当前,我国面临的信息安全保密形势日益严峻,本文从军工企业信息安全保密管理的角度出发,结合某军工企业信息系统、信息设备和存储设备安全保密管理实际情况,从构建军工企业信息安全保密管理体系文件框架和结构设计、文件构建以及应用成果等方面描述了体系文件的建设过程。为军工企业建立一套专业、规范、适合保密认定新标准的管理方法,为企业信息安全管理提供了有力的保障。
当前,世界各国信息化快速发展,信息技术的应用促进了全球资源的优化配置和发展模式创新, 信息化渗透到国民生活的各个领域,网络和信息系统已经成为关键基础设施乃至整个经济社会的神经中枢,围绕信息获取、利用和控制的国际竞争日趋激烈,保障信息安全成为各国的重要议题。
2010 年4 月29 日,第十一届全国人大常委会第十四次会议修订通过《中华人民共和国保守国家秘密法》;2014 年1 月17 日,国务院令第646 号颁布《中华人民共和国保守国家秘密法实施条例》;随着一系列保密和安全法律法规的颁布实施,以及保密工作面临的严峻形势和国防科技工业的改革发展,参与国防科技工业武器装备科研生产活动的军工企业的信息安全工作已经成为关乎全局的重大问题,直接关系着国家的安全和利益,关系社会稳定和经济发展,关系国防实力和国家科技水平的提升。国家对军工企业的信息安全工作提出更高的要求,明确规定承担涉密武器装备科研生产任务的单位必须通过保密资格审查认证;信息安全也日渐受到军工企业的重视,建立自上而下的组织体系,利用不断完善的技术手段来实现和提升信息安全防护控制能力。但“三分技术、七分管理”,信息安全技术手段健全的同时,建设重点就会从安全系统实施转向管理提升,安全机制变得重要起来。
背景
信息安全得到广泛关注的同时,国际和国内各种官方和科研机构都发布大量的安全标准,这些标准都是为了实现安全目标而服务,并从不同的角度对如何保障组织的信息安全提供了指导。国际信息安全标准ISO/IEC17799 于2000年正式颁布,标准分为“信息安全管理体系实施指南”和“信息安全管理体系规范”两个部分;国内信息安全标准GB/T 29246—2012/ISO/IEC 27000;2009 和GB/T 22080—2008/ISO/IEC27001;2005 分别从“信息安全管理体系 概述和词汇”和“信息安全管理体系 要求”上提出建设信息安全管理体系的标准。从我国军工企业信息安全保密管理的现状看,虽然各企业在信息安全保密管理方面都有一些初步的制度和策略,但是由于这项工作在企业中并不受重视,且缺乏系统性研究,面临着很多问题,信息安全管理体系的不完善,造成企业信息安全管理权利分散,缺乏统一管理,也是企业信息安全不能深入有效开展的重要原因之一。2016 年国家修订印发的《武器装备科研生产单位保密资格标准》( 国保发【2016】43 号) ( 以下简称标准)“7.6.4.1 信息化管理部门应当组织制定由信息安全策略、管理制度和操作规程等组成的信息安全保密管理体系文件,对信息系统、信息设备和存储设备的运行维护工作进行监管,组织对信息系统、信息设备和存储设备的安全保密检查”,首次提出体系化管理的要求。解读标准可以看出,信息安全保密管理体系文件是落实安全保密工作,实现信息系统、信息设备和存储设备可管、可用、可控、可查、可审、可追溯的基础,是信息系统、信息设备和存储设备的管理准则和控制流程,是保证涉密网络稳定可靠、安全保密运行的必要条件和基础保证,贯穿涉密网络规划、建设、使用、维护等的全过程。企业信息安全保密管理工作要取得实效并能够深入开展下去,必须严格执行国家有关信息安全与保密工作的制度和措施,使用通用的信息安全管理标准和方法来开展信息系统的安全管理工作。
