楊斯可

摘 要：對煙草行業(yè)信息系統(tǒng)建設過程現狀進行分析，探討煙草行業(yè)信息系統(tǒng)建設過程。為進一步規(guī)范煙草行業(yè)信息系統(tǒng)安全建設，保障信息系統(tǒng)的安全穩(wěn)定運行，將等級保護思想引入煙草行業(yè)信息系統(tǒng)建設過程，實現信息系統(tǒng)建設與信息安全防護措施的同步規(guī)劃、同步建設。

關鍵詞：安全建設；等級保護；信息安全

DOIDOI：10.11907/rjdk.172086

中圖分類號：TP309

文獻標識碼：A 文章編號：1672-7800（2017）007-0178-04

0 引言

信息安全等級保護制度是國家信息安全保障的基本制度，開展信息安全等級保護工作是促進信息化發(fā)展，維護國家信息系統(tǒng)安全的根本目標，是信息系統(tǒng)安全保障工作中國家意志的體現。近年來，煙草行業(yè)大力推進信息化建設，信息化水平顯著提高，隨之而來的信息安全問題日漸突出。國家煙草專賣局高度重視等級保護工作，以信息安全等級保護工作為抓手，于2014年印發(fā)了《煙草行業(yè)信息安全等級保護管理規(guī)定》和《煙草行業(yè)信息系統(tǒng)安全等級保護實施規(guī)范》，將等級保護的各項工作納入到信息系統(tǒng)生命周期中，提出了生命周期中各個環(huán)節(jié)的工作要求、工作流程。通過實施信息安全等級保護工作，完善了信息安全管理制度和技術措施，有效地提高了煙草行業(yè)信息系統(tǒng)安全管理水平和保護能力。

本文在對煙草行業(yè)信息系統(tǒng)建設過程進行安全現狀分析的基礎上，結合煙草行業(yè)信息系統(tǒng)業(yè)務特點和管理模式，對煙草行業(yè)信息系統(tǒng)建設過程中如何實施安全等級保護工作進行了深入研究。

1 安全現狀分析

煙草行業(yè)信息系統(tǒng)在建設過程中普遍存在以下問題：①在信息系統(tǒng)立項時，沒有明確信息系統(tǒng)的安全保護等級，沒有提出信息系統(tǒng)的安全保護需求；②在信息系統(tǒng)設計與開發(fā)時，缺少安全方案的同步規(guī)劃、同步設計；③在信息系統(tǒng)上線運行前，沒有建立安全性測試機制，缺少軟件惡意代碼檢測、源代碼后門審查、漏洞查找、滲透測試、運行環(huán)境測試、等級測評等環(huán)節(jié)。

2 融入等級保護要求的信息系統(tǒng)建設過程

信息系統(tǒng)建設是信息系統(tǒng)生命周期的開始。如果信息系統(tǒng)在建設期僅注重業(yè)務功能的開發(fā)，沒有同步規(guī)劃、設計安全方案，導致信息系統(tǒng)上線運行后會面臨各種各樣的安全威脅，如信息泄露、越權訪問、惡意攻擊等。為此，煙草行業(yè)將信息系統(tǒng)安全建設作為安全等級保護工作的重點，圍繞著信息系統(tǒng)安全建設的各個階段融入了等級保護要求，實現信息系統(tǒng)建設過程的安全管理，有效降低了信息系統(tǒng)上線后的安全隱患，提升了信息系統(tǒng)安全保護能力，保障了信息系統(tǒng)的安全穩(wěn)定運行。針對《信息安全技術 信息系統(tǒng)安全等級保護基本要求》中系統(tǒng)建設管理的要求，結合煙草行業(yè)提出的信息系統(tǒng)安全等級保護實施流程，設計信息系統(tǒng)建設管理流程如圖1所示。

新建信息系統(tǒng)和發(fā)生等級變更的已建信息系統(tǒng)從系統(tǒng)定級階段的（1）初步確定系統(tǒng)安全保護等級開始實施，系統(tǒng)建設過程包括（1）-（14）共14個環(huán)節(jié)；未發(fā)生等級變更的已建信息系統(tǒng)在系統(tǒng)升級改造時從信息系統(tǒng)安全建設階段的（2）安全方案設計開始實施，系統(tǒng)建設過程包括（2）-（9）共8個環(huán)節(jié)。

2.1 系統(tǒng)定級

在系統(tǒng)定級階段，信息化工作部門應協(xié)助業(yè)務主管部門確定需要定級的信息系統(tǒng)及其定級要素，初步確定信息系統(tǒng)的安全保護等級（行業(yè)統(tǒng)一推廣信息系統(tǒng)由國家煙草專賣局統(tǒng)一確定安全保護定級）。

