以風(fēng)險為導(dǎo)向的煙草行業(yè)信息安全保障體系的設(shè)計思路

◆顧 煜

?

以風(fēng)險為導(dǎo)向的煙草行業(yè)信息安全保障體系的設(shè)計思路

◆顧 煜

（江蘇中煙工業(yè)公司南京卷煙廠信息中心江蘇210000）

本文詳細(xì)分析了信息系統(tǒng)當(dāng)前所面臨的安全現(xiàn)狀，闡述了以風(fēng)險為導(dǎo)向的信息安全保障體系的設(shè)計思路。結(jié)合等級保護(hù)、國家和行業(yè)標(biāo)準(zhǔn)一系列標(biāo)準(zhǔn)規(guī)范要求，基于安全風(fēng)險的全生命周期的風(fēng)險管理機(jī)制，技術(shù)與管理相結(jié)合的方法，構(gòu)建全面的信息安全保障體系架構(gòu)，并提出落實(shí)體系架構(gòu)所需要的實(shí)踐方法，為信息安全保障體系建設(shè)提供參考。

風(fēng)險管理；信息安全；信息安全保障體系

0 引言

隨著信息化水平的不斷提高，各行各業(yè)對信息系統(tǒng)的依賴程度日益增強(qiáng)，信息安全問題日益突出并受到普遍關(guān)注。風(fēng)險管理是信息安全基礎(chǔ)工作，是以可接受的代價，識別、控制、減少或者消除信息系統(tǒng)安全風(fēng)險的過程，信息安全風(fēng)險和事件不可能完全避免，關(guān)鍵在于如何控制、化解和規(guī)避風(fēng)險；而風(fēng)險評估是風(fēng)險管理過程中一個重要基石，是信息安全建設(shè)的起點(diǎn)和基礎(chǔ)，是一種提倡適度安全的科學(xué)方法。運(yùn)用風(fēng)險評估方法去識別安全風(fēng)險，解決信息安全問題得到了廣泛的認(rèn)識和應(yīng)用。

近年來，國家信息化領(lǐng)導(dǎo)小組非常重視風(fēng)險評估工作的推進(jìn)情況，先后印發(fā)了《信息安全風(fēng)險評估指南》、《信息安全風(fēng)險評估試點(diǎn)工作方案》、《關(guān)于開展信息安全風(fēng)險評估工作的意見》《關(guān)于印發(fā)2006—2020年國家信息化發(fā)展戰(zhàn)略的通知》、《關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》等文件，并逐步在國家基礎(chǔ)信息網(wǎng)絡(luò)和重要行業(yè)信息系統(tǒng)中普遍推行信息安全風(fēng)險評估工作；同時，2017年6月1日《中華人民共和國網(wǎng)絡(luò)安全法》正式頒布，文中第三十八條明確規(guī)定了“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進(jìn)行一次檢測評估，并將檢測評估情況和改進(jìn)措施報送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門”，為網(wǎng)絡(luò)安全風(fēng)險管理相關(guān)工作提供了充分的法律依據(jù)，促使網(wǎng)絡(luò)安全風(fēng)險管理的范圍得到全面擴(kuò)展。

國家局對網(wǎng)絡(luò)安全的要求也越來越高，先后印發(fā)了《煙草行業(yè)信息安全保障體系建設(shè)指南》（國煙辦綜[2008]147號）、《關(guān)于做好煙草行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作的通知》（國煙辦綜[2008]358號）、《國家煙草專賣局辦公室關(guān)于開展行業(yè)信息系統(tǒng)全面梳理全面診斷全面加固工作的通知》（國煙辦綜〔2013〕159號）等加強(qiáng)網(wǎng)絡(luò)信息安全建設(shè)的規(guī)章制度和標(biāo)準(zhǔn)，扎實(shí)有效開展網(wǎng)絡(luò)安全工作，不斷提高網(wǎng)絡(luò)安全防范能力，從而最大限度地保障網(wǎng)絡(luò)信息安全。

但隨著信息安全技術(shù)不斷更新，信息系統(tǒng)不斷面臨新的風(fēng)險。同時為了貫徹和落實(shí)國家及行業(yè)信息安全相關(guān)工作要求，南京卷煙廠信息中心積極研究和探索信息安全工作思路方法，圍繞如何將安全管理制度和流程有效執(zhí)行，如何使安全技術(shù)防護(hù)能力持續(xù)有效提升，通過何種方式來驅(qū)動信息安全有效檢測、防護(hù)、監(jiān)控和響應(yīng)等幾個方面，結(jié)合企業(yè)實(shí)際情況，建設(shè)適合本企業(yè)的信息安全保障體系，使得風(fēng)險防控工作做到“可管”和“可控”，逐步走向“可信”。