本文从军工企业信息安全保密管理的角度出发,结合军工企业信息系统、信息设备和存储设备安全保密管理实际情况,从构建军工企业信息安全保密管理体系文件框架和结构设计、文件构建以及应用成果等方面描述了体系文件的建设过程。
框架结构设计
健全与完善信息安全保密管理体系,决不是增加或减少几条具体条款的简单问题,而是一个比较系统的过程,要结合企业信息安全保密管理工作实际和信息安全保密技术措施,对现有信息安全策略和管理制度进行认真梳理、认真审阅和深入研究的基础上,通盘考虑体系文件的横向协调和纵向贯通的问题、粗放和细化的问题、体系文件框架的搭建、文件条款的增加和删减等具体问题。需要从组织保障、体系构成、制定过程等多个方面予以充分考量,确保信息安全保密管理体系建设的科学合理。
建立体系文件建设机构,落实建设工作职能
( 1)由企业信息化管理部门牵头,建立由信息化管理部门、保密管理部门、人事管理部门、保卫部门、资产管理部门、信息系统管理三员共同参加的体系建设工作领导小组、体系建设办公室。
(2)落实体系建设办公室职能: 全面掌握和熟悉国家及上级公司的信息安全保密管理相关的标准及制度;广泛收集企业相关部门对体系文件的意见,确保体系文件的广泛性和有效覆盖;制定体系、理顺流程、定期检查、强化考核。
(3)参与体系文件的编写人员应熟悉信息系统日常管理的流程及相关人员的职责权限,熟悉信息系统安全管理所依托的技术要求和管理标准。
构建企业信息安全保密管理体系文件框架
解读标准可以看出,信息安全保密管理体系文件是由信息安全策略、管理制度和操作规程等组成。安全策略针对安全问题提出对策和解决方案,管理制度应当保障安全策略提出的对策和解决方案能够正确执行,操作规程是安全策略在信息系统、信息设备和存储设备上具体实现的操作步骤,这三部分既相互独立,又互相关联,缺一不可。
因此,在编制体系文件前,我们必须要明确编制的目的,编制的体系文件要应用于哪些方面?解决哪些问题?文件涉及和覆盖的范围是什么?针对企业信息安全保密管理上存在的问题进行细致研究和讨论,依托调研结果,对信息安全保密管理体系文件的进行分层设计,统一规划。安全策略为体系文件的第一层即顶层文件,涵盖物理安全策略、技术防护策略、运行安全策略等方面;体系文件的第二层为管理制度,从信息系统、信息设备和存储设备的管理、使用、维护,以及保障安全策略相关的各项规定和要求,确保安全策略的实施和落实。
管理制度制定时应涵盖人员管理、物理设施与环境管理、设备与介质管理、运行与开发管理、信息安全保密等方面;体系文件的第三层为操作规程,操作规程应明确实施安全策略的资源、设备、工具和人员,确定安全配置管理权限的划分和变更流程,明确实施安全策略时应当履行的规定程序和具体步骤。
安全策略文件结构设计
安全策略的制定应当以国家相关部门的法规、标准和技术要求为准绳,在制定安全策略前,应当分析信息系统、信息设备和存储设备等存在的脆弱性和威胁,识别安全隐患,根据单位涉密信息系统的保护等级、安全保密目标和范围、安全原则、安全方针,结合单位自身实际情况,提出解决安全问题的管理办法和控制措施。同时,应根据环境、系统和威胁变化情况,进行动态调整,以适应不断变化的涉密网络安全保密管理需求。针对安全策略涵盖的物理安全策略、技术防护策略、运行安全策略等方面进行结构设计,信息安全保密管理制度结构设计框架(见图1)。
图1 信息安全保密管理制度结构设计
安全策略一般包括以下内容。
(1)物理安全策略
主要包括物理隔离、涉密场所环境与区域控制、中心机房与配线间、综合布线、信息设备安全以及无线与多媒体产品使用管控等。
(2)技术防护策略
主要包括安全保密产品和工具、通信和传输安全、信息设备安全、存储设备安全、操作安全(主要是身份鉴别、访问控制和导入导出)、应用系统安全、信息交换安全、数据和数据库安全、开发和维护安全、安全监控与审计安全策略、密码保密安全策略、信息完整性策略、抗抵赖策略以及电磁泄露发射防护等。
