企業(yè)信息安全建設(shè)工作探索與實(shí)踐

黃均輝

（中國(guó)電建集團(tuán)中南勘測(cè)設(shè)計(jì)研究院有限公司，湖南，長(zhǎng)沙 410014）

在“互聯(lián)網(wǎng)+”時(shí)代，企業(yè)甚至整個(gè)IT 產(chǎn)業(yè)的網(wǎng)絡(luò)管理將面臨極大的安全挑戰(zhàn)。在2017 年5 月全球爆發(fā)大規(guī)模勒索軟件感染事件，對(duì)我國(guó)互聯(lián)網(wǎng)絡(luò)也構(gòu)成了嚴(yán)重安全威脅，該類型病毒通過廣播傳播，對(duì)企業(yè)內(nèi)網(wǎng)的破壞尤其嚴(yán)重。據(jù)報(bào)道國(guó)內(nèi)多個(gè)高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)受影響，保守估計(jì)超過30 萬(wàn)臺(tái)設(shè)備受到感染?；诖耍?017 年6 月1 日開始全面施行《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，這對(duì)企業(yè)運(yùn)行安全能力提出了更高的要求。

企業(yè)如何有效全面建設(shè)企業(yè)信息安全、全面提升企業(yè)信息安全水平？本文將對(duì)此作出探討。

1 體系化建設(shè)信息安全的必要性

1.1 信息安全建設(shè)誤區(qū)

企業(yè)在信息安全建設(shè)工作中一般存在以下誤區(qū)。

誤區(qū)一：重視硬件建設(shè)，忽視軟件作用。很多企業(yè)在信息化建設(shè)過程中，在軟件產(chǎn)品與硬件產(chǎn)品的選擇上，經(jīng)常出現(xiàn)“欺軟怕硬”的現(xiàn)象。往往只是考慮加大硬件設(shè)備的投入，簡(jiǎn)單購(gòu)買一些硬件設(shè)置，孰不知，企業(yè)還需要考慮到內(nèi)部的安全威脅，包括病毒、內(nèi)部泄密、員工行為規(guī)范等。同時(shí)，對(duì)于員工也沒有做好相應(yīng)的培訓(xùn)，導(dǎo)致員工缺乏安全保密意識(shí)，工作基本靠個(gè)人自覺或忠誠(chéng)度，而沒有其他的約束。這類安全需求是硬件設(shè)備無法全部滿足的。

誤區(qū)二：重視技術(shù)投入，忽視管理保障。不同于信息化建設(shè)的長(zhǎng)期積累和完善，信息化安全建設(shè)可以說是剛起步不久。對(duì)于信息化安全方面，還多處于采購(gòu)專用設(shè)備的階段；管理建設(shè)上，沒有明確責(zé)任單位，多職能部門管理，責(zé)權(quán)不清；缺少相應(yīng)的規(guī)章制度，缺乏有效的規(guī)章制度管理、修訂機(jī)制。

誤區(qū)三：信息安全的認(rèn)識(shí)程度普遍不高。病毒、木馬是大家最為熟悉的，也是認(rèn)知度最高的危害信息安全的方式。許多的企業(yè)缺乏對(duì)信息安全的整體認(rèn)識(shí)，還停留在信息安全就是要防病毒、裝殺毒軟件，于是便有“裝了殺毒軟件、布上防火墻，信息安全無憂”的片面認(rèn)識(shí)。

1.2 企業(yè)信息安全管理實(shí)施需要體系化

企業(yè)信息安全工作并不是產(chǎn)品的簡(jiǎn)單堆積，也不是一次性的靜態(tài)過程，應(yīng)該是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過程。信息安全水平的高低遵循木桶原理，即信息安全水平有多高，取決于防護(hù)最薄弱的環(huán)節(jié)，如圖1 所示。

1.3 企業(yè)信息安全體系化實(shí)施依據(jù)

