左云崗

摘 要：中國(guó)企業(yè)在信息技術(shù)逐步應(yīng)用的同時(shí)，必然會(huì)存在信息安全成熟度的認(rèn)知過程。根據(jù)國(guó)內(nèi)信息安全現(xiàn)狀，以技術(shù)人員的角度提出一套易于操作的五體系模型，并按照項(xiàng)目管理的思路，采用階段管理的方法，分三個(gè)階段指導(dǎo)信息安全模型的落地實(shí)施。

關(guān)鍵詞：信息技術(shù)；信息安全；五體系模型；安全策略；項(xiàng)目管理

1 背景

首先，我們需要先了解一下企業(yè)到底存在哪些風(fēng)險(xiǎn)。

病毒和木馬，根據(jù)360互聯(lián)網(wǎng)安全中心《2015年第二季度中國(guó)互聯(lián)網(wǎng)安全報(bào)告》，2015年第二季度360互聯(lián)網(wǎng)中心共截獲PC端新增惡意程序樣本8002萬(wàn)個(gè)，日均截獲88萬(wàn)個(gè)，不言而喻這是對(duì)企業(yè)危害最大的風(fēng)險(xiǎn)。

網(wǎng)絡(luò)攻擊，2015年8月25日，錘子科技2015年的最新產(chǎn)品堅(jiān)果手機(jī)發(fā)布，在當(dāng)晚發(fā)布會(huì)進(jìn)行時(shí)，錘子科技官網(wǎng)就遭到高達(dá)數(shù)十G的流量DDoS攻擊，導(dǎo)致用戶無(wú)法登錄購(gòu)買手機(jī)，網(wǎng)站一度面臨全面癱瘓的風(fēng)險(xiǎn)。

安全漏洞，2015年10月19日，著名白帽平臺(tái)烏云網(wǎng)爆出某郵箱過億數(shù)據(jù)泄漏，涉及郵箱賬號(hào)、密碼、用戶密保等；2015年10月20日同樣是烏云網(wǎng)爆出中糧集團(tuán)某核心系統(tǒng)配置不當(dāng)導(dǎo)致大量敏感信息泄露問題（含員工信息/稅務(wù)文件/可修改合同等）。360補(bǔ)天平臺(tái)2015年第二季度共收錄有效漏洞10363個(gè)，日均收錄114個(gè)，其中74.1%的漏洞為高危漏洞。

還有什么風(fēng)險(xiǎn)？2015年5月28日，攜程網(wǎng)部分服務(wù)器遭到不明攻擊，導(dǎo)致官方網(wǎng)站及APP無(wú)法正常使用，此次宕機(jī)11個(gè)小時(shí)后才恢復(fù)，事后攜程網(wǎng)宣布此次事件系內(nèi)部人員錯(cuò)誤操作導(dǎo)致，該類風(fēng)險(xiǎn)應(yīng)該屬于內(nèi)部的控制管理機(jī)制問題。

當(dāng)然還有很多其他風(fēng)險(xiǎn)，這里就不一一贅述。一份來(lái)自于Gartner 2006年1月的報(bào)道，通過選取福布斯2000強(qiáng)企業(yè)，按照安全成熟度進(jìn)行分布，如圖1所示：

百分之三十的企業(yè)處于盲目自信階段，即普遍缺乏安全意識(shí)，對(duì)企業(yè)安全狀況不了解，未意識(shí)到企業(yè)信息安全風(fēng)險(xiǎn)的嚴(yán)重性。百分之五十的企業(yè)處于認(rèn)知階段，即通過信息安全風(fēng)險(xiǎn)評(píng)估，企業(yè)意識(shí)到自身存在信息安全風(fēng)險(xiǎn)，開始采取一些措施提升信息安全水平，包括基本安全產(chǎn)品部署、主要人員的培訓(xùn)教育、建立安全團(tuán)隊(duì)、制定安全方針政策、評(píng)估并了解現(xiàn)狀。以上80%的企業(yè)即1600家企業(yè)才算及格。

