左云岗
摘 要:中国企业在信息技术逐步应用的同时,必然会存在信息安全成熟度的认知过程。根据国内信息安全现状,以技术人员的角度提出一套易于操作的五体系模型,并按照项目管理的思路,采用阶段管理的方法,分三个阶段指导信息安全模型的落地实施。
关键词:信息技术;信息安全;五体系模型;安全策略;项目管理
1 背景
首先,我们需要先了解一下企业到底存在哪些风险。
病毒和木马,根据360互联网安全中心《2015年第二季度中国互联网安全报告》,2015年第二季度360互联网中心共截获PC端新增恶意程序样本8002万个,日均截获88万个,不言而喻这是对企业危害最大的风险。
网络攻击,2015年8月25日,锤子科技2015年的最新产品坚果手机发布,在当晚发布会进行时,锤子科技官网就遭到高达数十G的流量DDoS攻击,导致用户无法登录购买手机,网站一度面临全面瘫痪的风险。
安全漏洞,2015年10月19日,著名白帽平台乌云网爆出某邮箱过亿数据泄漏,涉及邮箱账号、密码、用户密保等;2015年10月20日同样是乌云网爆出中粮集团某核心系统配置不当导致大量敏感信息泄露问题(含员工信息/稅务文件/可修改合同等)。360补天平台2015年第二季度共收录有效漏洞10363个,日均收录114个,其中74.1%的漏洞为高危漏洞。
还有什么风险?2015年5月28日,携程网部分服务器遭到不明攻击,导致官方网站及APP无法正常使用,此次宕机11个小时后才恢复,事后携程网宣布此次事件系内部人员错误操作导致,该类风险应该属于内部的控制管理机制问题。
当然还有很多其他风险,这里就不一一赘述。一份来自于Gartner 2006年1月的报道,通过选取福布斯2000强企业,按照安全成熟度进行分布,如图1所示:
百分之三十的企业处于盲目自信阶段,即普遍缺乏安全意识,对企业安全状况不了解,未意识到企业信息安全风险的严重性。百分之五十的企业处于认知阶段,即通过信息安全风险评估,企业意识到自身存在信息安全风险,开始采取一些措施提升信息安全水平,包括基本安全产品部署、主要人员的培训教育、建立安全团队、制定安全方针政策、评估并了解现状。以上80%的企业即1600家企业才算及格。
接下来百分之十五的企业意识到局部的、单一的信息安全控制措施难以明显改善企业信息安全状况,开始进行全面的信息安全架构设计,有计划的建设信息安全保障体系,包括启动信息安全战略项目、设计信息安全架构、建立信息安全流程、完成信息安全改进项目,这部分企业处于改进阶段。仅有百分之五的企业在信息安全改进项目完成后,在拥有较为全面的信息安全控制能力基础上,建立持续改进的机制,以应对安全风险的变化,不断提高,追踪技术和业务的变化、信息安全流程的持续改进,达到了卓越运营。
可见国际型大公司尚且如此,随着中国企业信息技术的不断应用,也必然会经历国际大公司在信息安全方面的成熟度认知过程。因此,如何设计适合企业自身的安全体系框架,并能够指导落地实施,正是本文重点介绍的内容。
2 国内安全领域相关工作情况
近年来,中国政府高度重视信息安全保障体系的建设,先后出台了相应的法律法规,如《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法》等,以及相应的要求和指南,如《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护定级指南》等。
同时一些优秀的企业管理人员也根据自身的实际需求,提出了适合自身企业的信息安全体系架构,笔者找到一篇关于《大型企业信息安全架构设计初探》的文章,文中从管理、技术、控制三个视角,在概念层、逻辑层和实现层三个层次,三横三纵地阐述了构建企业信息安全体系框架的MCT模型,接下来文中针对MCT模型通过差距分析法进一步介绍了如何从设计到实现的转换。
3 五体系模型
MCT模型从管理视角、控制视角和技术视角三个角度,由概念到逻辑,再到实现的逐层递进模型,它讲述的是大型企业信息安全的框架,但作为技术人员更希望一个易于操作和落地的模型,因此根据笔者自身的工作经验,梳理总结出五体系模型,将信息安全从事前防御、事中监控与响应、事后恢复三个阶段有机结合,通过五个体系的建立,满足企业内部信息安全的需要,如图2所示:
组织体系,通过建立信息安全决策、管理、执行以及监管的机构,并明确各级机构的角色与职责,落实完善信息安全管理与控制的相关主体和责任。
制度体系,涉及制度、规范、流程、手册、台账等信息,通过建立和完善以上内容,实现内部信息安全规则和标准的统一。
技术体系,指实现信息安全所采取的具体技术措施,如通过软件、硬件、工具、技术服务等手段从技术领域防范信息安全风险的发生。
