◆顧 煜

?

以風險為導向的煙草行業(yè)信息安全保障體系的設計思路

◆顧 煜

（江蘇中煙工業(yè)公司南京卷煙廠信息中心江蘇210000）

本文詳細分析了信息系統(tǒng)當前所面臨的安全現狀，闡述了以風險為導向的信息安全保障體系的設計思路。結合等級保護、國家和行業(yè)標準一系列標準規(guī)范要求，基于安全風險的全生命周期的風險管理機制，技術與管理相結合的方法，構建全面的信息安全保障體系架構，并提出落實體系架構所需要的實踐方法，為信息安全保障體系建設提供參考。

風險管理；信息安全；信息安全保障體系

0 引言

隨著信息化水平的不斷提高，各行各業(yè)對信息系統(tǒng)的依賴程度日益增強，信息安全問題日益突出并受到普遍關注。風險管理是信息安全基礎工作，是以可接受的代價，識別、控制、減少或者消除信息系統(tǒng)安全風險的過程，信息安全風險和事件不可能完全避免，關鍵在于如何控制、化解和規(guī)避風險；而風險評估是風險管理過程中一個重要基石，是信息安全建設的起點和基礎，是一種提倡適度安全的科學方法。運用風險評估方法去識別安全風險，解決信息安全問題得到了廣泛的認識和應用。

近年來，國家信息化領導小組非常重視風險評估工作的推進情況，先后印發(fā)了《信息安全風險評估指南》、《信息安全風險評估試點工作方案》、《關于開展信息安全風險評估工作的意見》《關于印發(fā)2006—2020年國家信息化發(fā)展戰(zhàn)略的通知》、《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》等文件，并逐步在國家基礎信息網絡和重要行業(yè)信息系統(tǒng)中普遍推行信息安全風險評估工作；同時，2017年6月1日《中華人民共和國網絡安全法》正式頒布，文中第三十八條明確規(guī)定了“關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門”，為網絡安全風險管理相關工作提供了充分的法律依據，促使網絡安全風險管理的范圍得到全面擴展。

國家局對網絡安全的要求也越來越高，先后印發(fā)了《煙草行業(yè)信息安全保障體系建設指南》（國煙辦綜[2008]147號）、《關于做好煙草行業(yè)信息系統(tǒng)安全等級保護定級工作的通知》（國煙辦綜[2008]358號）、《國家煙草專賣局辦公室關于開展行業(yè)信息系統(tǒng)全面梳理全面診斷全面加固工作的通知》（國煙辦綜〔2013〕159號）等加強網絡信息安全建設的規(guī)章制度和標準，扎實有效開展網絡安全工作，不斷提高網絡安全防范能力，從而最大限度地保障網絡信息安全。

但隨著信息安全技術不斷更新，信息系統(tǒng)不斷面臨新的風險。同時為了貫徹和落實國家及行業(yè)信息安全相關工作要求，南京卷煙廠信息中心積極研究和探索信息安全工作思路方法，圍繞如何將安全管理制度和流程有效執(zhí)行，如何使安全技術防護能力持續(xù)有效提升，通過何種方式來驅動信息安全有效檢測、防護、監(jiān)控和響應等幾個方面，結合企業(yè)實際情況，建設適合本企業(yè)的信息安全保障體系，使得風險防控工作做到“可管”和“可控”，逐步走向“可信”。

1 信息系統(tǒng)安全現狀

近年來，南京卷煙廠信息中心不斷加強信息安全建設，以行業(yè)三全工作、信息安全專項檢查等為抓手，陸續(xù)完成基礎信息安全防護體系建設、基礎信息安全運維機制建立、常態(tài)化信息系統(tǒng)安全加固等工作，保障了信息系統(tǒng)穩(wěn)定運行。但從信息安全的全局上來看，依然存在一些問題，主要歸結以下幾點：

（1）安全管理制度體系不夠完善：在安全管理制度體系建設方面，煙草行業(yè)普遍存在重技術輕管理，安全管理制度體系不完善、不全面、不系統(tǒng)的現象。行業(yè)、省局陸續(xù)下發(fā)了一系列信息安全管理的制度、標準、規(guī)范，公司已有信息安全管理制度未隨著上級規(guī)范要求及公司的發(fā)展，動態(tài)地去健全和完善。

（2）安全防護能力有待加強：在安全建設之初，由于缺乏統(tǒng)一的架構指導和規(guī)劃，存在部署、分區(qū)不明確等問題。且部分安全設備自接入網絡后疏于管理，策略從未更新，冗余策略過多。更有甚者，有些信息安全設備自從上線使用以來，從來沒有開啟過防護策略，成了一個空擺設，對信息安全防護毫無作用。