接下來(lái)百分之十五的企業(yè)意識(shí)到局部的、單一的信息安全控制措施難以明顯改善企業(yè)信息安全狀況，開始進(jìn)行全面的信息安全架構(gòu)設(shè)計(jì)，有計(jì)劃的建設(shè)信息安全保障體系，包括啟動(dòng)信息安全戰(zhàn)略項(xiàng)目、設(shè)計(jì)信息安全架構(gòu)、建立信息安全流程、完成信息安全改進(jìn)項(xiàng)目，這部分企業(yè)處于改進(jìn)階段。僅有百分之五的企業(yè)在信息安全改進(jìn)項(xiàng)目完成后，在擁有較為全面的信息安全控制能力基礎(chǔ)上，建立持續(xù)改進(jìn)的機(jī)制，以應(yīng)對(duì)安全風(fēng)險(xiǎn)的變化，不斷提高，追蹤技術(shù)和業(yè)務(wù)的變化、信息安全流程的持續(xù)改進(jìn)，達(dá)到了卓越運(yùn)營(yíng)。

可見國(guó)際型大公司尚且如此，隨著中國(guó)企業(yè)信息技術(shù)的不斷應(yīng)用，也必然會(huì)經(jīng)歷國(guó)際大公司在信息安全方面的成熟度認(rèn)知過程。因此，如何設(shè)計(jì)適合企業(yè)自身的安全體系框架，并能夠指導(dǎo)落地實(shí)施，正是本文重點(diǎn)介紹的內(nèi)容。

2 國(guó)內(nèi)安全領(lǐng)域相關(guān)工作情況

近年來(lái)，中國(guó)政府高度重視信息安全保障體系的建設(shè)，先后出臺(tái)了相應(yīng)的法律法規(guī)，如《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《信息安全等級(jí)保護(hù)管理辦法》等，以及相應(yīng)的要求和指南，如《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》等。

同時(shí)一些優(yōu)秀的企業(yè)管理人員也根據(jù)自身的實(shí)際需求，提出了適合自身企業(yè)的信息安全體系架構(gòu)，筆者找到一篇關(guān)于《大型企業(yè)信息安全架構(gòu)設(shè)計(jì)初探》的文章，文中從管理、技術(shù)、控制三個(gè)視角，在概念層、邏輯層和實(shí)現(xiàn)層三個(gè)層次，三橫三縱地闡述了構(gòu)建企業(yè)信息安全體系框架的MCT模型，接下來(lái)文中針對(duì)MCT模型通過差距分析法進(jìn)一步介紹了如何從設(shè)計(jì)到實(shí)現(xiàn)的轉(zhuǎn)換。

3 五體系模型

MCT模型從管理視角、控制視角和技術(shù)視角三個(gè)角度，由概念到邏輯，再到實(shí)現(xiàn)的逐層遞進(jìn)模型，它講述的是大型企業(yè)信息安全的框架，但作為技術(shù)人員更希望一個(gè)易于操作和落地的模型，因此根據(jù)筆者自身的工作經(jīng)驗(yàn)，梳理總結(jié)出五體系模型，將信息安全從事前防御、事中監(jiān)控與響應(yīng)、事后恢復(fù)三個(gè)階段有機(jī)結(jié)合，通過五個(gè)體系的建立，滿足企業(yè)內(nèi)部信息安全的需要，如圖2所示：

組織體系，通過建立信息安全決策、管理、執(zhí)行以及監(jiān)管的機(jī)構(gòu)，并明確各級(jí)機(jī)構(gòu)的角色與職責(zé)，落實(shí)完善信息安全管理與控制的相關(guān)主體和責(zé)任。

制度體系，涉及制度、規(guī)范、流程、手冊(cè)、臺(tái)賬等信息，通過建立和完善以上內(nèi)容，實(shí)現(xiàn)內(nèi)部信息安全規(guī)則和標(biāo)準(zhǔn)的統(tǒng)一。

技術(shù)體系，指實(shí)現(xiàn)信息安全所采取的具體技術(shù)措施，如通過軟件、硬件、工具、技術(shù)服務(wù)等手段從技術(shù)領(lǐng)域防范信息安全風(fēng)險(xiǎn)的發(fā)生。

運(yùn)行體系，指日常運(yùn)維工作，包括健康檢查、安全監(jiān)控、事件響應(yīng)、變更管理、IT審計(jì)等內(nèi)容。通過日常工作防范潛在風(fēng)險(xiǎn)的發(fā)生，當(dāng)風(fēng)險(xiǎn)出現(xiàn)時(shí)能及時(shí)監(jiān)測(cè)并應(yīng)對(duì)，保障整個(gè)公司業(yè)務(wù)的正常運(yùn)行。