在信息系統(tǒng)上線部署后，信息化工作部門和業(yè)務主管部門應最終確認信息系統(tǒng)的安全保護等級，完成信息系統(tǒng)安全等級保護定級報告的編制和信息系統(tǒng)安全等級保護備案表的填寫工作，將信息系統(tǒng)的定級結果報上一級單位進行審核。針對安全保護等級定為第三級的信息系統(tǒng)還應組織召開專家評審會，對信息系統(tǒng)定級結果的合理性和正確性進行論證和審定。

信息系統(tǒng)安全保護等級應遵循《信息安全等級保護管理辦法》和國家有關標準進行等級劃分，共分為五級，第一級為自主保護級，第二級為指導保護級，第三級為監(jiān)督保護級，第四級為強制保護級，第五級為?？乇Ｗo級（具體定義可參見《煙草行業(yè)信息系統(tǒng)安全等級保護與信息安全事件的定級準則（以下簡稱定級指南）》（YC/T 389-2011））。對于由多個信息系統(tǒng)集成整合為一個信息系統(tǒng)的，要按其中信息系統(tǒng)的最高安全保護等級進行定級；對于安全需求基本相同的信息系統(tǒng)，其安全保護等級要基本一致。

2.2 方案設計

在方案設計階段，信息化工作部門和業(yè)務主管部門應根據信息系統(tǒng)的安全保護等級，結合信息系統(tǒng)承載的業(yè)務和系統(tǒng)服務情況，分析信息系統(tǒng)可能存在的威脅、脆弱性，提出信息系統(tǒng)的安全運行要求和信息（數據）的保護要求，按照《煙草行業(yè)信息系統(tǒng)安全等級保護實施規(guī)范》的要求分別從機房環(huán)境保護、網絡環(huán)境保護、應用支撐環(huán)境保護、應用軟件安全、安全管理等方面，對數字證書身份認證、數字簽名、數據加密、安全審計、用戶名唯一性、密碼復雜度控制、登錄失敗處理、并發(fā)訪問限制等安全性指標提出具體的安全要求，形成安全建設方案和安全建設規(guī)劃，明確總體安全策略、安全技術框架、安全管理策略和詳細設計方案。并組織相關部門和有關安全技術專家對安全方案的合理性和正確性進行論證和審定。

信息系統(tǒng)的安全設計應基于業(yè)務流程自身特點，建立“可信、可控、可管”的安全防護體系，使得系統(tǒng)能夠按照預期運行，免受攻擊和破壞。

“可信”即以可信認證為基礎，構建一個可信的業(yè)務系統(tǒng)執(zhí)行環(huán)境，即用戶、平臺、程序都是可信的，確保用戶無法被冒充、病毒無法執(zhí)行、入侵行為無法成功?？尚诺沫h(huán)境保證業(yè)務系統(tǒng)永遠都按照設計預期的方式執(zhí)行，不會出現非預期的流程，從而保障了業(yè)務系統(tǒng)安全可信。

“可控”即以訪問控制技術為核心，實現主體對客體的受控訪問，保證所有的訪問行為均在可控范圍之內進行，在防范內部攻擊的同時有效防止了從外部發(fā)起的攻擊行為。對用戶訪問權限的控制可以確保系統(tǒng)中的用戶不會出現越權操作，永遠都按系統(tǒng)設計的策略進行資源訪問，保證了系統(tǒng)信息的安全可控。endprint

“可管”即通過構建集中管控、最小權限管理與三權分立的管理平臺，為管理員創(chuàng)建一個工作平臺，使其可以進行技術平臺支撐下的安全策略管理，從而保證信息系統(tǒng)安全可管。

2.3 產品采購

在產品采購階段，信息化工作部門應嚴格按照煙草行業(yè)和本單位采購流程進行產品采購，采購的安全產品、安全服務商應符合國家有關規(guī)定，采購的密碼產品應符合國家密碼主管部門的要求；并與產品供應商、安全服務商等簽訂服務合同，明確服務內容、安全責任等。針對定制開發(fā)的信息系統(tǒng)，還應在簽訂的服務合同中明確知識產權問題，要求安全服務商提供軟件源代碼。

2.4 軟件開發(fā)

