◎中國運載火箭技術(shù)研究院 徐立新 張碩

北京航天測控技術(shù)有限公司 朱皓然

系統(tǒng)工程理論在企業(yè)數(shù)據(jù)安全管理中的應(yīng)用研究

◎中國運載火箭技術(shù)研究院 徐立新 張碩

北京航天測控技術(shù)有限公司 朱皓然

系統(tǒng)工程是組織管理復(fù)雜系統(tǒng)規(guī)劃、研究、設(shè)計、制造、試驗和使用的科學(xué)方法，是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法。系統(tǒng)工程方法是以系統(tǒng)整體功能最佳為目標，應(yīng)用現(xiàn)代數(shù)學(xué)和電子計算機等工具對系統(tǒng)的構(gòu)成要素、組織結(jié)構(gòu)、信息交換和自動控制等功能進行分析研究，通過對系統(tǒng)要素的優(yōu)化組合達到最優(yōu)設(shè)計、最優(yōu)控制和最優(yōu)管理的目標。

隨著信息領(lǐng)域的飛速發(fā)展，云計算、大數(shù)據(jù)、互聯(lián)網(wǎng)+、智能制造等新技術(shù)加速推進，現(xiàn)代社會已經(jīng)進入以數(shù)據(jù)和信息為核心的時代，如美國國防部系統(tǒng)體系架構(gòu)DoD AF2.0（2015年）從以產(chǎn)品為中心轉(zhuǎn)向以數(shù)據(jù)為中心，德國工業(yè)4.0強調(diào)信息空間與物理空間融合(CPS)，“中國制造2025”強調(diào)全生命周期數(shù)據(jù)管理等。實際上，全業(yè)務(wù)、全過程的數(shù)據(jù)采集和集中管理是實現(xiàn)智慧企業(yè)的前提，數(shù)據(jù)已經(jīng)成為企業(yè)的核心資產(chǎn)，數(shù)據(jù)安全是信息系統(tǒng)管理的核心要素，沒有安全保障的信息系統(tǒng)是沒有生命力的。企業(yè)信息系統(tǒng)是處理數(shù)據(jù)的復(fù)雜系統(tǒng)，涉及到數(shù)據(jù)的生產(chǎn)、傳遞、轉(zhuǎn)換、存儲、共享、計算、分析、融合、可視化展示等。其中，數(shù)據(jù)共享與數(shù)據(jù)安全是一個矛盾體，如何既能實現(xiàn)系統(tǒng)運行效率提升，又能確保業(yè)務(wù)數(shù)據(jù)安全是進行信息系統(tǒng)總體設(shè)計時需要考慮的核心問題。

一、信息系統(tǒng)管理體系及存在的問題

企業(yè)信息系統(tǒng)是由計算機硬件、網(wǎng)絡(luò)和通訊設(shè)備、計算機軟件、信息資源、信息用戶和規(guī)章制度組成，以處理信息流為目的的人機一體化系統(tǒng)，是由人、計算機及其它外圍設(shè)備等組成的能進行信息收集、傳遞、存貯、加工、維護和使用的復(fù)雜系統(tǒng)。

目前，建立企業(yè)信息系統(tǒng)管理體系依據(jù)的主要標準規(guī)范包括IT服務(wù)管理規(guī)范（ITSM標準）、職業(yè)健康安全管理體系（GB/T 28001/2001）、環(huán)境管理體系（GB/ T 24001-2004）等。其中，職業(yè)健康安全管理體系主要關(guān)注系統(tǒng)中人的安全與健康，環(huán)境管理體系主要關(guān)注系統(tǒng)與環(huán)境的良好協(xié)同，IT服務(wù)管理規(guī)范主要關(guān)注信息系統(tǒng)提供服務(wù)的規(guī)范性和質(zhì)量保證。

對信息安全要求高的企業(yè)應(yīng)該依據(jù)行業(yè)標準建立信息安全管理規(guī)范，大多數(shù)企業(yè)現(xiàn)有的信息化是以系統(tǒng)建設(shè)為主線，圍繞業(yè)務(wù)系統(tǒng)進行安全加固，在多業(yè)務(wù)系統(tǒng)組成的復(fù)雜信息系統(tǒng)環(huán)境下，對單個系統(tǒng)的安全加固往往不能滿足多系統(tǒng)數(shù)據(jù)共享的要求。現(xiàn)有信息系統(tǒng)管理體系主要存在以下幾個方面的問題：

