基于安全等级保护烟草行业信息系统建设研究.docVIP

基于安全等级保护烟草行业信息系统建设研究 　　摘 要：对烟草行业信息系统建设过程现状进行分析，探讨烟草行业信息系统建设过程。为进一步规范烟草行业信息系统安全建设，保障信息系统的安全稳定运行，将等级保护思想引入烟草行业信息系统建设过程，实现信息系统建设与信息安全防护措施的同步规划、同步建设。 　　关键词：安全建设；等级保护；信息安全 　　DOIDOI：10.11907/rjdk.172086 　　中图分类号：TP309 　　文献标识码：A 文章编号：1672-7800（2017）007-0178-04 　　0 引言 　　信息安全等级保护制度是国家信息安全保障的基本制度，开展信息安全等级保护工作是促进信息化发展，维护国家信息系统安全的根本目标，是信息系统安全保障工作中国家意志的体现。近年来，烟草行业大力推进信息化建设，信息化水平显著提高，随之而来的信息安全问题日渐突出。国家烟草专卖局高度重视等级保护工作，以信息安全等级保护工作为抓手，于2014年印发了《烟草行业信息安全等级保护管理规定》和《烟草行业信息系统安全等级保护实施规范》，将等级保护的各项工作纳入到信息系统生命周期中，提出了生命周期中各个环节的工作要求、工作流程。通过实施信息安全等级保护工作，完善了信息安全管理制度和技术措施，有效地提高了烟草行业信息系统安全管理水平和保护能力。 　　本文在对烟草行业信息系统建设过程进行安全现状分析的基础上，结合烟草行业信息系统业务特点和管理模式，对烟草行业信息系统建设过程中如何实施安全等级保护工作进行了深入研究。 　　1 安全现状分析 　　烟草行业信息系统在建设过程中普遍存在以下问题：①在信息系统立项时，没有明确信息系统的安全保护等级，没有提出信息系统的安全保护需求；②在信息系统设计与开发时，缺少安全方案的同步规划、同步设计；③在信息系统上线运行前，没有建立安全性测试机制，缺少软件恶意代码检测、源代码后门审查、漏洞查找、渗透测试、运行环境测试、等级测评等环节。 　　2 融入等级保护要求的信息系统建设过程 　　信息系统建设是信息系统生命周期的开始。如果信息系统在建设期仅注重业务功能的开发，没有同步规划、设计安全方案，导致信息系统上线运行后会面临各种各样的安全威胁，如信息泄露、越权访问、恶意攻击等。为此，烟草行业将信息系统安全建设作为安全等级保护工作的重点，围绕着信息系统安全建设的各个阶段融入了等级保护要求，实现信息系统建设过程的安全管理，有效降低了信息系统上线后的安全隐患，提升了信息系统安全保护能力，保障了信息系统的安全稳定运行。针对《信息安全技术 信息系统安全等级保护基本要求》中系统建设管理的要求，结合烟草行业提出的信息系统安全等级保护实施流程，设计信息系统建设管理流程如图1所示。 　　新建信息系统和发生等级变更的已建信息系统从系统定级阶段的（1）初步确定系统安全保护等级开始实施，系统建设过程包括（1）-（14）共14个环节；未发生等级变更的已建信息系统在系统升级改造时从信息系统安全建设阶段的（2）安全方案设计开始实施，系统建设过程包括（2）-（9）共8个环节。 　　2.1 系统定级 　　在系统定级阶段，信息化工作部门应协助业务主管部门确定需要定级的信息系统及其定级要素，初步确定信息系统的安全保护等级（行业统一推广信息系统由国家烟草专卖局统一确定安全保护定级）。 　　在信息系统上线部署后，信息化工作部门和业务主管部门应最终确认信息系统的安全保护等级，完成信息系统安全等级保护定级报告的编制和信息系统安全等级保护备案表的填写工作，将信息系统的定级结果报上一级单位进行审核。针对安全保护等级定为第三级的信息系统还应组织召开专家评审会，对信息系统定级结果的合理性和正确性进行论证和审定。 　　信息系统安全保护等级应遵循《信息安全等级保护管理办法》和国家有关标准进行等级划分，共分为五级，第一级为自主保护级，第二级为指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级（具体定义可参见《烟草行业信息系统安全等级保护与信息安全事件的定级准则（以下简称定级指南）》（YC/T 389-2011））。对于由多个信息系统集成整合为一个信息系统的，要按其中信息系统的最高安全保护等级进行定级；对于安全需求基本相同的信息系统，其安全保护等级要基本一致。 　　2.2 方案设计 　　在方案设计阶段，信息化工作部门和业务主管部门应根据信息系统的安全保护等级，结合信息系统承载的业务和系统服务情况，分析信息系统可能存在的威胁、脆弱性，提出信息系统的安全运行要求和信息（数据）的保护要求，按照《烟草行业信息系统安全等级保护实施规范》的要求分别从机房环境保护、网络环境保护、应用支撑环境保护、应用软件安全、安全管理等方面，对数字证书身