网络安全视角下的信息化建设项目全生命周期管理模式探究--基于地市级烟草商业企业信息化建设项目的现状、问题和

网络安全视角下的信息化建设项目全生命周期管理模式探究--基于地市级烟草商业企业信息化建设项目的现状、问题和

对策分析

滕泽峰

 甘肃省烟草公司兰州市公司信息中心

摘 要：近年来，以移动互联、物联网、大数据、云计算等为代表的新型信息技术应用，正越来越深彻改变着各行各业，烟草行业也概莫能外。在数字烟草战略与高质量发展战略等政策叠加的超强背景下，推进业务领域与信息技术的创新融合，实现管理提质增效成为当下烟草行业的普遍共识和重要着力点。本文基于地市级烟草商业企业信息化建设项目的现状及存在的问题，引入全生命周期管理的理念，探索构建信息系统全生命周期安全管理模式，力求提升烟草商业企业信息化项目实施水平和网络安全防护能力。

关键词：  网络安全；信息化建设项目；全生命周期 

1引言

《网络安全法》实施五年以来，《信息安全等级保护制度》、《个人信息保护法》、《数据安全法》等法律法规簇密集出台，网络安全已从国家立法、顶层设计转向更深层次的落实落地。伴随着烟草行业改革发展的不断深化，信息化建设投入持续加码。以某地市级商业企业来说，专卖、营销、物流、财务、办公、采购、安全等等业务领域，各类应用级创新融合系统，包括以小程序、小软件等形式呈现的应用正井喷式增长。硬件软件自身缺陷、网络安全管理不力、网络安全防护措施不当等等因素，每时每刻产生的企业内部敏感数据、工商零消交易信息，给网络安全管理带来极大挑战。             

2 选题背景、意义及研究动态

2.1选题背景及意义

2.1.1选题背景

随时数字烟草战略实施和行业改革发展深入推进，烟草行业信息化建设正快速渗透至各业务领域。以某地市级烟草企业为例，融合创新已成为管理提升的普遍共识和重要抓手，实现信息化几乎成为必选项，而信息化的实现往往以信息化建设项目方式呈现。一方面，业务部门重应用场景、重功能实现、重开发时效，往往会忽视网络安全问题；另一方面，信息新技术日新月异，且不说硬件、软件产品迭代出新，大数据、云计算、人工智能等新兴技术发展更让人目不暇接。信息化建设项目在立项、建设、实施、消亡的整个过程中都可能存在网络安全风险隐患，构建覆盖信息系统全生命周期的网络安全体系刻不容缓。

2.1.2 选题意义

《信息安全等级保护制度》作为一项强制要求和基本国策已广泛应用于各行各业的网络安全领域。烟草行业业已要求所有互联网系统均须按照等保三级标准开展定级备案、环境搭建及制度建设等相关工作。等保三级即信息系统遭到破坏后对国家安全造成危害，对社会秩序和公共利益造成严重危害。按照这一要求，加强网络安全要求下的信息化项目建设全生命周期管理将具有很强的政策意义和现实意义。烟草行业并非以技术见长，行业尚未从网络安全的角度构建信息化建设项目全生命周期管理的机制。

2.2 课题的研究动态。

2.2.1 国内外网络安全现状。

伴随着信息技术的快速发展，网络安全形势的发展变得越来越严峻。棱镜门、勒索病毒、伊朗核设施被毁事件、滴滴过度采集个人信息、特斯拉泄密事件等等无不反映出网络安全与国家、社会及个人利益息息相关。因计算机技术兴起与美国，较为成熟的全生命周期安全标准早已有之。而国内有关全生命周期安全管理的相关研究主要集中在电力、金融等行业的工控领域。

2.2.2 烟草行业网络安全现状。

近年来，烟草行业尤为重视网络安全工作。在制度建设层面，烟草行业配套发布了数据安全、信息安全等方面的相关制度；在网络安全防护能力建设层面，通过连续多年参与公安机关组织的网络安全攻防演练等活动，烟草行业网络安全意识进一步加强，网络安全护网能力得到了有效提升。但从全生命周期的角度构建网络安全规范和标准尚有欠缺。

3 理论综述

3.1 全生命周期信息安全管理理论

这一理论将软件产品视作一般物品，把软件产品的生命周期分为申报、立项、建设、测试、验收及运维六个阶段，再按照时间顺序实现信息系统生命周期的质量控制。

3.2 安全开发生命周期流程

美国微软公司提出的安全开发生命周期（简称SDL），侧重于软件开发安全保证过程的理论。SDL基于教育、持续过程改善和责任三个核心概念，将安全和隐私引入开发过程所有阶段，以减少软件中漏洞数量，并减低危害性。

