軍工企業(yè)信息安全保密管理體系文件構(gòu)建與應(yīng)用

王曉恒，楊勇昌

（中國航發(fā)貴州黎陽航空動力有限公司,貴州 貴陽 550014）

當(dāng)前，世界各國信息化快速發(fā)展，信息技術(shù)的應(yīng)用促進(jìn)了全球資源的優(yōu)化配置和發(fā)展模式創(chuàng)新， 信息化滲透到國民生活的各個領(lǐng)域，網(wǎng)絡(luò)和信息系統(tǒng)已經(jīng)成為關(guān)鍵基礎(chǔ)設(shè)施乃至整個經(jīng)濟(jì)社會的神經(jīng)中樞，圍繞信息獲取、利用和控制的國際競爭日趨激烈，保障信息安全成為各國的重要議題。

2010年4月29日，第十一屆全國人大常委會第十四次會議修訂通過《中華人民共和國保守國家秘密法》；2014年1月17日，國務(wù)院令第646號頒布《中華人民共和國保守國家秘密法實(shí)施條例》；隨著一系列保密和安全法律法規(guī)的頒布實(shí)施，以及保密工作面臨的嚴(yán)峻形勢和國防科技工業(yè)的改革發(fā)展，參與國防科技工業(yè)武器裝備科研生產(chǎn)活動的軍工企業(yè)的信息安全工作已經(jīng)成為關(guān)乎全局的重大問題，直接關(guān)系著國家的安全和利益，關(guān)系社會穩(wěn)定和經(jīng)濟(jì)發(fā)展，關(guān)系國防實(shí)力和國家科技水平的提升。國家對軍工企業(yè)的信息安全工作提出更高的要求，明確規(guī)定承擔(dān)涉密武器裝備科研生產(chǎn)任務(wù)的單位必須通過保密資格審查認(rèn)證；信息安全也日漸受到軍工企業(yè)的重視，建立自上而下的組織體系，利用不斷完善的技術(shù)手段來實(shí)現(xiàn)和提升信息安全防護(hù)控制能力。但“三分技術(shù)、七分管理”，信息安全技術(shù)手段健全的同時，建設(shè)重點(diǎn)就會從安全系統(tǒng)實(shí)施轉(zhuǎn)向管理提升，安全機(jī)制變得重要起來。

1 背景

信息安全得到廣泛關(guān)注的同時，國際和國內(nèi)各種官方和科研機(jī)構(gòu)都發(fā)布大量的安全標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)都是為了實(shí)現(xiàn)安全目標(biāo)而服務(wù)，并從不同的角度對如何保障組織的信息安全提供了指導(dǎo)。國際信息安全標(biāo)準(zhǔn)ISO/IEC17799于2000年正式頒布，標(biāo)準(zhǔn)分為“信息安全管理體系實(shí)施指南”和“信息安全管理體系規(guī)范”兩個部分；國內(nèi)信息安全標(biāo)準(zhǔn)GB/T 29246—2012/ISO/IEC 27000;2009和 GB/T 22080—2008/ISO/IEC 27001;2005分別從“信息安全管理體系 概述和詞匯”和“信息安全管理體系 要求”上提出建設(shè)信息安全管理體系的標(biāo)準(zhǔn)。從我國軍工企業(yè)信息安全保密管理的現(xiàn)狀看，雖然各企業(yè)在信息安全保密管理方面都有一些初步的制度和策略，但是由于這項(xiàng)工作在企業(yè)中并不受重視，且缺乏系統(tǒng)性研究，面臨著很多問題，信息安全管理體系的不完善，造成企業(yè)信息安全管理權(quán)利分散，缺乏統(tǒng)一管理，也是企業(yè)信息安全不能深入有效開展的重要原因之一。2016年國家修訂印發(fā)的《武器裝備科研生產(chǎn)單位保密資格標(biāo)準(zhǔn)》(國保發(fā)【2016】43號) (以下簡稱標(biāo)準(zhǔn))“7.6.4.1 信息化管理部門應(yīng)當(dāng)組織制定由信息安全策略、管理制度和操作規(guī)程等組成的信息安全保密管理體系文件，對信息系統(tǒng)、信息設(shè)備和存儲設(shè)備的運(yùn)行維護(hù)工作進(jìn)行監(jiān)管，組織對信息系統(tǒng)、信息設(shè)備和存儲設(shè)備的安全保密檢查”，首次提出體系化管理的要求。解讀標(biāo)準(zhǔn)可以看出，信息安全保密管理體系文件是落實(shí)安全保密工作，實(shí)現(xiàn)信息系統(tǒng)、信息設(shè)備和存儲設(shè)備可管、可用、可控、可查、可審、可追溯的基礎(chǔ)，是信息系統(tǒng)、信息設(shè)備和存儲設(shè)備的管理準(zhǔn)則和控制流程，是保證涉密網(wǎng)絡(luò)穩(wěn)定可靠、安全保密運(yùn)行的必要條件和基礎(chǔ)保證，貫穿涉密網(wǎng)絡(luò)規(guī)劃、建設(shè)、使用、維護(hù)等的全過程。企業(yè)信息安全保密管理工作要取得實(shí)效并能夠深入開展下去，必須嚴(yán)格執(zhí)行國家有關(guān)信息安全與保密工作的制度和措施，使用通用的信息安全管理標(biāo)準(zhǔn)和方法來開展信息系統(tǒng)的安全管理工作。

