前言：中文期刊網(wǎng)精心挑選了網(wǎng)絡(luò)安全建設(shè)整改方案范文供你參考和學(xué)習(xí)，希望我們的參考范文能激發(fā)你的文章創(chuàng)作靈感，歡迎閱讀。

網(wǎng)絡(luò)安全建設(shè)整改方案范文1

【 關(guān)鍵詞 】 等級保護；煙草企業(yè)；信息安全體系

1 等級保護思想

等級保護思想自20世紀80年代在美國產(chǎn)生以來，對信息安全的研究和應(yīng)用產(chǎn)生著深遠的影響。以ITSEC、TCSEC、CC等為代表的一系列安全評估準則相繼出臺，被越來越多的國家和行業(yè)所引入。我國于20世紀80年代末開始研究信息系統(tǒng)安全防護問題，1994年國務(wù)院頒布《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務(wù)院147號令），明確規(guī)定計算機信息系統(tǒng)實行安全等級保護。至此，等級保護思想開始在我國逐漸盛行。

我國的安全等級保護主要對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護。其核心思想就是對信息系統(tǒng)分等級、按標(biāo)準分類指導(dǎo)，分階段實施建設(shè)、管理和監(jiān)督，以保障信息系統(tǒng)安全正常運行和信息安全。信息系統(tǒng)的安全等級保護由低到高劃分為五級，通過分級分類，以相應(yīng)的技術(shù)和管理為支撐，實現(xiàn)不同等級的信息安全防護。

2 煙草行業(yè)引入等級保護思想的意義

煙草行業(yè)高度重視等級保護工作，實施信息安全等級保護，能有效地提高煙草行業(yè)信息安全和信息系統(tǒng)安全建設(shè)的整體水平。

2.1 開展安全等級結(jié)構(gòu)化安全設(shè)計

安全等級保護在注重分級的同時，也強調(diào)分類、分區(qū)域防護。煙草行業(yè)雖強調(diào)分類、分區(qū)域，但存在一定局域性。同時，由于缺少分級準則，差異化保護尚未深化。引入等級保護思想，有助于深化結(jié)構(gòu)化安全設(shè)計理念，通過細分類型、劃分區(qū)域，全面梳理安全風(fēng)險，明晰防護重點，構(gòu)建統(tǒng)一的安全體系架構(gòu)。

2.2 注重全生命周期安全管理

等級保護工作遵循“自主保護、重點保護、同步建設(shè)、動態(tài)調(diào)整”四大基本原則，其“同步建設(shè)、動態(tài)調(diào)整”原則充分體現(xiàn)了全生命周期管理的思想。煙草行業(yè)在全建設(shè)“同步”思想方面體現(xiàn)不深，未在系統(tǒng)的建設(shè)初期將安全需求納入系統(tǒng)的整體階段。引入新思想，明確新建系統(tǒng)安全保護要求，提升安全管理效率。

3 等級保護在煙草行業(yè)的實施路徑

信息安全等級保護工作的內(nèi)容主要涉及系統(tǒng)定級備案、等級保護建設(shè)、風(fēng)險評估與等級安全測評、安全建設(shè)整改。煙草行業(yè)推行等級保護工作，其實施路徑主要有幾條。

3.1 信息系統(tǒng)安全定級

主要包括信息系統(tǒng)識別、信息系統(tǒng)劃分、安全等級確定。其中，原有信息系統(tǒng)根據(jù)業(yè)務(wù)信息安全重要性、系統(tǒng)服務(wù)安全重要性等方面綜合判定，合理定級。

3.2 等級保護安全測評

在等級保護環(huán)境下對信息系統(tǒng)重要資產(chǎn)進行風(fēng)險評估，通過等保測評，發(fā)現(xiàn)與等級保護技術(shù)、管理要求的不符合項。

3.3 制訂等級保護實施方案

依據(jù)安全建設(shè)總體方案、等級保護不符合項，全面梳理存在問題，分類形成各層級問題清單；并合理評估安全建設(shè)整改的難易度，全面有效制訂等級保護方案，明確安全整改目標(biāo)。

