基于等级保护的监狱系统信息安全管理体系研究与实现

2017-02-14冯前进冯卓慧

网络安全技术与应用 2017年1期

关键词：监狱管理制度信息系统

◆冯前进冯卓慧

（浙江警官职业学院浙江 310018）

基于等级保护的监狱系统信息安全管理体系研究与实现

◆冯前进冯卓慧

（浙江警官职业学院浙江 310018）

鉴于我国监狱现阶段信息化建设发展速度较快，有关监狱信息安全管理体系的建设与研究滞后信息化发展水平，亟待制订并完善。因此，本文围绕《全国监狱信息化建设规划》总体目标，针对当前监狱信息系统网络安全管理存在的主要问题，基于信息系统等级保护的思想，按照“制定→执行→反馈→改进”模型，根据《信息系统安全等级保护基本要求》等相关规定，结合监狱信息化实际，对如何构建监狱信息安全管理体系做了深入地分析和探索。

等级保护; 监狱系统; 信息安全; 管理体系

0 前言

随着信息技术的飞速发展，信息化对社会进步和国民经济发展起着越来越重要的作用。监狱作为国家的刑罚执行机关，担负着维护社会安宁和稳定、预防和减少犯罪的重要职能，监狱工作与社会发展同步，监狱信息化建设已成为以法治监、科技强警的战略工程，成为促进监狱管理由传统粗放型向现代集约型、科学化转变，进一步提升监狱工作管理水平的重要手段。

如何建设一个现代化的监狱信息系统并确保其安全稳定运行，是我们的当务之急。按照《全国监狱信息化建设规划[1]》（司发通[2008]124号文，以下简称《信息化规划》）总体目标要求，监狱信息化要初步建成覆盖全国监狱系统的网络互连互通、信息资源共享、标准规范统一、应用功能完备的监狱信息化框架体系，实现监狱安全保障有力、执法公正规范、信息通讯快捷、指挥管理高效的总目标。

鉴于我国监狱现阶段信息化建设发展速度较快，有关监狱信息安全管理体系的建设与研究滞后信息化发展水平，亟待制订并完善，因此，围绕《信息化规划》总体目标，基于信息系统等级保护的思想，制订并完善监狱信息安全管理体系，无疑对于全国监狱系统正在开展的监狱信息化建设，提高监狱信息安全保障水平具有重要意义。

1 我国监狱信息化建设概况和存在的安全挑战

近几年，我国监狱信息化建设取得快速发展，据统计，截至到2012年4月，全国28个省（区、市）监狱管理局完成了省级网络联通，全国70%以上的监狱建立了应急指挥中心、智能报警系统和综合门禁系统，80%以上的监狱建立了视频监控系统,全国监狱系统信息网络平台初步建成,监狱信息化水平明显提高[2]。

以浙江省为例，浙江省监狱管理局局机关和大多数监狱基本完成了信息化网络基础建设，省局办公OA系统实现了办公自动化。“三个信息资源库”，即监狱管理信息库、罪犯信息库、警察信息库基本建设完成，并实现了一定范围的网络互通、资源共享。监管改造场所的视频监控实现了大范围的覆盖，全省监狱共装监控探头6万余个，而且各个监狱的监控信号已接入省局信息平台。省局的应急指挥中心已经建成并投入使用，部分监狱也已经建成了安全防范和应急指挥系统，通过远程监控管理软件，可以实现远程监视、管理、指挥等功能[3]。

监狱信息网络一般包括监狱内网和监狱外网两大部分。其中，监狱内网包括政务内网、安防专网、罪犯教育改造网（管教内网），财务网络、监狱企业内网（ERP系统等）五大网络，与监狱外网物理隔离; 监狱内网通过租用专线经过防火墙与省监狱管理局内网连接; 监狱外网（监狱门户网站、监狱企业外网等）经过防火墙与互联网相连（见图1监狱网络架构图）。

监狱信息化的目的就是为了提高工作效率，使监狱管理水平有一个明显的提高。其中的监狱安全防范和应急指挥系统、监管及执法管理系统等系统都要涉及信息的存储、传输与使用等信息处理问题，而尤为突出的是信息处理过程中的信息安全问题。对于存储在计算机中的重要文件、数据库中的重要数据等信息都存在着安全隐患，一旦丢失、损坏或泄露、不能及时送达，都会给监狱造成很大的损失。尤其是计算机及网络涉及的信息安全问题更为复杂，像数据瞬间丢失、瞬间被盗、瞬间被破坏等问题，大大增加了管理难度。因此，监狱的信息安全面临重大的管理难度和挑战。如何让监狱信息安全保障体系的运转达到理想状态，最大限度地保障监狱信息体系的安全性，是安全策略、安全运作、安全组织管理所组成的安全管理体系所要肩负的重任。

