等级保护思想在烟草行业信息安全体系建设研究及应用.docVIP

等级保护思想在烟草行业信息安全体系建设研究及应用 　　【 摘 要 】 随着信息技术的高速发展，烟草行业对信息系统的依赖日益加深，面临的信息安全风险也与日剧增。为切实降低信息安全风险，文章引入等级保护思想，通过剖析思想特点、实施路径，研究等级保护与信息安全体系的业务融合关系，构建符合烟草特性的信息安全体系。 　　【 关键词 】 等级保护；烟草企业；信息安全体系 　　1 等级保护思想 　　等级保护思想自20世纪80年代在美国产生以来，对信息安全的研究和应用产生着深远的影响。以ITSEC、TCSEC、CC等为代表的一系列安全评估准则相继出台，被越来越多的国家和行业所引入。我国于20世纪80年代末开始研究信息系统安全防护问题，1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》（国务院147号令），明确规定计算机信息系统实行安全等级保护。至此，等级保护思想开始在我??逐渐盛行。 　　我国的安全等级保护主要对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护。其核心思想就是对信息系统分等级、按标准分类指导，分阶段实施建设、管理和监督，以保障信息系统安全正常运行和信息安全。信息系统的安全等级保护由低到高划分为五级，通过分级分类，以相应的技术和管理为支撑，实现不同等级的信息安全防护。 　　2 烟草行业引入等级保护思想的意义 　　烟草行业高度重视等级保护工作，实施信息安全等级保护，能有效地提高烟草行业信息安全和信息系统安全建设的整体水平。 　　2.1 开展安全等级结构化安全设计 　　安全等级保护在注重分级的同时，也强调分类、分区域防护。烟草行业虽强调分类、分区域，但存在一定局域性。同时，由于缺少分级准则，差异化保护尚未深化。引入等级保护思想，有助于深化结构化安全设计理念，通过细分类型、划分区域，全面梳理安全风险，明晰防护重点，构建统一的安全体系架构。 　　2.2 注重全生命周期安全管理 　　等级保护工作遵循“自主保护、重点保护、同步建设、动态调整”四大基本原则，其“同步建设、动态调整”原则充分体现了全生命周期管理的思想。烟草行业在全建设“同步”思想方面体现不深，未在系统的建设初期将安全需求纳入系统的整体阶段。引入新思想，明确新建系统安全保护要求，提升安全管理效率。 　　3 等级保护在烟草行业的实施路径 　　信息安全等级保护工作的内容主要涉及系统定级备案、等级保护建设、风险评估与等级安全测评、安全建设整改。烟草行业推行等级保护工作，其实施路径主要有几条。 　　3.1 信息系统安全定级 　　主要包括信息系统识别、信息系统划分、安全等级确定。其中，原有信息系统根据业务信息安全重要性、系统服务安全重要性等方面综合判定，合理定级。 　　3.2 等级保护安全测评 　　在等级保护环境下对信息系统重要资产进行风险评估，通过等保测评，发现与等级保护技术、管理要求的不符合项。 　　3.3 制订等级保护实施方案 　　依据安全建设总体方案、等级保护不符合项，全面梳理存在问题，分类形成各层级问题清单；并合理评估安全建设整改的难易度，全面有效制订等级保护方案，明确安全整改目标。 　　3.4 开展安全整改与评估 　　根据等级保护实施方案开展建设，具体主要包括安全域划分、产品采购与部署、安全策略实施、安全整改加固以及等级保护管理建设等。并不定期开展安全评估，不断巩固信息安全与信息系统安全。 　　4 基于等级保护的烟草企业信息安全体系建设 　　根据等级保护工作的实施路径分析得出，等级保护与信息安全体系存在许多共性，有较好的融合度。因此，探索基于等级保护的行业信息安全体系具有深刻意义。 　　信息安全体系的核心是策略，由管理、技术、运维三部分组成。在等级保护思想的融合下，信息安全体系建设更加注重“分级保护、分类设计、分阶段实施”。根据等级保护思想，烟草行业信息安全体系概述有几点。 　　4.1 分级保护 　　烟草行业的信息安全体系以信息系统等级为落脚点，实行系统关联分级，具体分为人员分级、操作权限分级、应用对象分级。首先确定使用对象的范围。对人员实行不同分级，即涉密人员、可信人员、不可信人员等；其次，根据人员分级，划分操作权限，即高权限、特殊权限、中权限、低权限等；最后根据业务信息安全等级和应用服务等级，明确应用系统等级，即一至五级安全等级。通过“人员—操作—应用”的关联链，制订分级准则，从而达到分级保护的目的。 　　4.2 分类设计 　　信息安全体系分类设计，主要涉及不同类型、不同区域、不同边界三方面的结构化设计。 　　4.2.1 类型设计 　　根据安全等级保护要求以及安全体系特点，分为技术、管理和运维三大类型，并进行类型策略设计。其中技术要求分为