运行体系,指日常运维工作,包括健康检查、安全监控、事件响应、变更管理、IT审计等内容。通过日常工作防范潜在风险的发生,当风险出现时能及时监测并应对,保障整个公司业务的正常运行。
恢复体系,涉及应急恢复、备份恢复、容灾恢复、策略修订等,通过恢复体系,将业务状态恢复至受攻击之前的运行水平,有效保障企业的业务连续性,同时为了保证整个安全架构的健壮性,需要加强安全架构的后评估,在业务恢复后,通过对恢复效果的评估,及时调整相应的安全策略。
组织体系和制度体系是基础、技术体系是依托、运行体系和恢复体系是保障,通过五个体系相互作用,有效实现事前防御、事中监控和响应、事后恢复的有机结合。
4 模型的落实与监控
谈到五体系模型的落地,我们按照项目管理的思路,采用阶段管理的方法,将其分为准备阶段、制定阶段和运行阶段三部分,依次落实。
4.1 准备阶段
准备阶段是项目的开始,通过准备阶段的工作完成项目启动、组织建立、信息评价和风险应对四部分,为下一个阶段的开展提供有效的保障。
项目启动,标志着信息安全项目正式开始,项目发起人与管理层选定项目负责人,并将项目范围、项目目标、预计项目持续的时间及所需要的资源、可交付成果及评价标准,高层管理者在项目中的角色和义务等逐个确定。
组织建立,项目负责人根据实际工作需要成立相应的小组,并确定相关成员,如图3示例。由公司高层管理人员组成领导小组,负责需求提出、资源分配、阶段目标确认等事项;由相关的技术专家和顾问组成决策小组,负责标准和策略的决策事项;由公司内部财务、审计、法务等部门人员组成审计小组,负责项目审计工作,并对领导小组负责;由相关的技术工程师、业务人员组成执行小组,负责具体事项的执行工作。同时,确定项目结束后应该移交的运维部门或组织。
信息评价,首先要完成信息资产的选定工作,即分析企业内存在哪些信息资产,比如纸质信息、网络信息、系统信息、供应商信息、项目信息等,根据信息来源的不同进行收集和整理,通过对信息资产的价值评估、业务影响力、决策依据必要性等进行初步筛选,最终确定有效的信息资产。同时要考虑各部门及岗位存在的相关信息,依据轻度、中度、重度的机密程度进行区分,比如财务部资产、账款等信息;人力资源部员工资料、工资情况等信息。其次,按照机密性、安全性和可用性进行分类并打分,分数越高,信息价值越高。如图4示例。
风险应对,根据信息资产的价值,假定该信息资产被泄漏,通过风险的定性评估、定量评估,发生概率的评估,选择不同的应对方式,如风险规避、风险转移、风险减轻、风险接受,最大限度的保障企业信息资产的安全。
4.2 制定阶段
制定阶段涵盖了信息安全建设项目的计划、执行、控制及收尾过程,是三个阶段中最重要的一环,是运行阶段的执行标准和基础。包含策略制定、制度建立、导入系统和部署发布四部分。
策略制定,根据准备阶段所确定的信息资产,依据其分值和风险应对方式,采用不同策略进行响应,相关的策略涉及五体系模型的全部内容,如确立组织体系的规模及责任、指导制度体系的建立、为技术体系提供依据和标准、规范运行体系的操作流程、保障恢复体系的最终效果。相关策略又分为技术策略和管理策略。
4.3 运行阶段
运行阶段为三个阶段的最后一个阶段,按照制定阶段的安全策略执行,由运维部门或组织负责整个安全架构的维护与管理工作,原项目中各组织解散,该阶段涉及健康检查与评估、事件监控与响应、事后恢复与审计三部分。
健康检查与评估,指运维部门依据安全策略对整个信息安全架构进行例行健康检查,可以按照日、月、年周期进行,并通过漏
洞扫描、模拟攻击、应急演练等手段评估现有信息安全架构的健壮性。
事件监控与响应,安全事件既可以是企业内部发生的事件,也可以是企业外部发生的事件,根据事件的进展进行跟踪,并依据事先确定的安全策略执行相应的响应流程。
事后恢复与审计,针对企业内部发生的安全事件,依据恢复体系,将业务状态恢复至受攻击前的运行水平,并对此次攻击和响应的处理步骤进行审计和评价,确保所有操作依据已确定的规范或指南执行。
5 结论
本文对信息安全架构提出的五体系模型和落地探索,在实际工作中不能完全适应每一个企业,但也希望通过这些努力,与大家分享,让更多的人能为企業保驾护航,提升安全。当然受限于笔者自身的水平和实践,在许多方面会存在不足,在此仅供大家参考。
参考文献:
[1]罗革新,吕增江,崔广印,鲍天祥,王振欣,于普漪.大型企业信息安全体系架构设计初探[J].勘探地球物理进展,第31卷第6期,2008年12月.
[2]刘振宇.国家大剧院信息安全保障体系探索[J].信息安全与技术,第5卷第5期,2014年5月.
[3]2015年第二季度中国互联网安全报告[R].360互联网安全中心,2015年8月6日.