左云崗

摘 要：中國企業(yè)在信息技術逐步應用的同時，必然會存在信息安全成熟度的認知過程。根據國內信息安全現狀，以技術人員的角度提出一套易于操作的五體系模型，并按照項目管理的思路，采用階段管理的方法，分三個階段指導信息安全模型的落地實施。

關鍵詞：信息技術；信息安全；五體系模型；安全策略；項目管理

1 背景

首先，我們需要先了解一下企業(yè)到底存在哪些風險。

病毒和木馬，根據360互聯網安全中心《2015年第二季度中國互聯網安全報告》，2015年第二季度360互聯網中心共截獲PC端新增惡意程序樣本8002萬個，日均截獲88萬個，不言而喻這是對企業(yè)危害最大的風險。

網絡攻擊，2015年8月25日，錘子科技2015年的最新產品堅果手機發(fā)布，在當晚發(fā)布會進行時，錘子科技官網就遭到高達數十G的流量DDoS攻擊，導致用戶無法登錄購買手機，網站一度面臨全面癱瘓的風險。

安全漏洞，2015年10月19日，著名白帽平臺烏云網爆出某郵箱過億數據泄漏，涉及郵箱賬號、密碼、用戶密保等；2015年10月20日同樣是烏云網爆出中糧集團某核心系統(tǒng)配置不當導致大量敏感信息泄露問題（含員工信息/稅務文件/可修改合同等）。360補天平臺2015年第二季度共收錄有效漏洞10363個，日均收錄114個，其中74.1%的漏洞為高危漏洞。

還有什么風險？2015年5月28日，攜程網部分服務器遭到不明攻擊，導致官方網站及APP無法正常使用，此次宕機11個小時后才恢復，事后攜程網宣布此次事件系內部人員錯誤操作導致，該類風險應該屬于內部的控制管理機制問題。

當然還有很多其他風險，這里就不一一贅述。一份來自于Gartner 2006年1月的報道，通過選取福布斯2000強企業(yè)，按照安全成熟度進行分布，如圖1所示：

百分之三十的企業(yè)處于盲目自信階段，即普遍缺乏安全意識，對企業(yè)安全狀況不了解，未意識到企業(yè)信息安全風險的嚴重性。百分之五十的企業(yè)處于認知階段，即通過信息安全風險評估，企業(yè)意識到自身存在信息安全風險，開始采取一些措施提升信息安全水平，包括基本安全產品部署、主要人員的培訓教育、建立安全團隊、制定安全方針政策、評估并了解現狀。以上80%的企業(yè)即1600家企業(yè)才算及格。

接下來百分之十五的企業(yè)意識到局部的、單一的信息安全控制措施難以明顯改善企業(yè)信息安全狀況，開始進行全面的信息安全架構設計，有計劃的建設信息安全保障體系，包括啟動信息安全戰(zhàn)略項目、設計信息安全架構、建立信息安全流程、完成信息安全改進項目，這部分企業(yè)處于改進階段。僅有百分之五的企業(yè)在信息安全改進項目完成后，在擁有較為全面的信息安全控制能力基礎上，建立持續(xù)改進的機制，以應對安全風險的變化，不斷提高，追蹤技術和業(yè)務的變化、信息安全流程的持續(xù)改進，達到了卓越運營。

可見國際型大公司尚且如此，隨著中國企業(yè)信息技術的不斷應用，也必然會經歷國際大公司在信息安全方面的成熟度認知過程。因此，如何設計適合企業(yè)自身的安全體系框架，并能夠指導落地實施，正是本文重點介紹的內容。

2 國內安全領域相關工作情況

近年來，中國政府高度重視信息安全保障體系的建設，先后出臺了相應的法律法規(guī)，如《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《信息安全等級保護管理辦法》等，以及相應的要求和指南，如《計算機信息系統(tǒng)安全保護等級劃分準則》、《信息系統(tǒng)安全等級保護基本要求》、《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)安全等級保護定級指南》等。

同時一些優(yōu)秀的企業(yè)管理人員也根據自身的實際需求，提出了適合自身企業(yè)的信息安全體系架構，筆者找到一篇關于《大型企業(yè)信息安全架構設計初探》的文章，文中從管理、技術、控制三個視角，在概念層、邏輯層和實現層三個層次，三橫三縱地闡述了構建企業(yè)信息安全體系框架的MCT模型，接下來文中針對MCT模型通過差距分析法進一步介紹了如何從設計到實現的轉換。

3 五體系模型

MCT模型從管理視角、控制視角和技術視角三個角度，由概念到邏輯，再到實現的逐層遞進模型，它講述的是大型企業(yè)信息安全的框架，但作為技術人員更希望一個易于操作和落地的模型，因此根據筆者自身的工作經驗，梳理總結出五體系模型，將信息安全從事前防御、事中監(jiān)控與響應、事后恢復三個階段有機結合，通過五個體系的建立，滿足企業(yè)內部信息安全的需要，如圖2所示：

組織體系，通過建立信息安全決策、管理、執(zhí)行以及監(jiān)管的機構，并明確各級機構的角色與職責，落實完善信息安全管理與控制的相關主體和責任。

制度體系，涉及制度、規(guī)范、流程、手冊、臺賬等信息，通過建立和完善以上內容，實現內部信息安全規(guī)則和標準的統(tǒng)一。

技術體系，指實現信息安全所采取的具體技術措施，如通過軟件、硬件、工具、技術服務等手段從技術領域防范信息安全風險的發(fā)生。

運行體系，指日常運維工作，包括健康檢查、安全監(jiān)控、事件響應、變更管理、IT審計等內容。通過日常工作防范潛在風險的發(fā)生，當風險出現時能及時監(jiān)測并應對，保障整個公司業(yè)務的正常運行。