一是缺乏數(shù)據(jù)視角。缺乏以數(shù)據(jù)為核心、以數(shù)據(jù)安全為主線的頂層思考和總體設(shè)計，數(shù)據(jù)安全建設(shè)滯后于信息系統(tǒng)建設(shè)，往往是在系統(tǒng)建成后再按照相關(guān)要求進行安全加固。

二是缺乏整體視角。目前，信息系統(tǒng)在總體設(shè)計時往往沒有從整體安全的角度考慮影響數(shù)據(jù)安全的各要素間的組合效應(yīng)，在信息系統(tǒng)運行維護中也沒有把多維度要求整合到以人為主體的數(shù)據(jù)操作規(guī)程中，如安全保密規(guī)范的許多要求并沒有納入ITSM的作業(yè)流程。

三是缺乏關(guān)聯(lián)視角。按照系統(tǒng)工程的思想，復(fù)雜系統(tǒng)中各個子系統(tǒng)在流程和數(shù)據(jù)層面是緊密關(guān)聯(lián)的，需要在不同的業(yè)務(wù)領(lǐng)域傳遞和共享數(shù)據(jù)，數(shù)據(jù)的訪問和操作權(quán)限需要一致傳遞。此外，人—機—環(huán)境之間相互影響，人的操作失誤會對數(shù)據(jù)安全造成很大危險；計算機設(shè)備的故障可能造成關(guān)鍵數(shù)據(jù)丟失；環(huán)境可能影響人和機器的狀態(tài)，這些要素在企業(yè)信息系統(tǒng)建設(shè)中沒有得到足夠重視。

四是缺乏效能視角。信息系統(tǒng)數(shù)據(jù)安全保護不是唯一目標，企業(yè)信息系統(tǒng)安全保護應(yīng)與業(yè)務(wù)效率提升協(xié)同并進，單一目標實現(xiàn)并不能達到企業(yè)利益的最大化。目前，不斷涌現(xiàn)的新技術(shù)，如云計算、大數(shù)據(jù)等都以開放、協(xié)同、共享為主題，數(shù)據(jù)安全的理念、思路和方法都要作適應(yīng)性變化，需要用系統(tǒng)工程的方法找到系統(tǒng)效能的最優(yōu)解。

二、信息系統(tǒng)運行管理模型框架

1.企業(yè)/組織能力模型

按照系統(tǒng)工程理論，現(xiàn)代企業(yè)的組織能力模型由人員組織、工具方法、技術(shù)過程3個方面要素構(gòu)成，各要素間的科學(xué)合理組合決定了企業(yè)實現(xiàn)目標的能力（見圖1）。

人員組織主要包括人員個體的素養(yǎng)、技能、資質(zhì)、態(tài)度以及人員職責(zé)、組織形態(tài)、協(xié)同方式、規(guī)章制度等。

工具方法主要包括系統(tǒng)運行管理使用的軟硬件工具、工作環(huán)境、所需資源、操作規(guī)程、標準規(guī)范等。

技術(shù)過程主要包括信息系統(tǒng)管理的業(yè)務(wù)流程、過程控制、角色與權(quán)限控制、數(shù)據(jù)輸入輸出控制、系統(tǒng)運行監(jiān)控等。

信息系統(tǒng)數(shù)據(jù)安全保障能力的提升不僅要關(guān)注人員，還要重視先進技術(shù)的應(yīng)用和優(yōu)化業(yè)務(wù)流程，特別要關(guān)注3個要素的組合適配，確保在現(xiàn)有條件下實現(xiàn)系統(tǒng)數(shù)據(jù)保護能力的最大化和最優(yōu)化。

2.信息系統(tǒng)運行管理體系模型框架

筆者采用系統(tǒng)工程的方法，結(jié)合企業(yè)組織能力模型框架，參照現(xiàn)有的系統(tǒng)模型構(gòu)造了企業(yè)信息系統(tǒng)運行管理體系模型框架（見圖2）。