（3）日常安全運維機制有待完善：信息系統(tǒng)缺乏一個周期性技術檢測手段，導致技術性安全隱患可能長期存在；同時缺乏對信息安全主動預警、監(jiān)測和響應機制。

（4）安全意識缺乏：目前安全相關人員對信息安全的認識大部分停留在網絡技術層面，安全管理意識不到位。員工的信息安全意識缺乏、安全架構中專業(yè)技術人員較少、信息系統(tǒng)安全方面可投入的力量有限等問題是安全管理工作薄弱環(huán)節(jié)，員工安全意識培訓和專業(yè)技能培訓評測工作還需加強。

為了減少和消除上述安全問題，同時為了貫徹和落實國家及行業(yè)信息安全相關工作要求，信息中心積極研究和探索如何更好地開展信息安全建設并保障信息系統(tǒng)的正常運轉，提出以風險為導向的信息安全保障體系建設思路，以風險管理為驅動，實現安全事件的檢測、分析、監(jiān)控、響應和審計的全生命周期的運維機制。有效執(zhí)行安全管理制度和流程，安全技術防護能力不斷維護和提升，結合行業(yè)信息系統(tǒng)安全現狀，設計出信息安全保障體系架構，并對架構各功能模塊進行分析并形成相應的改進措施，同時將解決方案進行對應，設計出信息安全保障體系建設藍圖。達到信息安全建設“以安全運維為驅動、技術與管理并重、達到信息系統(tǒng)縱深防御”的目標。

2 以風險為導向的信息安全保障體系設計

根據行業(yè)信息系統(tǒng)的特點和現狀，并結合等級保護設計思想以及國內外信息安全最佳實踐，提出基于以風險為導向的信息安全保障體系模型。

信息安全架構主要基于“風險導向”為主線的設計思路，以保障業(yè)務連續(xù)性為目標。

（1）信息安全技術架構作為信息安全體系架構的基礎支撐設施，以“等級化”思路從四個方面進行縱深防護：物理和環(huán)境安全、網絡和通信安全、設備和計算安全、應用安全和數據安全。

（2）以風險為導向是指整個架構是基于風險的全生命周期管理，包括檢測、分析、監(jiān)控、響應和審計五個環(huán)節(jié)，其中檢測與分析機制依托成熟的信息安全方案和產品來實現、通過建立符合行業(yè)要求及現狀的安全管理組織架構來落實監(jiān)控、響應和審計流程來建立日常運維機制。

（3）落實安全防護和日常運維機制后，還需完善包含信息安全方針策略、流程及標準等完善的信息安全管理體系來實現對業(yè)務需求的承諾。

3 信息安全保障體系建設藍圖

根據信息安全保障體系架構藍圖設計，對架構各功能模塊進行分析并形成相應的改進措施，同時將安全技術解決方案與之進行對應，設計出信息安全保障體系建設藍圖，如圖1。

具體技術實踐見圖中藍色字體表示，設計出建設藍圖后，需要根據行業(yè)的實際情況和建設現狀，與建設藍圖進行差異化分析，并對所需建設的項目的緊迫性、約束關系等因素進行項目優(yōu)先級排序，最終確定行業(yè)信息安全保障體系實施計劃。

4 結束語

信息安全保障體系建設具有動態(tài)性、長期性的特點，信息安全建設最終目標是為業(yè)務正常運行和信息化持續(xù)建設提供支撐，當發(fā)生業(yè)務轉型、業(yè)務變更或大規(guī)模的信息變化時，需要及時對信息安全保障體系進行修訂和改進。同時，應關注IT新技術帶來的安全威脅，如云計算和虛擬化，移動互聯網的推廣帶來的安全問題，通過研究和開發(fā)相應的安全解決方案，為優(yōu)化體系提出改進要求；另外國家、行業(yè)發(fā)布與信息安全相關要求的變化，如保密、等級保護、內控等新要求，保障體系要能及時更新。最后，應對信息安全保障體系進行執(zhí)行情況的檢查與考核，可以有效促進體系的落地，對結果進行匯總分析有助于及時發(fā)現體系不適宜和無效的部分，及時進行修訂和改進，最終保證信息安全體系的適應性。

圖1 建設藍圖

[1]信息保障技術框架（IATF）.

[2]黎水林.基于安全域的政務外網安全防護體系[J].等級保護，2012（07）.

[3]沈羿.論煙草行業(yè)網絡信息安全保障體系構建[J].信息技術應用研究，2010(10).

[4]李益文.煙草行業(yè)信息安全運維管理體系建設的思考[J].實踐與探討，2009(02).