企業(yè)信息安全架構(gòu)設(shè)計與落地探索

左云崗

摘 要：中國企業(yè)在信息技術(shù)逐步應(yīng)用的同時，必然會存在信息安全成熟度的認知過程。根據(jù)國內(nèi)信息安全現(xiàn)狀，以技術(shù)人員的角度提出一套易于操作的五體系模型，并按照項目管理的思路，采用階段管理的方法，分三個階段指導(dǎo)信息安全模型的落地實施。

關(guān)鍵詞：信息技術(shù)；信息安全；五體系模型；安全策略；項目管理

1 背景

首先，我們需要先了解一下企業(yè)到底存在哪些風(fēng)險。

病毒和木馬，根據(jù)360互聯(lián)網(wǎng)安全中心《2015年第二季度中國互聯(lián)網(wǎng)安全報告》，2015年第二季度360互聯(lián)網(wǎng)中心共截獲PC端新增惡意程序樣本8002萬個，日均截獲88萬個，不言而喻這是對企業(yè)危害最大的風(fēng)險。

網(wǎng)絡(luò)攻擊，2015年8月25日，錘子科技2015年的最新產(chǎn)品堅果手機發(fā)布，在當晚發(fā)布會進行時，錘子科技官網(wǎng)就遭到高達數(shù)十G的流量DDoS攻擊，導(dǎo)致用戶無法登錄購買手機，網(wǎng)站一度面臨全面癱瘓的風(fēng)險。

安全漏洞，2015年10月19日，著名白帽平臺烏云網(wǎng)爆出某郵箱過億數(shù)據(jù)泄漏，涉及郵箱賬號、密碼、用戶密保等；2015年10月20日同樣是烏云網(wǎng)爆出中糧集團某核心系統(tǒng)配置不當導(dǎo)致大量敏感信息泄露問題（含員工信息/稅務(wù)文件/可修改合同等）。360補天平臺2015年第二季度共收錄有效漏洞10363個，日均收錄114個，其中74.1%的漏洞為高危漏洞。

還有什么風(fēng)險？2015年5月28日，攜程網(wǎng)部分服務(wù)器遭到不明攻擊，導(dǎo)致官方網(wǎng)站及APP無法正常使用，此次宕機11個小時后才恢復(fù)，事后攜程網(wǎng)宣布此次事件系內(nèi)部人員錯誤操作導(dǎo)致，該類風(fēng)險應(yīng)該屬于內(nèi)部的控制管理機制問題。

當然還有很多其他風(fēng)險，這里就不一一贅述。一份來自于Gartner 2006年1月的報道，通過選取福布斯2000強企業(yè)，按照安全成熟度進行分布，如圖1所示：

百分之三十的企業(yè)處于盲目自信階段，即普遍缺乏安全意識，對企業(yè)安全狀況不了解，未意識到企業(yè)信息安全風(fēng)險的嚴重性。百分之五十的企業(yè)處于認知階段，即通過信息安全風(fēng)險評估，企業(yè)意識到自身存在信息安全風(fēng)險，開始采取一些措施提升信息安全水平，包括基本安全產(chǎn)品部署、主要人員的培訓(xùn)教育、建立安全團隊、制定安全方針政策、評估并了解現(xiàn)狀。以上80%的企業(yè)即1600家企業(yè)才算及格。

接下來百分之十五的企業(yè)意識到局部的、單一的信息安全控制措施難以明顯改善企業(yè)信息安全狀況，開始進行全面的信息安全架構(gòu)設(shè)計，有計劃的建設(shè)信息安全保障體系，包括啟動信息安全戰(zhàn)略項目、設(shè)計信息安全架構(gòu)、建立信息安全流程、完成信息安全改進項目，這部分企業(yè)處于改進階段。僅有百分之五的企業(yè)在信息安全改進項目完成后，在擁有較為全面的信息安全控制能力基礎(chǔ)上，建立持續(xù)改進的機制，以應(yīng)對安全風(fēng)險的變化，不斷提高，追蹤技術(shù)和業(yè)務(wù)的變化、信息安全流程的持續(xù)改進，達到了卓越運營。

可見國際型大公司尚且如此，隨著中國企業(yè)信息技術(shù)的不斷應(yīng)用，也必然會經(jīng)歷國際大公司在信息安全方面的成熟度認知過程。因此，如何設(shè)計適合企業(yè)自身的安全體系框架，并能夠指導(dǎo)落地實施，正是本文重點介紹的內(nèi)容。

2 國內(nèi)安全領(lǐng)域相關(guān)工作情況

近年來，中國政府高度重視信息安全保障體系的建設(shè)，先后出臺了相應(yīng)的法律法規(guī)，如《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《信息安全等級保護管理辦法》等，以及相應(yīng)的要求和指南，如《計算機信息系統(tǒng)安全保護等級劃分準則》、《信息系統(tǒng)安全等級保護基本要求》、《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)安全等級保護定級指南》等。

