基于安全等級保護的煙草行業信息系統建設研究

楊斯可

摘 要：對煙草行業信息系統建設過程現狀進行分析，探討煙草行業信息系統建設過程。為進一步規范煙草行業信息系統安全建設，保障信息系統的安全穩定運行，將等級保護思想引入煙草行業信息系統建設過程，實現信息系統建設與信息安全防護措施的同步規劃、同步建設。

關鍵詞：安全建設；等級保護；信息安全

DOIDOI：10.11907/rjdk.172086

中圖分類號：TP309

文獻標識碼：A 文章編號：1672-7800（2017）007-0178-04

0 引言

信息安全等級保護制度是國家信息安全保障的基本制度，開展信息安全等級保護工作是促進信息化發展，維護國家信息系統安全的根本目標，是信息系統安全保障工作中國家意志的體現。近年來，煙草行業大力推進信息化建設，信息化水平顯著提高，隨之而來的信息安全問題日漸突出。國家煙草專賣局高度重視等級保護工作，以信息安全等級保護工作為抓手，于2014年印發了《煙草行業信息安全等級保護管理規定》和《煙草行業信息系統安全等級保護實施規范》，將等級保護的各項工作納入到信息系統生命周期中，提出了生命周期中各個環節的工作要求、工作流程。通過實施信息安全等級保護工作，完善了信息安全管理制度和技術措施，有效地提高了煙草行業信息系統安全管理水平和保護能力。

本文在對煙草行業信息系統建設過程進行安全現狀分析的基礎上，結合煙草行業信息系統業務特點和管理模式，對煙草行業信息系統建設過程中如何實施安全等級保護工作進行了深入研究。

1 安全現狀分析

煙草行業信息系統在建設過程中普遍存在以下問題：①在信息系統立項時，沒有明確信息系統的安全保護等級，沒有提出信息系統的安全保護需求；②在信息系統設計與開發時，缺少安全方案的同步規劃、同步設計；③在信息系統上線運行前，沒有建立安全性測試機制，缺少軟件惡意代碼檢測、源代碼后門審查、漏洞查找、滲透測試、運行環境測試、等級測評等環節。

2 融入等級保護要求的信息系統建設過程

信息系統建設是信息系統生命周期的開始。如果信息系統在建設期僅注重業務功能的開發，沒有同步規劃、設計安全方案，導致信息系統上線運行后會面臨各種各樣的安全威脅，如信息泄露、越權訪問、惡意攻擊等。為此，煙草行業將信息系統安全建設作為安全等級保護工作的重點，圍繞著信息系統安全建設的各個階段融入了等級保護要求，實現信息系統建設過程的安全管理，有效降低了信息系統上線后的安全隱患，提升了信息系統安全保護能力，保障了信息系統的安全穩定運行。針對《信息安全技術 信息系統安全等級保護基本要求》中系統建設管理的要求，結合煙草行業提出的信息系統安全等級保護實施流程，設計信息系統建設管理流程如圖1所示。

新建信息系統和發生等級變更的已建信息系統從系統定級階段的（1）初步確定系統安全保護等級開始實施，系統建設過程包括（1）-（14）共14個環節；未發生等級變更的已建信息系統在系統升級改造時從信息系統安全建設階段的（2）安全方案設計開始實施，系統建設過程包括（2）-（9）共8個環節。

2.1 系統定級

在系統定級階段，信息化工作部門應協助業務主管部門確定需要定級的信息系統及其定級要素，初步確定信息系統的安全保護等級（行業統一推廣信息系統由國家煙草專賣局統一確定安全保護定級）。

在信息系統上線部署后，信息化工作部門和業務主管部門應最終確認信息系統的安全保護等級，完成信息系統安全等級保護定級報告的編制和信息系統安全等級保護備案表的填寫工作，將信息系統的定級結果報上一級單位進行審核。針對安全保護等級定為第三級的信息系統還應組織召開專家評審會，對信息系統定級結果的合理性和正確性進行論證和審定。

信息系統安全保護等級應遵循《信息安全等級保護管理辦法》和國家有關標準進行等級劃分，共分為五級，第一級為自主保護級，第二級為指導保護級，第三級為監督保護級，第四級為強制保護級，第五級為專控保護級（具體定義可參見《煙草行業信息系統安全等級保護與信息安全事件的定級準則（以下簡稱定級指南）》（YC/T 389-2011））。對于由多個信息系統集成整合為一個信息系統的，要按其中信息系統的最高安全保護等級進行定級；對于安全需求基本相同的信息系統，其安全保護等級要基本一致。