圖1 組織的3維度能力模型

能力層是信息系統(tǒng)運行管理體系對外提供的核心服務(wù)能力，其核心是提供信息系統(tǒng)穩(wěn)定運行能力、業(yè)務(wù)數(shù)據(jù)安全保障能力、數(shù)據(jù)全生命周期管理能力、信息系統(tǒng)故障的快速反應(yīng)能力、數(shù)據(jù)分析處理服務(wù)及可視化展現(xiàn)能力等。

業(yè)務(wù)層是提供上述能力的系統(tǒng)運行管理業(yè)務(wù)的組合，主要包括系統(tǒng)運行環(huán)境管理（機房），設(shè)備運行狀態(tài)監(jiān)控，系統(tǒng)配置管理，業(yè)務(wù)系統(tǒng)訪問權(quán)限管理，內(nèi)部與外部人員管理，數(shù)據(jù)交換、存儲與備份管理，數(shù)據(jù)分析與展現(xiàn)管理等。

系統(tǒng)層為業(yè)務(wù)層提供IT管理工具支撐，主要包括2個平臺和2個中心。運維管理平臺主要提供系統(tǒng)運維的業(yè)務(wù)功能，包括機房管理、網(wǎng)絡(luò)管理、配置管理、數(shù)據(jù)備份管理等；安全管理平臺主要提供系統(tǒng)中安全相關(guān)軟硬件設(shè)備的集成管理，包括安全設(shè)備運行狀態(tài)監(jiān)控、報警信息集成、安全事件關(guān)聯(lián)分析、日常綜合審計等；呼叫中心主要提供統(tǒng)一的服務(wù)接入平臺；安全審計中心主要提供系統(tǒng)變更、權(quán)限變更、事件報警、設(shè)備告警的日常審計功能，定期給出系統(tǒng)運行安全審計報告。

數(shù)據(jù)層提供信息系統(tǒng)產(chǎn)生數(shù)據(jù)的全生命周期管理功能，包括業(yè)務(wù)數(shù)據(jù)庫管理、主數(shù)據(jù)庫維護、系統(tǒng)配置庫管理以及數(shù)據(jù)的存儲、備份和異地災(zāi)備等功能。

設(shè)施層為信息系統(tǒng)穩(wěn)定運行提供場地環(huán)境支撐，包括機房、網(wǎng)絡(luò)、服務(wù)器、存儲系統(tǒng)、安防系統(tǒng)等。

此外，標準規(guī)范子體系是與信息系統(tǒng)運行管理相關(guān)的數(shù)據(jù)格式標準、數(shù)據(jù)交換標準、輸入輸出規(guī)范、系統(tǒng)集成規(guī)范以及系統(tǒng)權(quán)限配置規(guī)范、操作規(guī)范、運行管理制度等；安全保障子體系是確保信息系統(tǒng)安全運行的相關(guān)物理安全、網(wǎng)絡(luò)安全、云運行安全、安全保密制度等方面的規(guī)范、制度、流程、配置、措施的集合。

三、信息系統(tǒng)數(shù)據(jù)安全保障要素分析

信息系統(tǒng)運行管理的核心是確保業(yè)務(wù)數(shù)據(jù)在輸入、傳輸、交換、存儲、利用、輸出等環(huán)節(jié)的一致性、完整性和安全性。增強信息系統(tǒng)管理中的數(shù)據(jù)安全保障能力，就需要以數(shù)據(jù)為核心，從信息系統(tǒng)運行管理體系模型入手，綜合分析人—機—環(huán)境各要素對數(shù)據(jù)安全的影響，通過多方面采取針對措施，從整體上確保數(shù)據(jù)安全。

企業(yè)信息系統(tǒng)運行維護過程是一個典型的人—機—環(huán)境互動系統(tǒng)，如圖3所示。

人員因素。授權(quán)偏差，人員訪問和操作權(quán)限過大；誤操作，數(shù)據(jù)輸入出錯、誤刪數(shù)據(jù)、違規(guī)輸出數(shù)據(jù)等；系統(tǒng)配置更改，可能導(dǎo)致數(shù)據(jù)備份機制失效；啟停系統(tǒng)，業(yè)務(wù)系統(tǒng)中斷和緩存數(shù)據(jù)丟失；日志滿，導(dǎo)致系統(tǒng)停止運行或日志數(shù)據(jù)丟失等。

