杨斯可

摘 要：对烟草行业信息系统建设过程现状进行分析，探讨烟草行业信息系统建设过程。为进一步规范烟草行业信息系统安全建设，保障信息系统的安全稳定运行，将等级保护思想引入烟草行业信息系统建设过程，实现信息系统建设与信息安全防护措施的同步规划、同步建设。

关键词：安全建设；等级保护；信息安全

DOIDOI：10.11907/rjdk.172086

中图分类号：TP309

文献标识码：A 文章编号：1672-7800（2017）007-0178-04

0 引言

信息安全等级保护制度是国家信息安全保障的基本制度，开展信息安全等级保护工作是促进信息化发展，维护国家信息系统安全的根本目标，是信息系统安全保障工作中国家意志的体现。近年来，烟草行业大力推进信息化建设，信息化水平显著提高，随之而来的信息安全问题日渐突出。国家烟草专卖局高度重视等级保护工作，以信息安全等级保护工作为抓手，于2014年印发了《烟草行业信息安全等级保护管理规定》和《烟草行业信息系统安全等级保护实施规范》，将等级保护的各项工作纳入到信息系统生命周期中，提出了生命周期中各个环节的工作要求、工作流程。通过实施信息安全等级保护工作，完善了信息安全管理制度和技术措施，有效地提高了烟草行业信息系统安全管理水平和保护能力。

本文在对烟草行业信息系统建设过程进行安全现状分析的基础上，结合烟草行业信息系统业务特点和管理模式，对烟草行业信息系统建设过程中如何实施安全等级保护工作进行了深入研究。

1 安全现状分析

烟草行业信息系统在建设过程中普遍存在以下问题：①在信息系统立项时，没有明确信息系统的安全保护等级，没有提出信息系统的安全保护需求；②在信息系统设计与开发时，缺少安全方案的同步规划、同步设计；③在信息系统上线运行前，没有建立安全性测试机制，缺少软件恶意代码检测、源代码后门审查、漏洞查找、渗透测试、运行环境测试、等级测评等环节。

2 融入等级保护要求的信息系统建设过程

信息系统建设是信息系统生命周期的开始。如果信息系统在建设期仅注重业务功能的开发，没有同步规划、设计安全方案，导致信息系统上线运行后会面临各种各样的安全威胁，如信息泄露、越权访问、恶意攻击等。为此，烟草行业将信息系统安全建设作为安全等级保护工作的重点，围绕着信息系统安全建设的各个阶段融入了等级保护要求，实现信息系统建设过程的安全管理，有效降低了信息系统上线后的安全隐患，提升了信息系统安全保护能力，保障了信息系统的安全稳定运行。针对《信息安全技术 信息系统安全等级保护基本要求》中系统建设管理的要求，结合烟草行业提出的信息系统安全等级保护实施流程，设计信息系统建设管理流程如图1所示。

新建信息系统和发生等级变更的已建信息系统从系统定级阶段的（1）初步确定系统安全保护等级开始实施，系统建设过程包括（1）-（14）共14个环节；未发生等级变更的已建信息系统在系统升级改造时从信息系统安全建设阶段的（2）安全方案设计开始实施，系统建设过程包括（2）-（9）共8个环节。

2.1 系统定级

在系统定级阶段，信息化工作部门应协助业务主管部门确定需要定级的信息系统及其定级要素，初步确定信息系统的安全保护等级（行业统一推广信息系统由国家烟草专卖局统一确定安全保护定级）。

在信息系统上线部署后，信息化工作部门和业务主管部门应最终确认信息系统的安全保护等级，完成信息系统安全等级保护定级报告的编制和信息系统安全等级保护备案表的填写工作，将信息系统的定级结果报上一级单位进行审核。针对安全保护等级定为第三级的信息系统还应组织召开专家评审会，对信息系统定级结果的合理性和正确性进行论证和审定。

信息系统安全保护等级应遵循《信息安全等级保护管理办法》和国家有关标准进行等级划分，共分为五级，第一级为自主保护级，第二级为指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级（具体定义可参见《烟草行业信息系统安全等级保护与信息安全事件的定级准则（以下简称定级指南）》（YC/T 389-2011））。对于由多个信息系统集成整合为一个信息系统的，要按其中信息系统的最高安全保护等级进行定级；对于安全需求基本相同的信息系统，其安全保护等级要基本一致。

