基于安全等級(jí)保護(hù)的煙草行業(yè)信息系統(tǒng)建設(shè)研究

楊斯可

摘 要：對(duì)煙草行業(yè)信息系統(tǒng)建設(shè)過(guò)程現(xiàn)狀進(jìn)行分析，探討煙草行業(yè)信息系統(tǒng)建設(shè)過(guò)程。為進(jìn)一步規(guī)范煙草行業(yè)信息系統(tǒng)安全建設(shè)，保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行，將等級(jí)保護(hù)思想引入煙草行業(yè)信息系統(tǒng)建設(shè)過(guò)程，實(shí)現(xiàn)信息系統(tǒng)建設(shè)與信息安全防護(hù)措施的同步規(guī)劃、同步建設(shè)。

關(guān)鍵詞：安全建設(shè)；等級(jí)保護(hù)；信息安全

DOIDOI：10.11907/rjdk.172086

中圖分類(lèi)號(hào)：TP309

文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-7800（2017）007-0178-04

0 引言

信息安全等級(jí)保護(hù)制度是國(guó)家信息安全保障的基本制度，開(kāi)展信息安全等級(jí)保護(hù)工作是促進(jìn)信息化發(fā)展，維護(hù)國(guó)家信息系統(tǒng)安全的根本目標(biāo)，是信息系統(tǒng)安全保障工作中國(guó)家意志的體現(xiàn)。近年來(lái)，煙草行業(yè)大力推進(jìn)信息化建設(shè)，信息化水平顯著提高，隨之而來(lái)的信息安全問(wèn)題日漸突出。國(guó)家煙草專(zhuān)賣(mài)局高度重視等級(jí)保護(hù)工作，以信息安全等級(jí)保護(hù)工作為抓手，于2014年印發(fā)了《煙草行業(yè)信息安全等級(jí)保護(hù)管理規(guī)定》和《煙草行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施規(guī)范》，將等級(jí)保護(hù)的各項(xiàng)工作納入到信息系統(tǒng)生命周期中，提出了生命周期中各個(gè)環(huán)節(jié)的工作要求、工作流程。通過(guò)實(shí)施信息安全等級(jí)保護(hù)工作，完善了信息安全管理制度和技術(shù)措施，有效地提高了煙草行業(yè)信息系統(tǒng)安全管理水平和保護(hù)能力。

本文在對(duì)煙草行業(yè)信息系統(tǒng)建設(shè)過(guò)程進(jìn)行安全現(xiàn)狀分析的基礎(chǔ)上，結(jié)合煙草行業(yè)信息系統(tǒng)業(yè)務(wù)特點(diǎn)和管理模式，對(duì)煙草行業(yè)信息系統(tǒng)建設(shè)過(guò)程中如何實(shí)施安全等級(jí)保護(hù)工作進(jìn)行了深入研究。

1 安全現(xiàn)狀分析

煙草行業(yè)信息系統(tǒng)在建設(shè)過(guò)程中普遍存在以下問(wèn)題：①在信息系統(tǒng)立項(xiàng)時(shí)，沒(méi)有明確信息系統(tǒng)的安全保護(hù)等級(jí)，沒(méi)有提出信息系統(tǒng)的安全保護(hù)需求；②在信息系統(tǒng)設(shè)計(jì)與開(kāi)發(fā)時(shí)，缺少安全方案的同步規(guī)劃、同步設(shè)計(jì)；③在信息系統(tǒng)上線(xiàn)運(yùn)行前，沒(méi)有建立安全性測(cè)試機(jī)制，缺少軟件惡意代碼檢測(cè)、源代碼后門(mén)審查、漏洞查找、滲透測(cè)試、運(yùn)行環(huán)境測(cè)試、等級(jí)測(cè)評(píng)等環(huán)節(jié)。

