王嘉,冯运波,孙立军,黄国雄,叶志雄
(1 中国移动通信集团广东有限公司,广州 510623;2 中国移动通信集团公司,北京 100032)
信息安全是任何国家、政府、部门、行业都十分重视的问题,是国家安全战略中不可或缺的部分。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。中国移动承载着国家重要的通信支撑网络,信息安全建设也变得尤为重要。
中国移动通信集团早在2006年就参照ISO 27001标准编写并发布了集团信息安全总纲(NISS),全面阐述了中国移动公司的信息安全管理策略。一直以来,在实施信息安全体系的实践过程中,无论是企业的管理层还是具体实施人员,无论是通过认证的企业还是未认证的企业,对信息安全管理实施过程都不同程度的存在着一个问题:难以落实。
造成这些企业信息安全建设不尽如人意的根本原因在于没有站在业务的角度来构建适用于企业业务的信息安全体系;没有将管理、技术和人这3个要素有效的结合起来,构建信息安全体系落实的基础。
图1 信息安全建设原则
中国移动互联网基地的信息安全体系建设,一开始就站在基于业务、面向落实的角度,从安全事件预防和安全事件响应两个方面对信息安全风险进行管控,综合考虑投资、恢复成本和业务影响3个方面,以此作为信息安全建设的基本原则,如图1所示。
因此,一方面,我们以业务安全为导向,面向业务,层层分解,构建有效保障互联网基地业务运作的信息安全体系;以运营安全为载体,以技术安全为保障,为达成互联网基地的信息安全目标提供强有力的支撑;另一方面,互联网基地的信息安全体系中的业务安全、运营安全、技术安全与安全管理紧密结合,协同作用,确保安全措施能够落实到位,保障安全目标的达成,如图2所示。
图2 信息安全建设总体思路
然而,无论采取何种措施,信息安全风险都不可能完全地避免和消除,关键在于如何控制、化解和规避。信息安全体系就是从风险管理的角度,运用科学的方法和手段,全面检测系统中存在的脆弱性,从而有针对性地提出防范风险的对策和措施,将风险控制在可接受的水平,最大限度地达到保障信息安全的目的。通过开展信息安全体系的建设,可以发现信息安全管理中存在的主要问题,找到解决问题的办法,寻求一个最佳的平衡点。
信息安全体系应以保证业务连续性为根本目标,通过信息安全技术与信息安全管理的紧密结合,实现对信息技术风险的有效控制和信息安全的全面保障,实现信息安全体系的持续改进和动态发展。因此,中国移动互联网基地在进行信息安全体系设计时,遵照了以下原则。
信息安全体系是一个涵盖各个方面的工程,它要求多角度、多层次,从各个环节入手,进行系统的考虑和规划。任何环节上的缺陷都会对信息系统构成威胁。因此,在借鉴国内外信息安全管理的基础上,结合中国移动互联网基地信息化发展现状和规划,建设信息安全体系。
信息安全体系不仅仅是一套全面的规则集合,而且还是在体系建设与实施过程中与所有利益相关者的互动的过程。另外,环境的动态性也决定了体系建设的动态性。因此,在体系架构设计和实施中应遵循PDCA的模式,通过策划P(确定整体战略、目标和管理范围)、实施D(具体运作的过程和程序)、检查C(依据方针、目标和实际经验测量,评估信息安全管理的效果)、纠正A(采取纠正和预防措施进一步提高信息安全管理的效果)这4个步骤的循环运行,使信息安全管理水平获得可持续性的发展,成为真正持续改进的、动态发展的信息安全体系。
信息安全管理必须为业务服务,脱离业务的信息安全管理也就失去了其真正的意义。各种各样来自内外部的风险都可能导致信息丧失机密性、完整性和可用性,威胁信息资产的安全,影响业务的持续开展。因此,保证信息系统的正常运行,进而保障业务的连续开展,是信息安全的根本目标,也是信息安全体系的根本目标。
在信息安全体系的建设中,应由最高管理者确立统一的信息安全方针、政策和方向,创造并保持使员工能充分、积极地参与实现信息安全战略目标的内部环境;全体员工应明确自己在信息安全管理中的职责,具备一定的信息安全技术和风险防范意识,积极参与信息安全体系的建设。