图1 监狱网络架构图

2 监狱信息系统网络安全管理存在的主要问题

虽然信息安全管理工作的重要性已经被广泛接受，也正在积极地推动与建设，但是在我国监狱系统系统信息安全管理工作中还普遍存在很多问题，现状依然不容乐观，主要表现为以下几个方面：

（1）缺乏统一规划，管理机制不健全，信息安全管理工作滞后信息安全管理工作普遍没有进行专门的、统一的规划和管理，因此在人员组织、策略制定方面较为随意和分散，没有形成严谨、周密的体系，部分单位未成立专门负责网络信息安全的责任部门，仍由其他行政部门兼管。

信息安全管理工作应该与信息系统同步建设和运行，但更多的情况则是在信息系统的建设过程中缺乏同步的、充分的考虑，导致后期安全管理体系的建设工作比较被动。

（2）领导层不够重视，存在重技术，轻管理倾向

保障信息安全的目的最终是保障业务安全，因此信息安全管理不仅仅是信息主管部门的事情，更应该引入单位高层领导的重视与参与，只有高层领导足够重视，才能使信息安全策略、信息安全制度等各项工作落到实处，真正发挥作用，但多数的领导还是“没有时间和精力”顾及这方面的工作，证明了信息安全管理工作还没有得到真正的重视。

目前很多监狱单位存在重技术，轻管理倾向，大部分的安全建设多局限于局部性地使用安全产品，或使用有洞补洞的方式被动地解决问题，缺乏科学的、全面的安全管理规划。

（3）管理机构不健全

各单位中管理岗位设置不均匀，其中设置网络管理员的占绝大多数，系统管理员与安全管理员相对不足，以设置两项及以上岗位居多，岗位设置不全面就会造成一岗多职、责任不明确等弊端; 其次专业技术人员数量相对不足，且专业化程度不高。

（4）管理制度不完善

虽然绝大部分单位制定了网络信息安全相关制度，但安全管理制度体系不完善，执行不到位。有制度但无记录情况比较明显，特别是应急预案的制定、培训、演练; 网络安全、系统安全管理制度、定期开展信息系统安全漏洞扫描等方面问题比较突出，对管理制度进行定期评议和修订的比例更是不足，无法保证制度与时代、技术的同步变革，缺乏先进性。

（5）专业人才严重不足，安全管理的力量薄弱

当前监狱信息化专业人才不足，尤其缺乏既懂监狱管理，又擅长信息化建设与管理的复合型专门人才，信息化专业人才无论是从数量上还是结构层次上都与信息化的发展要求不相适应。以**省监狱管理局为例，省局和省属监狱等16个监狱单位拥有服务器、PC机约4000台（套），配备信息化管理专职人员数量稀少，人机比为1.2：100。专职人员不仅人数严重缺乏，而且人员分布很不平衡，人数最多的是10人，人数最少的只有1人。这与信息化工作走在全国前列的江苏省监狱相比存在很大差距（苏州监狱民警511名，计算机人才30名，占5.8%，无锡监狱民警460名，专业人才20名左右，占4.3%）[4]。

尤其是现有的技术人员多偏重于软件开发，普遍缺乏安全管理及等级保护的专门培训，安全管理的力量薄弱，对监狱信息系统安全防护的合理定位相对困难。

通过以上几方面的分析，说明了信息安全管理体系的建设工作任重而道远，我们应深刻认识到信息安全管理体系对于监狱信息化的重要性，抓紧建设监狱信息化安全管理体系。

3 基于等级保护的信息安全管理体系研究

党中央和国务院高度重视信息安全保障工作，早在2003年7月，国家信息化领导小组就审议通过了《国家信息化领导小组关于加强信息安全保障工作的意见[5]》（中办发[2003]27号），明确指出等级保护制度是我国信息安全领域的一项基本制度，开展信息安全等级保护工作是保障重要信息系统安全的重大措施，是事关国家安全、社会稳定、国家利益的一项重要任务。监狱作为国家的刑罚执行机关，担负着维护社会安宁和稳定、预防和减少犯罪的重要职能，因此，基于信息系统等级保护的思想，制订并完善监狱信息安全管理体系，无疑对于全国监狱系统正在开展的监狱信息化建设，提高监狱信息安全保障水平具有重要意义。

