1、烟草行业信息安全保障体系建设指南前言烟草行业信息安全保障体系是行业信息化健康发展的基础和保障,是行业各级数据中心的重要组成部分。为推进行业信息安全保障体系建设,提高信息安全管理水平和保障能力,国家烟草专卖局制订了烟草行业信息安全保障体系建设指南(以下简称指南)。行业各单位要结合本单位实际情况认真落实指南的各项要求,构建“组织机制、规章制度、技术架构”三位一体的信息安全保障体系,做到信息安全工作与信息化建设同步规划、同步建设、协调发展。指南按照国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)的要求,依照信息系统安全保障评估框架(GB/T202742006)等有关国家标准
2、,运用目前信息安全领域广泛应用的思想和方法,明确了烟草行业信息安全保障体系建设的总体原则和建设内容,对行业信息安全策略的制订,以及信息安全管理、技术和运维三大体系的建设工作提出了指导性意见和要求。由于水平所限,对指南中的不足之处,望各单位在应用过程中提出宝贵意见。指南由国家烟草专卖局烟草经济信息中心和中国信息安全产品测评认证中心共同组织编写。指南编写组组长:高锦;副组长:陈彤;主要成员:张雪峰,王海清,耿刚勇,张利,孙成昊,黄云海,耿欣,刘辉等。目录TOCo1-2hzuHYPERLINKl_Toc1938010321范围PAGEREF_Toc193801032h1
3、HYPERLINKl_Toc1938010332引用和参考文献PAGEREF_Toc193801033h1HYPERLINKl_Toc1938010342.1国家信息安全标准、指南PAGEREF_Toc193801034h1HYPERLINKl_Toc1938010352.2国际信息安全标准PAGEREF_Toc193801035h2HYPERLINKl_Toc1938010362.3行业规范PAGEREF_Toc193801036h3HYPERLINKl_Toc1938010373术语定义和缩略语PAGEREF_To
4、c193801037h3HYPERLINKl_Toc1938010383.1安全策略PAGEREF_Toc193801038h3HYPERLINKl_Toc1938010393.2安全管理体系PAGEREF_Toc193801039h3HYPERLINKl_Toc1938010403.3安全技术体系PAGEREF_Toc193801040h3HYPERLINKl_Toc1938010413.4安全运维体系PAGEREF_Toc193801041h4HYPERLINKl_Toc1938010423.5信息系统PAGER
5、EF_Toc193801042h4HYPERLINKl_Toc1938010433.6缩略语PAGEREF_Toc193801043h4HYPERLINKl_Toc1938010444信息安全保障体系建设总体要求PAGEREF_Toc193801044h5HYPERLINKl_Toc1938010454.1信息安全保障体系建设框架PAGEREF_Toc193801045h5HYPERLINKl_Toc1938010464.2信息安全保障体系建设原则PAGEREF_Toc193801046h7HYPERLINKl_Toc
6、1938010474.3信息安全保障体系建设基本过程PAGEREF_Toc193801047h8HYPERLINKl_Toc1938010485信息安全保障体系建设规划PAGEREF_Toc193801048h9HYPERLINKl_Toc1938010496安全策略PAGEREF_Toc193801049h10HYPERLINKl_Toc1938010506.1总体方针PAGEREF_Toc193801050h11HYPERLINKl_Toc1938010516.2分项策略PAGEREF_Toc193801051h12
7、HYPERLINKl_Toc1938010527管理体系PAGEREF_Toc193801052h13HYPERLINKl_Toc1938010537.1组织机构PAGEREF_Toc193801053h13HYPERLINKl_Toc1938010547.2规章制度PAGEREF_Toc193801054h16HYPERLINKl_Toc1938010557.3人员安全PAGEREF_Toc193801055h16HYPERLINKl_Toc1938010567.4安全教育和培训PAGEREF_Toc19380105
8、6h20HYPERLINKl_Toc1938010578技术体系PAGEREF_Toc193801057h22HYPERLINKl_Toc1938010588.1访问控制PAGEREF_Toc193801058h23HYPERLINKl_Toc1938010598.2信息系统完整性保护PAGEREF_Toc193801059h28HYPERLINKl_Toc1938010608.3系统与通信保护PAGEREF_Toc193801060h31HYPERLINKl_Toc1938010618.4物理环境保护PAGEREF