2.2 方案设计

在方案设计阶段，信息化工作部门和业务主管部门应根据信息系统的安全保护等级，结合信息系统承载的业务和系统服务情况，分析信息系统可能存在的威胁、脆弱性，提出信息系统的安全运行要求和信息（数据）的保护要求，按照《烟草行业信息系统安全等级保护实施规范》的要求分别从机房环境保护、网络环境保护、应用支撑环境保护、应用软件安全、安全管理等方面，对数字证书身份认证、数字签名、数据加密、安全审计、用户名唯一性、密码复杂度控制、登录失败处理、并发访问限制等安全性指标提出具体的安全要求，形成安全建设方案和安全建设规划，明确总体安全策略、安全技术框架、安全管理策略和详细设计方案。并组织相关部门和有关安全技术专家对安全方案的合理性和正确性进行论证和审定。

信息系统的安全设计应基于业务流程自身特点，建立“可信、可控、可管”的安全防护体系，使得系统能够按照预期运行，免受攻击和破坏。

“可信”即以可信认证为基础，构建一个可信的业务系统执行环境，即用户、平台、程序都是可信的，确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行，不會出现非预期的流程，从而保障了业务系统安全可信。

“可控”即以访问控制技术为核心，实现主体对客体的受控访问，保证所有的访问行为均在可控范围之内进行，在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作，永远都按系统设计的策略进行资源访问，保证了系统信息的安全可控。endprint

“可管”即通过构建集中管控、最小权限管理与三权分立的管理平台，为管理员创建一个工作平台，使其可以进行技术平台支撑下的安全策略管理，从而保证信息系统安全可管。

2.3 产品采购

在产品采购阶段，信息化工作部门应严格按照烟草行业和本单位采购流程进行产品采购，采购的安全产品、安全服务商应符合国家有关规定，采购的密码产品应符合国家密码主管部门的要求；并与产品供应商、安全服务商等签订服务合同，明确服务内容、安全责任等。针对定制开发的信息系统，还应在签订的服务合同中明确知识产权问题，要求安全服务商提供软件源代码。

2.4 软件开发

在软件开发阶段，信息化工作部门需要组织业务部门与服务商，明确该系统的安全建设范围和内容，设定安全性指标要求，合理判定该信息系统是否符合行业内的网络及信息安全要求。信息化工作部门应制定软件源代码编写规范，如命名规范：规范变量、函数的命名、规范程序的书写格式等；URL内容安全：对于Web应用，不能在URL上暴露任何重要信息，如密码、服务器名称、IP地址或者文件系统路径等；错误信息安全：所有为用户显示的错误信息不应暴露任何关于系统、网络或应用程序的敏感信息。设置独立的开发环境进行代码编写、调试，对于一些不能通过采购现有安全产品来实现的安全措施和安全功能，要通过设计、开发专门的安全功能模块来实现，如提供专门的安全审计模块，对每个用户的重要操作和系统异常事件进行审计，信息化工作部门应对开发日志及开发人员权限进行定期审核。

软件开发过程中的变更管理要进行严格的安全控制，在开发过程中每一阶段（可行性研究、需求分析、设计、编码、测试、培训等）的变更实施需要经过评审与授权。信息化工作部门应对变更的申请、评审、测试、批准、更改计划的提出和实施提出明确要求并严格实施，确保安全性与控制程序不被损害，确保任何改动都是经过审批的。

对于软件开发过程中的版本控制，信息化工作部门对应用系统开发源程序的打印资料、电子版本或者相关报告都必须进行控制，纸质文件应当保存在一个安全的环境下，如保险柜等，电子文档则应采取一定的加密措施。程序版本的发布与更新需要执行必要的审批流程，确认系统的各种安全特性是否达标；旧的版本需进行归档，不得随意丢弃或删除；信息化工作部门应组织业务部门与服务商制定相关的升级计划，确保将系统升级对业务的影响降至最低。

2.5 系统集成

在系统集成阶段，主要是将安全产品、软件平台和开发的安全功能模块与各种应用综合、整合成为一个系统。信息化工作部门应要求安全服务商制定详细的系统集成实施方案，明确实施过程中各阶段的质量控制目标、控制措施、实施人员的职责要求和时间安排等。可以通过建立RACI模型，明确系统实施过程中的各方角色及其相关责任，在各系统安全保护等级的基础上，由信息化工作部门统一协调、组织，各级业务部门对其信息系统安全等级保护的实施与管理负责，信息化工作部门对信息系统负有监督、检查、指导并提供安全保护服务的工作职责。在实施过程中，信息化工作部门应要求安全服务商按照实施方案，分阶段逐步实现质量控制目标，并对各阶段的实施情况进行总结。

