双控项目

行业背景

　　国家局新一届党组高度重视数据安全，去年某局长多次召开党组会议和专题会议研究行业数据安全工作，明确提出要加强行业数据管理，重点解决好行业外存储数据的安全问题。

　　烟草行业信息安全保障体系是行业信息化健康发展的基础和保障，是行业各级数据中心的重要组成部分。为推进行业信息安全保障体系建设，提高信息安全管理水平和保障能力，烟草总局结合本单位实际情况认真落实《烟草行 业信息安全保障体系建设指南》的各项要求，构建“组织机制、规章制度、技术架构”三位一体的信息安全保障体系，做到信息安全工作与信息化建设同步规划、同步建设、协调发展。

　　为进一步加强烟草行业数据安全管理，对部署在某系统实施控制运维操作、控制数据流出等网络安全管控措施。

建设目标

　　针对以上三个不可控因素，我们提出了在第三方机房部署相应的监控设备和网络、数据安全审计设备。实施操作权限控制和操作行为留痕，实现“控制运维操作和控制数据流出”的“双控”管理方案。

　　在浪潮云计算中心（济南）的新商盟卷烟订货系统和零售终端管理系统，部署运维安全审计设备，实现对对运维人员账号和权限进行管理，对运维人员操作行为进行审计，对实施系统配置变更、数据删改增等关键操作行为进行审批，对未经审批的关键操作及非正常运维时间的登录与操作进行告警；

　　部署数据安全管理对运维人员访问重要数据进行管控和脱敏处理，对下载及在线处理的重要数据进行防篡改标识（如数字水印技术）。

　　部署人脸识别监控设备，对专用机房进行进出人员管控，实现对进出人员的自动识别和实时监控，实现事前授权审批、事中自动识别、事后行为轨迹回溯，如有未经授权人员、未经授权时段、未经授权区域进入时自动报警和记录。