◆顧 煜

?

以風(fēng)險(xiǎn)為導(dǎo)向的煙草行業(yè)信息安全保障體系的設(shè)計(jì)思路

◆顧 煜

（江蘇中煙工業(yè)公司南京卷煙廠信息中心江蘇210000）

本文詳細(xì)分析了信息系統(tǒng)當(dāng)前所面臨的安全現(xiàn)狀，闡述了以風(fēng)險(xiǎn)為導(dǎo)向的信息安全保障體系的設(shè)計(jì)思路。結(jié)合等級(jí)保護(hù)、國(guó)家和行業(yè)標(biāo)準(zhǔn)一系列標(biāo)準(zhǔn)規(guī)范要求，基于安全風(fēng)險(xiǎn)的全生命周期的風(fēng)險(xiǎn)管理機(jī)制，技術(shù)與管理相結(jié)合的方法，構(gòu)建全面的信息安全保障體系架構(gòu)，并提出落實(shí)體系架構(gòu)所需要的實(shí)踐方法，為信息安全保障體系建設(shè)提供參考。

風(fēng)險(xiǎn)管理；信息安全；信息安全保障體系

0 引言

隨著信息化水平的不斷提高，各行各業(yè)對(duì)信息系統(tǒng)的依賴程度日益增強(qiáng)，信息安全問(wèn)題日益突出并受到普遍關(guān)注。風(fēng)險(xiǎn)管理是信息安全基礎(chǔ)工作，是以可接受的代價(jià)，識(shí)別、控制、減少或者消除信息系統(tǒng)安全風(fēng)險(xiǎn)的過(guò)程，信息安全風(fēng)險(xiǎn)和事件不可能完全避免，關(guān)鍵在于如何控制、化解和規(guī)避風(fēng)險(xiǎn)；而風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理過(guò)程中一個(gè)重要基石，是信息安全建設(shè)的起點(diǎn)和基礎(chǔ)，是一種提倡適度安全的科學(xué)方法。運(yùn)用風(fēng)險(xiǎn)評(píng)估方法去識(shí)別安全風(fēng)險(xiǎn)，解決信息安全問(wèn)題得到了廣泛的認(rèn)識(shí)和應(yīng)用。

近年來(lái)，國(guó)家信息化領(lǐng)導(dǎo)小組非常重視風(fēng)險(xiǎn)評(píng)估工作的推進(jìn)情況，先后印發(fā)了《信息安全風(fēng)險(xiǎn)評(píng)估指南》、《信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作方案》、《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》《關(guān)于印發(fā)2006—2020年國(guó)家信息化發(fā)展戰(zhàn)略的通知》、《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》等文件，并逐步在國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要行業(yè)信息系統(tǒng)中普遍推行信息安全風(fēng)險(xiǎn)評(píng)估工作；同時(shí)，2017年6月1日《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式頒布，文中第三十八條明確規(guī)定了“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估，并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門(mén)”，為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理相關(guān)工作提供了充分的法律依據(jù)，促使網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的范圍得到全面擴(kuò)展。

國(guó)家局對(duì)網(wǎng)絡(luò)安全的要求也越來(lái)越高，先后印發(fā)了《煙草行業(yè)信息安全保障體系建設(shè)指南》（國(guó)煙辦綜[2008]147號(hào)）、《關(guān)于做好煙草行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（國(guó)煙辦綜[2008]358號(hào)）、《國(guó)家煙草專賣局辦公室關(guān)于開(kāi)展行業(yè)信息系統(tǒng)全面梳理全面診斷全面加固工作的通知》（國(guó)煙辦綜〔2013〕159號(hào)）等加強(qiáng)網(wǎng)絡(luò)信息安全建設(shè)的規(guī)章制度和標(biāo)準(zhǔn)，扎實(shí)有效開(kāi)展網(wǎng)絡(luò)安全工作，不斷提高網(wǎng)絡(luò)安全防范能力，從而最大限度地保障網(wǎng)絡(luò)信息安全。

但隨著信息安全技術(shù)不斷更新，信息系統(tǒng)不斷面臨新的風(fēng)險(xiǎn)。同時(shí)為了貫徹和落實(shí)國(guó)家及行業(yè)信息安全相關(guān)工作要求，南京卷煙廠信息中心積極研究和探索信息安全工作思路方法，圍繞如何將安全管理制度和流程有效執(zhí)行，如何使安全技術(shù)防護(hù)能力持續(xù)有效提升，通過(guò)何種方式來(lái)驅(qū)動(dòng)信息安全有效檢測(cè)、防護(hù)、監(jiān)控和響應(yīng)等幾個(gè)方面，結(jié)合企業(yè)實(shí)際情況，建設(shè)適合本企業(yè)的信息安全保障體系，使得風(fēng)險(xiǎn)防控工作做到“可管”和“可控”，逐步走向“可信”。