3.4 開展安全整改與評估

根據(jù)等級保護實施方案開展建設(shè)，具體主要包括安全域劃分、產(chǎn)品采購與部署、安全策略實施、安全整改加固以及等級保護管理建設(shè)等。并不定期開展安全評估，不斷鞏固信息安全與信息系統(tǒng)安全。

4 基于等級保護的煙草企業(yè)信息安全體系建設(shè)

根據(jù)等級保護工作的實施路徑分析得出，等級保護與信息安全體系存在許多共性，有較好的融合度。因此，探索基于等級保護的行業(yè)信息安全體系具有深刻意義。

信息安全體系的核心是策略，由管理、技術(shù)、運維三部分組成。在等級保護思想的融合下，信息安全體系建設(shè)更加注重“分級保護、分類設(shè)計、分階段實施”。根據(jù)等級保護思想，煙草行業(yè)信息安全體系概述有幾點。

4.1 分級保護

煙草行業(yè)的信息安全體系以信息系統(tǒng)等級為落腳點，實行系統(tǒng)關(guān)聯(lián)分級，具體分為人員分級、操作權(quán)限分級、應(yīng)用對象分級。首先確定使用對象的范圍。對人員實行不同分級，即人員、可信人員、不可信人員等；其次，根據(jù)人員分級，劃分操作權(quán)限，即高權(quán)限、特殊權(quán)限、中權(quán)限、低權(quán)限等；最后根據(jù)業(yè)務(wù)信息安全等級和應(yīng)用服務(wù)等級，明確應(yīng)用系統(tǒng)等級，即一至五級安全等級。通過“人員—操作—應(yīng)用”的關(guān)聯(lián)鏈，制訂分級準則，從而達到分級保護的目的。

4.2 分類設(shè)計

信息安全體系分類設(shè)計，主要涉及不同類型、不同區(qū)域、不同邊界三方面的結(jié)構(gòu)化設(shè)計。

4.2.1 類型設(shè)計

根據(jù)安全等級保護要求以及安全體系特點，分為技術(shù)、管理和運維三大類型，并進行類型策略設(shè)計。其中技術(shù)要求分為物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等四部分，管理要求分為安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理等四部分。運維要求分為系統(tǒng)運維管理、系統(tǒng)運維評估等兩部分。

（1）技術(shù)策略注重系統(tǒng)自身安全防護功能以及系統(tǒng)遭損害后的恢復(fù)功能兩大層面。如主機管理，其中主機管理、身份鑒別、訪問控制、安全審計、入侵方法等標(biāo)準要按級體現(xiàn)；而不同的策略同樣也要根據(jù)兩大層面按需設(shè)計。

（2）管理策略注重管理范圍全面性、資源配置到位性和運行機制順暢性。諸如安全管理機構(gòu)是否明確了機構(gòu)組成，崗位設(shè)置是否合理、人員配置是否到位、溝通運行機制是否順暢等。

（3）運維策略主要體現(xiàn)運維流程的清晰度、運維監(jiān)督考核的執(zhí)行度。諸如系統(tǒng)運維管理是否明確運維流程及運維監(jiān)督考核指標(biāo)，諸如重大事件、巡檢管理、故障管理等。通過分類設(shè)計達到結(jié)構(gòu)化層級要求。

4.2.2 區(qū)域設(shè)計

區(qū)域設(shè)計主要指安全域。安全域從不同角度可以進行劃分，主要分為橫向劃分和縱向劃分，橫向劃分按照業(yè)務(wù)分類將系統(tǒng)劃分為各個不同的安全域，如硬件系統(tǒng)部分、軟件系統(tǒng)部分等；縱向在各業(yè)務(wù)系統(tǒng)安全域內(nèi)部，綜合考慮其所處位置或連接以及面臨威脅，將它們劃分為計算域、用戶域和網(wǎng)絡(luò)域。

煙草行業(yè)根據(jù)體系建設(shè)需要，將采用多種安全域劃分方法相結(jié)合的方式進行區(qū)域劃分。

（1）以系統(tǒng)功能和服務(wù)對象劃分煙草重要信息系統(tǒng)安全域和一般應(yīng)用系統(tǒng)安全域。采取嚴格的訪問控制措施，防止重要信息系統(tǒng)數(shù)據(jù)被其它業(yè)務(wù)系統(tǒng)頻繁訪問。