（1）我國(guó)信息安全的管理體系——信息安全等級(jí)保護(hù)。信息系統(tǒng)安全等級(jí)保護(hù)是指對(duì)信息系統(tǒng)實(shí)行等級(jí)化的保護(hù)和管理。根據(jù)信息系統(tǒng)對(duì)國(guó)家利益、公共利益和社會(huì)穩(wěn)定的重要性，實(shí)行分級(jí)、分類、分階段實(shí)施保護(hù)，確保信息安全和系統(tǒng)安全正常運(yùn)行，其核心是對(duì)信息系統(tǒng)安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督，如圖2 所示。

圖2 信息系統(tǒng)安全等級(jí)保護(hù)基本要求

（2）《信息安全管理體系國(guó)際標(biāo)準(zhǔn)》（ISO/IEC 27001）。《信息安全管理體系國(guó)際標(biāo)準(zhǔn)》（ISO/IEC 27001）由兩大部分組成，ISO 27001 是《信息安全管理體系要求》，是在組織內(nèi)部建立信息安全管理體系（ISMS）的一套規(guī)范，其中詳細(xì)說明了建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系的模型和要求。ISO/IEC 27002 即《信息安全管理實(shí)施指南》，提出了在組織內(nèi)部啟動(dòng)、實(shí)施、保持和改進(jìn)信息安全管理的指南和一般原則，包括11 個(gè)要素、39 個(gè)控制目標(biāo)和133 種控制措施。

（3）信息安全風(fēng)險(xiǎn)評(píng)估。信息安全風(fēng)險(xiǎn)評(píng)估是以信息資產(chǎn)為出發(fā)點(diǎn)，以威脅為觸發(fā)，以技術(shù)、管理、運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型，是獲知組織當(dāng)前風(fēng)險(xiǎn)水平的一種手段。其能借助定量、定性分析的方法，推斷出用戶關(guān)心的重要資產(chǎn)當(dāng)前的安全風(fēng)險(xiǎn)，并根據(jù)風(fēng)險(xiǎn)的嚴(yán)重級(jí)別制定風(fēng)險(xiǎn)處置計(jì)劃，確定下一步的安全需求方向。

（4）結(jié)合企業(yè)實(shí)際的原則。企業(yè)在信息安全建設(shè)過程中，應(yīng)結(jié)合自身需求，如勘測(cè)設(shè)計(jì)企業(yè)尤為關(guān)心產(chǎn)品、圖紙的保護(hù)，應(yīng)重點(diǎn)考慮。同時(shí)，在信息系統(tǒng)可承受的安全風(fēng)險(xiǎn)范圍內(nèi)盡可能地考慮成本與效率，以及緊密結(jié)合企業(yè)系統(tǒng)的安全要求及面臨的威脅制定科學(xué)、合理、可行的安全建設(shè)原則，避免萬(wàn)里長(zhǎng)城似的盲目投入，因地制宜，在體系指導(dǎo)下按需加固，提升管理水平。

2 結(jié)合企業(yè)實(shí)際的信息安全體系構(gòu)建

在實(shí)際工作中，參照《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，結(jié)合網(wǎng)絡(luò)安全評(píng)估結(jié)果，以及企業(yè)實(shí)際情況，構(gòu)建了如下企業(yè)信息安全體系，體系含安全策略、安全技術(shù)、安全運(yùn)維、安全管理四方面，如圖3 所示。

圖3 企業(yè)信息安全體系

安全策略是在工作方針的指導(dǎo)下，對(duì)信息安全某一方面工作的目標(biāo)和原則進(jìn)行闡述的文件。安全策略根據(jù)ISO27002 指導(dǎo)，建立物理安全策略、網(wǎng)絡(luò)安全策略、系統(tǒng)安全策略、應(yīng)用安全策略、數(shù)據(jù)安全策略、賬戶口令策略、安全運(yùn)維策略等十三方面的信息安全策略。

安全技術(shù)是安全管理和安全運(yùn)維能夠有效實(shí)施的重要保障，是通過使用安全產(chǎn)品、技術(shù)以及相關(guān)的服務(wù)，與其他兩個(gè)方面共同支撐和實(shí)現(xiàn)信息安全。安全技術(shù)從物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層和安管層共六個(gè)安全層進(jìn)行安全技術(shù)建設(shè)。