2 融入等級(jí)保護(hù)要求的信息系統(tǒng)建設(shè)過(guò)程

信息系統(tǒng)建設(shè)是信息系統(tǒng)生命周期的開(kāi)始。如果信息系統(tǒng)在建設(shè)期僅注重業(yè)務(wù)功能的開(kāi)發(fā)，沒(méi)有同步規(guī)劃、設(shè)計(jì)安全方案，導(dǎo)致信息系統(tǒng)上線(xiàn)運(yùn)行后會(huì)面臨各種各樣的安全威脅，如信息泄露、越權(quán)訪(fǎng)問(wèn)、惡意攻擊等。為此，煙草行業(yè)將信息系統(tǒng)安全建設(shè)作為安全等級(jí)保護(hù)工作的重點(diǎn)，圍繞著信息系統(tǒng)安全建設(shè)的各個(gè)階段融入了等級(jí)保護(hù)要求，實(shí)現(xiàn)信息系統(tǒng)建設(shè)過(guò)程的安全管理，有效降低了信息系統(tǒng)上線(xiàn)后的安全隱患，提升了信息系統(tǒng)安全保護(hù)能力，保障了信息系統(tǒng)的安全穩(wěn)定運(yùn)行。針對(duì)《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中系統(tǒng)建設(shè)管理的要求，結(jié)合煙草行業(yè)提出的信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施流程，設(shè)計(jì)信息系統(tǒng)建設(shè)管理流程如圖1所示。

新建信息系統(tǒng)和發(fā)生等級(jí)變更的已建信息系統(tǒng)從系統(tǒng)定級(jí)階段的（1）初步確定系統(tǒng)安全保護(hù)等級(jí)開(kāi)始實(shí)施，系統(tǒng)建設(shè)過(guò)程包括（1）-（14）共14個(gè)環(huán)節(jié)；未發(fā)生等級(jí)變更的已建信息系統(tǒng)在系統(tǒng)升級(jí)改造時(shí)從信息系統(tǒng)安全建設(shè)階段的（2）安全方案設(shè)計(jì)開(kāi)始實(shí)施，系統(tǒng)建設(shè)過(guò)程包括（2）-（9）共8個(gè)環(huán)節(jié)。

2.1 系統(tǒng)定級(jí)

在系統(tǒng)定級(jí)階段，信息化工作部門(mén)應(yīng)協(xié)助業(yè)務(wù)主管部門(mén)確定需要定級(jí)的信息系統(tǒng)及其定級(jí)要素，初步確定信息系統(tǒng)的安全保護(hù)等級(jí)（行業(yè)統(tǒng)一推廣信息系統(tǒng)由國(guó)家煙草專(zhuān)賣(mài)局統(tǒng)一確定安全保護(hù)定級(jí)）。

在信息系統(tǒng)上線(xiàn)部署后，信息化工作部門(mén)和業(yè)務(wù)主管部門(mén)應(yīng)最終確認(rèn)信息系統(tǒng)的安全保護(hù)等級(jí)，完成信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告的編制和信息系統(tǒng)安全等級(jí)保護(hù)備案表的填寫(xiě)工作，將信息系統(tǒng)的定級(jí)結(jié)果報(bào)上一級(jí)單位進(jìn)行審核。針對(duì)安全保護(hù)等級(jí)定為第三級(jí)的信息系統(tǒng)還應(yīng)組織召開(kāi)專(zhuān)家評(píng)審會(huì)，對(duì)信息系統(tǒng)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定。

信息系統(tǒng)安全保護(hù)等級(jí)應(yīng)遵循《信息安全等級(jí)保護(hù)管理辦法》和國(guó)家有關(guān)標(biāo)準(zhǔn)進(jìn)行等級(jí)劃分，共分為五級(jí)，第一級(jí)為自主保護(hù)級(jí)，第二級(jí)為指導(dǎo)保護(hù)級(jí)，第三級(jí)為監(jiān)督保護(hù)級(jí)，第四級(jí)為強(qiáng)制保護(hù)級(jí)，第五級(jí)為專(zhuān)控保護(hù)級(jí)（具體定義可參見(jiàn)《煙草行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)與信息安全事件的定級(jí)準(zhǔn)則（以下簡(jiǎn)稱(chēng)定級(jí)指南）》（YC/T 389-2011））。對(duì)于由多個(gè)信息系統(tǒng)集成整合為一個(gè)信息系統(tǒng)的，要按其中信息系統(tǒng)的最高安全保護(hù)等級(jí)進(jìn)行定級(jí)；對(duì)于安全需求基本相同的信息系統(tǒng)，其安全保護(hù)等級(jí)要基本一致。