本文從軍工企業(yè)信息安全保密管理的角度出發(fā)，結(jié)合軍工企業(yè)信息系統(tǒng)、信息設(shè)備和存儲設(shè)備安全保密管理實(shí)際情況，從構(gòu)建軍工企業(yè)信息安全保密管理體系文件框架和結(jié)構(gòu)設(shè)計、文件構(gòu)建以及應(yīng)用成果等方面描述了體系文件的建設(shè)過程。

2 框架結(jié)構(gòu)設(shè)計

健全與完善信息安全保密管理體系，決不是增加或減少幾條具體條款的簡單問題，而是一個比較系統(tǒng)的過程，要結(jié)合企業(yè)信息安全保密管理工作實(shí)際和信息安全保密技術(shù)措施，對現(xiàn)有信息安全策略和管理制度進(jìn)行認(rèn)真梳理、認(rèn)真審閱和深入研究的基礎(chǔ)上，通盤考慮體系文件的橫向協(xié)調(diào)和縱向貫通的問題、粗放和細(xì)化的問題、體系文件框架的搭建、文件條款的增加和刪減等具體問題。需要從組織保障、體系構(gòu)成、制定過程等多個方面予以充分考量，確保信息安全保密管理體系建設(shè)的科學(xué)合理。

2.1 建立體系文件建設(shè)機(jī)構(gòu)，落實(shí)建設(shè)工作職能

（ 1）由企業(yè)信息化管理部門牽頭，建立由信息化管理部門、保密管理部門、人事管理部門、保衛(wèi)部門、資產(chǎn)管理部門、信息系統(tǒng)管理三員共同參加的體系建設(shè)工作領(lǐng)導(dǎo)小組、體系建設(shè)辦公室。

（2）落實(shí)體系建設(shè)辦公室職能:全面掌握和熟悉國家及上級公司的信息安全保密管理相關(guān)的標(biāo)準(zhǔn)及制度；廣泛收集企業(yè)相關(guān)部門對體系文件的意見，確保體系文件的廣泛性和有效覆蓋；制定體系、理順流程、定期檢查、強(qiáng)化考核。

（3）參與體系文件的編寫人員應(yīng)熟悉信息系統(tǒng)日常管理的流程及相關(guān)人員的職責(zé)權(quán)限，熟悉信息系統(tǒng)安全管理所依托的技術(shù)要求和管理標(biāo)準(zhǔn)。

2.2 構(gòu)建企業(yè)信息安全保密管理體系文件框架

解讀標(biāo)準(zhǔn)可以看出，信息安全保密管理體系文件是由信息安全策略、管理制度和操作規(guī)程等組成。安全策略針對安全問題提出對策和解決方案，管理制度應(yīng)當(dāng)保障安全策略提出的對策和解決方案能夠正確執(zhí)行，操作規(guī)程是安全策略在信息系統(tǒng)、信息設(shè)備和存儲設(shè)備上具體實(shí)現(xiàn)的操作步驟，這三部分既相互獨(dú)立，又互相關(guān)聯(lián)，缺一不可。