9、_Toc193801061h34HYPERLINKl_Toc1938010628.5检测与响应PAGEREF_Toc193801062h37HYPERLINKl_Toc1938010638.6安全审计PAGEREF_Toc193801063h39HYPERLINKl_Toc1938010648.7备份与恢复PAGEREF_Toc193801064h40HYPERLINKl_Toc1938010659运维体系PAGEREF_Toc193801065h43HYPERLINKl_Toc1938010669.1流程和规范P
10、AGEREF_Toc193801066h44HYPERLINKl_Toc1938010679.2安全分级PAGEREF_Toc193801067h44HYPERLINKl_Toc1938010689.3风险评估PAGEREF_Toc193801068h45HYPERLINKl_Toc1938010699.4阶段性工作计划PAGEREF_Toc193801069h47HYPERLINKl_Toc1938010709.5采购与实施过程管理PAGEREF_Toc193801070h48HYPERLINKl_Toc193801
11、0719.6日常维护管理PAGEREF_Toc193801071h51HYPERLINKl_Toc1938010729.7应急计划和事件响应PAGEREF_Toc193801072h54HYPERLINKl_Toc1938010739.8绩效评估与改进PAGEREF_Toc193801073h57范围本指南明确了行业信息安全保障体系建设的总体原则和建设内容,对行业信息安全策略的制订,以及信息安全管理体系、信息安全技术体系和信息安全运维体系的建设工作提出了指导意见和要求。指南中涉及的信息安全,是指由信息系统产生的信息的保密性、完整性和可用性不遭受破坏。本
13、技术安全技术信息技术安全性评估准则GB178591999计算机信息系统安全保护等级划分准则电子政务信息安全等级保护实施指南(试行)(国信办200525号)HYPERLINK/stdlinfo/servlet/com.sac.sacQuery.GjbzcxDetailServletstd_code=GB/T%2020984-2007GB/T209842007信息安全技术信息安全风险评估规范HYPERLINK/stdlinfo/servlet/com.sac.sacQuery.GjbzcxDetailServletstd_code=GB/T%2020988-2007GB/T
14、209882007信息系统灾难恢复规范HYPERLINK/stdlinfo/servlet/com.sac.sacQuery.GjbzcxDetailServletstd_code=GB/Z%2020986-2007GB/Z209862007信息安全事件分类分级指南国际信息安全标准ISO/IEC27001:2005信息安全技术信息系统安全管理要求ISO/IEC133351:2004信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型ISO/IECTR154431:2005信息技术安全保障框架第一部分概述和框架ISO/IECTR154432:20
15、05信息技术安全保障框架第二部分保障方法ISO/IECWD154433信息技术安全保障框架第三部分保障方法分析ISO/IECPDTR19791:2004信息技术安全技术运行系统安全评估行业规范烟草行业计算机网络和信息安全技术与管理规范(国烟法200317号)烟草行业计算机网络建设技术与管理规范(国烟办综2006312号)术语定义和缩略语下列术语和定义适用于本指南。安全策略安全策略是为保障一个单位信息安全而规定的若干安全规划、过程、规范和指导性文件等。安全管理体系安全管理体系简称“管理体系”,是为保障信息安全以“安全策略”为核心而采取的一系列管理措施的总和,内容主要包括
17、定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。缩略语PDCA规划实施检查调整(PlanDoCheckAction)P2DR2策略防护检测响应恢复(PolicyProtectionDetectionResponseRecovery)MAC介质存取控制(MediaAccessControl)IP网际协议(HYPERLINK/acronym.aspxrec=%7B91FB3B2B-89E8-11D4-8351-00C04FC2C2BF%7DoMoreinfoanddirectlinkforthismeaning.