恢復體系，涉及應急恢復、備份恢復、容災恢復、策略修訂等，通過恢復體系，將業(yè)務狀態(tài)恢復至受攻擊之前的運行水平，有效保障企業(yè)的業(yè)務連續(xù)性，同時為了保證整個安全架構的健壯性，需要加強安全架構的后評估，在業(yè)務恢復后，通過對恢復效果的評估，及時調整相應的安全策略。

組織體系和制度體系是基礎、技術體系是依托、運行體系和恢復體系是保障，通過五個體系相互作用，有效實現事前防御、事中監(jiān)控和響應、事后恢復的有機結合。

4 模型的落實與監(jiān)控

談到五體系模型的落地，我們按照項目管理的思路，采用階段管理的方法，將其分為準備階段、制定階段和運行階段三部分，依次落實。

4.1 準備階段

準備階段是項目的開始，通過準備階段的工作完成項目啟動、組織建立、信息評價和風險應對四部分，為下一個階段的開展提供有效的保障。

項目啟動，標志著信息安全項目正式開始，項目發(fā)起人與管理層選定項目負責人，并將項目范圍、項目目標、預計項目持續(xù)的時間及所需要的資源、可交付成果及評價標準，高層管理者在項目中的角色和義務等逐個確定。

組織建立，項目負責人根據實際工作需要成立相應的小組，并確定相關成員，如圖3示例。由公司高層管理人員組成領導小組，負責需求提出、資源分配、階段目標確認等事項；由相關的技術專家和顧問組成決策小組，負責標準和策略的決策事項；由公司內部財務、審計、法務等部門人員組成審計小組，負責項目審計工作，并對領導小組負責；由相關的技術工程師、業(yè)務人員組成執(zhí)行小組，負責具體事項的執(zhí)行工作。同時，確定項目結束后應該移交的運維部門或組織。

信息評價，首先要完成信息資產的選定工作，即分析企業(yè)內存在哪些信息資產，比如紙質信息、網絡信息、系統(tǒng)信息、供應商信息、項目信息等，根據信息來源的不同進行收集和整理，通過對信息資產的價值評估、業(yè)務影響力、決策依據必要性等進行初步篩選，最終確定有效的信息資產。同時要考慮各部門及崗位存在的相關信息，依據輕度、中度、重度的機密程度進行區(qū)分，比如財務部資產、賬款等信息；人力資源部員工資料、工資情況等信息。其次，按照機密性、安全性和可用性進行分類并打分，分數越高，信息價值越高。如圖4示例。

風險應對，根據信息資產的價值，假定該信息資產被泄漏，通過風險的定性評估、定量評估，發(fā)生概率的評估，選擇不同的應對方式，如風險規(guī)避、風險轉移、風險減輕、風險接受，最大限度的保障企業(yè)信息資產的安全。

4.2 制定階段

制定階段涵蓋了信息安全建設項目的計劃、執(zhí)行、控制及收尾過程，是三個階段中最重要的一環(huán)，是運行階段的執(zhí)行標準和基礎。包含策略制定、制度建立、導入系統(tǒng)和部署發(fā)布四部分。

策略制定，根據準備階段所確定的信息資產，依據其分值和風險應對方式，采用不同策略進行響應，相關的策略涉及五體系模型的全部內容，如確立組織體系的規(guī)模及責任、指導制度體系的建立、為技術體系提供依據和標準、規(guī)范運行體系的操作流程、保障恢復體系的最終效果。相關策略又分為技術策略和管理策略。

4.3 運行階段

運行階段為三個階段的最后一個階段，按照制定階段的安全策略執(zhí)行，由運維部門或組織負責整個安全架構的維護與管理工作，原項目中各組織解散，該階段涉及健康檢查與評估、事件監(jiān)控與響應、事后恢復與審計三部分。

健康檢查與評估，指運維部門依據安全策略對整個信息安全架構進行例行健康檢查，可以按照日、月、年周期進行，并通過漏

洞掃描、模擬攻擊、應急演練等手段評估現有信息安全架構的健壯性。

事件監(jiān)控與響應，安全事件既可以是企業(yè)內部發(fā)生的事件，也可以是企業(yè)外部發(fā)生的事件，根據事件的進展進行跟蹤，并依據事先確定的安全策略執(zhí)行相應的響應流程。

事后恢復與審計，針對企業(yè)內部發(fā)生的安全事件，依據恢復體系，將業(yè)務狀態(tài)恢復至受攻擊前的運行水平，并對此次攻擊和響應的處理步驟進行審計和評價，確保所有操作依據已確定的規(guī)范或指南執(zhí)行。

5 結論

本文對信息安全架構提出的五體系模型和落地探索，在實際工作中不能完全適應每一個企業(yè)，但也希望通過這些努力，與大家分享，讓更多的人能為企業(yè)保駕護航，提升安全。當然受限于筆者自身的水平和實踐，在許多方面會存在不足，在此僅供大家參考。

參考文獻：

[1]羅革新，呂增江，崔廣印，鮑天祥，王振欣，于普漪.大型企業(yè)信息安全體系架構設計初探[J].勘探地球物理進展，第31卷第6期，2008年12月.

[2]劉振宇.國家大劇院信息安全保障體系探索[J].信息安全與技術，第5卷第5期，2014年5月.

[3]2015年第二季度中國互聯網安全報告[R].360互聯網安全中心，2015年8月6日.