1 信息系統(tǒng)安全現(xiàn)狀

近年來(lái)，南京卷煙廠信息中心不斷加強(qiáng)信息安全建設(shè)，以行業(yè)三全工作、信息安全專項(xiàng)檢查等為抓手，陸續(xù)完成基礎(chǔ)信息安全防護(hù)體系建設(shè)、基礎(chǔ)信息安全運(yùn)維機(jī)制建立、常態(tài)化信息系統(tǒng)安全加固等工作，保障了信息系統(tǒng)穩(wěn)定運(yùn)行。但從信息安全的全局上來(lái)看，依然存在一些問(wèn)題，主要?dú)w結(jié)以下幾點(diǎn)：

（1）安全管理制度體系不夠完善：在安全管理制度體系建設(shè)方面，煙草行業(yè)普遍存在重技術(shù)輕管理，安全管理制度體系不完善、不全面、不系統(tǒng)的現(xiàn)象。行業(yè)、省局陸續(xù)下發(fā)了一系列信息安全管理的制度、標(biāo)準(zhǔn)、規(guī)范，公司已有信息安全管理制度未隨著上級(jí)規(guī)范要求及公司的發(fā)展，動(dòng)態(tài)地去健全和完善。

（2）安全防護(hù)能力有待加強(qiáng)：在安全建設(shè)之初，由于缺乏統(tǒng)一的架構(gòu)指導(dǎo)和規(guī)劃，存在部署、分區(qū)不明確等問(wèn)題。且部分安全設(shè)備自接入網(wǎng)絡(luò)后疏于管理，策略從未更新，冗余策略過(guò)多。更有甚者，有些信息安全設(shè)備自從上線使用以來(lái)，從來(lái)沒(méi)有開(kāi)啟過(guò)防護(hù)策略，成了一個(gè)空擺設(shè)，對(duì)信息安全防護(hù)毫無(wú)作用。

（3）日常安全運(yùn)維機(jī)制有待完善：信息系統(tǒng)缺乏一個(gè)周期性技術(shù)檢測(cè)手段，導(dǎo)致技術(shù)性安全隱患可能長(zhǎng)期存在；同時(shí)缺乏對(duì)信息安全主動(dòng)預(yù)警、監(jiān)測(cè)和響應(yīng)機(jī)制。

（4）安全意識(shí)缺乏：目前安全相關(guān)人員對(duì)信息安全的認(rèn)識(shí)大部分停留在網(wǎng)絡(luò)技術(shù)層面，安全管理意識(shí)不到位。員工的信息安全意識(shí)缺乏、安全架構(gòu)中專業(yè)技術(shù)人員較少、信息系統(tǒng)安全方面可投入的力量有限等問(wèn)題是安全管理工作薄弱環(huán)節(jié)，員工安全意識(shí)培訓(xùn)和專業(yè)技能培訓(xùn)評(píng)測(cè)工作還需加強(qiáng)。

為了減少和消除上述安全問(wèn)題，同時(shí)為了貫徹和落實(shí)國(guó)家及行業(yè)信息安全相關(guān)工作要求，信息中心積極研究和探索如何更好地開(kāi)展信息安全建設(shè)并保障信息系統(tǒng)的正常運(yùn)轉(zhuǎn)，提出以風(fēng)險(xiǎn)為導(dǎo)向的信息安全保障體系建設(shè)思路，以風(fēng)險(xiǎn)管理為驅(qū)動(dòng)，實(shí)現(xiàn)安全事件的檢測(cè)、分析、監(jiān)控、響應(yīng)和審計(jì)的全生命周期的運(yùn)維機(jī)制。有效執(zhí)行安全管理制度和流程，安全技術(shù)防護(hù)能力不斷維護(hù)和提升，結(jié)合行業(yè)信息系統(tǒng)安全現(xiàn)狀，設(shè)計(jì)出信息安全保障體系架構(gòu)，并對(duì)架構(gòu)各功能模塊進(jìn)行分析并形成相應(yīng)的改進(jìn)措施，同時(shí)將解決方案進(jìn)行對(duì)應(yīng)，設(shè)計(jì)出信息安全保障體系建設(shè)藍(lán)圖。達(dá)到信息安全建設(shè)“以安全運(yùn)維為驅(qū)動(dòng)、技術(shù)與管理并重、達(dá)到信息系統(tǒng)縱深防御”的目標(biāo)。

2 以風(fēng)險(xiǎn)為導(dǎo)向的信息安全保障體系設(shè)計(jì)

根據(jù)行業(yè)信息系統(tǒng)的特點(diǎn)和現(xiàn)狀，并結(jié)合等級(jí)保護(hù)設(shè)計(jì)思想以及國(guó)內(nèi)外信息安全最佳實(shí)踐，提出基于以風(fēng)險(xiǎn)為導(dǎo)向的信息安全保障體系模型。