4 地市级烟草商业企业信息化建设项目的现状及存在问题

近年来，地市级商业企业致力于业务互联互通，加快创新驱动、数据驱动，信息化技术广泛应用于各业务领域的融合创新中，各类自建应用系统设计开发运行，有效提升了企业管理效能。但在信息化建设项目申报、立项、建设、测试、验收各阶段疏于网络安全考虑，以及信息化建设项目管理经验欠缺、网络安全人才不足、网络安全隐患增多，网络防护难度增大等等系统风险和不确定因素，成为影响企业健康发展的主要原因。

4.1 缺少用于信息化建设项目管理的规范文件。

信息化建设项目归于投资类项目，烟草行业现有的投资管理办法将信息化建设项目作为一个小节，对项目实施各阶段的具体要求较为笼统，没有涉及网络安全方面的要求。行业投资管理办法对于信息化建设项目的参考性、指导性、可操作性作用有限，尤其是对网络安全的要求整体缺失。信息化建设项目缺少从项目建议书、可行性研究、申报立项、设计开发、测试验收到运维，乃至报废应有的、完整且合乎网络安全要求的整套制度、流程和规范。

4.2 业务需求广泛多元，互联网暴露面逐渐扩大。

打通信息孤岛，实现业务互联互通，获取更好的扩展性能、更好的应用体验，是烟草行业信息化、一体化发展的大趋势。以某地市级烟草商业企业为例，近年来，各业务领域加快推进管理和信息化创新融合，形成了内容庞杂的信息系统集群。一方面，信息系统集群中布局了大量外部软硬件产品，品类繁多且来源复杂。

4.3 业务系统点多面广，供应链管理难度增大。

以某地市级烟草商业企业来说，已有自建应用系统十多个，各类终端设备达到几百台（套）。在实际系统开发和网络运维工作中，圉于技术缺乏和人力成本等因素，企业不得不采用业务外包形式实施系统开发并进行运维服务保障。同时，信息技术行业有其共性特点，即人员结构年轻化、流动性大，也因此政治敏锐性不强、管理约束较弱。

5 探索构建网络安全的视角下的信息化建设项目管理机制。

引入信息系统全生命周期管理的相关理论，结合地市级商业企业信息化建设项目的现状和存在的突出问题，从网络安全的视角探索构建信息化建设项目管理的机制。将信息系统生命周期整体划分为启动、需求、设计、开发、测试、上线、运行、废弃八个阶段，并对应每个阶段网络安全相关要求。

5.1 项目启动阶段。

按照烟草行业投资管理的相关规定，启动阶段之前需要完成项目申请，包括撰写项目建议书，完成项目可行性研究报告，作为项目投资计划审批和预算批复的依据。可行性研究报告需从网络安全角度明确对系统定级、备案以及数据流向、数据存储等具体要求做出描述。从职责划分上要明确界定业务部门为项目具体负责和经办，信息化管理部门须开展前置性审查和信息技术、网络安全负责。因技术缺乏，项目可行性研究一般由第三方专业技术人员编制。项目获批后转入采购管理流程，依法依规完成招投标和合同签订。

5.2 需求阶段。

需求阶段即需求分析阶段，系统建设单位要结合应用系统安全威胁，会同业务部门、信息化管理部门等，全面梳理各业务需求所对应的网络安全需求，整理形成网络安全需求清单，经信息化管理部门、安全专家评审后，纳入需求规格说明书。

5.3 设计阶段

设计阶段一般分为概要设计和详细设计等。要基于“三同步”要求，开展待建系统安全架构设计、运行安全设计等。要明确待建系统功能模块、业务系统和业务交互等方面的网络安全要求，详细分析系统可能存在的网络安全风险，形成安全设计文档，提交安全评审通过后方可进入开发阶段。

6 结论

随着烟草行业改革发展的不断深入，业务领域的创新呈现爆发式增长，各类融合创新课题多以信息化方式呈现，信息化建设项目势必成为关注的重心。网络安全和信息化是一体之两翼，驱动之双轮。没有网络安全就没有国家安全，没有信息化就没有现代化。从任何角度谈网络安全的重要性都不为过。

参考文献

[1] 张富华.电网企业信息系统全生命周期安全管理模式研究[M].

[2] 宗  薇.高校基于等保2.0网络安全管理体系探究[J].信息安2023,2(142)