18、InternetProtocol)EAP扩展鉴权协议(HYPERLINK/acronym.aspxrec=%7B940ED58C-89E8-11D4-8351-00C04FC2C2BF%7DoMoreinfoanddirectlinkforthismeaning.ExtensibleAuthenticationProtocol)CNCERT国家计算机网络应急技术处理协调中心(NationalComputerNetworkEmergencyResponseTechnicalTeam)IDS入侵侦测系统(HYPERLINK/acronym.asp
19、xrec=%7B97C3CE6B-89E8-11D4-8351-00C04FC2C2BF%7DoMoreinfoanddirectlinkforthismeaning.IntrusionDetectionSystem)IPS入侵防护系统(HYPERLINK/acronym.aspxrec=%7B1A3C9E8C-CA4A-43F1-B643-AE9BB51F2218%7DoMoreinfoanddirectlinkforthismeaning.IntrusionPreventionSystem)DoS拒绝服务(DenialOfSer
21、规范的,按学术界惯例解释。本文中除非特殊说明,所指行业均为烟草行业。信息安全保障体系建设总体要求信息安全保障体系建设框架根据国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)(以下简称27号文件)的精神,按照信息系统安全保障评估框架(GB/T202742006)、信息安全管理实用规则(GB/T197162005)等有关标准要求,本指南提出了以策略为核心,管理体系、技术体系和运维体系共同支撑的行业信息安全保障体系框架(如图11)。图11行业信息安全保障体系框架在安全策略方面,应依据国家信息安全战略的方针政策、法律法规、制度,按照行业标准规范要求,结合自身的安全环境,制订
22、完善的信息安全策略体系文件。信息安全策略体系文件应覆盖信息安全工作的各个方面,对管理、技术、运维体系中的各种安全控制措施和机制的部署提出目标和原则。在管理体系方面,应按照27号文件的有关要求,将“安全策略”提出的目标和原则形成具体的、可操作的信息安全管理制度,组建信息安全组织机构,加强对人员安全的管理,提高全行业的信息安全意识和人员的安全防护能力,形成一支过硬的信息安全人才队伍。在技术体系方面,应按照P2DR2模型,通过全面提升信息安全防护、检测、响应和恢复能力,保证信息系统保密性、完整性和可用性等安全目标的实现。在运维体系方面,应制订和完善各种流程规范,制订阶段性工作计划,开展信息安全风险评
23、估,规范产品与服务采购流程,同时坚持做好日常维护管理、应急计划和事件响应等方面的工作,以保证安全管理措施和安全技术措施的有效执行。信息安全保障体系建设原则行业信息安全保障体系建设应遵循以下原则:同步建设原则:信息安全保障体系建设应与信息化建设同步规划,同步建设,协调发展,要将信息安全保障体系建设融入到信息化建设的规划、建设、运行和维护的全过程中。综合防范原则:信息安全保障体系建设要根据信息系统的安全级别,采用适当的管理和技术措施,降低安全风险,综合提高保障能力。动态调整原则:信息安全保障体系建设要根据信息资产的变化、技术的进步、管理的发展,结合信息安全风险评估,动态调整、持续改进信息安全保障体