2.2 方案設計

在方案設計階段，信息化工作部門和業務主管部門應根據信息系統的安全保護等級，結合信息系統承載的業務和系統服務情況，分析信息系統可能存在的威脅、脆弱性，提出信息系統的安全運行要求和信息（數據）的保護要求，按照《煙草行業信息系統安全等級保護實施規范》的要求分別從機房環境保護、網絡環境保護、應用支撐環境保護、應用軟件安全、安全管理等方面，對數字證書身份認證、數字簽名、數據加密、安全審計、用戶名唯一性、密碼復雜度控制、登錄失敗處理、并發訪問限制等安全性指標提出具體的安全要求，形成安全建設方案和安全建設規劃，明確總體安全策略、安全技術框架、安全管理策略和詳細設計方案。并組織相關部門和有關安全技術專家對安全方案的合理性和正確性進行論證和審定。

信息系統的安全設計應基于業務流程自身特點，建立“可信、可控、可管”的安全防護體系，使得系統能夠按照預期運行，免受攻擊和破壞。

“可信”即以可信認證為基礎，構建一個可信的業務系統執行環境，即用戶、平臺、程序都是可信的，確保用戶無法被冒充、病毒無法執行、入侵行為無法成功。可信的環境保證業務系統永遠都按照設計預期的方式執行，不會出現非預期的流程，從而保障了業務系統安全可信。

“可控”即以訪問控制技術為核心，實現主體對客體的受控訪問，保證所有的訪問行為均在可控范圍之內進行，在防范內部攻擊的同時有效防止了從外部發起的攻擊行為。對用戶訪問權限的控制可以確保系統中的用戶不會出現越權操作，永遠都按系統設計的策略進行資源訪問，保證了系統信息的安全可控。endprint

“可管”即通過構建集中管控、最小權限管理與三權分立的管理平臺，為管理員創建一個工作平臺，使其可以進行技術平臺支撐下的安全策略管理，從而保證信息系統安全可管。

2.3 產品采購

在產品采購階段，信息化工作部門應嚴格按照煙草行業和本單位采購流程進行產品采購，采購的安全產品、安全服務商應符合國家有關規定，采購的密碼產品應符合國家密碼主管部門的要求；并與產品供應商、安全服務商等簽訂服務合同，明確服務內容、安全責任等。針對定制開發的信息系統，還應在簽訂的服務合同中明確知識產權問題，要求安全服務商提供軟件源代碼。

2.4 軟件開發

在軟件開發階段，信息化工作部門需要組織業務部門與服務商，明確該系統的安全建設范圍和內容，設定安全性指標要求，合理判定該信息系統是否符合行業內的網絡及信息安全要求。信息化工作部門應制定軟件源代碼編寫規范，如命名規范：規范變量、函數的命名、規范程序的書寫格式等；URL內容安全：對于Web應用，不能在URL上暴露任何重要信息，如密碼、服務器名稱、IP地址或者文件系統路徑等；錯誤信息安全：所有為用戶顯示的錯誤信息不應暴露任何關于系統、網絡或應用程序的敏感信息。設置獨立的開發環境進行代碼編寫、調試，對于一些不能通過采購現有安全產品來實現的安全措施和安全功能，要通過設計、開發專門的安全功能模塊來實現，如提供專門的安全審計模塊，對每個用戶的重要操作和系統異常事件進行審計，信息化工作部門應對開發日志及開發人員權限進行定期審核。

軟件開發過程中的變更管理要進行嚴格的安全控制，在開發過程中每一階段（可行性研究、需求分析、設計、編碼、測試、培訓等）的變更實施需要經過評審與授權。信息化工作部門應對變更的申請、評審、測試、批準、更改計劃的提出和實施提出明確要求并嚴格實施，確保安全性與控制程序不被損害，確保任何改動都是經過審批的。

對于軟件開發過程中的版本控制，信息化工作部門對應用系統開發源程序的打印資料、電子版本或者相關報告都必須進行控制，紙質文件應當保存在一個安全的環境下，如保險柜等，電子文檔則應采取一定的加密措施。程序版本的發布與更新需要執行必要的審批流程，確認系統的各種安全特性是否達標；舊的版本需進行歸檔，不得隨意丟棄或刪除；信息化工作部門應組織業務部門與服務商制定相關的升級計劃，確保將系統升級對業務的影響降至最低。

2.5 系統集成

在系統集成階段，主要是將安全產品、軟件平臺和開發的安全功能模塊與各種應用綜合、整合成為一個系統。信息化工作部門應要求安全服務商制定詳細的系統集成實施方案，明確實施過程中各階段的質量控制目標、控制措施、實施人員的職責要求和時間安排等。可以通過建立RACI模型，明確系統實施過程中的各方角色及其相關責任，在各系統安全保護等級的基礎上，由信息化工作部門統一協調、組織，各級業務部門對其信息系統安全等級保護的實施與管理負責，信息化工作部門對信息系統負有監督、檢查、指導并提供安全保護服務的工作職責。在實施過程中，信息化工作部門應要求安全服務商按照實施方案，分階段逐步實現質量控制目標，并對各階段的實施情況進行總結。