安全管理主要從組織層、制度層、培訓(xùn)層和績(jī)效層四個(gè)層次來進(jìn)行信息安全管理方面的建設(shè)。

安全運(yùn)維主要從階段性運(yùn)維、日常性運(yùn)維、應(yīng)急響應(yīng)三個(gè)層次來進(jìn)行信息安全管理方面的建設(shè)。其中，以常見的安全技術(shù)的六個(gè)安全層面舉例展開：（1）物理層，重點(diǎn)規(guī)范管理的內(nèi)容包括機(jī)房環(huán)境保護(hù)、機(jī)房準(zhǔn)入管理、機(jī)房備用電力供應(yīng)。（2）網(wǎng)絡(luò)層，重點(diǎn)規(guī)范管理的內(nèi)容包括網(wǎng)絡(luò)建設(shè)規(guī)范性、網(wǎng)絡(luò)邊界、通信、網(wǎng)絡(luò)管理安全。（3）系統(tǒng)層，重點(diǎn)規(guī)范管理的內(nèi)容包括服務(wù)器安全、數(shù)據(jù)庫(kù)安全、終端安全。（4）應(yīng)用層，重點(diǎn)規(guī)范管理的內(nèi)容包括應(yīng)用數(shù)據(jù)庫(kù)平臺(tái)冗余、敏感終端專用、網(wǎng)站系統(tǒng)防護(hù)、網(wǎng)站系統(tǒng)監(jiān)控、系統(tǒng)傳輸加密。（5）數(shù)據(jù)層，重點(diǎn)規(guī)范管理的內(nèi)容包括備份數(shù)據(jù)測(cè)試、系統(tǒng)恢復(fù)演練。（6）安管層，重點(diǎn)規(guī)范管理的內(nèi)容包括漏洞管理、安全配置核查、內(nèi)網(wǎng)入侵檢測(cè)、郵件安全防護(hù)。

3 企業(yè)信息安全體系的應(yīng)用與實(shí)踐

根據(jù)所構(gòu)建的企業(yè)信息安全體系內(nèi)容，指導(dǎo)企業(yè)開展安全規(guī)劃和安全建設(shè)、安全管理行為工作，重點(diǎn)圍繞安全策略，進(jìn)行策略、技術(shù)、運(yùn)維、管理四個(gè)方面建設(shè)，建立和健全信息安全相關(guān)的安全組織和團(tuán)隊(duì)、制度規(guī)章、安全技術(shù)和安全運(yùn)維，取得了一定效果。具體（部分）工作有以下幾個(gè)方面。

3.1 安全策略方面

（1）物理安全策略有機(jī)房建設(shè)、物理訪問控制、環(huán)境保護(hù)、辦公物理安全等。（2）網(wǎng)絡(luò)安全策略有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)管理、網(wǎng)絡(luò)設(shè)備安全管理、網(wǎng)絡(luò)安全實(shí)施監(jiān)控等。（3）系統(tǒng)安全策略有操作系統(tǒng)使用規(guī)范、操作系統(tǒng)升級(jí)、變更管理等。（4）應(yīng)用安全策略有數(shù)據(jù)庫(kù)系統(tǒng)安全、郵件系統(tǒng)安全、業(yè)務(wù)系統(tǒng)安全等。（5）數(shù)據(jù)安全策略有關(guān)鍵業(yè)務(wù)數(shù)據(jù)加密要求、數(shù)據(jù)備份對(duì)象要求、公司機(jī)密文檔保護(hù)等。（6）賬號(hào)口令策略有口令設(shè)置規(guī)則、口令更換規(guī)則等。（7）安全運(yùn)維策略有事件分級(jí)、事件處理、問題處理、知識(shí)分享等。

3.2 安全技術(shù)方面

（1）網(wǎng)絡(luò)層。①網(wǎng)絡(luò)邊界安全：利用集團(tuán)某商業(yè)安域系統(tǒng)對(duì)企業(yè)對(duì)外網(wǎng)站和應(yīng)用系統(tǒng)進(jìn)行防護(hù)，確保網(wǎng)站安全性。②網(wǎng)絡(luò)管理安全：提供設(shè)備保障，及時(shí)更新防火墻、IPS 等網(wǎng)絡(luò)安全設(shè)備，保障網(wǎng)絡(luò)設(shè)備處于安全穩(wěn)定運(yùn)行狀態(tài)。