(3)运行安全策略
主要包括涉密网络的运行维护策略、备份与恢复安全策略、应急响应策略等。
管理制度文件结构设计
信息安全保密管理制度是信息安全保密管理体系运行的“交通法规”,是体系运行的流程,连接着操作规程和各项工作记录。信息安全保密的核心是确保信息系统内国家秘密的安全,针对涉密信息产生、存储、处理、传输、归档和销毁的全过程,建立健全稳定、有效的信息安全运行管理机制,使企业信息安全的管理有法可依、有章可循。
信息安全保密管理制度应具有全生命周期大闭环和小闭环的特点。大闭环应基于信息系统管理的各个环节,从信息系统建设或整改计划、方案、实施、系统运行与监控、审计报告、风险自评估报告再到整改计划等形成持续改进的信息系统的运行管理模式。针对管理制度涵盖的人员管理、物理设施与环境管理、设备与介质管理、运行与开发管理、信息安全保密五个方面建立统一的信息安全保密管理制度框架(见图2)。小闭环应基于管理制度中管理主体进行规划,以信息设备管理为例,全生命周期需要从设备的确定密级、申领(入网)、使用、变更、维修、停用或退出使用、报废、销毁等环节形成一个完整的闭环程序。管理制度应对人员责任、涉密信息处理流程、涉密网络维护等方面的保密管理工作明确责任、奖惩和要求。在制定时,必须从企业信息安全保密管理的实际出发,充分论证、实事求是,明确各部门职责和权限,理顺信息安全保密管理工作流程,使制定的制度具有科学性和可操作性。
图2 改进后的信息安全保密管理制度结构设计
信息安全管理制度一般包括以下内容。
(1)安全保密管理机构及职责管理规定包括计算机和信息系统的保密管理机构与职责。
(2)安全保密管理人员管理规定
包括涉密网络安全保密管理人员与使用人员的审查、确定、变更、备案、教育培训等内容,安全保密管理人员的职责与权限等。
(3)涉密网络中心机房和设备间安全管理规定
包括涉密网络机房与设备间日常管理、值班人员管理、机房和设备间出入控制管理等内容。
(4)网络设备安全保密管理规定
包括交换机和路由器的安全保密管理要求等内容。
(5)设备与介质安全保密管理规定
包括设备与介质选型与采购、交付与验收、台帐管理、清查核对、标识与安放、接入管理、变更管理、注销管理、维修与报废管理要求等内容。
(6)安全保密产品管理规定
包括涉密网络中使用的防火墙、入侵检测产品、计算机病毒与恶意代码防护产品、漏洞扫描产品、安全监控与审计产品、身份认证系统、电磁泄漏发射防护产品等安全保密产品的管理要求等内容。
(7)服务器和用户终端安全保密管理规定
包括涉密网络的服务器和数据库管理、用户终端管理、软件安装管理等内容。
(8)便携式计算机安全保密管理规定
包括便携式计算机管理要求 ,便携式计算机借用、归还、外出携带管理 ,便携式计算机信息输出管理等内容。
(9)应用系统安全保密管理规定
包括涉密网络中应用系统开发、安装、用户管理与授权、涉密信息总量统计要求等内容。
(10)保密检查及风险评估管理规定
包括涉密网络的保密检查与风险评估的内容、程序、工具、人员、实施方式等内容。
(11)应急预案与应急响应管理规定
包括软硬件备份的要求,涉密网络应急预案的编制、完善及恢复演练要求等内容。
(12)信息输入输出管理规定
包括涉密网络内各类信息(含电子文件)的输入输出管理要求,各类电子文件的打印、刻录输出控制的管理要求,信息导入导出流程等内容。
(13)计算机病毒与恶意代码防护管理规定
包括计算机病毒、恶意代码、木马程序查杀工具的选型、配置、策略设置、升级和查杀要求等内容。
操作规程结构设计