（2）以網(wǎng)絡(luò)區(qū)域劃分煙草行業(yè)信息系統(tǒng)的數(shù)據(jù)存儲區(qū)、應(yīng)用服務(wù)區(qū)、管理中心、信息系統(tǒng)內(nèi)網(wǎng)、DMZ區(qū)等不同的安全域。數(shù)據(jù)存儲區(qū)的安全保護級別要高于應(yīng)用服務(wù)區(qū)，DMZ區(qū)的安全級別要低于其它所有安全域。

4.2.3 邊界設(shè)計

要清晰系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用等邊界，通過區(qū)域之間劃分，明晰邊界安全防護措施。邊界設(shè)計的理念基于區(qū)域設(shè)計，在區(qū)域劃分成不同單元的基礎(chǔ)上，實行最小安全邊界防護。邊界防護本著“知所必需、用所必需、共享必需、公開必需、互聯(lián)互通必需”的信息系統(tǒng)安全控制管理原則實施。

4.3 分階段實施

煙草信息安全體系建設(shè)要充分體現(xiàn)全生命周期管理思想，從應(yīng)用系統(tǒng)需求開始，分階段推進體系建設(shè)。

4.3.1 明確安全需求

為保證信息安全體系建設(shè)能順利開展，行業(yè)新建系統(tǒng)必須在規(guī)劃和設(shè)計階段，確定系統(tǒng)安全等級，明確安全需求，并將應(yīng)用系統(tǒng)的安全需求納入到項目規(guī)劃、設(shè)計、實施和驗證，以避免信息系統(tǒng)后期反復(fù)的整改。

4.3.2 加強安全建設(shè)

要在系統(tǒng)建設(shè)過程中，根據(jù)安全等級保護要求，以類型、區(qū)域和邊界的設(shè)計為著力點，全面加強安全環(huán)節(jié)的監(jiān)督，及時跟蹤安全功能的“盲點”，使在系統(tǒng)建設(shè)中充分體現(xiàn)安全總體設(shè)計的要求，穩(wěn)步推進安全體系穩(wěn)步開展。

4.3.3 健全安全運維機制

自系統(tǒng)進入運維期后，要建立健全安全運維機制。梳理運維工作事項，理順運維業(yè)務(wù)流程，并通過制訂運維規(guī)范、運維質(zhì)量評價標(biāo)準、運維考核標(biāo)準等，規(guī)范安全運維管理，提高安全運維執(zhí)行力，以確保系統(tǒng)符合安全等級要求。

4.3.4 開展全面安全測評

在安全建設(shè)階段，對行業(yè)現(xiàn)狀要全面診斷評估，尤其是對已定級的信息系統(tǒng)，加強安全測評，形成安全整改方案，并結(jié)合安全體系設(shè)計框架，按階段、分步驟落實，注重整改質(zhì)量與效率，降低安全風(fēng)險。

4.3.5 落實檢查與評估

檢查評估必須以安全等保要求為檢查內(nèi)容，充分借助第三方力量，準確評估行業(yè)安全管理水平，并及時調(diào)整安全保護等級，不斷促進行業(yè)信息安全工作上臺階。

5 結(jié)束語

信息安全體系建設(shè)作為一項長期的系統(tǒng)工程，等級保護思想的引入，以其保護理念的先進性和實施路徑的可行性，為信息安全體系建設(shè)提供了新的思路和方法。煙草行業(yè)將在信息安全等級保護工作中切實提高煙草業(yè)務(wù)核心系統(tǒng)的信息安全，保障行業(yè)系統(tǒng)的安全、穩(wěn)定、優(yōu)質(zhì)運行，更好地服務(wù)國家和社會。

參考文獻

[1] 公安部等.信息安全等級保護管理辦法[Z]. 2007-06-22.

[2] 國家煙草專賣局.煙草行業(yè)信息安全保障體系建設(shè)指南[Z].2008-04-25.