王嘉，馮運(yùn)波，孫立軍，黃國雄，葉志雄

（1 中國移動通信集團(tuán)廣東有限公司，廣州 510623；2 中國移動通信集團(tuán)公司，北京 100032)

信息安全是任何國家、政府、部門、行業(yè)都十分重視的問題，是國家安全戰(zhàn)略中不可或缺的部分。信息安全的實(shí)質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。中國移動承載著國家重要的通信支撐網(wǎng)絡(luò)，信息安全建設(shè)也變得尤為重要。

中國移動通信集團(tuán)早在2006年就參照ISO 27001標(biāo)準(zhǔn)編寫并發(fā)布了集團(tuán)信息安全總綱（NISS），全面闡述了中國移動公司的信息安全管理策略。一直以來，在實(shí)施信息安全體系的實(shí)踐過程中，無論是企業(yè)的管理層還是具體實(shí)施人員，無論是通過認(rèn)證的企業(yè)還是未認(rèn)證的企業(yè)，對信息安全管理實(shí)施過程都不同程度的存在著一個問題：難以落實(shí)。

造成這些企業(yè)信息安全建設(shè)不盡如人意的根本原因在于沒有站在業(yè)務(wù)的角度來構(gòu)建適用于企業(yè)業(yè)務(wù)的信息安全體系；沒有將管理、技術(shù)和人這3個要素有效的結(jié)合起來，構(gòu)建信息安全體系落實(shí)的基礎(chǔ)。

1 中國移動互聯(lián)網(wǎng)基地信息安全建設(shè)思路

圖1 信息安全建設(shè)原則

中國移動互聯(lián)網(wǎng)基地的信息安全體系建設(shè)，一開始就站在基于業(yè)務(wù)、面向落實(shí)的角度，從安全事件預(yù)防和安全事件響應(yīng)兩個方面對信息安全風(fēng)險(xiǎn)進(jìn)行管控，綜合考慮投資、恢復(fù)成本和業(yè)務(wù)影響3個方面，以此作為信息安全建設(shè)的基本原則，如圖1所示。

因此，一方面，我們以業(yè)務(wù)安全為導(dǎo)向，面向業(yè)務(wù)，層層分解，構(gòu)建有效保障互聯(lián)網(wǎng)基地業(yè)務(wù)運(yùn)作的信息安全體系；以運(yùn)營安全為載體，以技術(shù)安全為保障，為達(dá)成互聯(lián)網(wǎng)基地的信息安全目標(biāo)提供強(qiáng)有力的支撐；另一方面，互聯(lián)網(wǎng)基地的信息安全體系中的業(yè)務(wù)安全、運(yùn)營安全、技術(shù)安全與安全管理緊密結(jié)合，協(xié)同作用，確保安全措施能夠落實(shí)到位，保障安全目標(biāo)的達(dá)成，如圖2所示。

圖2 信息安全建設(shè)總體思路

然而，無論采取何種措施，信息安全風(fēng)險(xiǎn)都不可能完全地避免和消除，關(guān)鍵在于如何控制、化解和規(guī)避。信息安全體系就是從風(fēng)險(xiǎn)管理的角度，運(yùn)用科學(xué)的方法和手段，全面檢測系統(tǒng)中存在的脆弱性，從而有針對性地提出防范風(fēng)險(xiǎn)的對策和措施，將風(fēng)險(xiǎn)控制在可接受的水平，最大限度地達(dá)到保障信息安全的目的。通過開展信息安全體系的建設(shè)，可以發(fā)現(xiàn)信息安全管理中存在的主要問題，找到解決問題的辦法，尋求一個最佳的平衡點(diǎn)。

2 中國移動互聯(lián)網(wǎng)基地信息安全建設(shè)原則與框架

信息安全體系應(yīng)以保證業(yè)務(wù)連續(xù)性為根本目標(biāo)，通過信息安全技術(shù)與信息安全管理的緊密結(jié)合，實(shí)現(xiàn)對信息技術(shù)風(fēng)險(xiǎn)的有效控制和信息安全的全面保障，實(shí)現(xiàn)信息安全體系的持續(xù)改進(jìn)和動態(tài)發(fā)展。因此，中國移動互聯(lián)網(wǎng)基地在進(jìn)行信息安全體系設(shè)計(jì)時，遵照了以下原則。