同時一些優(yōu)秀的企業(yè)管理人員也根據(jù)自身的實際需求，提出了適合自身企業(yè)的信息安全體系架構(gòu)，筆者找到一篇關(guān)于《大型企業(yè)信息安全架構(gòu)設(shè)計初探》的文章，文中從管理、技術(shù)、控制三個視角，在概念層、邏輯層和實現(xiàn)層三個層次，三橫三縱地闡述了構(gòu)建企業(yè)信息安全體系框架的MCT模型，接下來文中針對MCT模型通過差距分析法進一步介紹了如何從設(shè)計到實現(xiàn)的轉(zhuǎn)換。

3 五體系模型

MCT模型從管理視角、控制視角和技術(shù)視角三個角度，由概念到邏輯，再到實現(xiàn)的逐層遞進模型，它講述的是大型企業(yè)信息安全的框架，但作為技術(shù)人員更希望一個易于操作和落地的模型，因此根據(jù)筆者自身的工作經(jīng)驗，梳理總結(jié)出五體系模型，將信息安全從事前防御、事中監(jiān)控與響應(yīng)、事后恢復(fù)三個階段有機結(jié)合，通過五個體系的建立，滿足企業(yè)內(nèi)部信息安全的需要，如圖2所示：

組織體系，通過建立信息安全決策、管理、執(zhí)行以及監(jiān)管的機構(gòu)，并明確各級機構(gòu)的角色與職責(zé)，落實完善信息安全管理與控制的相關(guān)主體和責(zé)任。

制度體系，涉及制度、規(guī)范、流程、手冊、臺賬等信息，通過建立和完善以上內(nèi)容，實現(xiàn)內(nèi)部信息安全規(guī)則和標準的統(tǒng)一。

技術(shù)體系，指實現(xiàn)信息安全所采取的具體技術(shù)措施，如通過軟件、硬件、工具、技術(shù)服務(wù)等手段從技術(shù)領(lǐng)域防范信息安全風(fēng)險的發(fā)生。

運行體系，指日常運維工作，包括健康檢查、安全監(jiān)控、事件響應(yīng)、變更管理、IT審計等內(nèi)容。通過日常工作防范潛在風(fēng)險的發(fā)生，當風(fēng)險出現(xiàn)時能及時監(jiān)測并應(yīng)對，保障整個公司業(yè)務(wù)的正常運行。

恢復(fù)體系，涉及應(yīng)急恢復(fù)、備份恢復(fù)、容災(zāi)恢復(fù)、策略修訂等，通過恢復(fù)體系，將業(yè)務(wù)狀態(tài)恢復(fù)至受攻擊之前的運行水平，有效保障企業(yè)的業(yè)務(wù)連續(xù)性，同時為了保證整個安全架構(gòu)的健壯性，需要加強安全架構(gòu)的后評估，在業(yè)務(wù)恢復(fù)后，通過對恢復(fù)效果的評估，及時調(diào)整相應(yīng)的安全策略。

組織體系和制度體系是基礎(chǔ)、技術(shù)體系是依托、運行體系和恢復(fù)體系是保障，通過五個體系相互作用，有效實現(xiàn)事前防御、事中監(jiān)控和響應(yīng)、事后恢復(fù)的有機結(jié)合。

4 模型的落實與監(jiān)控

談到五體系模型的落地，我們按照項目管理的思路，采用階段管理的方法，將其分為準備階段、制定階段和運行階段三部分，依次落實。

4.1 準備階段

準備階段是項目的開始，通過準備階段的工作完成項目啟動、組織建立、信息評價和風(fēng)險應(yīng)對四部分，為下一個階段的開展提供有效的保障。

項目啟動，標志著信息安全項目正式開始，項目發(fā)起人與管理層選定項目負責(zé)人，并將項目范圍、項目目標、預(yù)計項目持續(xù)的時間及所需要的資源、可交付成果及評價標準，高層管理者在項目中的角色和義務(wù)等逐個確定。

組織建立，項目負責(zé)人根據(jù)實際工作需要成立相應(yīng)的小組，并確定相關(guān)成員，如圖3示例。由公司高層管理人員組成領(lǐng)導(dǎo)小組，負責(zé)需求提出、資源分配、階段目標確認等事項；由相關(guān)的技術(shù)專家和顧問組成決策小組，負責(zé)標準和策略的決策事項；由公司內(nèi)部財務(wù)、審計、法務(wù)等部門人員組成審計小組，負責(zé)項目審計工作，并對領(lǐng)導(dǎo)小組負責(zé)；由相關(guān)的技術(shù)工程師、業(yè)務(wù)人員組成執(zhí)行小組，負責(zé)具體事項的執(zhí)行工作。同時，確定項目結(jié)束后應(yīng)該移交的運維部門或組織。