24、系,贯彻“以安全保发展,在发展中求安全”的精神,保障和促进行业业务的发展。符合性原则:信息安全保障体系建设要符合国家的有关法律法规和政策精神,以及行业有关制度和规定,同时应符合有关国家技术标准,以及行业的技术标准和规范。信息安全保障体系建设基本过程信息安全保障体系建设是管理与技术紧密结合,集“组织机构、规章制度、技术架构”三位一体的系统工程,也是与信息化同步发展,不断提高和完善的动态过程。行业信息安全保障体系的建设与发展遵循ISO/IEC27001:2005信息技术安全技术信息安全管理系统要求提出的PDCA(PlanDoCheckAction)循环模式(如下图)。“P”是规划过程,根据信息
25、化建设的需求和信息安全风险现状,结合信息系统等级保护的要求,提出信息安全保障体系建设的总体目标、实施步骤和资源分配方式;“D”是实施过程,依据规划制订信息安全策略,给信息安全保障体系建设提供明确的目标和原则并通过安全管理体系、安全技术体系和安全运维体系的建立实施,贯彻和落实安全策略。“C”是检查过程,通过检查和评估及时发现信息安全保障体系存在的弱点和不足。“A”是纠正调整过程,它是一个阶段任务的结束,也是新的阶段工作的开始,该过程针对信息安全保障体系运行过程中发现的新风险,以及信息化发展中出现的新需求,采取纠正和调整措施并根据信息化的发展提出新一轮建设规划,从而使信息安全保障体系循环提高、持续
30、定信息安全的基本架构,明确信息安全的根本目标和原则。要求:总体方针应紧紧围绕行业的发展战略,符合本单位实际的信息安全需求,能保障与促进信息化建设的顺利进行,避免理想化与不可操作性。总体方针中须明确阐述本单位所有信息化建设项目在规划设计、开发建设、运行维护和变更废弃等各阶段,应遵循的总体原则和要求。总体方针应经过本单位信息安全决策机构批准并使之具备指导和规范信息安全工作的效力。总体方针中应规定其自身的时效性,当信息系统运行环境发生重大变化时,应及时对总体安全策略进行必要的调整,调整后的策略必须经过信息安全决策机构批准。分项策略分项策略是在总体方针的指导下,对信息安全某一方面工作的目标和原则进行阐
31、述的文件。要求:分项策略要依据总体方针制订,明确信息安全各方面工作的目标和原则。分项策略应包括但不限于以下内容:物理安全策略、网络安全策略、系统安全策略、应用安全策略、数据安全策略、病毒防护策略、安全教育策略、信息系统备份与恢复策略、业务连续性策略、账号口令策略、安全审计策略、系统开发策略、人员安全策略等。分项策略中必须明确负责执行该策略的责任单位(部门)、该策略的适用范围、该策略所针对的信息安全工作的目标和原则。分项策略中应规定其自身的时效性,当信息系统运行环境发生变化时,应及时对分项策略进行必要的调整。管理体系安全管理体系的作用是通过建立健全组织机构、规章制度,以及通过人员安全管理、安全教
32、育与培训和各项管理制度的有效执行,来落实人员职责,确定行为规范,保证技术措施真正发挥效用,与技术体系共同保障安全策略的有效贯彻和落实。信息安全管理体系主要包括组织机构、规章制度、人员安全、安全教育和培训等四个方面内容。组织机构建立信息安全组织机构的目的是通过合理的组织结构设置、人员配备和工作职责划分,对信息安全工作实行全方位管理,充分发挥各部门和各类人员在信息安全工作中的作用,共同遵守和执行安全规章制度,以保障信息安全策略的贯彻落实。信息安全组织机构应由决策机构、管理机构和执行机构三个层面组成。决策机构信息安全决策机构处于安全组织机构的第一个层次,是本单位信息安全工作的最高管理机构,按照国家和
33、国家局的方针、政策和要求,对本单位信息安全进行统一领导和管理。要求:应成立由本单位主要领导负责、各有关部门参加的信息安全工作领导小组作为信息安全决策机构。信息安全决策机构应承担如下主要工作职责:审议和批准信息安全保障体系建设规划、信息安全策略、规章制度和信息安全工程建设方案等,为本单位信息安全保障体系建设提供各类必要的资源,对信息安全的宏观问题进行决策,审定信息安全重大突发事件应急预案。管理机构信息安全管理机构处于安全组织机构的第二个层次,在决策机构的领导下,负责组织制订信息安全保障体系建设规划,以及信息安全的管理、监督、检查、考核等工作。日常的信息安全管理工作主要由信息化工作部门负责。要求:
36、应清楚地了解自己担负的安全责任。信息系统的使用部门要设立专职(或兼职)的信息安全员,参与相应信息系统的安全管理,指导本部门各项安全措施的落实。计算机和信息系统使用人员都有义务参与信息安全工作,贯彻执行各项安全规章制度。规章制度信息安全规章制度是所有与信息安全有关的人员必须共同遵守的行为准则。信息安全规章制度的作用在于通过规范所有与信息安全有关人员的行为来保证实现安全策略中规定的目标和原则。要求:信息安全规章制度内容应包括但不限于以下几方面:信息安全组织机构和岗位职责、人员管理制度、信息安全工作考核制度、信息系统采购开发与设计实施管理制度、机房安全管理制度、核心资产安全管理制度、密码管理制度、数
38、意或无意的人为威胁。人员安全主要包括工作岗位风险分级、人员审核、工作协议、人员离职、人员调动及第三方人员安全等几个方面。人员安全管理工作需要由信息安全管理机构和本单位有关行政管理部门共同完成。工作岗位风险分级工作岗位风险分级是依据本单位各工作岗位的职责范围和性质,划分岗位的信息安全风险级别,根据风险级别分配相应的信息访问权限。要求:应在人员管理制度中,根据不同岗位的性质和工作职责,规定其信息安全风险级别并针对不同的岗位风险级别赋予信息访问权限。人员管理制度中有关工作岗位风险分级的规定,应在日常工作中得到落实,所有工作人员应当明确自己所在岗位的信息访问权限。人员审核人员审核是核查人员管理或使用信
40、维护人员和重要信息访问权限的管理人员(特别是数据库管理员、网络管理员、系统管理员等可查询及更改业务信息与系统配置的人员),应签订有关信息安全的工作协议,明确其应尽的安全保密义务,保证在岗工作期间和离岗后一定时期内,均不得违反工作协议,对违反工作协议的行为应制订惩处制约条款。要求:应在人员管理制度中规定工作协议的内容(如保密协议条款、操作流程和规范等)、管理和落实工作协议的部门、以及签署工作协议的流程。重要信息系统的管理、维护和使用人员在上岗前,应严格按照信息安全规章制度中的有关规定签署工作协议。人员调动通过严格的管理手段,保证人员内部调动,不会对信息安全造成危害。要求:工作人员岗位调动时,必须
42、机构,为本单位提供应用系统开发、网络管理和安全支持等信息技术外包服务的工作人员。第三方人员工作岗位和职责具有其特殊性,可以比较深入地了解本单位的信息系统情况和大量重要信息,因此由第三方人员导致泄密和系统遭受破坏的风险较大。要求:应制订第三方人员安全管理规定,明确第三方人员在管理、使用和维护信息系统,安装部署信息化产品和提供信息化技术服务等活动中应遵守的安全要求并明确定义其安全角色和责任。第三方人员进入本单位开始工作前,应与其所在单位签订保密协议。信息安全管理机构应根据第三方人员安全管理规定,采取必要的管理和技术手段,对第三方人员是否遵从安全要求进行检查监督。安全教育和培训安全教育和培训是通过宣
45、密、完整、可用等安全目标。按照P2DR2模型,行业信息安全技术体系涉及信息安全防护、检测、响应和恢复四个方面的内容:防护:通过访问控制、信息系统完整性保护、系统与通信保护、物理与环境保护等安全控制措施,使信息系统具备比较完善的抵抗攻击破坏的能力。检测:通过采取入侵检测、漏洞扫描、安全审计等技术手段,对信息系统运行状态和操作行为进行监控和记录,对信息系统的脆弱性以及面临的威胁进行评估,及时发现安全隐患和入侵行为并发出告警。响应:通过事件监控和处理工具等技术措施,提高应急处理和事件响应能力,保证在安全事件发生后能够及时进行分析、定位、跟踪、排除和取证。恢复:通过建立信息系统备份和恢复机制,保证在安