2.6 系统测试

在系统测试阶段，主要包括安全测试与等级测评两项工作。

信息系统的安全测试，应由信息化工作部门组织相关部门和人员进行，验证系统是否按照安全方案进行建设，是否完全实现了开发设计的要求。在系统上线前还应对信息系统进行全面的安全测试，包括配置检查、工具扫描、渗透测试、恶意代码检测、源代码后门审查等。对于安全测试过程中发现的问题，能立即整改的要在上线前完成整改，经确认后信息系统方可上线运行。对于安全保护等级定为第三级的信息系统，需要委托公正的第三方机构对信息系统进行安全性测试，在验收前委托测评机构对信息系统进行等级测评。

信息系统的等级测评，是依据国家以及烟草行业内信息安全等级保护《定级指南》、《信息安全等级保护管理办法》中的相关要求，对信息系统进行符合性测评。信息系统等级测评内容包括：单元测评、整体测评。单元测评包括安全技术测评和安全管理测评两大部分，其中安全技术测评包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等5个安全技术层面。安全管理测评包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。最后根据整体测评结果提出安全整改建议。

信息化工作部门应当至少每年委托测评机构对第三级信息系统的信息安全状况开展等级测评，在整个测评过程中需要重点强调项目质量管理和控制，突出的是变更控制管理和风险管理。整个测评过程中禁止系统管理员边測评边整改，防止由于测评导致系统故障。在信息系统安全状况日常检测工作中，信息化工作部门通过组织内部人员参与实践，可以提高参与人员信息安全的专业技能，促进他们深刻理解信息安全等级保护法规对信息安全工作的指导性意义，也使决策者全面了解本单位整体信息安全状况，为信息安全方面的决策提供数据支持。信息化工作部门内部的自查、自测工作与专业机构的等级测评有机结合，可以使信息安全建设工作常态化、稳步推进企业信息系统安全保障水平。

2.7 系统培训

在系统培训阶段，信息化工作部门和业务主管部门应要求安全服务商和产品供应商对系统运维人员和系统使用人员进行相关技能和使用培训，负责信息安全工作的人员需要清晰地理解等级保护的概念，准确把握等级保护的适用范围，如果对信息安全定级过高， 大于本单位所需要的等级，将导致本单位资源浪费，降低系统运行效率，增加日常管理负担；如定级过低，将导致系统得不到必要的安全保护，也容易引发系统安全问题，同时培训效果的好坏将直接影响到今后信息系统能否安全运行。

2.8 系统验收

在系统验收阶段，信息化工作部门应组织相关部门和人员准备验收材料对系统进行验收，并进行系统的交付，要求产品供应商和安全服务商提交系统建设过程中的文档、指导用户进行系统文档的运行维护，同时针对制定的安全管理策略、安全性指标进行同步验证与验收。endprint

2.9 系统备案

在系统备案阶段，主要完成公安机关和上一级单位的备案工作。在信息系统正式运行30日内，信息化工作部门应到公安机关办理信息系统备案手续。如果信息系统开展了等级测评工作，在完成测评工作后30日内将《信息系统安全等级测评报告》提交当地公安机关备案，针对测评报告中提出的问题，制定整改方案，及时进行整改，对整改过程进行记录。此外，信息化工作部门还应按照上一级单位要求每年定期将当年度信息系统定级、备案、撤销和测评等情况报上一级单位备案。

3 结语

本文通过对烟草行业信息系统建设现状的分析，开展了基于等级保护的信息系统安全建设过程研究，把等级保护工作与烟草行业信息化建设联系起来，坚持“准确定级、严格审批、及时备案、认真整改、科学测评”的原则，可以有效提高烟草行业信息系统安全保障水平。等级保护的建设和整改是伴随系统生命周期的一个循序渐进的过程，也是企业自身信息系统不断完善的过程，国家制定的等级保护标准是解决现阶段所面临的众多代表性问题，并不能覆盖所有行业面临的所有问题，甚至还有很多地方需要进一步完善。随着等级保护工作在烟草行业的深入开展，如何开展工业控制系统的安全等级保护工作是下一步的研究方向。

参考文献：

[1] YC/T 495-2014.烟草行业信息系统安全等级保护实施规范[S].2014.

[2] YC/T 389-2011.烟草行业信息系统安全等级保护与信息安全事件的定级准则[S].2011.

[3] GB/T 22239-2008.信息安全技术 信息系统安全等级保护基本要求[S].2008.

[4] GB/T 25058-2010.信息安全技术 信息系统安全等级保护實施指南[S].2010.

[5] 冯昌来，彭雪梅.以等级保护工作为抓手 践行信息安全与信息系统建设融合[C].第三届全国信息安全等级保护技术大会论文集，2014.

[6] 国烟办.烟草行业信息安全等级保护管理规定（国烟办综[2014]103号）[S].2014.

[7] 国烟办.国家烟草专卖局办公室关于开展行业信息系统全面梳理全面诊断全面加固工作的通知（国烟办综[2013]159号）[S].2013.endprint