3.1 等级保护的提出背景和概念

1994年2月，国务院以“第147号令” 颁布了《中华人民共和国计算机信息系统安全保护条例[6]》，从整体上、根本上提出了解决国家信息安全问题的办法，进一步明确了信息安全的发展主线和中心任务。《条例》明确提出，对信息系统实行等级保护是国家在信息保护方面制定的基本制度，是开展信息安全保护工作的有效措施，是信息安全保护工作的发展方向，实行信息安全等级保护对我国信息化建设的全面推进具有重大的现实和战略意义。

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。按照《计算机信息系统安全保护等级划分准则》（GB17895-1999）规定，信息系统的安全等级从功能上划分为五个级别的安全保护等级：第一级：用户自主保护级，由用户自行决定如何对资源进行保护，以及采用何种方式方法进行保护。第二级：系统审计保护级，本级的安全保护机制能够使用户获得更强的自主保护能力，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。第三级：安全标记保护级，具有第二级系统审计保护级的所有功能，并对访问者及其访问对象实施强制访问控制，通过对访问者和访问对象指定不同安全标记，限制访问者的权限。第四级：结构化保护级，将前三级的安全保护能力扩展到所有访问者和访问对象，支持形式化的安全保护策略，其本身构造也是结构化的，提供可信设施管理，增强了配置管理控制，以使之具有相当的抗渗透能力。第五级：访问验证保护级，具备第四级的所有功能，还具有仲裁访问者能否访问某些对象的能力。为此，本级的安全保护机制不能被攻击、被篡改的，具有极强的抗渗透能力。

3.2 确立监狱信息系统划分原则与安全等级定级要求

遵循《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008）结合我省监狱信息系统现状与特点，研究确立“监狱信息系统划分原则与安全等级定级要求”，提出我省监狱信息系统划分原则与安全等级定级要求，为全省监狱系统开展监狱信息系统等级保护定级备案工作提供科学、合理、统一的依据。监狱信息系统安全保护等级定级建议表。

表1 安全保护等级定级建议表

3.3 信息安全管理体系的建设思路

信息安全管理体系ISMS（Information Securitry Management System）是在组织内部确定信息安全目标，以及完成这些目标所定制的策略、运作方法、组织架构建设、规范制度建设等部分所构成的体系。

为了更好地推进我国信息安全管理工作，国家相关部门引进了国际上著名的ISO/IEC 27001：2005（信息安全管理体系要求，即国标GB/T22080-2008）、ISO/IEC 27002：2005（信息安全管理实用规则，即国标GB/T22081-2008）等信息安全管理标准，相继又制订了中华人民共和国国家标准GB/T 20269-2006《信息安全技术信息系统安全管理要求》等一批重要的信息安全管理方面的标准。随着信息安全等级保护工作的推进，在GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》中，对各级别信息系统分别提出了管理要求。

因此，基于以上的分析，监狱信息安全管理体系应按照信息安全等级保护的要求，参照GB/T22080-2008、GB/T22081-2008、GB/T22239-2008等国家标准，结合监狱实际进行建设和完善。

按照ISO/EC27001：2005（信息安全管理体系要求）国际标准（也是国标GB/T22080-2008），信息安全管理体系的建立，是按照规划（Plan）-实施（Do）-检查（Check）-处置（Act）（即PDCA）模型实施的。

图2 PDCA过程模型

如图2所示，PDCA模型也是一个循环过程，组织机构根据四个子过程扮演的角色和作用动态地调整信息安全策略和控制措施，保证组织机构的安全管理活动能够安全有效运行。

表2 四个子过程

实施（实施和运行ISMS）实施和运行ISMS方针、控制措施、过程和规序。检查（监视和评审ISMS）对照ISMS方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结果报告管理者以供评审。处置（保持和改进ISMS）基于ISMS内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进ISMS。

4 监狱信息安全管理体系的构建

监狱信息安全管理体系的构建是按照“制定→执行→反馈→改进”模型，遵循相关法律、法规及标准等原则，根据《信息系统安全等级保护基本要求》（GB/T22239-2008）的相关规定，结合监狱信息化实际完成的。

4.1 信息安全管理体系的构建（制定→执行→反馈→改进）模型

在组织机构的信息安全管理活动中，安全管理组织机构、信息安全管理制度体系和安全人员三者之间密切相关，相互支撑，缺一不可。其中，安全管理组织机构是前提作为信息安全工作的职能部门，安全管理制度体系的建立、安全人员日常工作的执行和监督以及信息系统的建设和运维都要在统一的组织机构框架下进行。没有组织机构，信息安全工作就如同一盘散沙，不仅缺乏凝聚力和号召力，而且没有方向性和针对性。