主要措施：辨識關(guān)鍵、重要崗位，從資質(zhì)、技術(shù)、心理、健康、素質(zhì)、修養(yǎng)等方面選擇合適人員上崗；辨識核心、重要系統(tǒng)，配備合適人員管理；辨識關(guān)鍵、重要作業(yè)，制定操作方案，并進行現(xiàn)場操作審核；按照PDCA方法審核作業(yè)流程是否閉環(huán)，過程是否記錄完整；更改措施納入操作流程和體系文件中。

圖2 企業(yè)信息系統(tǒng)運行管理體系模型框架

圖3 人—機—環(huán)境互動系統(tǒng)模型

機器因素。設(shè)備老化宕機；設(shè)備非正常斷電；設(shè)備故障，如配件損壞、聯(lián)網(wǎng)中斷、磁盤報警等，這些都會導(dǎo)致設(shè)備存放數(shù)據(jù)的丟失。

主要措施：制定設(shè)備維修保養(yǎng)計劃，實施設(shè)備全生命周期管理，按時更換老舊設(shè)備；加強設(shè)備運行狀態(tài)日常巡檢，及時處理報警信息；關(guān)鍵設(shè)備冗余配置，加強維護保養(yǎng)和日常巡檢；更改措施納入體系文件。

環(huán)境因素。靜電，導(dǎo)致服務(wù)進程中斷或器件損壞；高頻電磁輻射，導(dǎo)致服務(wù)中斷、IP丟包等故障；配電故障，導(dǎo)致宕機；環(huán)境傳感器失效，溫度、濕度過高導(dǎo)致系統(tǒng)運行故障、宕機；空調(diào)、暖氣漏水，導(dǎo)致設(shè)備損壞；火災(zāi)等。

主要措施：定期檢查機房環(huán)境設(shè)施有效性，如接地、空調(diào)、配電、消防、防水、防鼠等；作業(yè)中考慮環(huán)境要素，如靜電、電磁干擾等；制定機房環(huán)境監(jiān)控設(shè)備定期保養(yǎng)計劃，老舊設(shè)備按期報廢；制定應(yīng)急計劃等。

人—機因素。病毒感染，人員操作違規(guī)導(dǎo)致服務(wù)器感染病毒，系統(tǒng)出現(xiàn)運行故障、數(shù)據(jù)丟失等；設(shè)備跌落，設(shè)備在搬運和上架過程跌落會導(dǎo)致硬盤損壞，丟失數(shù)據(jù)；靜電，人身體產(chǎn)生的靜電導(dǎo)致設(shè)備運行中斷；灑水，人員攜帶水、飯等進入作業(yè)現(xiàn)場，造成設(shè)備進水后損壞等。

主要措施：建立數(shù)據(jù)和軟件病毒檢查機制，及時更新防病毒庫，并納入操作流程；設(shè)備運輸、上架等操作應(yīng)制定安全操作規(guī)程；在操作規(guī)程中納入防靜電規(guī)范；制定機房防水應(yīng)急預(yù)案，嚴禁帶入與工作無關(guān)物品等。

人—環(huán)因素。系統(tǒng)管理工作環(huán)境與機房沒有分離，會導(dǎo)致靜電、觸電、斷電、斷網(wǎng)等隱患；違規(guī)在機器工作環(huán)境作業(yè)；人員對環(huán)境控制系統(tǒng)誤操作等。

主要措施：系統(tǒng)運行管理工作場所與服務(wù)器區(qū)分離；盡量減少直接在機房進行人員操作；增強對環(huán)境控制要素的巡檢。

機—環(huán)因素。服務(wù)器熱通道設(shè)計不合理，夏季高溫時機房溫度持續(xù)升高；新風(fēng)系統(tǒng)設(shè)計不合理，部分區(qū)域新風(fēng)不暢；特殊環(huán)境下機器缺乏加固措施等。

主要措施：對服務(wù)器機柜熱通道進行優(yōu)化設(shè)計，必要時增加送風(fēng)管道；空調(diào)、新風(fēng)系統(tǒng)與消防系統(tǒng)聯(lián)合設(shè)計等。