在軟件開發(fā)階段，信息化工作部門需要組織業(yè)務部門與服務商，明確該系統(tǒng)的安全建設范圍和內容，設定安全性指標要求，合理判定該信息系統(tǒng)是否符合行業(yè)內的網絡及信息安全要求。信息化工作部門應制定軟件源代碼編寫規(guī)范，如命名規(guī)范：規(guī)范變量、函數的命名、規(guī)范程序的書寫格式等；URL內容安全：對于Web應用，不能在URL上暴露任何重要信息，如密碼、服務器名稱、IP地址或者文件系統(tǒng)路徑等；錯誤信息安全：所有為用戶顯示的錯誤信息不應暴露任何關于系統(tǒng)、網絡或應用程序的敏感信息。設置獨立的開發(fā)環(huán)境進行代碼編寫、調試，對于一些不能通過采購現有安全產品來實現的安全措施和安全功能，要通過設計、開發(fā)專門的安全功能模塊來實現，如提供專門的安全審計模塊，對每個用戶的重要操作和系統(tǒng)異常事件進行審計，信息化工作部門應對開發(fā)日志及開發(fā)人員權限進行定期審核。

軟件開發(fā)過程中的變更管理要進行嚴格的安全控制，在開發(fā)過程中每一階段（可行性研究、需求分析、設計、編碼、測試、培訓等）的變更實施需要經過評審與授權。信息化工作部門應對變更的申請、評審、測試、批準、更改計劃的提出和實施提出明確要求并嚴格實施，確保安全性與控制程序不被損害，確保任何改動都是經過審批的。

對于軟件開發(fā)過程中的版本控制，信息化工作部門對應用系統(tǒng)開發(fā)源程序的打印資料、電子版本或者相關報告都必須進行控制，紙質文件應當保存在一個安全的環(huán)境下，如保險柜等，電子文檔則應采取一定的加密措施。程序版本的發(fā)布與更新需要執(zhí)行必要的審批流程，確認系統(tǒng)的各種安全特性是否達標；舊的版本需進行歸檔，不得隨意丟棄或刪除；信息化工作部門應組織業(yè)務部門與服務商制定相關的升級計劃，確保將系統(tǒng)升級對業(yè)務的影響降至最低。

2.5 系統(tǒng)集成

在系統(tǒng)集成階段，主要是將安全產品、軟件平臺和開發(fā)的安全功能模塊與各種應用綜合、整合成為一個系統(tǒng)。信息化工作部門應要求安全服務商制定詳細的系統(tǒng)集成實施方案，明確實施過程中各階段的質量控制目標、控制措施、實施人員的職責要求和時間安排等。可以通過建立RACI模型，明確系統(tǒng)實施過程中的各方角色及其相關責任，在各系統(tǒng)安全保護等級的基礎上，由信息化工作部門統(tǒng)一協(xié)調、組織，各級業(yè)務部門對其信息系統(tǒng)安全等級保護的實施與管理負責，信息化工作部門對信息系統(tǒng)負有監(jiān)督、檢查、指導并提供安全保護服務的工作職責。在實施過程中，信息化工作部門應要求安全服務商按照實施方案，分階段逐步實現質量控制目標，并對各階段的實施情況進行總結。

2.6 系統(tǒng)測試

在系統(tǒng)測試階段，主要包括安全測試與等級測評兩項工作。

信息系統(tǒng)的安全測試，應由信息化工作部門組織相關部門和人員進行，驗證系統(tǒng)是否按照安全方案進行建設，是否完全實現了開發(fā)設計的要求。在系統(tǒng)上線前還應對信息系統(tǒng)進行全面的安全測試，包括配置檢查、工具掃描、滲透測試、惡意代碼檢測、源代碼后門審查等。對于安全測試過程中發(fā)現的問題，能立即整改的要在上線前完成整改，經確認后信息系統(tǒng)方可上線運行。對于安全保護等級定為第三級的信息系統(tǒng)，需要委托公正的第三方機構對信息系統(tǒng)進行安全性測試，在驗收前委托測評機構對信息系統(tǒng)進行等級測評。

信息系統(tǒng)的等級測評，是依據國家以及煙草行業(yè)內信息安全等級保護《定級指南》、《信息安全等級保護管理辦法》中的相關要求，對信息系統(tǒng)進行符合性測評。信息系統(tǒng)等級測評內容包括：單元測評、整體測評。單元測評包括安全技術測評和安全管理測評兩大部分，其中安全技術測評包括物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復等5個安全技術層面。安全管理測評包括安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理。最后根據整體測評結果提出安全整改建議。