因此，在編制體系文件前，我們必須要明確編制的目的，編制的體系文件要應(yīng)用于哪些方面？解決哪些問題？文件涉及和覆蓋的范圍是什么？針對企業(yè)信息安全保密管理上存在的問題進(jìn)行細(xì)致研究和討論，依托調(diào)研結(jié)果，對信息安全保密管理體系文件的進(jìn)行分層設(shè)計，統(tǒng)一規(guī)劃。安全策略為體系文件的第一層即頂層文件，涵蓋物理安全策略、技術(shù)防護(hù)策略、運(yùn)行安全策略等方面；體系文件的第二層為管理制度，從信息系統(tǒng)、信息設(shè)備和存儲設(shè)備的管理、使用、維護(hù)，以及保障安全策略相關(guān)的各項(xiàng)規(guī)定和要求，確保安全策略的實(shí)施和落實(shí)。管理制度制定時應(yīng)涵蓋人員管理、物理設(shè)施與環(huán)境管理、設(shè)備與介質(zhì)管理、運(yùn)行與開發(fā)管理、信息安全保密等方面；體系文件的第三層為操作規(guī)程，操作規(guī)程應(yīng)明確實(shí)施安全策略的資源、設(shè)備、工具和人員，確定安全配置管理權(quán)限的劃分和變更流程，明確實(shí)施安全策略時應(yīng)當(dāng)履行的規(guī)定程序和具體步驟。

2.3 安全策略文件結(jié)構(gòu)設(shè)計

安全策略的制定應(yīng)當(dāng)以國家相關(guān)部門的法規(guī)、標(biāo)準(zhǔn)和技術(shù)要求為準(zhǔn)繩，在制定安全策略前，應(yīng)當(dāng)分析信息系統(tǒng)、信息設(shè)備和存儲設(shè)備等存在的脆弱性和威脅，識別安全隱患，根據(jù)單位涉密信息系統(tǒng)的保護(hù)等級、安全保密目標(biāo)和范圍、安全原則、安全方針，結(jié)合單位自身實(shí)際情況，提出解決安全問題的管理辦法和控制措施。同時，應(yīng)根據(jù)環(huán)境、系統(tǒng)和威脅變化情況，進(jìn)行動態(tài)調(diào)整，以適應(yīng)不斷變化的涉密網(wǎng)絡(luò)安全保密管理需求。針對安全策略涵蓋的物理安全策略、技術(shù)防護(hù)策略、運(yùn)行安全策略等方面進(jìn)行結(jié)構(gòu)設(shè)計，信息安全保密管理制度結(jié)構(gòu)設(shè)計框架（見圖1）。

圖1 信息安全保密管理制度結(jié)構(gòu)設(shè)計

安全策略一般包括以下內(nèi)容。

（1）物理安全策略

主要包括物理隔離、涉密場所環(huán)境與區(qū)域控制、中心機(jī)房與配線間、綜合布線、信息設(shè)備安全以及無線與多媒體產(chǎn)品使用管控等。

（2）技術(shù)防護(hù)策略

主要包括安全保密產(chǎn)品和工具、通信和傳輸安全、信息設(shè)備安全、存儲設(shè)備安全、操作安全（主要是身份鑒別、訪問控制和導(dǎo)入導(dǎo)出）、應(yīng)用系統(tǒng)安全、信息交換安全、數(shù)據(jù)和數(shù)據(jù)庫安全、開發(fā)和維護(hù)安全、安全監(jiān)控與審計安全策略、密碼保密安全策略、信息完整性策略、抗抵賴策略以及電磁泄露發(fā)射防護(hù)等

