文/梅春霖

1.傳統(tǒng)信息安全工作中面臨的挑戰(zhàn)

1.1 重技術(shù)、輕管理

各單位對信息系統(tǒng)的安全保護主要圍繞業(yè)務和技術(shù)兩個方面。很多單位普遍認為，配備一定的技術(shù)防護手段，就能保障系統(tǒng)的安全。但對配套的管理規(guī)章制度缺乏執(zhí)行力度，使信息系統(tǒng)管理單位在安全檢查、查漏補缺、系統(tǒng)安全水平測試時，時常出現(xiàn)臨時抱佛腳、“應試”“應付”的現(xiàn)象。

1.2 缺乏“改進”和“服務”思維

很多信息系統(tǒng)管理人員仍然抱著信息系統(tǒng)的安全防護，“不出問題”即可的思維。但在信息安全環(huán)境日益緊迫的情況下，信息安全工作不能等出了問題才去重視，還應成為信息系統(tǒng)的發(fā)展和創(chuàng)新方向。信息安全工作應該是一個動態(tài)的持續(xù)改進過程，應以動態(tài)和改進的“促進服務”思維方式開展信息安全工作。

1.3 信息安全制度未形成體系

各類信息安全工作，關(guān)鍵要素是人。許多信息安全管理單位對安全知識的宣傳和培訓不足，人員的信息安全防范意識較差。

此外，很多單位缺乏相應的安全方針，制定的管理制度未能成為體系。流程化、規(guī)范化的安全管理制度缺失，不能在日常的工作中嚴格執(zhí)行，給信息安全工作帶來了很多挑戰(zhàn)。

1.4 責任管理不到位

許多單位將安全管理員的職責分散到一線的技術(shù)運維人員身上，并未設置專職的安全管理員崗位。而普通的系統(tǒng)管理員在進行安全工作時，一方面更關(guān)注設備和系統(tǒng)的運行情況，另一方面很難客觀地從信息安全的角度出發(fā)，評估系統(tǒng)的安全性，準確落實信息安全的規(guī)章制度。

此外，隨著信息化程度的提高，設備不斷增加，運維服務等方面的需求也在不斷增加，許多單位開始采用

服務外包方式對系統(tǒng)進行管理。而外包服務方的安全水平參差不齊，往往未采取有效的安全措施。

1.5 系統(tǒng)建設中對安全性重視不足

系統(tǒng)建設單位往往對功能性投入較大，卻對系統(tǒng)的安全性重視不足，這給后期的運維管理帶來了較大的安全隱患。在技術(shù)系統(tǒng)運維、管理和規(guī)章制度的建設方面，信息安全“缺位”較多，在信息業(yè)務和信息安全發(fā)生沖突時，信息安全往往要讓步于業(yè)務。

2.利用動態(tài)安全模型建立信息安全體系

要解決現(xiàn)有信息安全管理工作中存在的問題，構(gòu)建符合信息安全相關(guān)規(guī)定，適應業(yè)務發(fā)展的安全體系，首先必須轉(zhuǎn)變思維，將信息安全工作從“嚴防死守”變?yōu)椤胺e極主動”的動態(tài)思維。為此，可參照安全評價分析模型，應用管理分析方法和工具進行分析，構(gòu)建符合信息安全的評價分析體系，從而客觀地描述在信息安全工作中所面臨的問題、解決方式和完善的環(huán)節(jié)。

2.1 基于P2DR2動態(tài)安全模型的信息安全管理框架

在信息安全管理中，人員組織、安全技術(shù)及運行操作是三 個主要的支撐體系，P2DR2動態(tài)安全模型的核心思想就是通過對這三個體系進行構(gòu)建和管理，綜合利用技術(shù)和管理手段，構(gòu)建完整的信息安全管理框架。

在信息安全管理框架的構(gòu)建過程中，需首先確立整體的安全策略，運用各類型手段，了解和評估信息系統(tǒng)的狀態(tài)，采用適當?shù)捻憫突謴?，降低系統(tǒng)的安全風險，減輕因安全事件所產(chǎn)生的風險。

2.1.1 “防護”環(huán)節(jié)

確保網(wǎng)絡層面的結(jié)構(gòu)安全、訪問控制、邊界完整性檢查、惡意代碼和入侵防范、網(wǎng)絡設備防護。

在主機層面進行入侵防護、惡意代碼防護、身份鑒別、系統(tǒng)訪問控制、系統(tǒng)資源控制、數(shù)據(jù)保護、安全特征標記、網(wǎng)絡可信路徑等安全防護工作。

應用層面包括身份鑒別、訪問控制、通信完整性、軟件容錯、通信保密性、資源控制、剩余信息保護、抗抵賴、安全標記、可信路徑。

數(shù)據(jù)層面包括數(shù)據(jù)完整性和數(shù)據(jù)保密性?？梢允褂枚喙δ芊阑饓?、網(wǎng)絡交換和路由設備、入侵檢測系統(tǒng)、數(shù)據(jù)網(wǎng)關(guān)、補丁加固系統(tǒng)、防病毒系統(tǒng)、操作系統(tǒng)加固設備、數(shù)據(jù)庫加固設備等各種技術(shù)工具和方法，并以安全的配置作為必要的補充。