1 信息系統(tǒng)安全現(xiàn)狀

近年來，南京卷煙廠信息中心不斷加強(qiáng)信息安全建設(shè)，以行業(yè)三全工作、信息安全專項檢查等為抓手，陸續(xù)完成基礎(chǔ)信息安全防護(hù)體系建設(shè)、基礎(chǔ)信息安全運(yùn)維機(jī)制建立、常態(tài)化信息系統(tǒng)安全加固等工作，保障了信息系統(tǒng)穩(wěn)定運(yùn)行。但從信息安全的全局上來看，依然存在一些問題，主要?dú)w結(jié)以下幾點(diǎn)：

（1）安全管理制度體系不夠完善：在安全管理制度體系建設(shè)方面，煙草行業(yè)普遍存在重技術(shù)輕管理，安全管理制度體系不完善、不全面、不系統(tǒng)的現(xiàn)象。行業(yè)、省局陸續(xù)下發(fā)了一系列信息安全管理的制度、標(biāo)準(zhǔn)、規(guī)范，公司已有信息安全管理制度未隨著上級規(guī)范要求及公司的發(fā)展，動態(tài)地去健全和完善。

（2）安全防護(hù)能力有待加強(qiáng)：在安全建設(shè)之初，由于缺乏統(tǒng)一的架構(gòu)指導(dǎo)和規(guī)劃，存在部署、分區(qū)不明確等問題。且部分安全設(shè)備自接入網(wǎng)絡(luò)后疏于管理，策略從未更新，冗余策略過多。更有甚者，有些信息安全設(shè)備自從上線使用以來，從來沒有開啟過防護(hù)策略，成了一個空擺設(shè)，對信息安全防護(hù)毫無作用。

（3）日常安全運(yùn)維機(jī)制有待完善：信息系統(tǒng)缺乏一個周期性技術(shù)檢測手段，導(dǎo)致技術(shù)性安全隱患可能長期存在；同時缺乏對信息安全主動預(yù)警、監(jiān)測和響應(yīng)機(jī)制。

（4）安全意識缺乏：目前安全相關(guān)人員對信息安全的認(rèn)識大部分停留在網(wǎng)絡(luò)技術(shù)層面，安全管理意識不到位。員工的信息安全意識缺乏、安全架構(gòu)中專業(yè)技術(shù)人員較少、信息系統(tǒng)安全方面可投入的力量有限等問題是安全管理工作薄弱環(huán)節(jié)，員工安全意識培訓(xùn)和專業(yè)技能培訓(xùn)評測工作還需加強(qiáng)。

為了減少和消除上述安全問題，同時為了貫徹和落實(shí)國家及行業(yè)信息安全相關(guān)工作要求，信息中心積極研究和探索如何更好地開展信息安全建設(shè)并保障信息系統(tǒng)的正常運(yùn)轉(zhuǎn)，提出以風(fēng)險為導(dǎo)向的信息安全保障體系建設(shè)思路，以風(fēng)險管理為驅(qū)動，實(shí)現(xiàn)安全事件的檢測、分析、監(jiān)控、響應(yīng)和審計的全生命周期的運(yùn)維機(jī)制。有效執(zhí)行安全管理制度和流程，安全技術(shù)防護(hù)能力不斷維護(hù)和提升，結(jié)合行業(yè)信息系統(tǒng)安全現(xiàn)狀，設(shè)計出信息安全保障體系架構(gòu)，并對架構(gòu)各功能模塊進(jìn)行分析并形成相應(yīng)的改進(jìn)措施，同時將解決方案進(jìn)行對應(yīng)，設(shè)計出信息安全保障體系建設(shè)藍(lán)圖。達(dá)到信息安全建設(shè)“以安全運(yùn)維為驅(qū)動、技術(shù)與管理并重、達(dá)到信息系統(tǒng)縱深防御”的目標(biāo)。