4.2 信息安全管理制度体系是核心

组织机构的信息安全工作始终要围绕制度体系进行，管理制度体系是一个层次型体系，一般可分为总体方针和安全策略、安全管理制度、操作程序和记录，该体系不仅指导安全人员执行日常的安全管理工作，也能够通过安全人员的反馈意见不断地完善组织机构的安全建设，这是一个持续改进的循环体系。

4.3 安全人员是关键

信息安全管理工作毕竟是依靠人来参与的工作，而且在信息系统的整个生命周期中，人的参与起着决定性的作用，安全管理归根结底是对人的管理，把握住了安全人员这一关键因素，组织机构的安全管理工作才能正常有序地进行。

图3 ISMS 制定、执行、反馈、改进模型

如图3所示，该体系有两个循环：一个是信息安全管理制度体系的循环,另一个则是三者之间的循环。信息安全管理制度体系的四部分至上而下是一个贯彻执行的过程,上一层文件指引下一层文件的实施; 反过来,下一层文件会在安全管理活动中验证该文件的合理性和适用性,根据实际反馈的结果自下而上地进行动态调整。体系中的三者之间是一个制定-指导-反馈-完善的循环过程。

4.4 信息安全管理体系的建设原则

根据我国监狱信息化的建设现状，以及安全管理理论、模型的发展，我国监狱信息化安全管理体系的建设应遵循如下原则：

（1）符合法律、法规要求

安全管理体系的建设必须要符合国家有关法律法规，并参照国际标准模型，保证体系的合规性。

（2）从业务安全需求出发。安全最终是为业务服务，安全管理体系的建设需要从监狱执法与管理工作的需求出发，对信息系统进行详尽的评估，确立明确的信息安全目标。

（3）自上向下的管理规划。安全管理是“一把手工程”，监狱系统各级机构的主管领导必须要亲自参与到管理体系中来，保证管理体系的权威性、可实施性。

（4）安全管理的可持续性。安全管理体系应设计定期审查、纠正的机制，保证体系的持续改进。

（5）平衡成本与效益.在业务安全需求、管理成本、经济成本之间进行折中考虑,既要满足安全需求,也要控制付出的成本。

4.5 监狱信息安全管理体系的建设内容

根据《信息系统安全等级保护基本要求》（GB/T22239-2008，以下简称《等保基本要求》）中的分类方法，安全管理又可分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个部分，所涉及的制度、规程和记录梳理成一个比较完备的制度体系，其体系框架可用金字塔型结构呈现：

图4 信息安全管理制度体系金字塔型结构

如图4所示，金字塔型结构各层次内容可概括如下：

（1）总体方针和安全策略：是组织机构信息安全工作提纲挈领的文件，阐明了组织机构信息安全工作的总体目标、范围、原则和安全框架等;

（2）安全管理制度：是组织机构针对安全管理活动中的各类管理内容建立的安全管理制度，如机房管理制度等，是规范各岗位人员进行安全管理活动最基本的拘束力文件;

（3）操作规程：包含操作规程、运维手册、作业指导书以及各种审批程序、运维程序、应急处置流程等，是各岗位人员进行安全管理活动的指导性文件;

（4）安全管理活动产生的各种记录：包含制度的评审和修订记录、人员培训记录、会议纪要、运行维护记录、系统建设方案、验收报告、应急演练记录等，是各岗位人员规范执行各项管理制度或规程的证明性文件。

信息安全管理制度体系是组织机构进行安全管理活动的指导性文件体系，是规范和约束安全人员从事信息安全工作的根本准则。

按照“监狱信息系统安全保护等级定级建议表”（参见3.2确立监狱信息系统划分原则与安全等级定级要求），一般，监狱信息系统可按等保三级进行建设，达到第三级的安全保护能力。根据《等保基本要求》规定，第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。下面，以等保三级要求为例，构建“监狱信息安全管理体系”。

4.5.1 监狱信息化安全策略

为了顺利推进监狱信息安全建设，需要在组织机构最高领导层提供信息安全的管理方向，这就需要在整个系统内部发布一个安全策略文件来向全系统范围内相关人员说明信息安全对监狱信息化的重要性、各岗位人员在信息安全中的责任和义务、违反信息安全策略并造成严重后果时采取的行动等。具体来说，应包括如下内容：