2.2 方案設(shè)計(jì)

在方案設(shè)計(jì)階段，信息化工作部門(mén)和業(yè)務(wù)主管部門(mén)應(yīng)根據(jù)信息系統(tǒng)的安全保護(hù)等級(jí)，結(jié)合信息系統(tǒng)承載的業(yè)務(wù)和系統(tǒng)服務(wù)情況，分析信息系統(tǒng)可能存在的威脅、脆弱性，提出信息系統(tǒng)的安全運(yùn)行要求和信息（數(shù)據(jù)）的保護(hù)要求，按照《煙草行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施規(guī)范》的要求分別從機(jī)房環(huán)境保護(hù)、網(wǎng)絡(luò)環(huán)境保護(hù)、應(yīng)用支撐環(huán)境保護(hù)、應(yīng)用軟件安全、安全管理等方面，對(duì)數(shù)字證書(shū)身份認(rèn)證、數(shù)字簽名、數(shù)據(jù)加密、安全審計(jì)、用戶(hù)名唯一性、密碼復(fù)雜度控制、登錄失敗處理、并發(fā)訪(fǎng)問(wèn)限制等安全性指標(biāo)提出具體的安全要求，形成安全建設(shè)方案和安全建設(shè)規(guī)劃，明確總體安全策略、安全技術(shù)框架、安全管理策略和詳細(xì)設(shè)計(jì)方案。并組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對(duì)安全方案的合理性和正確性進(jìn)行論證和審定。

信息系統(tǒng)的安全設(shè)計(jì)應(yīng)基于業(yè)務(wù)流程自身特點(diǎn)，建立“可信、可控、可管”的安全防護(hù)體系，使得系統(tǒng)能夠按照預(yù)期運(yùn)行，免受攻擊和破壞。

“可信”即以可信認(rèn)證為基礎(chǔ)，構(gòu)建一個(gè)可信的業(yè)務(wù)系統(tǒng)執(zhí)行環(huán)境，即用戶(hù)、平臺(tái)、程序都是可信的，確保用戶(hù)無(wú)法被冒充、病毒無(wú)法執(zhí)行、入侵行為無(wú)法成功?？尚诺沫h(huán)境保證業(yè)務(wù)系統(tǒng)永遠(yuǎn)都按照設(shè)計(jì)預(yù)期的方式執(zhí)行，不會(huì)出現(xiàn)非預(yù)期的流程，從而保障了業(yè)務(wù)系統(tǒng)安全可信。

“可控”即以訪(fǎng)問(wèn)控制技術(shù)為核心，實(shí)現(xiàn)主體對(duì)客體的受控訪(fǎng)問(wèn)，保證所有的訪(fǎng)問(wèn)行為均在可控范圍之內(nèi)進(jìn)行，在防范內(nèi)部攻擊的同時(shí)有效防止了從外部發(fā)起的攻擊行為。對(duì)用戶(hù)訪(fǎng)問(wèn)權(quán)限的控制可以確保系統(tǒng)中的用戶(hù)不會(huì)出現(xiàn)越權(quán)操作，永遠(yuǎn)都按系統(tǒng)設(shè)計(jì)的策略進(jìn)行資源訪(fǎng)問(wèn)，保證了系統(tǒng)信息的安全可控。endprint

“可管”即通過(guò)構(gòu)建集中管控、最小權(quán)限管理與三權(quán)分立的管理平臺(tái)，為管理員創(chuàng)建一個(gè)工作平臺(tái)，使其可以進(jìn)行技術(shù)平臺(tái)支撐下的安全策略管理，從而保證信息系統(tǒng)安全可管。