2.1.2 “監(jiān)測”環(huán)節(jié)

為保證信息系統(tǒng)免受安全事件的入侵和破壞，可以采用入侵檢測、漏洞掃描、安全審計、防病毒網(wǎng)關(guān)、安全管理中心監(jiān)控等手段。

2.1.3 “響應”環(huán)節(jié)

安全響應的內(nèi)容可分為網(wǎng)絡和系統(tǒng)安全管理、處理協(xié)調(diào)和配合機制、安全事件的具體處置、應急響應預案的修訂和演練等多項措施，可通過使用安全審計系統(tǒng)、網(wǎng)絡運維管理系統(tǒng)，結(jié)合專業(yè)的技術(shù)支持服務和應急響應服務等來實現(xiàn)。

2.1.4 “恢復”環(huán)節(jié)

在恢復環(huán)節(jié)，需要針對系統(tǒng)和數(shù)據(jù)進行備份和恢復的冗余設計，以保證信息系統(tǒng)可以及時恢復運行。

2.2 利用管理系統(tǒng)性方法進行安全情況評估

利用P2DR2模型構(gòu)建出適當?shù)男畔踩芾砜蚣芎螅衫霉芾硐到y(tǒng)性方法（ISMS）進行安全情況評估。評估工作以風險信息為基礎，將信息安全工作分為建立、實施、運行、監(jiān)視、評審、保持和改進等若干階段。

在評估工作中，主要的工作原則包括:

（1）要覆蓋信息安全工作的各個環(huán)節(jié)，并制定相應的規(guī)章制度和管理框架。同時，建立相應的風險評價機制，提高信息安全管理的主動性。

（2）科學分析信息安全管理框架中的各項內(nèi)容，綜合、全面地考慮各環(huán)節(jié)可能出現(xiàn)的問題。

（3）歸檔管理各類日志文件和流程化信息。

（4）信息安全的各類信息得到有效反饋。

2.3 使用PDCA方法建立信息安全管理體系

在完成了信息安全管理框架的建立和安全情況評估工作后，可以按照“規(guī)劃（Plan）-實施（Do）-檢查（Check）-改進（Act）”的PDCA模型，構(gòu)建信息安全管理體系。

每個階段的工作內(nèi)容為:

2.3.1 P（策劃）

● 確定信息安全體系的范圍和方針

信息安全管理體系應覆蓋信息安全工作中的各個階段，明確界定其作用范圍，制定與信息安全環(huán)境相關(guān)的安全方針，對信息資產(chǎn)進行管理、保護和分配。

● 定義進行風險評估的方法

在進行風險評估的過程中，要選擇適當?shù)脑u估方法，并確定等級準則。一方面，制定風險評估文件，解釋所采用的方法、技術(shù)和工具，以及應用的業(yè)務環(huán)境。另一方面，對作用范圍內(nèi)的各類資產(chǎn)和薄弱點進行準確估算，評估出現(xiàn)安全事故時可能造成的影響。

● 對風險進行識別，評估和控制

這一階段的主要任務是對各類資產(chǎn)的薄弱性、保密性、完整性和可用性缺失時，所造成的影響進行等級劃分，從而正確評估風險所造成的損失。同時，還要選擇控制風險的方式，以實現(xiàn)風險的控制目標，預防、制止和限制風險，實現(xiàn)恢復控制。

● 統(tǒng)一的管理規(guī)劃

在信息安全管理體系建立的過程中，需要有統(tǒng)一的規(guī)劃和明確的任務目標，并能得到相應的管理授權(quán)，以便于體系建設工作的正常進行。

2.3.2 D（實施）

● 信息安全管理體系的建立

在這一過程中，主要完成的是進行管理流程、管理規(guī)章，管理策劃方面的具體運作。通過對風險評估、風險識別和風險控制的具體分析，分配適當?shù)馁Y源（人員，時間和資金），有針對性地對各類風險制定相應的響應措施。

● 進行管理體系的推廣和應用

在信息安全管理體系的推廣和應用過程中，應落實各項規(guī)章制度，加強對相關(guān)人員的安全培訓，了解各崗位所處的位置和擔負的責任。通過不斷加強安全意識，保證各方均能按照要求完成任務。

2.3.3 C（檢查）

檢查階段，是PDCA循環(huán)過程中的關(guān)鍵階段，是分析運行效果、尋求改進機會的階段。其目的是及時糾正實施過程中不合理、不充分或難以推進的措施。具體內(nèi)容包括:

檢查實施過程中的錯誤；能否使各項信息安全管理工作達到預期的結(jié)果；接受第三方的安全檢查。

評估信息安全管理體系的有效性；收集各類相關(guān)的建議和反饋，定期對管理體系進行有效性評審。

確定可風險影響范圍和程度，進行風險控制。

對照相關(guān)的信息安全管理體系標準，評估技術(shù)和管理工作是否適當、是否符合標準以及是否按照預期的目的進行工作。根據(jù)需要對內(nèi)容進行修訂。