（2）系統(tǒng)層。①服務(wù)器安全：賬號(hào)授權(quán)細(xì)化管理，各類信息系統(tǒng)訪問采用功能授權(quán)、數(shù)據(jù)授權(quán)等方式，各司其職，各用所需；實(shí)施安全審計(jì)，數(shù)據(jù)管理員通過堡壘機(jī)才能訪問服務(wù)器，可通過第三方安全審計(jì)員做到運(yùn)維的事中和事后審計(jì)。②終端安全：終端安全加固，逐步實(shí)現(xiàn)終端標(biāo)準(zhǔn)化，統(tǒng)一安裝企業(yè)級(jí)殺毒軟件，加強(qiáng)員工密碼管理，采用最新加密技術(shù)對(duì)員工密碼進(jìn)行安全存儲(chǔ)，并加強(qiáng)登錄密碼強(qiáng)度和強(qiáng)制定期修改。終端上網(wǎng)審計(jì)，滿足了對(duì)用戶上網(wǎng)行為審計(jì)備案的要求，同時(shí)可以有效管控用戶流量、電腦病毒、惡意網(wǎng)站等。

（3）數(shù)據(jù)層。備份數(shù)據(jù)、系統(tǒng)恢復(fù)演練，即利用專業(yè)存儲(chǔ)系統(tǒng)對(duì)企業(yè)重要業(yè)務(wù)系統(tǒng)數(shù)據(jù)實(shí)現(xiàn)本地鏡像和復(fù)制，實(shí)現(xiàn)對(duì)數(shù)據(jù)的三重備份，定期組織恢復(fù)演練。

3.3 安全管理方面

（1）組織層。成立信息安全領(lǐng)導(dǎo)小組，統(tǒng)籌企業(yè)信息化工作，該小組也是信息安全管理的決策機(jī)構(gòu)；設(shè)立信息安全工作小組，由部門信息主管和管理員組成，負(fù)責(zé)信息安全的日常工作；指定明確部門為系統(tǒng)安全專職管理機(jī)構(gòu)，負(fù)責(zé)具體工作，含策略研究、技術(shù)方案、實(shí)施運(yùn)行及管理制監(jiān)督和指導(dǎo)。

（2）制度層。建立安全制度，包括《信息化基礎(chǔ)設(shè)施運(yùn)行維護(hù)管理辦法》《數(shù)據(jù)安全管理實(shí)施細(xì)則》《互聯(lián)網(wǎng)服務(wù)區(qū)信息系統(tǒng)安全管理實(shí)施細(xì)則》《路由器接入的管理規(guī)定》等制度。

3.4 安全運(yùn)維方面

（1）階段性運(yùn)維。定期風(fēng)險(xiǎn)評(píng)估，即依托第三方信息安全測(cè)評(píng)機(jī)構(gòu)技術(shù)力量，定期對(duì)面向外網(wǎng)的網(wǎng)站和應(yīng)用系統(tǒng)進(jìn)行信息滲透測(cè)試，及時(shí)發(fā)現(xiàn)潛在風(fēng)險(xiǎn)，并進(jìn)行針對(duì)性的整改。

（2）應(yīng)急響應(yīng)。應(yīng)急管理，即制定網(wǎng)絡(luò)與信息安全應(yīng)急演練預(yù)按，并定期組織演練，通過演練修訂應(yīng)急預(yù)案、及時(shí)發(fā)現(xiàn)存在問題，檢驗(yàn)我院應(yīng)急綜合能力。

4 工作建議

在建設(shè)過程中也探索出更好開展本項(xiàng)工作的注意事項(xiàng)。

4.1 業(yè)務(wù)驅(qū)動(dòng)