2.3 產(chǎn)品采購(gòu)

在產(chǎn)品采購(gòu)階段，信息化工作部門(mén)應(yīng)嚴(yán)格按照煙草行業(yè)和本單位采購(gòu)流程進(jìn)行產(chǎn)品采購(gòu)，采購(gòu)的安全產(chǎn)品、安全服務(wù)商應(yīng)符合國(guó)家有關(guān)規(guī)定，采購(gòu)的密碼產(chǎn)品應(yīng)符合國(guó)家密碼主管部門(mén)的要求；并與產(chǎn)品供應(yīng)商、安全服務(wù)商等簽訂服務(wù)合同，明確服務(wù)內(nèi)容、安全責(zé)任等。針對(duì)定制開(kāi)發(fā)的信息系統(tǒng)，還應(yīng)在簽訂的服務(wù)合同中明確知識(shí)產(chǎn)權(quán)問(wèn)題，要求安全服務(wù)商提供軟件源代碼。

2.4 軟件開(kāi)發(fā)

在軟件開(kāi)發(fā)階段，信息化工作部門(mén)需要組織業(yè)務(wù)部門(mén)與服務(wù)商，明確該系統(tǒng)的安全建設(shè)范圍和內(nèi)容，設(shè)定安全性指標(biāo)要求，合理判定該信息系統(tǒng)是否符合行業(yè)內(nèi)的網(wǎng)絡(luò)及信息安全要求。信息化工作部門(mén)應(yīng)制定軟件源代碼編寫(xiě)規(guī)范，如命名規(guī)范：規(guī)范變量、函數(shù)的命名、規(guī)范程序的書(shū)寫(xiě)格式等；URL內(nèi)容安全：對(duì)于Web應(yīng)用，不能在URL上暴露任何重要信息，如密碼、服務(wù)器名稱(chēng)、IP地址或者文件系統(tǒng)路徑等；錯(cuò)誤信息安全：所有為用戶(hù)顯示的錯(cuò)誤信息不應(yīng)暴露任何關(guān)于系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序的敏感信息。設(shè)置獨(dú)立的開(kāi)發(fā)環(huán)境進(jìn)行代碼編寫(xiě)、調(diào)試，對(duì)于一些不能通過(guò)采購(gòu)現(xiàn)有安全產(chǎn)品來(lái)實(shí)現(xiàn)的安全措施和安全功能，要通過(guò)設(shè)計(jì)、開(kāi)發(fā)專(zhuān)門(mén)的安全功能模塊來(lái)實(shí)現(xiàn)，如提供專(zhuān)門(mén)的安全審計(jì)模塊，對(duì)每個(gè)用戶(hù)的重要操作和系統(tǒng)異常事件進(jìn)行審計(jì)，信息化工作部門(mén)應(yīng)對(duì)開(kāi)發(fā)日志及開(kāi)發(fā)人員權(quán)限進(jìn)行定期審核。

軟件開(kāi)發(fā)過(guò)程中的變更管理要進(jìn)行嚴(yán)格的安全控制，在開(kāi)發(fā)過(guò)程中每一階段（可行性研究、需求分析、設(shè)計(jì)、編碼、測(cè)試、培訓(xùn)等）的變更實(shí)施需要經(jīng)過(guò)評(píng)審與授權(quán)。信息化工作部門(mén)應(yīng)對(duì)變更的申請(qǐng)、評(píng)審、測(cè)試、批準(zhǔn)、更改計(jì)劃的提出和實(shí)施提出明確要求并嚴(yán)格實(shí)施，確保安全性與控制程序不被損害，確保任何改動(dòng)都是經(jīng)過(guò)審批的。