2.6 系統測試

在系統測試階段，主要包括安全測試與等級測評兩項工作。

信息系統的安全測試，應由信息化工作部門組織相關部門和人員進行，驗證系統是否按照安全方案進行建設，是否完全實現了開發設計的要求。在系統上線前還應對信息系統進行全面的安全測試，包括配置檢查、工具掃描、滲透測試、惡意代碼檢測、源代碼后門審查等。對于安全測試過程中發現的問題，能立即整改的要在上線前完成整改，經確認后信息系統方可上線運行。對于安全保護等級定為第三級的信息系統，需要委托公正的第三方機構對信息系統進行安全性測試，在驗收前委托測評機構對信息系統進行等級測評。

信息系統的等級測評，是依據國家以及煙草行業內信息安全等級保護《定級指南》、《信息安全等級保護管理辦法》中的相關要求，對信息系統進行符合性測評。信息系統等級測評內容包括：單元測評、整體測評。單元測評包括安全技術測評和安全管理測評兩大部分，其中安全技術測評包括物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復等5個安全技術層面。安全管理測評包括安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理。最后根據整體測評結果提出安全整改建議。

信息化工作部門應當至少每年委托測評機構對第三級信息系統的信息安全狀況開展等級測評，在整個測評過程中需要重點強調項目質量管理和控制，突出的是變更控制管理和風險管理。整個測評過程中禁止系統管理員邊測評邊整改，防止由于測評導致系統故障。在信息系統安全狀況日常檢測工作中，信息化工作部門通過組織內部人員參與實踐，可以提高參與人員信息安全的專業技能，促進他們深刻理解信息安全等級保護法規對信息安全工作的指導性意義，也使決策者全面了解本單位整體信息安全狀況，為信息安全方面的決策提供數據支持。信息化工作部門內部的自查、自測工作與專業機構的等級測評有機結合，可以使信息安全建設工作常態化、穩步推進企業信息系統安全保障水平。

2.7 系統培訓

在系統培訓階段，信息化工作部門和業務主管部門應要求安全服務商和產品供應商對系統運維人員和系統使用人員進行相關技能和使用培訓，負責信息安全工作的人員需要清晰地理解等級保護的概念，準確把握等級保護的適用范圍，如果對信息安全定級過高， 大于本單位所需要的等級，將導致本單位資源浪費，降低系統運行效率，增加日常管理負擔；如定級過低，將導致系統得不到必要的安全保護，也容易引發系統安全問題，同時培訓效果的好壞將直接影響到今后信息系統能否安全運行。

2.8 系統驗收

在系統驗收階段，信息化工作部門應組織相關部門和人員準備驗收材料對系統進行驗收，并進行系統的交付，要求產品供應商和安全服務商提交系統建設過程中的文檔、指導用戶進行系統文檔的運行維護，同時針對制定的安全管理策略、安全性指標進行同步驗證與驗收。endprint

2.9 系統備案

在系統備案階段，主要完成公安機關和上一級單位的備案工作。在信息系統正式運行30日內，信息化工作部門應到公安機關辦理信息系統備案手續。如果信息系統開展了等級測評工作，在完成測評工作后30日內將《信息系統安全等級測評報告》提交當地公安機關備案，針對測評報告中提出的問題，制定整改方案，及時進行整改，對整改過程進行記錄。此外，信息化工作部門還應按照上一級單位要求每年定期將當年度信息系統定級、備案、撤銷和測評等情況報上一級單位備案。

3 結語

本文通過對煙草行業信息系統建設現狀的分析，開展了基于等級保護的信息系統安全建設過程研究，把等級保護工作與煙草行業信息化建設聯系起來，堅持“準確定級、嚴格審批、及時備案、認真整改、科學測評”的原則，可以有效提高煙草行業信息系統安全保障水平。等級保護的建設和整改是伴隨系統生命周期的一個循序漸進的過程，也是企業自身信息系統不斷完善的過程，國家制定的等級保護標準是解決現階段所面臨的眾多代表性問題，并不能覆蓋所有行業面臨的所有問題，甚至還有很多地方需要進一步完善。隨著等級保護工作在煙草行業的深入開展，如何開展工業控制系統的安全等級保護工作是下一步的研究方向。

參考文獻：

[1] YC/T 495-2014.煙草行業信息系統安全等級保護實施規范[S].2014.

[2] YC/T 389-2011.煙草行業信息系統安全等級保護與信息安全事件的定級準則[S].2011.

[3] GB/T 22239-2008.信息安全技術 信息系統安全等級保護基本要求[S].2008.

[4] GB/T 25058-2010.信息安全技術 信息系統安全等級保護實施指南[S].2010.

[5] 馮昌來，彭雪梅.以等級保護工作為抓手 踐行信息安全與信息系統建設融合[C].第三屆全國信息安全等級保護技術大會論文集，2014.

[6] 國煙辦.煙草行業信息安全等級保護管理規定（國煙辦綜[2014]103號）[S].2014.

[7] 國煙辦.國家煙草專賣局辦公室關于開展行業信息系統全面梳理全面診斷全面加固工作的通知（國煙辦綜[2013]159號）[S].2013.endprint