（1）信息化安全保障体系的定义，以及该体系对监狱信息化建设的重要意义。

（2）信息化安全保障体系的目标，以及领导层贯彻安全管理的坚决意志。

（3）对安全组织架构、安全运维制度、安全管理制度等各项安全管理措施的定义，并指明各层面工作的具体负责单位，明确信息安全管理的责任和义务，确认宏观安全管理流程。

4.5.2 监狱信息化安全运作

根据对监狱信息化安全保障体系的理解，安全运作是其中最为重要的核心内容。安全运作主要包括系统建设管理和系统运维管理两大部分，系统建设管理关注系统“上线之前和上线实施”的阶段，而系统运维管理则关注“上线之后”的阶段。

（1）系统建设管理

在《等级保护基本要求》的系统建设管理方面，针对系统定级、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、安全测评、安全服务商选择等方面提出了具体的要求。结合监狱信息化的具体情况，应对如下部分特别关注：

①基础支撑建设管理。基础设施建设包括中央和地方两级，以现有网络为基础，扩展建设并完善监狱信息化建设的相关承载设施，其建设管理应在产品采购、工程实施、测试验收和安全服务商选择环节加以特别重视。

②业务应用系统建设管理。业务应用系统是监狱信息化的具体应用部分，应在自行软件开发、外包软件开发、验收以及安全服务商选环节加以特别重视。

（2）系统运维管理

在《等级保护基本要求》的系统运维管理方面，网络安全管理、系统安全管理、备份与恢复管理、应急预案管理等13个方面对系统运维管理进行了详细的要求，是等级保护管理体系建设最为重要的部分。结合监狱信息化的具体情况，应对如下部分特别关注：基础设施监控及管理、网络安全监控及管理、业务应用系统监控与管理、应急响应与备份恢复管理。在以上各层面的运维管理工作中，应指定专门的岗位负责，并辅以定制化的运行管理制度、操作手册、应急预案准备等事前预防措施，使系统运维管理工作能够符合环境信息系统的安全要求。

4.5.3 监狱信息化安全组织管理

（1）安全管理组织机构

①领导层的选择。安全管理组织领导层中的负责人应由单位主管领导出任，并由业务分管领导、信息化分管领导共同组成。

②主要人员需求与技能要求。安全管理负责人、安全专员都应熟悉信息技术和信息安全，有多年信息技术和安全管理经验，具有坚定的信念和政治觉悟、高度的责任感，由监狱各单位主要领导和技术骨干担任。

（2）安全管理制度

制度管理由高层安全组织进行，主要内容是如何制定和分发安全制度、如何监督制度的执行情况。制定安全管理制度的主要原则为：

①多人负责原则。每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的，应忠诚可靠，能胜任此项工作。

②任期有限原则。一般地讲，任何人最好不要长期担任与安全有关的职务，以免误认为这个职务是专有的或永久性的。

③职责分离原则。除非系统主管领导批准，在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。

安全管理制度的制订应由信息安全主管部门组织，工程承担单位配合，相关人员参与制订，经领导委员会批准后，严格按制度执行。

主要的制度有：《XXX 安全管理手册（含信息安全策略）》、《XXX信息安全组织机构及工作职责》、《XXX系统建设安全管理制度》、《XXX 网络安全管理制度》、《XXX 计算机安全管理制度》、《XXX 系统安全管理制度》、《XXX 信息分类分级标识管理制度》、《XXX 信息资产管理制度》、《XXX 介质安全管理制度》、《XXX 恶意代码防范管理制度》、《XXX 自行软件开发管理制度》、《XXX 外包软件开发管理制度》、《XXX 日志管理和审计管理制度》、《XXX 数据备份和恢复管理制度》、《XXX 安全事件报告和处置管理制度》、《XXX 人员管理制度》等等。

（3）人员安全管理

据不完全统计，70% 的安全事件都是由内部人员引起的，加强人员管理是安全管理的一个非常关键的因素。人员管理主要是根据监狱信息化安全策略进行人员安全分级。根据监狱信息化建设的现状分析，与计算机信息系统有关人员大体上有如下几类：信息管理人员、业务部门正式岗位人员及临时岗位人员、第三方技术服务人员以及参观学习人员等。人员管理应针对人员的不同类别，规划设计访问控制策略和运行管理策略。不同安全人员有不同的职责和明确的分工，同时应该对不同分级的安全人员提供持续的培训，以不断地提高人员水平。