對(duì)于軟件開(kāi)發(fā)過(guò)程中的版本控制，信息化工作部門(mén)對(duì)應(yīng)用系統(tǒng)開(kāi)發(fā)源程序的打印資料、電子版本或者相關(guān)報(bào)告都必須進(jìn)行控制，紙質(zhì)文件應(yīng)當(dāng)保存在一個(gè)安全的環(huán)境下，如保險(xiǎn)柜等，電子文檔則應(yīng)采取一定的加密措施。程序版本的發(fā)布與更新需要執(zhí)行必要的審批流程，確認(rèn)系統(tǒng)的各種安全特性是否達(dá)標(biāo)；舊的版本需進(jìn)行歸檔，不得隨意丟棄或刪除；信息化工作部門(mén)應(yīng)組織業(yè)務(wù)部門(mén)與服務(wù)商制定相關(guān)的升級(jí)計(jì)劃，確保將系統(tǒng)升級(jí)對(duì)業(yè)務(wù)的影響降至最低。

2.5 系統(tǒng)集成

在系統(tǒng)集成階段，主要是將安全產(chǎn)品、軟件平臺(tái)和開(kāi)發(fā)的安全功能模塊與各種應(yīng)用綜合、整合成為一個(gè)系統(tǒng)。信息化工作部門(mén)應(yīng)要求安全服務(wù)商制定詳細(xì)的系統(tǒng)集成實(shí)施方案，明確實(shí)施過(guò)程中各階段的質(zhì)量控制目標(biāo)、控制措施、實(shí)施人員的職責(zé)要求和時(shí)間安排等?？梢酝ㄟ^(guò)建立RACI模型，明確系統(tǒng)實(shí)施過(guò)程中的各方角色及其相關(guān)責(zé)任，在各系統(tǒng)安全保護(hù)等級(jí)的基礎(chǔ)上，由信息化工作部門(mén)統(tǒng)一協(xié)調(diào)、組織，各級(jí)業(yè)務(wù)部門(mén)對(duì)其信息系統(tǒng)安全等級(jí)保護(hù)的實(shí)施與管理負(fù)責(zé)，信息化工作部門(mén)對(duì)信息系統(tǒng)負(fù)有監(jiān)督、檢查、指導(dǎo)并提供安全保護(hù)服務(wù)的工作職責(zé)。在實(shí)施過(guò)程中，信息化工作部門(mén)應(yīng)要求安全服務(wù)商按照實(shí)施方案，分階段逐步實(shí)現(xiàn)質(zhì)量控制目標(biāo)，并對(duì)各階段的實(shí)施情況進(jìn)行總結(jié)。

2.6 系統(tǒng)測(cè)試

在系統(tǒng)測(cè)試階段，主要包括安全測(cè)試與等級(jí)測(cè)評(píng)兩項(xiàng)工作。

信息系統(tǒng)的安全測(cè)試，應(yīng)由信息化工作部門(mén)組織相關(guān)部門(mén)和人員進(jìn)行，驗(yàn)證系統(tǒng)是否按照安全方案進(jìn)行建設(shè)，是否完全實(shí)現(xiàn)了開(kāi)發(fā)設(shè)計(jì)的要求。在系統(tǒng)上線(xiàn)前還應(yīng)對(duì)信息系統(tǒng)進(jìn)行全面的安全測(cè)試，包括配置檢查、工具掃描、滲透測(cè)試、惡意代碼檢測(cè)、源代碼后門(mén)審查等。對(duì)于安全測(cè)試過(guò)程中發(fā)現(xiàn)的問(wèn)題，能立即整改的要在上線(xiàn)前完成整改，經(jīng)確認(rèn)后信息系統(tǒng)方可上線(xiàn)運(yùn)行。對(duì)于安全保護(hù)等級(jí)定為第三級(jí)的信息系統(tǒng)，需要委托公正的第三方機(jī)構(gòu)對(duì)信息系統(tǒng)進(jìn)行安全性測(cè)試，在驗(yàn)收前委托測(cè)評(píng)機(jī)構(gòu)對(duì)信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)。