恢復(fù)體系，涉及應(yīng)急恢復(fù)、備份恢復(fù)、容災(zāi)恢復(fù)、策略修訂等，通過恢復(fù)體系，將業(yè)務(wù)狀態(tài)恢復(fù)至受攻擊之前的運(yùn)行水平，有效保障企業(yè)的業(yè)務(wù)連續(xù)性，同時(shí)為了保證整個(gè)安全架構(gòu)的健壯性，需要加強(qiáng)安全架構(gòu)的后評(píng)估，在業(yè)務(wù)恢復(fù)后，通過對(duì)恢復(fù)效果的評(píng)估，及時(shí)調(diào)整相應(yīng)的安全策略。

組織體系和制度體系是基礎(chǔ)、技術(shù)體系是依托、運(yùn)行體系和恢復(fù)體系是保障，通過五個(gè)體系相互作用，有效實(shí)現(xiàn)事前防御、事中監(jiān)控和響應(yīng)、事后恢復(fù)的有機(jī)結(jié)合。

4 模型的落實(shí)與監(jiān)控

談到五體系模型的落地，我們按照項(xiàng)目管理的思路，采用階段管理的方法，將其分為準(zhǔn)備階段、制定階段和運(yùn)行階段三部分，依次落實(shí)。

4.1 準(zhǔn)備階段

準(zhǔn)備階段是項(xiàng)目的開始，通過準(zhǔn)備階段的工作完成項(xiàng)目啟動(dòng)、組織建立、信息評(píng)價(jià)和風(fēng)險(xiǎn)應(yīng)對(duì)四部分，為下一個(gè)階段的開展提供有效的保障。

項(xiàng)目啟動(dòng)，標(biāo)志著信息安全項(xiàng)目正式開始，項(xiàng)目發(fā)起人與管理層選定項(xiàng)目負(fù)責(zé)人，并將項(xiàng)目范圍、項(xiàng)目目標(biāo)、預(yù)計(jì)項(xiàng)目持續(xù)的時(shí)間及所需要的資源、可交付成果及評(píng)價(jià)標(biāo)準(zhǔn)，高層管理者在項(xiàng)目中的角色和義務(wù)等逐個(gè)確定。

組織建立，項(xiàng)目負(fù)責(zé)人根據(jù)實(shí)際工作需要成立相應(yīng)的小組，并確定相關(guān)成員，如圖3示例。由公司高層管理人員組成領(lǐng)導(dǎo)小組，負(fù)責(zé)需求提出、資源分配、階段目標(biāo)確認(rèn)等事項(xiàng)；由相關(guān)的技術(shù)專家和顧問組成決策小組，負(fù)責(zé)標(biāo)準(zhǔn)和策略的決策事項(xiàng)；由公司內(nèi)部財(cái)務(wù)、審計(jì)、法務(wù)等部門人員組成審計(jì)小組，負(fù)責(zé)項(xiàng)目審計(jì)工作，并對(duì)領(lǐng)導(dǎo)小組負(fù)責(zé)；由相關(guān)的技術(shù)工程師、業(yè)務(wù)人員組成執(zhí)行小組，負(fù)責(zé)具體事項(xiàng)的執(zhí)行工作。同時(shí)，確定項(xiàng)目結(jié)束后應(yīng)該移交的運(yùn)維部門或組織。

信息評(píng)價(jià)，首先要完成信息資產(chǎn)的選定工作，即分析企業(yè)內(nèi)存在哪些信息資產(chǎn)，比如紙質(zhì)信息、網(wǎng)絡(luò)信息、系統(tǒng)信息、供應(yīng)商信息、項(xiàng)目信息等，根據(jù)信息來(lái)源的不同進(jìn)行收集和整理，通過對(duì)信息資產(chǎn)的價(jià)值評(píng)估、業(yè)務(wù)影響力、決策依據(jù)必要性等進(jìn)行初步篩選，最終確定有效的信息資產(chǎn)。同時(shí)要考慮各部門及崗位存在的相關(guān)信息，依據(jù)輕度、中度、重度的機(jī)密程度進(jìn)行區(qū)分，比如財(cái)務(wù)部資產(chǎn)、賬款等信息；人力資源部員工資料、工資情況等信息。其次，按照機(jī)密性、安全性和可用性進(jìn)行分類并打分，分?jǐn)?shù)越高，信息價(jià)值越高。如圖4示例。