2.1 體現(xiàn)全面的特性

信息安全體系是一個涵蓋各個方面的工程，它要求多角度、多層次，從各個環(huán)節(jié)入手，進(jìn)行系統(tǒng)的考慮和規(guī)劃。任何環(huán)節(jié)上的缺陷都會對信息系統(tǒng)構(gòu)成威脅。因此，在借鑒國內(nèi)外信息安全管理的基礎(chǔ)上，結(jié)合中國移動互聯(lián)網(wǎng)基地信息化發(fā)展現(xiàn)狀和規(guī)劃，建設(shè)信息安全體系。

2.2 體現(xiàn)持續(xù)改進(jìn)、動態(tài)發(fā)展的特性

信息安全體系不僅僅是一套全面的規(guī)則集合，而且還是在體系建設(shè)與實(shí)施過程中與所有利益相關(guān)者的互動的過程。另外，環(huán)境的動態(tài)性也決定了體系建設(shè)的動態(tài)性。因此，在體系架構(gòu)設(shè)計(jì)和實(shí)施中應(yīng)遵循PDCA的模式，通過策劃P（確定整體戰(zhàn)略、目標(biāo)和管理范圍）、實(shí)施D（具體運(yùn)作的過程和程序）、檢查C（依據(jù)方針、目標(biāo)和實(shí)際經(jīng)驗(yàn)測量，評估信息安全管理的效果）、糾正A（采取糾正和預(yù)防措施進(jìn)一步提高信息安全管理的效果）這4個步驟的循環(huán)運(yùn)行，使信息安全管理水平獲得可持續(xù)性的發(fā)展，成為真正持續(xù)改進(jìn)的、動態(tài)發(fā)展的信息安全體系。

2.3 以保證業(yè)務(wù)連續(xù)性為根本目標(biāo)

信息安全管理必須為業(yè)務(wù)服務(wù)，脫離業(yè)務(wù)的信息安全管理也就失去了其真正的意義。各種各樣來自內(nèi)外部的風(fēng)險(xiǎn)都可能導(dǎo)致信息喪失機(jī)密性、完整性和可用性，威脅信息資產(chǎn)的安全，影響業(yè)務(wù)的持續(xù)開展。因此，保證信息系統(tǒng)的正常運(yùn)行，進(jìn)而保障業(yè)務(wù)的連續(xù)開展，是信息安全的根本目標(biāo)，也是信息安全體系的根本目標(biāo)。

2.4 高層支持、全員參與的原則

在信息安全體系的建設(shè)中，應(yīng)由最高管理者確立統(tǒng)一的信息安全方針、政策和方向，創(chuàng)造并保持使員工能充分、積極地參與實(shí)現(xiàn)信息安全戰(zhàn)略目標(biāo)的內(nèi)部環(huán)境；全體員工應(yīng)明確自己在信息安全管理中的職責(zé)，具備一定的信息安全技術(shù)和風(fēng)險(xiǎn)防范意識，積極參與信息安全體系的建設(shè)。

2.5 技術(shù)與管理并重的原則

信息技術(shù)是信息安全管理的手段，信息安全管理是利用信息技術(shù)實(shí)現(xiàn)安全目標(biāo)的保障，在信息安全體系中，技術(shù)與管理同等重要，缺一不可，忽略任何一方都會阻礙信息安全工作的開展。在進(jìn)行信息安全體系設(shè)計(jì)時，必須牢牢把握技術(shù)與管理并重的原則，使二者相輔相承，共同促進(jìn)信息安全目標(biāo)的實(shí)現(xiàn)。信息安全管理是通過信息安全運(yùn)作機(jī)制、借助信息技術(shù)手段來實(shí)現(xiàn)的。