2.3.4 A（改進）

在改進階段須對準備實施的方案給出結(jié)論，判斷信息安全管理體系的可用性和持續(xù)性，并對管理體系的推廣和頒布做出計劃。

2.4 建立信息安全管理體系時需注意的其他問題

2.4.1 補充PDCA中對信息安全管理體系的改進環(huán)節(jié)

縱觀整個通過動態(tài)安全模型建立信息安全管理體系的技術(shù)和管理等各方面內(nèi)容，雖然在PDCA方法中的P（策劃），D（實施），C（檢查）環(huán)節(jié)均得以較好的進行。但在A（改進）環(huán)節(jié)可能缺乏一定的手段和具體措施，不利于對信息安全管理體系的糾正和改進。

因此，在建立新型安全管理體系的改進環(huán)節(jié)，還需要與實際的運行部門充分進行交流，注意發(fā)現(xiàn)問題，提出解決問題的方法和思路，為體系的改進提供基礎。

此外，還應通過試點推廣、調(diào)查反饋以及數(shù)據(jù)統(tǒng)計等各種手段，獲得管理體系實際運行效果的資料，評估其在實際工作中的作用。針對實際效率不高，與業(yè)務工作不相符合以致難以推進的內(nèi)容，予以修訂或去除。

2.4.2 建立多元化的信息安全聯(lián)動機制

在信息安全管理體系的建設和推進過程中，還存在多個層面、多個系統(tǒng)間的多元化的管理協(xié)同機制。為此，要以信息安全管理體系為基礎，建立多元化的安全聯(lián)動機制。主要包括監(jiān)測通報機制、指揮協(xié)調(diào)機制、信息反饋機制、應急處理機制等。針對各類型的突發(fā)事件，還需建立詳細可行的安全事件處理流程，按照統(tǒng)一指揮、統(tǒng)一協(xié)調(diào)、統(tǒng)一接口、統(tǒng)一匯報、統(tǒng)一反饋的原則進行處理，并定期進行安全應急演練。

2.4.3 注重專職安全人員培養(yǎng)機制

在進行信息安全管理體系建設的同時，還應大力加強對專職安全人員的培養(yǎng)機制建設。

加強對信息安全人才的培養(yǎng)。除一線的技術(shù)人員要掌握各種安全攻防的技術(shù)，具備檢測和防范攻擊、保護和恢復系統(tǒng)的能力外，安全管理人員還需具備系統(tǒng)安全規(guī)劃、風險分析、應急響應、安全審計等能力，從機構(gòu)層面制定信息安全規(guī)劃，并組織和指揮實施。

2.4.4 建立評價信息安全管理體系的方法

如何對已建立的信息安全管理體系進行績效衡量，評價體系在實際載體中的運行效果，是在信息安全管理體系的建設和推廣過程中需要考慮的問題。

（1）能否滿足組織的信息安全管理需求

建立信息安全管理體系的目的是要理順組織內(nèi)的安全管理機制，有效應對各類突發(fā)事件，提高信息安全的管理水平，增強對各類信息安全風險的管控能力。因此，可對照信息安全工作中的實際需求，逐條進行梳理，并在工作中進行修正，以滿足管理工作的現(xiàn)實需要。

（2）采用綜合評價的衡量指標

由于信息安全管理體系的建立、推廣和使用中不會產(chǎn)生效益，因此，可以根據(jù)組織本身的特點，對信息安全管理體系中的各個環(huán)節(jié)采用綜合評價的方法，客觀地對信息安全管理體系的效果進行評價。例如，收集取各部門、管理人員、技術(shù)人員和使用人員的意見；對比季度或年度的信息安全管理體系運行情況和統(tǒng)計數(shù)據(jù)；在運行體系后，安全工作的效率和人員工作量的對比情況等。

（3）建立人員考核和評價體系

人員安全素養(yǎng)的提高與信息安全管理能力、核心防護能力、預防風險能力密切相關(guān)。因此，可定期組織對人員的素質(zhì)進行檢查和考核，綜合評價安全技術(shù)的運用、管理流程的掌控以及協(xié)調(diào)工作的處理等內(nèi)容，并根據(jù)考核評價情況對問題進行糾正，從而增強組織的運行效率，提高各類人員的職業(yè)技能，推動組織的良性發(fā)展。

[1]謝宗曉.信息安全管理體系實施指南[M].北京:中國標準出版社.2012.

[2]張澤虹，趙冬梅.信息安全管理與風險評估[M].北京:電子工業(yè)出版社.2010.

[3]王禎學，周安民，方勇等.信息系統(tǒng)安全風險估計與控制理論[M].北京:科學出版社.2011.

[4]劉曉敏，許磊.信息安全管理體系的定義、功能和構(gòu)建方法分析[J].北京:信息通信.2013（1）.