主要包括涉密網(wǎng)絡(luò)的運(yùn)行維護(hù)策略、備份與恢復(fù)安全策略、應(yīng)急響應(yīng)策略等。

2.4 管理制度文件結(jié)構(gòu)設(shè)計

信息安全保密管理制度是信息安全保密管理體系運(yùn)行的“交通法規(guī)”，是體系運(yùn)行的流程，連接著操作規(guī)程和各項(xiàng)工作記錄。信息安全保密的核心是確保信息系統(tǒng)內(nèi)國家秘密的安全，針對涉密信息產(chǎn)生、存儲、處理、傳輸、歸檔和銷毀的全過程，建立健全穩(wěn)定、有效的信息安全運(yùn)行管理機(jī)制，使企業(yè)信息安全的管理有法可依、有章可循。

信息安全保密管理制度應(yīng)具有全生命周期大閉環(huán)和小閉環(huán)的特點(diǎn)。大閉環(huán)應(yīng)基于信息系統(tǒng)管理的各個環(huán)節(jié)，從信息系統(tǒng)建設(shè)或整改計劃、方案、實(shí)施、系統(tǒng)運(yùn)行與監(jiān)控、審計報告、風(fēng)險自評估報告再到整改計劃等形成持續(xù)改進(jìn)的信息系統(tǒng)的運(yùn)行管理模式。針對管理制度涵蓋的人員管理、物理設(shè)施與環(huán)境管理、設(shè)備與介質(zhì)管理、運(yùn)行與開發(fā)管理、信息安全保密五個方面建立統(tǒng)一的信息安全保密管理制度框架（見圖2）。小閉環(huán)應(yīng)基于管理制度中管理主體進(jìn)行規(guī)劃，以信息設(shè)備管理為例，全生命周期需要從設(shè)備的確定密級、申領(lǐng)（入網(wǎng)）、使用、變更、維修、停用或退出使用、報廢、銷毀等環(huán)節(jié)形成一個完整的閉環(huán)程序。管理制度應(yīng)對人員責(zé)任、涉密信息處理流程、涉密網(wǎng)絡(luò)維護(hù)等方面的保密管理工作明確責(zé)任、獎懲和要求。在制定時，必須從企業(yè)信息安全保密管理的實(shí)際出發(fā)，充分論證、實(shí)事求是，明確各部門職責(zé)和權(quán)限，理順信息安全保密管理工作流程，使制定的制度具有科學(xué)性和可操作性。

圖2 改進(jìn)后的信息安全保密管理制度結(jié)構(gòu)設(shè)計

信息安全管理制度一般包括以下內(nèi)容。

（1）安全保密管理機(jī)構(gòu)及職責(zé)管理規(guī)定

包括計算機(jī)和信息系統(tǒng)的保密管理機(jī)構(gòu)與職責(zé)。

（2）安全保密管理人員管理規(guī)定

平兒蹲在炕下，他吸爹爹的煙袋。輕微的一點(diǎn)妒嫉橫過心面。他有意弄響煙袋在門扇上，他走出去了。外面是陰沉全黑的夜，他在黑色中消滅了自己。等他憂悒著轉(zhuǎn)回來時，王婆已是在垂淚的境況。

包括涉密網(wǎng)絡(luò)安全保密管理人員與使用人員的審查、確定、變更、備案、教育培訓(xùn)等內(nèi)容，安全保密管理人員的職責(zé)與權(quán)限等。

（3）涉密網(wǎng)絡(luò)中心機(jī)房和設(shè)備間安全管理規(guī)定

包括涉密網(wǎng)絡(luò)機(jī)房與設(shè)備間日常管理、值班人員管理、機(jī)房和設(shè)備間出入控制管理等內(nèi)容。

（4）網(wǎng)絡(luò)設(shè)備安全保密管理規(guī)定

包括交換機(jī)和路由器的安全保密管理要求等內(nèi)容。

（5）設(shè)備與介質(zhì)安全保密管理規(guī)定

包括設(shè)備與介質(zhì)選型與采購、交付與驗(yàn)收、臺帳管理、清查核對、標(biāo)識與安放、接入管理、變更管理、注銷管理、維修與報廢管理要求等內(nèi)容。