信息評價，首先要完成信息資產(chǎn)的選定工作，即分析企業(yè)內(nèi)存在哪些信息資產(chǎn)，比如紙質(zhì)信息、網(wǎng)絡(luò)信息、系統(tǒng)信息、供應(yīng)商信息、項目信息等，根據(jù)信息來源的不同進行收集和整理，通過對信息資產(chǎn)的價值評估、業(yè)務(wù)影響力、決策依據(jù)必要性等進行初步篩選，最終確定有效的信息資產(chǎn)。同時要考慮各部門及崗位存在的相關(guān)信息，依據(jù)輕度、中度、重度的機密程度進行區(qū)分，比如財務(wù)部資產(chǎn)、賬款等信息；人力資源部員工資料、工資情況等信息。其次，按照機密性、安全性和可用性進行分類并打分，分數(shù)越高，信息價值越高。如圖4示例。

風(fēng)險應(yīng)對，根據(jù)信息資產(chǎn)的價值，假定該信息資產(chǎn)被泄漏，通過風(fēng)險的定性評估、定量評估，發(fā)生概率的評估，選擇不同的應(yīng)對方式，如風(fēng)險規(guī)避、風(fēng)險轉(zhuǎn)移、風(fēng)險減輕、風(fēng)險接受，最大限度的保障企業(yè)信息資產(chǎn)的安全。

4.2 制定階段

制定階段涵蓋了信息安全建設(shè)項目的計劃、執(zhí)行、控制及收尾過程，是三個階段中最重要的一環(huán)，是運行階段的執(zhí)行標準和基礎(chǔ)。包含策略制定、制度建立、導(dǎo)入系統(tǒng)和部署發(fā)布四部分。

策略制定，根據(jù)準備階段所確定的信息資產(chǎn)，依據(jù)其分值和風(fēng)險應(yīng)對方式，采用不同策略進行響應(yīng)，相關(guān)的策略涉及五體系模型的全部內(nèi)容，如確立組織體系的規(guī)模及責(zé)任、指導(dǎo)制度體系的建立、為技術(shù)體系提供依據(jù)和標準、規(guī)范運行體系的操作流程、保障恢復(fù)體系的最終效果。相關(guān)策略又分為技術(shù)策略和管理策略。

4.3 運行階段

運行階段為三個階段的最后一個階段，按照制定階段的安全策略執(zhí)行，由運維部門或組織負責(zé)整個安全架構(gòu)的維護與管理工作，原項目中各組織解散，該階段涉及健康檢查與評估、事件監(jiān)控與響應(yīng)、事后恢復(fù)與審計三部分。

健康檢查與評估，指運維部門依據(jù)安全策略對整個信息安全架構(gòu)進行例行健康檢查，可以按照日、月、年周期進行，并通過漏

洞掃描、模擬攻擊、應(yīng)急演練等手段評估現(xiàn)有信息安全架構(gòu)的健壯性。

事件監(jiān)控與響應(yīng)，安全事件既可以是企業(yè)內(nèi)部發(fā)生的事件，也可以是企業(yè)外部發(fā)生的事件，根據(jù)事件的進展進行跟蹤，并依據(jù)事先確定的安全策略執(zhí)行相應(yīng)的響應(yīng)流程。

事后恢復(fù)與審計，針對企業(yè)內(nèi)部發(fā)生的安全事件，依據(jù)恢復(fù)體系，將業(yè)務(wù)狀態(tài)恢復(fù)至受攻擊前的運行水平，并對此次攻擊和響應(yīng)的處理步驟進行審計和評價，確保所有操作依據(jù)已確定的規(guī)范或指南執(zhí)行。

5 結(jié)論

本文對信息安全架構(gòu)提出的五體系模型和落地探索，在實際工作中不能完全適應(yīng)每一個企業(yè)，但也希望通過這些努力，與大家分享，讓更多的人能為企業(yè)保駕護航，提升安全。當然受限于筆者自身的水平和實踐，在許多方面會存在不足，在此僅供大家參考。

參考文獻：

[1]羅革新，呂增江，崔廣印，鮑天祥，王振欣，于普漪.大型企業(yè)信息安全體系架構(gòu)設(shè)計初探[J].勘探地球物理進展，第31卷第6期，2008年12月.

[2]劉振宇.國家大劇院信息安全保障體系探索[J].信息安全與技術(shù)，第5卷第5期，2014年5月.

[3]2015年第二季度中國互聯(lián)網(wǎng)安全報告[R].360互聯(lián)網(wǎng)安全中心，2015年8月6日.