54、进行处理和保存,确保输出信息的完整性。要求:应用系统应具备对系统输出信息进行校验的功能,保证输出信息的准确性。应用系统应能够为信息的阅读者或输出信息的接收系统提供用以确定输出信息完整性的信息。应用系统应能够对输出信息的去向进行记录。恶意代码防范恶意代码防范是通过部署恶意代码防护措施,降低由于恶意代码的传播造成的系统崩溃、数据丢失等安全风险。要求:应在网络边界和网络中的服务器、用户终端等设备中部署恶意代码防范工具。必须在本单位的网络系统中部署病毒集中防御系统,对系统中的防病毒软件进行统一管理,防止恶意代码通过网络大范围传播。在重要应用系统的开发中,应当对应用程序代码进行安全性审查,识别应用系统中
56、,防止篡改信息系统中的业务数据和配置信息。对自开发的应用系统应采用奇偶校验,循环冗余检验,哈希函数等技术机制或专门的技术产品来保证数据的完整性。应使用密码技术保证数据在网络中传输的完整性。垃圾邮件防范应采取适当的技术措施防止利用垃圾邮件对系统进行恶意攻击。要求:应为本单位的邮件系统部署有效的反垃圾邮件工具。要避免本单位邮件系统成为垃圾邮件的源头。系统与通信保护系统与通信保护是指通过一系列技术措施,保证信息系统的各个组成部分和信息系统中的通信活动按照安全策略正常工作。包括以下内容:安全域划分、拒绝服务保护、边界保护、传输加密、公钥基础设施和抗抵赖服务等。安全域划分在信息系统中,遵守相同的信息安全
57、策略的集合(包括人员,软硬件设备)称为安全域。它的目的是对信息系统中的不同安全等级区域分别进行保护。要求:应根据网络结构、应用系统用途以及信息的安全等级等因素,对信息系统进行安全域的划分。应将不同用途的系统划分在不同安全域,应将信息系统用户功能区域与信息系统管理功能区域划分在不同安全域,应将应用服务(如门户网站、应用系统操作界面)与数据存储服务(如中间件服务器、数据库服务器)划分在不同安全域。应采用合理的技术措施对跨越安全域边界的访问进行有效控制。拒绝服务防范拒绝服务(DoS)是指系统被破坏或出现暂时不可用的故障,而导致服务的中断。应通过部署网络边界防护设备和系统安全加固来降低拒绝服务攻击的风
58、险。要求:应在网络边界设备上制订访问控制规则,以保护本单位内网和局域网设备不受拒绝服务攻击的直接影响。对于互联网应用,应适当采用扩充系统容量、增加带宽、备份冗余等方式增强抵御拒绝服务攻击的能力。应及时进行系统安全加固,对存在的安全漏洞进行修补,避免利用系统漏洞的拒绝服务攻击。网络边界保护网络边界保护是在网络边界部署安全控制措施对网络通信进行监测和严格控制,以防止来自外部的攻击,保护信息系统关键信息的通信安全。要求:应监视和控制本单位网络对外出口和内部网络边界的通信情况。应采用防火墙、代理服务器,路由器安全配置等方式对网络边界进行保护。在具有公众服务的边界出口处,应采用入侵防护系统(IPS)、病
59、毒网关防护系统(AV)、流量整形系统等防护措施来加强保障。传输加密传输加密的目的是防止搭线窃听、诱骗等安全威胁,保护信息传输过程中的机密性。要求:在传输涉及行业秘密或敏感信息时,应使用国家有关部门认可的或符合行业有关要求的加密设备进行加密传输。公钥基础设施公钥基础设施用于为信息系统用户提供第三方的身份标识和鉴别服务。要求:应按照国家局的要求,建设、使用和规范管理PKI/CA认证体系,对重要信息系统必须使用PKI/CA认证体系进行用户身份的标识和鉴别。抗抵赖服务抗抵赖服务是指监控个人对信息系统执行特定的操作并对其进行准确记录。抗抵赖服务的目的是防止用户不承认执行过某个操作而推卸责任。要求:重要的