（6）安全保密產(chǎn)品管理規(guī)定

包括涉密網(wǎng)絡(luò)中使用的防火墻、入侵檢測產(chǎn)品、計算機(jī)病毒與惡意代碼防護(hù)產(chǎn)品、漏洞掃描產(chǎn)品、安全監(jiān)控與審計產(chǎn)品、身份認(rèn)證系統(tǒng)、電磁泄漏發(fā)射防護(hù)產(chǎn)品等安全保密產(chǎn)品的管理要求等內(nèi)容。

（7）服務(wù)器和用戶終端安全保密管理規(guī)定

包括涉密網(wǎng)絡(luò)的服務(wù)器和數(shù)據(jù)庫管理、用戶終端管理、軟件安裝管理等內(nèi)容。

（8）便攜式計算機(jī)安全保密管理規(guī)定

包括便攜式計算機(jī)管理要求 ，便攜式計算機(jī)借用、歸還、外出攜帶管理 ，便攜式計算機(jī)信息輸出管理等內(nèi)容。

（9）應(yīng)用系統(tǒng)安全保密管理規(guī)定

包括涉密網(wǎng)絡(luò)中應(yīng)用系統(tǒng)開發(fā)、安裝、用戶管理與授權(quán)、涉密信息總量統(tǒng)計要求等內(nèi)容。

（10）保密檢查及風(fēng)險評估管理規(guī)定

包括涉密網(wǎng)絡(luò)的保密檢查與風(fēng)險評估的內(nèi)容、程序、工具、人員、實(shí)施方式等內(nèi)容。

（11）應(yīng)急預(yù)案與應(yīng)急響應(yīng)管理規(guī)定

包括軟硬件備份的要求，涉密網(wǎng)絡(luò)應(yīng)急預(yù)案的編制、完善及恢復(fù)演練要求等內(nèi)容。

（12）信息輸入輸出管理規(guī)定

包括涉密網(wǎng)絡(luò)內(nèi)各類信息（含電子文件）的輸入輸出管理要求，各類電子文件的打印、刻錄輸出控制的管理要求，信息導(dǎo)入導(dǎo)出流程等內(nèi)容。

（13）計算機(jī)病毒與惡意代碼防護(hù)管理規(guī)定

包括計算機(jī)病毒、惡意代碼、木馬程序查殺工具的選型、配置、策略設(shè)置、升級和查殺要求等內(nèi)容。

2.5 操作規(guī)程結(jié)構(gòu)設(shè)計

信息系統(tǒng)、信息設(shè)備和存儲設(shè)備操作規(guī)程是對安全策略和管理制度某個步驟的具體操作的描述，是對安全策略和管理制度的有力支撐。操作規(guī)程涵蓋信息系統(tǒng)管理員（三員）和信息系統(tǒng)用戶的操作規(guī)范兩個方面。信息系統(tǒng)、信息設(shè)備和存儲設(shè)備管理員（三員）操作規(guī)程是執(zhí)行信息安全策略，保密技術(shù)防護(hù)措施有效執(zhí)行的具體部署操作，保證信息安全保密策略文件的實(shí)施和落實(shí)，應(yīng)基于安全策略文件的結(jié)構(gòu)進(jìn)行設(shè)計編制。用戶操作規(guī)程是執(zhí)行信息系統(tǒng)、信息設(shè)備和存儲設(shè)備安全保密管理制度中的各項(xiàng)管理要求，將制度要求落到實(shí)處，明確辦事程序和辦事環(huán)節(jié)，可操作、行得通、有效率。應(yīng)基于管理制度文件的結(jié)構(gòu)進(jìn)行設(shè)計編制。

在制定操作規(guī)程前，應(yīng)統(tǒng)一各個操作規(guī)程的模板，簡單易懂、圖文并茂，包含以下五個方面的要素：WHO(什么人)、WHEN（什么時候）、WHERE (在哪)、MUST(必須做)、WHAT（什么）。應(yīng)將各項(xiàng)工作記錄表格和審批單涵蓋在操作規(guī)程的各個環(huán)節(jié)中，確保信息系統(tǒng)、信息設(shè)備和存儲設(shè)備全生命周期管理過程中，均有審批和記錄，各種管理和控制過程均有據(jù)可查。

