理平台进行通信，实现总部对分支机构系统的查看和管理，如年度“三全”完成指标情况，横向地市与地市之间的“三全”指标完成度的对比情况。

　　方案优势

　　- 提高安全掌控

　　- 提高工作效率

　　- 降低管理成本

　　责任编辑：广汉