信息化工作部門應當至少每年委托測評機構對第三級信息系統(tǒng)的信息安全狀況開展等級測評，在整個測評過程中需要重點強調項目質量管理和控制，突出的是變更控制管理和風險管理。整個測評過程中禁止系統(tǒng)管理員邊測評邊整改，防止由于測評導致系統(tǒng)故障。在信息系統(tǒng)安全狀況日常檢測工作中，信息化工作部門通過組織內部人員參與實踐，可以提高參與人員信息安全的專業(yè)技能，促進他們深刻理解信息安全等級保護法規(guī)對信息安全工作的指導性意義，也使決策者全面了解本單位整體信息安全狀況，為信息安全方面的決策提供數據支持。信息化工作部門內部的自查、自測工作與專業(yè)機構的等級測評有機結合，可以使信息安全建設工作常態(tài)化、穩(wěn)步推進企業(yè)信息系統(tǒng)安全保障水平。

2.7 系統(tǒng)培訓

在系統(tǒng)培訓階段，信息化工作部門和業(yè)務主管部門應要求安全服務商和產品供應商對系統(tǒng)運維人員和系統(tǒng)使用人員進行相關技能和使用培訓，負責信息安全工作的人員需要清晰地理解等級保護的概念，準確把握等級保護的適用范圍，如果對信息安全定級過高， 大于本單位所需要的等級，將導致本單位資源浪費，降低系統(tǒng)運行效率，增加日常管理負擔；如定級過低，將導致系統(tǒng)得不到必要的安全保護，也容易引發(fā)系統(tǒng)安全問題，同時培訓效果的好壞將直接影響到今后信息系統(tǒng)能否安全運行。

2.8 系統(tǒng)驗收

在系統(tǒng)驗收階段，信息化工作部門應組織相關部門和人員準備驗收材料對系統(tǒng)進行驗收，并進行系統(tǒng)的交付，要求產品供應商和安全服務商提交系統(tǒng)建設過程中的文檔、指導用戶進行系統(tǒng)文檔的運行維護，同時針對制定的安全管理策略、安全性指標進行同步驗證與驗收。endprint

2.9 系統(tǒng)備案

在系統(tǒng)備案階段，主要完成公安機關和上一級單位的備案工作。在信息系統(tǒng)正式運行30日內，信息化工作部門應到公安機關辦理信息系統(tǒng)備案手續(xù)。如果信息系統(tǒng)開展了等級測評工作，在完成測評工作后30日內將《信息系統(tǒng)安全等級測評報告》提交當地公安機關備案，針對測評報告中提出的問題，制定整改方案，及時進行整改，對整改過程進行記錄。此外，信息化工作部門還應按照上一級單位要求每年定期將當年度信息系統(tǒng)定級、備案、撤銷和測評等情況報上一級單位備案。

3 結語

本文通過對煙草行業(yè)信息系統(tǒng)建設現狀的分析，開展了基于等級保護的信息系統(tǒng)安全建設過程研究，把等級保護工作與煙草行業(yè)信息化建設聯(lián)系起來，堅持“準確定級、嚴格審批、及時備案、認真整改、科學測評”的原則，可以有效提高煙草行業(yè)信息系統(tǒng)安全保障水平。等級保護的建設和整改是伴隨系統(tǒng)生命周期的一個循序漸進的過程，也是企業(yè)自身信息系統(tǒng)不斷完善的過程，國家制定的等級保護標準是解決現階段所面臨的眾多代表性問題，并不能覆蓋所有行業(yè)面臨的所有問題，甚至還有很多地方需要進一步完善。隨著等級保護工作在煙草行業(yè)的深入開展，如何開展工業(yè)控制系統(tǒng)的安全等級保護工作是下一步的研究方向。

參考文獻：

[1] YC/T 495-2014.煙草行業(yè)信息系統(tǒng)安全等級保護實施規(guī)范[S].2014.

[2] YC/T 389-2011.煙草行業(yè)信息系統(tǒng)安全等級保護與信息安全事件的定級準則[S].2011.

[3] GB/T 22239-2008.信息安全技術 信息系統(tǒng)安全等級保護基本要求[S].2008.

[4] GB/T 25058-2010.信息安全技術 信息系統(tǒng)安全等級保護實施指南[S].2010.

[5] 馮昌來，彭雪梅.以等級保護工作為抓手 踐行信息安全與信息系統(tǒng)建設融合[C].第三屆全國信息安全等級保護技術大會論文集，2014.

[6] 國煙辦.煙草行業(yè)信息安全等級保護管理規(guī)定（國煙辦綜[2014]103號）[S].2014.

[7] 國煙辦.國家煙草專賣局辦公室關于開展行業(yè)信息系統(tǒng)全面梳理全面診斷全面加固工作的通知（國煙辦綜[2013]159號）[S].2013.endprint