以《計算機(jī)領(lǐng)用與入網(wǎng)操作規(guī)程》為例：

第一條 計算機(jī)領(lǐng)用與接入園區(qū)網(wǎng)應(yīng)按本操作的要求執(zhí)行。

第二條 計算機(jī)領(lǐng)用與接入園區(qū)網(wǎng)的操作過程與要求如下：

（1）由責(zé)任人提出計算機(jī)領(lǐng)用申請，填寫《計算機(jī)領(lǐng)用與入網(wǎng)操作規(guī)程》，經(jīng)審批后，向設(shè)備管理部門辦理手續(xù)；

（2）如果為入網(wǎng)計算機(jī)，設(shè)備管理部門在發(fā)放計算機(jī)前按《園區(qū)網(wǎng)終端防護(hù)策略》按照相關(guān)軟硬件，進(jìn)行安全保密防護(hù)；如果為單機(jī)，設(shè)備管理部門在發(fā)放前應(yīng)按《單機(jī)防護(hù)策略》安裝相關(guān)軟硬件，進(jìn)行安全保密防護(hù)；填寫《計算機(jī)按照執(zhí)行記錄》；

（3）信息化管理部門應(yīng)根據(jù)設(shè)備發(fā)放情況更新臺賬；

（4）計算機(jī)領(lǐng)用與入網(wǎng)審批登記表及執(zhí)行記錄根據(jù)《信息系統(tǒng)工作檔案管理操作規(guī)程》進(jìn)行歸檔管理。

第三條 本操作規(guī)程由信息中心負(fù)責(zé)解釋。

審批流程如圖3所示，審批單如圖4所示，工作記錄表如圖5所示。該記錄表說明：1）本操作單適用于《計算機(jī)領(lǐng)用與入網(wǎng)操作規(guī)程》（策略編號與版本號；2）完成臺賬更新后，本操作單根據(jù)《工作檔案管理規(guī)程》（策略編號與版本號：）進(jìn)行管理。

圖3 計算機(jī)領(lǐng)用與入網(wǎng)審批流程

圖4 計算機(jī)領(lǐng)用與入網(wǎng)審批登記表

圖5 計算機(jī)安裝執(zhí)行記錄表

3 應(yīng)用結(jié)果

通過系統(tǒng)性的設(shè)計構(gòu)建涵蓋安全策略、管理制度、操作規(guī)程的信息安全管理體系文件，把新標(biāo)準(zhǔn)的要求貫徹和融入到日常生產(chǎn)經(jīng)營業(yè)務(wù)流程和管理工作中，形成了信息安全保密體系的三層架構(gòu)。對信息系統(tǒng)、信息設(shè)備和存儲設(shè)備管理的各個環(huán)節(jié)進(jìn)行了規(guī)范，體現(xiàn)全生命周期管理、全過程規(guī)范、閉環(huán)管理等體系設(shè)計要求。在信息安全保密管理體系實(shí)施過程中，月度審計報告、季度保密技術(shù)檢查、年度風(fēng)險評估報告多重機(jī)制是信息安全保密管理的主要抓手，保障信息安全保密管理體系文件的逐步落實(shí)。此次信息安全保密管理體系文件的構(gòu)建與應(yīng)用，為企業(yè)建立一套專業(yè)、規(guī)范、適合保密認(rèn)定新標(biāo)準(zhǔn)的信息系統(tǒng)、信息設(shè)備和存儲設(shè)備管理方法，為企業(yè)信息安全管理提供有力的保障，使企業(yè)信息安全的管理有法可依，有章可循，取得一定的管理成效。有效促進(jìn)軍工企業(yè)形成信息安全管理的長效機(jī)制，提高軍工企業(yè)信息安全的保障能力。

4 結(jié)語

隨著信息安全技術(shù)的發(fā)展，未來的涉密信息安全保密技術(shù)防范措施將會越來越完善。同時我們也應(yīng)該注意到，如果沒有強(qiáng)有力的管理體系來支持，再好的及時防范措施都會大打折扣。所以安全保密工作不能完全寄希望于技術(shù)設(shè)備，而應(yīng)該技術(shù)、管理并重。內(nèi)外并舉，實(shí)行綜合治理，努力打造軍工企業(yè)信息安全工作的“盾牌”。