信息安全架構(gòu)主要基于“風(fēng)險(xiǎn)導(dǎo)向”為主線的設(shè)計(jì)思路，以保障業(yè)務(wù)連續(xù)性為目標(biāo)。

（1）信息安全技術(shù)架構(gòu)作為信息安全體系架構(gòu)的基礎(chǔ)支撐設(shè)施，以“等級(jí)化”思路從四個(gè)方面進(jìn)行縱深防護(hù)：物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用安全和數(shù)據(jù)安全。

（2）以風(fēng)險(xiǎn)為導(dǎo)向是指整個(gè)架構(gòu)是基于風(fēng)險(xiǎn)的全生命周期管理，包括檢測(cè)、分析、監(jiān)控、響應(yīng)和審計(jì)五個(gè)環(huán)節(jié)，其中檢測(cè)與分析機(jī)制依托成熟的信息安全方案和產(chǎn)品來(lái)實(shí)現(xiàn)、通過(guò)建立符合行業(yè)要求及現(xiàn)狀的安全管理組織架構(gòu)來(lái)落實(shí)監(jiān)控、響應(yīng)和審計(jì)流程來(lái)建立日常運(yùn)維機(jī)制。

（3）落實(shí)安全防護(hù)和日常運(yùn)維機(jī)制后，還需完善包含信息安全方針策略、流程及標(biāo)準(zhǔn)等完善的信息安全管理體系來(lái)實(shí)現(xiàn)對(duì)業(yè)務(wù)需求的承諾。

3 信息安全保障體系建設(shè)藍(lán)圖

根據(jù)信息安全保障體系架構(gòu)藍(lán)圖設(shè)計(jì)，對(duì)架構(gòu)各功能模塊進(jìn)行分析并形成相應(yīng)的改進(jìn)措施，同時(shí)將安全技術(shù)解決方案與之進(jìn)行對(duì)應(yīng)，設(shè)計(jì)出信息安全保障體系建設(shè)藍(lán)圖，如圖1。

具體技術(shù)實(shí)踐見(jiàn)圖中藍(lán)色字體表示，設(shè)計(jì)出建設(shè)藍(lán)圖后，需要根據(jù)行業(yè)的實(shí)際情況和建設(shè)現(xiàn)狀，與建設(shè)藍(lán)圖進(jìn)行差異化分析，并對(duì)所需建設(shè)的項(xiàng)目的緊迫性、約束關(guān)系等因素進(jìn)行項(xiàng)目?jī)?yōu)先級(jí)排序，最終確定行業(yè)信息安全保障體系實(shí)施計(jì)劃。

4 結(jié)束語(yǔ)

信息安全保障體系建設(shè)具有動(dòng)態(tài)性、長(zhǎng)期性的特點(diǎn)，信息安全建設(shè)最終目標(biāo)是為業(yè)務(wù)正常運(yùn)行和信息化持續(xù)建設(shè)提供支撐，當(dāng)發(fā)生業(yè)務(wù)轉(zhuǎn)型、業(yè)務(wù)變更或大規(guī)模的信息變化時(shí)，需要及時(shí)對(duì)信息安全保障體系進(jìn)行修訂和改進(jìn)。同時(shí)，應(yīng)關(guān)注IT新技術(shù)帶來(lái)的安全威脅，如云計(jì)算和虛擬化，移動(dòng)互聯(lián)網(wǎng)的推廣帶來(lái)的安全問(wèn)題，通過(guò)研究和開(kāi)發(fā)相應(yīng)的安全解決方案，為優(yōu)化體系提出改進(jìn)要求；另外國(guó)家、行業(yè)發(fā)布與信息安全相關(guān)要求的變化，如保密、等級(jí)保護(hù)、內(nèi)控等新要求，保障體系要能及時(shí)更新。最后，應(yīng)對(duì)信息安全保障體系進(jìn)行執(zhí)行情況的檢查與考核，可以有效促進(jìn)體系的落地，對(duì)結(jié)果進(jìn)行匯總分析有助于及時(shí)發(fā)現(xiàn)體系不適宜和無(wú)效的部分，及時(shí)進(jìn)行修訂和改進(jìn)，最終保證信息安全體系的適應(yīng)性。

圖1 建設(shè)藍(lán)圖

[1]信息保障技術(shù)框架（IATF）.

[2]黎水林.基于安全域的政務(wù)外網(wǎng)安全防護(hù)體系[J].等級(jí)保護(hù)，2012（07）.

[3]沈羿.論煙草行業(yè)網(wǎng)絡(luò)信息安全保障體系構(gòu)建[J].信息技術(shù)應(yīng)用研究，2010(10).

[4]李益文.煙草行業(yè)信息安全運(yùn)維管理體系建設(shè)的思考[J].實(shí)踐與探討，2009(02).