信息系统、信息设备和存储设备操作规程是对安全策略和管理制度某个步骤的具体操作的描述,是对安全策略和管理制度的有力支撑。操作规程涵盖信息系统管理员(三员)和信息系统用户的操作规范两个方面。信息系统、信息设备和存储设备管理员(三员)操作规程是执行信息安全策略,保密技术防护措施有效执行的具体部署操作,保证信息安全保密策略文件的实施和落实,应基于安全策略文件的结构进行设计编制。用户操作规程是执行信息系统、信息设备和存储设备安全保密管理制度中的各项管理要求,将制度要求落到实处,明确办事程序和办事环节,可操作、行得通、有效率。应基于管理制度文件的结构进行设计编制。
在制定操作规程前,应统一各个操作规程的模板,简单易懂、图文并茂,包含以下五个方面的要素:WHO( 什么人)、WHEN(什么时候)、WHERE ( 在哪)、MUST( 必须做)、WHAT(什么)。应将各项工作记录表格和审批单涵盖在操作规程的各个环节中,确保信息系统、信息设备和存储设备全生命周期管理过程中,均有审批和记录,各种管理和控制过程均有据可查。以《计算机领用与入网操作规程》为例:
第一条 计算机领用与接入园区网应按本操作的要求执行。
第二条 计算机领用与接入园区网的操作过程与要求如下:
(1)由责任人提出计算机领用申请,填写《计算机领用与入网操作规程》,经审批后,向设备管理部门办理手续;
(2)如果为入网计算机,设备管理部门在发放计算机前按《园区网终端防护策略》按照相关软硬件,进行安全保密防护;如果为单机,设备管理部门在发放前应按《单机防护策略》安装相关软硬件,进行安全保密防护;填写《计算机按照执行记录》;
(3)信息化管理部门应根据设备发放情况更新台账;
(4)计算机领用与入网审批登记表及执行记录根据《信息系统工作档案管理操作规程》进行归档管理。
第三条 本操作规程由信息中心负责解释。
审批流程如图3 所示,审批单如图4 所示,工作记录表如图5 所示。该记录表说明:1)本操作单适用于《计算机领用与入网操作规程》(策略编号与版本号;2)完成台账更新后,本操作单根据《工作档案管理规程》(策略编号与版本号:)进行管理。
图3 计算机领用与入网审批流程
图4 计算机领用与入网审批登记表
图5 计算机安装执行记录表
应用结果
通过系统性的设计构建涵盖安全策略、管理制度、操作规程的信息安全管理体系文件,把新标准的要求贯彻和融入到日常生产经营业务流程和管理工作中,形成了信息安全保密体系的三层架构。对信息系统、信息设备和存储设备管理的各个环节进行了规范,体现全生命周期管理、全过程规范、闭环管理等体系设计要求。在信息安全保密管理体系实施过程中,月度审计报告、季度保密技术检查、年度风险评估报告多重机制是信息安全保密管理的主要抓手,保障信息安全保密管理体系文件的逐步落实。此次信息安全保密管理体系文件的构建与应用,为企业建立一套专业、规范、适合保密认定新标准的信息系统、信息设备和存储设备管理方法,为企业信息安全管理提供有力的保障,使企业信息安全的管理有法可依,有章可循,取得一定的管理成效。有效促进军工企业形成信息安全管理的长效机制,提高军工企业信息安全的保障能力。
结语
随着信息安全技术的发展,未来的涉密信息安全保密技术防范措施将会越来越完善。同时我们也应该注意到,如果没有强有力的管理体系来支持,再好的及时防范措施都会大打折扣。所以安全保密工作不能完全寄希望于技术设备,而应该技术、管理并重。内外并举,实行综合治理,努力打造军工企业信息安全工作的“盾牌”。
作者
王晓恒,中国航发贵州黎阳航空动力有限公司技术中心主管技术员,工程师,研究方向为信息安全保密体系文件的构建与应用。
杨勇昌,中国航发贵州黎阳航空动力有限公司技术中心副主任,高级工程师,研究方向为信息安全保密体系文件的构建与应用。
(本文选自《信息安全与通信保密》2018年第十一期)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