信息系統(tǒng)的等級(jí)測(cè)評(píng)，是依據(jù)國(guó)家以及煙草行業(yè)內(nèi)信息安全等級(jí)保護(hù)《定級(jí)指南》、《信息安全等級(jí)保護(hù)管理辦法》中的相關(guān)要求，對(duì)信息系統(tǒng)進(jìn)行符合性測(cè)評(píng)。信息系統(tǒng)等級(jí)測(cè)評(píng)內(nèi)容包括：?jiǎn)卧獪y(cè)評(píng)、整體測(cè)評(píng)。單元測(cè)評(píng)包括安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)兩大部分，其中安全技術(shù)測(cè)評(píng)包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等5個(gè)安全技術(shù)層面。安全管理測(cè)評(píng)包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理。最后根據(jù)整體測(cè)評(píng)結(jié)果提出安全整改建議。

信息化工作部門(mén)應(yīng)當(dāng)至少每年委托測(cè)評(píng)機(jī)構(gòu)對(duì)第三級(jí)信息系統(tǒng)的信息安全狀況開(kāi)展等級(jí)測(cè)評(píng)，在整個(gè)測(cè)評(píng)過(guò)程中需要重點(diǎn)強(qiáng)調(diào)項(xiàng)目質(zhì)量管理和控制，突出的是變更控制管理和風(fēng)險(xiǎn)管理。整個(gè)測(cè)評(píng)過(guò)程中禁止系統(tǒng)管理員邊測(cè)評(píng)邊整改，防止由于測(cè)評(píng)導(dǎo)致系統(tǒng)故障。在信息系統(tǒng)安全狀況日常檢測(cè)工作中，信息化工作部門(mén)通過(guò)組織內(nèi)部人員參與實(shí)踐，可以提高參與人員信息安全的專(zhuān)業(yè)技能，促進(jìn)他們深刻理解信息安全等級(jí)保護(hù)法規(guī)對(duì)信息安全工作的指導(dǎo)性意義，也使決策者全面了解本單位整體信息安全狀況，為信息安全方面的決策提供數(shù)據(jù)支持。信息化工作部門(mén)內(nèi)部的自查、自測(cè)工作與專(zhuān)業(yè)機(jī)構(gòu)的等級(jí)測(cè)評(píng)有機(jī)結(jié)合，可以使信息安全建設(shè)工作常態(tài)化、穩(wěn)步推進(jìn)企業(yè)信息系統(tǒng)安全保障水平。

2.7 系統(tǒng)培訓(xùn)

在系統(tǒng)培訓(xùn)階段，信息化工作部門(mén)和業(yè)務(wù)主管部門(mén)應(yīng)要求安全服務(wù)商和產(chǎn)品供應(yīng)商對(duì)系統(tǒng)運(yùn)維人員和系統(tǒng)使用人員進(jìn)行相關(guān)技能和使用培訓(xùn)，負(fù)責(zé)信息安全工作的人員需要清晰地理解等級(jí)保護(hù)的概念，準(zhǔn)確把握等級(jí)保護(hù)的適用范圍，如果對(duì)信息安全定級(jí)過(guò)高， 大于本單位所需要的等級(jí)，將導(dǎo)致本單位資源浪費(fèi)，降低系統(tǒng)運(yùn)行效率，增加日常管理負(fù)擔(dān)；如定級(jí)過(guò)低，將導(dǎo)致系統(tǒng)得不到必要的安全保護(hù)，也容易引發(fā)系統(tǒng)安全問(wèn)題，同時(shí)培訓(xùn)效果的好壞將直接影響到今后信息系統(tǒng)能否安全運(yùn)行。

2.8 系統(tǒng)驗(yàn)收

在系統(tǒng)驗(yàn)收階段，信息化工作部門(mén)應(yīng)組織相關(guān)部門(mén)和人員準(zhǔn)備驗(yàn)收材料對(duì)系統(tǒng)進(jìn)行驗(yàn)收，并進(jìn)行系統(tǒng)的交付，要求產(chǎn)品供應(yīng)商和安全服務(wù)商提交系統(tǒng)建設(shè)過(guò)程中的文檔、指導(dǎo)用戶(hù)進(jìn)行系統(tǒng)文檔的運(yùn)行維護(hù)，同時(shí)針對(duì)制定的安全管理策略、安全性指標(biāo)進(jìn)行同步驗(yàn)證與驗(yàn)收。endprint