人—機—環(huán)因素。人員吸煙導(dǎo)致消防設(shè)備啟動；人員誤操作導(dǎo)致設(shè)備斷電；機房門禁系統(tǒng)失效；安防視頻監(jiān)控位置不當(dāng)?shù)取?/p>

主要措施：嚴格制定并執(zhí)行機房操作規(guī)程；重要區(qū)域設(shè)置對內(nèi)手動開門裝置；安防監(jiān)控視頻應(yīng)能反映人員進出和操作位置等信息。

四、數(shù)據(jù)安全保障的關(guān)鍵措施

1.系統(tǒng)架構(gòu)設(shè)計合理

首先，在系統(tǒng)設(shè)計理念上要從以業(yè)務(wù)系統(tǒng)為核心轉(zhuǎn)變?yōu)橐詳?shù)據(jù)為核心。業(yè)務(wù)系統(tǒng)是數(shù)據(jù)生產(chǎn)系統(tǒng)，業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全保護是分立的、局部的，無法實現(xiàn)整體的、全生命周期的數(shù)據(jù)安全。其次，在系統(tǒng)架構(gòu)設(shè)計上要解決數(shù)據(jù)分散管理的問題。由于網(wǎng)絡(luò)是扁平的、對等的，而網(wǎng)絡(luò)承載的數(shù)據(jù)是共享的，在多組織、分布式數(shù)據(jù)存儲管理機制下系統(tǒng)整體數(shù)據(jù)的安全取決于子系統(tǒng)中最薄弱的環(huán)節(jié)，分散的系統(tǒng)架構(gòu)不利于建立安全可控的信息訪問機制，數(shù)據(jù)集中管理有利于實現(xiàn)唯一數(shù)據(jù)源，建立統(tǒng)一訪問控制機制，有效控制數(shù)據(jù)出入，確保數(shù)據(jù)整體安全。第三，信息系統(tǒng)架構(gòu)應(yīng)該簡化。復(fù)雜系統(tǒng)并不一定意味著系統(tǒng)結(jié)構(gòu)的復(fù)雜，系統(tǒng)架構(gòu)越簡單越有利于實施整體數(shù)據(jù)安全防護，可以采用相對集中的數(shù)據(jù)中心提供統(tǒng)一的數(shù)據(jù)服務(wù)，多級數(shù)據(jù)中心在邏輯上形成一個整體，構(gòu)造統(tǒng)一的數(shù)據(jù)源訪問控制機制，有效控制數(shù)據(jù)出入關(guān)口，嚴格控制FTP、ODBC等直接訪問數(shù)據(jù)的應(yīng)用，確保數(shù)據(jù)整體安全。

2.建立人員與設(shè)備認證機制

對信息系統(tǒng)接入的設(shè)備和人員采取嚴格的認證機制，確保系統(tǒng)使用人員和接入的設(shè)備是合法合規(guī)的。目前，大多數(shù)信息系統(tǒng)對接入的人員采取了嚴格的認證措施，但對接入的設(shè)備卻沒有強認證機制，存在很大的安全隱患，應(yīng)該采取設(shè)備認證和授權(quán)的技術(shù)措施，杜絕非法接入帶來的數(shù)據(jù)安全隱患。

3.完善監(jiān)督審計機制

信息系統(tǒng)管理員擁有很大的數(shù)據(jù)操作權(quán)限，因此應(yīng)該建立相互獨立、相互制約、相互監(jiān)督的安全管理機制，審計管理崗位應(yīng)該獨立于運行維護管理部門，由第三方安全審計人員承擔(dān)，確保審計業(yè)務(wù)的公正性。此外，應(yīng)該建立過程實時審計制度，在信息系統(tǒng)運行維護流程中納入安全審計角色，對大量系統(tǒng)配置操作實施過程審計，避免事后審計帶來的諸多問題。

信息系統(tǒng)數(shù)據(jù)安全保障能力是一個不斷適應(yīng)、發(fā)展和提升的過程，只有以系統(tǒng)工程的理念實施頂層規(guī)劃、架構(gòu)設(shè)計、組織保障、執(zhí)行落實，才能從整體上把控數(shù)據(jù)全生命周期的安全管理，實現(xiàn)信息系統(tǒng)整體數(shù)據(jù)安全的目標。