風(fēng)險(xiǎn)應(yīng)對(duì)，根據(jù)信息資產(chǎn)的價(jià)值，假定該信息資產(chǎn)被泄漏，通過風(fēng)險(xiǎn)的定性評(píng)估、定量評(píng)估，發(fā)生概率的評(píng)估，選擇不同的應(yīng)對(duì)方式，如風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)轉(zhuǎn)移、風(fēng)險(xiǎn)減輕、風(fēng)險(xiǎn)接受，最大限度的保障企業(yè)信息資產(chǎn)的安全。

4.2 制定階段

制定階段涵蓋了信息安全建設(shè)項(xiàng)目的計(jì)劃、執(zhí)行、控制及收尾過程，是三個(gè)階段中最重要的一環(huán)，是運(yùn)行階段的執(zhí)行標(biāo)準(zhǔn)和基礎(chǔ)。包含策略制定、制度建立、導(dǎo)入系統(tǒng)和部署發(fā)布四部分。

策略制定，根據(jù)準(zhǔn)備階段所確定的信息資產(chǎn)，依據(jù)其分值和風(fēng)險(xiǎn)應(yīng)對(duì)方式，采用不同策略進(jìn)行響應(yīng)，相關(guān)的策略涉及五體系模型的全部?jī)?nèi)容，如確立組織體系的規(guī)模及責(zé)任、指導(dǎo)制度體系的建立、為技術(shù)體系提供依據(jù)和標(biāo)準(zhǔn)、規(guī)范運(yùn)行體系的操作流程、保障恢復(fù)體系的最終效果。相關(guān)策略又分為技術(shù)策略和管理策略。

4.3 運(yùn)行階段

運(yùn)行階段為三個(gè)階段的最后一個(gè)階段，按照制定階段的安全策略執(zhí)行，由運(yùn)維部門或組織負(fù)責(zé)整個(gè)安全架構(gòu)的維護(hù)與管理工作，原項(xiàng)目中各組織解散，該階段涉及健康檢查與評(píng)估、事件監(jiān)控與響應(yīng)、事后恢復(fù)與審計(jì)三部分。

健康檢查與評(píng)估，指運(yùn)維部門依據(jù)安全策略對(duì)整個(gè)信息安全架構(gòu)進(jìn)行例行健康檢查，可以按照日、月、年周期進(jìn)行，并通過漏

洞掃描、模擬攻擊、應(yīng)急演練等手段評(píng)估現(xiàn)有信息安全架構(gòu)的健壯性。

事件監(jiān)控與響應(yīng)，安全事件既可以是企業(yè)內(nèi)部發(fā)生的事件，也可以是企業(yè)外部發(fā)生的事件，根據(jù)事件的進(jìn)展進(jìn)行跟蹤，并依據(jù)事先確定的安全策略執(zhí)行相應(yīng)的響應(yīng)流程。

事后恢復(fù)與審計(jì)，針對(duì)企業(yè)內(nèi)部發(fā)生的安全事件，依據(jù)恢復(fù)體系，將業(yè)務(wù)狀態(tài)恢復(fù)至受攻擊前的運(yùn)行水平，并對(duì)此次攻擊和響應(yīng)的處理步驟進(jìn)行審計(jì)和評(píng)價(jià)，確保所有操作依據(jù)已確定的規(guī)范或指南執(zhí)行。

5 結(jié)論

本文對(duì)信息安全架構(gòu)提出的五體系模型和落地探索，在實(shí)際工作中不能完全適應(yīng)每一個(gè)企業(yè)，但也希望通過這些努力，與大家分享，讓更多的人能為企業(yè)保駕護(hù)航，提升安全。當(dāng)然受限于筆者自身的水平和實(shí)踐，在許多方面會(huì)存在不足，在此僅供大家參考。

參考文獻(xiàn)：

[1]羅革新，呂增江，崔廣印，鮑天祥，王振欣，于普漪.大型企業(yè)信息安全體系架構(gòu)設(shè)計(jì)初探[J].勘探地球物理進(jìn)展，第31卷第6期，2008年12月.

[2]劉振宇.國(guó)家大劇院信息安全保障體系探索[J].信息安全與技術(shù)，第5卷第5期，2014年5月.

[3]2015年第二季度中國(guó)互聯(lián)網(wǎng)安全報(bào)告[R].360互聯(lián)網(wǎng)安全中心，2015年8月6日.