信息技术是信息安全管理的手段,信息安全管理是利用信息技术实现安全目标的保障,在信息安全体系中,技术与管理同等重要,缺一不可,忽略任何一方都会阻碍信息安全工作的开展。在进行信息安全体系设计时,必须牢牢把握技术与管理并重的原则,使二者相辅相承,共同促进信息安全目标的实现。信息安全管理是通过信息安全运作机制、借助信息技术手段来实现的。
因此,在信息安全体系架构的设计中,将信息安全管理、信息安全运作、信息安全技术3个方面设计为互相支持的3层平台,此3层平台为信息安全体系的核心部分。信息安全管理包括信息安全认知培养、信息安全组织结构设置和信息安全审计监督3部分。由于信息安全运作和信息安全技术都是信息安全管理的手段和工具,最终都是为实现管理目标服务的,因此将信息安全管理设计为3层平台的最上层;信息安全运作包括信息风险评估、规划实施、安全监控、响应恢复4部分,它是管理平台和技术平台在日常工作中的执行,起承上启下的作用,因此将其设计为3层平台的中间层;信息安全技术平台是信息安全管理和信息安全运作的支持和保证,包括身份认证、访问控制等信息安全基础服务和基础设施,属于3层平台的基础,因此将其设计为最下层。包含信息安全策略、规范与标准、指南与细则的管理文件体系是必不可少的重要组成部分,它跨越管理、运作和技术3层核心平台,贯穿于整个信息安全体系之中,指导各相关业务流程的信息安全工作的开展。
在建设信息安全总体框架时,互联网基地在遵循上述原则的基础上,广泛借鉴国际国内先进做法,结合自身实际,提出了互联网基地总的信息安全建设方针:“战略优先,风险驱动,适度安全;整体规范,逐步完善,持续改进”。遵循业务性、标准性、合理性、先进性的建设原则开展工作,构建包含安全目标、原则,安全策略,业务安全,运营安全,技术安全,安全管理等6个方面的整体框架。
在这个整体建设框架的基础上,结合互联网基地的业务特点,确定了以为业务保驾护航为信息安全建设目标,以符合互联网基地实际现状、安全管理能够落地为信息安全建设原则的建设思路。深度解析影响互联网基地业务安全、运营安全、技术安全及安全管理的主要因素,梳理出了在信息安全建设过程中,从保障业务角度出发,我们应该着重关注、优先解决的问题。如图3所示,并针对重要风险制定了专门的解决方案,并实时跟踪解决方案的落实情况、措施效果,有效的保障了互联网基地的业务安全。
同时从安全管理的角度,借鉴国际先进信息安全管理实践和集团信息安全总纲,制定了涵盖业务方方面面的运营安全管理制度和业务安全规范,并引入了相关安全技术标准。
为保障整个安全体系的持续有效的运行,举办了包括信息安全意识、信息安全风险评估、信息安全技能提升等安全培训,让员工理解信息安全管理的意义,并让员工参与到其中。同时采用一些必要手段对业务运营情况进行安全监控和分析,并阶段性的进行业务安全评估、运营安全评估和技术安全评估,辅助采取安全审计、安全绩效等手段,促进安全管理工作的落实。
互联网基地在进行信息安全建设的过程中,注重对业务运营流程进行深入解析,理清所有业务活动环节及节点。深入了解设计、开发、部署和运维4个阶段,剖析业务运营全过程,清晰定义每个环节的角色职责。在风险评估阶段,从业务目标出发,结合业务流程,对支撑业务流程有效运转的关键资产进行梳理与评估,找出了一系列的风险点。针对这些风险设计安全控制集、安全措施集和安全检查集,形成闭环的风险控制机制,确保风险控制有效落实。
图3 互联网基地信息安全建设框架
在体系运行过程中,我们把信息安全责任落实到各专业室、各个岗位。使大家都了解自己在信息安全工作中必须做什么,为什么要这样做,这样做对公司、对个人会有什么益处;不能做什么,为什么不能做,如果这样做会给公司、对个人带来什么害处。
在向业务部门推行全控制措施时,将该安全措施对业务部门产生的影响进行有效的分析,让业务部门理解实施信息安全管控的必要性,并配合根据现有安全要求,制定最适合在部门实施的具体信息安全策略。
体系运行后,必须对体系运行的情况进行定义的检查跟踪,以及时发现问题。所以定期的信息安全内部审计机制非常重要,只有进行检查(Check),并对检查中发现的问题进行整改(Action),整个信息安全体系才会形成完整的PDCA循环,形成一个闭环。没有检查机制的安全管理是不可能有绩效的。