信息安全最終目的是為業(yè)務(wù)的開展提供支持和保障，實(shí)施時(shí)在安全性和業(yè)務(wù)開展的便利性之間找到平衡點(diǎn)，同時(shí)提高業(yè)務(wù)部門對(duì)信息安全工作的理解和認(rèn)識(shí)，在此過程中獲得業(yè)務(wù)部門的支持與配合、共同推動(dòng)，真正實(shí)現(xiàn)信息安全為業(yè)務(wù)服務(wù)。

4.2 高層的支持

高層領(lǐng)導(dǎo)的支持和參與，能有效協(xié)調(diào)各部門的關(guān)系，建立跨部門的協(xié)作機(jī)制，保證信息安全目標(biāo)的順利實(shí)施。

4.3 有效的管理和監(jiān)控

信息安全體系實(shí)施規(guī)劃包含多項(xiàng)子任務(wù)，其中一些任務(wù)的實(shí)施時(shí)間跨度長(zhǎng)、投資大，而且相互之間存在著一定的依賴關(guān)系，這些對(duì)于企業(yè)具有很大的挑戰(zhàn)。為此，需要落實(shí)強(qiáng)有力的實(shí)施管理和監(jiān)控措施，從總體計(jì)劃、子計(jì)劃、各任務(wù)，在計(jì)劃、執(zhí)行、檢查、改進(jìn)多層面，開展管理和監(jiān)控，掌握實(shí)施情況并及時(shí)調(diào)整。

4.4 長(zhǎng)期可靠的合作伙伴

信息安全任務(wù)的實(shí)施涵蓋范圍很廣，涉及許多專業(yè)的技術(shù)和產(chǎn)品，既需要廣泛借鑒信息安全相關(guān)國(guó)際標(biāo)準(zhǔn)和最佳實(shí)踐理念，又要充分結(jié)合企業(yè)對(duì)信息安全的特定需求。考慮到目前自身的安全能力，選擇合適的外部資源協(xié)助、引進(jìn)外部專業(yè)資源和先進(jìn)技術(shù)，有利于幫助企業(yè)推動(dòng)信息安全建設(shè)工作。

4.5 借力大數(shù)據(jù)技術(shù)發(fā)揮外部資源效用

在信息大爆炸的時(shí)代，大數(shù)據(jù)憑借其本身的巨大優(yōu)勢(shì)，如通過運(yùn)用相關(guān)技術(shù)能整理和分析及時(shí)發(fā)現(xiàn)攻擊行為、找出攻擊源頭，并且通過對(duì)威脅數(shù)據(jù)的技術(shù)整合和信息處理分析，能快速提出有效的針對(duì)性方案。這是一般企業(yè)難以做到的。因此，在實(shí)際中可以借助外部專業(yè)公司資源和優(yōu)勢(shì)，充分發(fā)揮企業(yè)加固內(nèi)部防御、引進(jìn)外部技術(shù)模式的最大化效應(yīng)。

5 結(jié)束語(yǔ)

在“互聯(lián)網(wǎng)+”的環(huán)境下，企業(yè)面臨的安全威脅不斷深化，形勢(shì)嚴(yán)峻，單純地靠產(chǎn)品已不能滿足企業(yè)實(shí)際安全需求。企業(yè)信息安全工作“三分技術(shù)、七分管理”，整體的安全水平往往取決于最弱的一環(huán)，因此，需要更為全面的體系化、系統(tǒng)化實(shí)施，才能實(shí)現(xiàn)并保持一定的信息安全水平。

本文提出企業(yè)按照“遵循等保、評(píng)估風(fēng)險(xiǎn)、結(jié)合實(shí)際”建設(shè)原則，構(gòu)建了企業(yè)信息安全體系，通過在安全策略、安全技術(shù)、安全管理、安全運(yùn)維四方面重點(diǎn)建設(shè)，建立和健全信息安全相關(guān)的安全組織和團(tuán)隊(duì)、制度規(guī)章、安全技術(shù)和安全運(yùn)維，及時(shí)彌補(bǔ)企業(yè)信息安全木桶的短板，有效解決問題及防范風(fēng)險(xiǎn)，全面提升企業(yè)信息安全水平，并且提出了后續(xù)工作的相關(guān)建議，更好地為企業(yè)業(yè)務(wù)的發(fā)展保駕護(hù)航。