2 以風(fēng)險為導(dǎo)向的信息安全保障體系設(shè)計

根據(jù)行業(yè)信息系統(tǒng)的特點(diǎn)和現(xiàn)狀，并結(jié)合等級保護(hù)設(shè)計思想以及國內(nèi)外信息安全最佳實(shí)踐，提出基于以風(fēng)險為導(dǎo)向的信息安全保障體系模型。

信息安全架構(gòu)主要基于“風(fēng)險導(dǎo)向”為主線的設(shè)計思路，以保障業(yè)務(wù)連續(xù)性為目標(biāo)。

（1）信息安全技術(shù)架構(gòu)作為信息安全體系架構(gòu)的基礎(chǔ)支撐設(shè)施，以“等級化”思路從四個方面進(jìn)行縱深防護(hù)：物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用安全和數(shù)據(jù)安全。

（2）以風(fēng)險為導(dǎo)向是指整個架構(gòu)是基于風(fēng)險的全生命周期管理，包括檢測、分析、監(jiān)控、響應(yīng)和審計五個環(huán)節(jié)，其中檢測與分析機(jī)制依托成熟的信息安全方案和產(chǎn)品來實(shí)現(xiàn)、通過建立符合行業(yè)要求及現(xiàn)狀的安全管理組織架構(gòu)來落實(shí)監(jiān)控、響應(yīng)和審計流程來建立日常運(yùn)維機(jī)制。

（3）落實(shí)安全防護(hù)和日常運(yùn)維機(jī)制后，還需完善包含信息安全方針策略、流程及標(biāo)準(zhǔn)等完善的信息安全管理體系來實(shí)現(xiàn)對業(yè)務(wù)需求的承諾。

3 信息安全保障體系建設(shè)藍(lán)圖

根據(jù)信息安全保障體系架構(gòu)藍(lán)圖設(shè)計，對架構(gòu)各功能模塊進(jìn)行分析并形成相應(yīng)的改進(jìn)措施，同時將安全技術(shù)解決方案與之進(jìn)行對應(yīng)，設(shè)計出信息安全保障體系建設(shè)藍(lán)圖，如圖1。

具體技術(shù)實(shí)踐見圖中藍(lán)色字體表示，設(shè)計出建設(shè)藍(lán)圖后，需要根據(jù)行業(yè)的實(shí)際情況和建設(shè)現(xiàn)狀，與建設(shè)藍(lán)圖進(jìn)行差異化分析，并對所需建設(shè)的項目的緊迫性、約束關(guān)系等因素進(jìn)行項目優(yōu)先級排序，最終確定行業(yè)信息安全保障體系實(shí)施計劃。

4 結(jié)束語

信息安全保障體系建設(shè)具有動態(tài)性、長期性的特點(diǎn)，信息安全建設(shè)最終目標(biāo)是為業(yè)務(wù)正常運(yùn)行和信息化持續(xù)建設(shè)提供支撐，當(dāng)發(fā)生業(yè)務(wù)轉(zhuǎn)型、業(yè)務(wù)變更或大規(guī)模的信息變化時，需要及時對信息安全保障體系進(jìn)行修訂和改進(jìn)。同時，應(yīng)關(guān)注IT新技術(shù)帶來的安全威脅，如云計算和虛擬化，移動互聯(lián)網(wǎng)的推廣帶來的安全問題，通過研究和開發(fā)相應(yīng)的安全解決方案，為優(yōu)化體系提出改進(jìn)要求；另外國家、行業(yè)發(fā)布與信息安全相關(guān)要求的變化，如保密、等級保護(hù)、內(nèi)控等新要求，保障體系要能及時更新。最后，應(yīng)對信息安全保障體系進(jìn)行執(zhí)行情況的檢查與考核，可以有效促進(jìn)體系的落地，對結(jié)果進(jìn)行匯總分析有助于及時發(fā)現(xiàn)體系不適宜和無效的部分，及時進(jìn)行修訂和改進(jìn)，最終保證信息安全體系的適應(yīng)性。

圖1 建設(shè)藍(lán)圖

[1]信息保障技術(shù)框架（IATF）.

[2]黎水林.基于安全域的政務(wù)外網(wǎng)安全防護(hù)體系[J].等級保護(hù)，2012（07）.

[3]沈羿.論煙草行業(yè)網(wǎng)絡(luò)信息安全保障體系構(gòu)建[J].信息技術(shù)應(yīng)用研究，2010(10).

[4]李益文.煙草行業(yè)信息安全運(yùn)維管理體系建設(shè)的思考[J].實(shí)踐與探討，2009(02).