2.9 系統(tǒng)備案

在系統(tǒng)備案階段，主要完成公安機(jī)關(guān)和上一級(jí)單位的備案工作。在信息系統(tǒng)正式運(yùn)行30日內(nèi)，信息化工作部門(mén)應(yīng)到公安機(jī)關(guān)辦理信息系統(tǒng)備案手續(xù)。如果信息系統(tǒng)開(kāi)展了等級(jí)測(cè)評(píng)工作，在完成測(cè)評(píng)工作后30日內(nèi)將《信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告》提交當(dāng)?shù)毓矙C(jī)關(guān)備案，針對(duì)測(cè)評(píng)報(bào)告中提出的問(wèn)題，制定整改方案，及時(shí)進(jìn)行整改，對(duì)整改過(guò)程進(jìn)行記錄。此外，信息化工作部門(mén)還應(yīng)按照上一級(jí)單位要求每年定期將當(dāng)年度信息系統(tǒng)定級(jí)、備案、撤銷(xiāo)和測(cè)評(píng)等情況報(bào)上一級(jí)單位備案。

3 結(jié)語(yǔ)

本文通過(guò)對(duì)煙草行業(yè)信息系統(tǒng)建設(shè)現(xiàn)狀的分析，開(kāi)展了基于等級(jí)保護(hù)的信息系統(tǒng)安全建設(shè)過(guò)程研究，把等級(jí)保護(hù)工作與煙草行業(yè)信息化建設(shè)聯(lián)系起來(lái)，堅(jiān)持“準(zhǔn)確定級(jí)、嚴(yán)格審批、及時(shí)備案、認(rèn)真整改、科學(xué)測(cè)評(píng)”的原則，可以有效提高煙草行業(yè)信息系統(tǒng)安全保障水平。等級(jí)保護(hù)的建設(shè)和整改是伴隨系統(tǒng)生命周期的一個(gè)循序漸進(jìn)的過(guò)程，也是企業(yè)自身信息系統(tǒng)不斷完善的過(guò)程，國(guó)家制定的等級(jí)保護(hù)標(biāo)準(zhǔn)是解決現(xiàn)階段所面臨的眾多代表性問(wèn)題，并不能覆蓋所有行業(yè)面臨的所有問(wèn)題，甚至還有很多地方需要進(jìn)一步完善。隨著等級(jí)保護(hù)工作在煙草行業(yè)的深入開(kāi)展，如何開(kāi)展工業(yè)控制系統(tǒng)的安全等級(jí)保護(hù)工作是下一步的研究方向。

參考文獻(xiàn)：

[1] YC/T 495-2014.煙草行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施規(guī)范[S].2014.

[2] YC/T 389-2011.煙草行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)與信息安全事件的定級(jí)準(zhǔn)則[S].2011.

[3] GB/T 22239-2008.信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].2008.

[4] GB/T 25058-2010.信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南[S].2010.

[5] 馮昌來(lái)，彭雪梅.以等級(jí)保護(hù)工作為抓手 踐行信息安全與信息系統(tǒng)建設(shè)融合[C].第三屆全國(guó)信息安全等級(jí)保護(hù)技術(shù)大會(huì)論文集，2014.

[6] 國(guó)煙辦.煙草行業(yè)信息安全等級(jí)保護(hù)管理規(guī)定（國(guó)煙辦綜[2014]103號(hào)）[S].2014.

[7] 國(guó)煙辦.國(guó)家煙草專(zhuān)賣(mài)局辦公室關(guān)于開(kāi)展行業(yè)信息系統(tǒng)全面梳理全面診斷全面加固工作的通知（國(guó)煙辦綜[2013]159號(hào)）[S].2013.endprint