因此，在信息安全體系架構(gòu)的設(shè)計(jì)中，將信息安全管理、信息安全運(yùn)作、信息安全技術(shù)3個方面設(shè)計(jì)為互相支持的3層平臺，此3層平臺為信息安全體系的核心部分。信息安全管理包括信息安全認(rèn)知培養(yǎng)、信息安全組織結(jié)構(gòu)設(shè)置和信息安全審計(jì)監(jiān)督3部分。由于信息安全運(yùn)作和信息安全技術(shù)都是信息安全管理的手段和工具，最終都是為實(shí)現(xiàn)管理目標(biāo)服務(wù)的，因此將信息安全管理設(shè)計(jì)為3層平臺的最上層；信息安全運(yùn)作包括信息風(fēng)險(xiǎn)評估、規(guī)劃實(shí)施、安全監(jiān)控、響應(yīng)恢復(fù)4部分，它是管理平臺和技術(shù)平臺在日常工作中的執(zhí)行，起承上啟下的作用，因此將其設(shè)計(jì)為3層平臺的中間層；信息安全技術(shù)平臺是信息安全管理和信息安全運(yùn)作的支持和保證，包括身份認(rèn)證、訪問控制等信息安全基礎(chǔ)服務(wù)和基礎(chǔ)設(shè)施，屬于3層平臺的基礎(chǔ)，因此將其設(shè)計(jì)為最下層。包含信息安全策略、規(guī)范與標(biāo)準(zhǔn)、指南與細(xì)則的管理文件體系是必不可少的重要組成部分，它跨越管理、運(yùn)作和技術(shù)3層核心平臺，貫穿于整個信息安全體系之中，指導(dǎo)各相關(guān)業(yè)務(wù)流程的信息安全工作的開展。

在建設(shè)信息安全總體框架時，互聯(lián)網(wǎng)基地在遵循上述原則的基礎(chǔ)上，廣泛借鑒國際國內(nèi)先進(jìn)做法，結(jié)合自身實(shí)際，提出了互聯(lián)網(wǎng)基地總的信息安全建設(shè)方針：“戰(zhàn)略優(yōu)先，風(fēng)險(xiǎn)驅(qū)動，適度安全；整體規(guī)范，逐步完善，持續(xù)改進(jìn)”。遵循業(yè)務(wù)性、標(biāo)準(zhǔn)性、合理性、先進(jìn)性的建設(shè)原則開展工作，構(gòu)建包含安全目標(biāo)、原則，安全策略，業(yè)務(wù)安全，運(yùn)營安全，技術(shù)安全，安全管理等6個方面的整體框架。

在這個整體建設(shè)框架的基礎(chǔ)上，結(jié)合互聯(lián)網(wǎng)基地的業(yè)務(wù)特點(diǎn)，確定了以為業(yè)務(wù)保駕護(hù)航為信息安全建設(shè)目標(biāo)，以符合互聯(lián)網(wǎng)基地實(shí)際現(xiàn)狀、安全管理能夠落地為信息安全建設(shè)原則的建設(shè)思路。深度解析影響互聯(lián)網(wǎng)基地業(yè)務(wù)安全、運(yùn)營安全、技術(shù)安全及安全管理的主要因素，梳理出了在信息安全建設(shè)過程中，從保障業(yè)務(wù)角度出發(fā)，我們應(yīng)該著重關(guān)注、優(yōu)先解決的問題。如圖3所示，并針對重要風(fēng)險(xiǎn)制定了專門的解決方案，并實(shí)時跟蹤解決方案的落實(shí)情況、措施效果，有效的保障了互聯(lián)網(wǎng)基地的業(yè)務(wù)安全。

同時從安全管理的角度，借鑒國際先進(jìn)信息安全管理實(shí)踐和集團(tuán)信息安全總綱，制定了涵蓋業(yè)務(wù)方方面面的運(yùn)營安全管理制度和業(yè)務(wù)安全規(guī)范，并引入了相關(guān)安全技術(shù)標(biāo)準(zhǔn)。

為保障整個安全體系的持續(xù)有效的運(yùn)行，舉辦了包括信息安全意識、信息安全風(fēng)險(xiǎn)評估、信息安全技能提升等安全培訓(xùn)，讓員工理解信息安全管理的意義，并讓員工參與到其中。同時采用一些必要手段對業(yè)務(wù)運(yùn)營情況進(jìn)行安全監(jiān)控和分析，并階段性的進(jìn)行業(yè)務(wù)安全評估、運(yùn)營安全評估和技術(shù)安全評估，輔助采取安全審計(jì)、安全績效等手段，促進(jìn)安全管理工作的落實(shí)。

3 中國移動互聯(lián)網(wǎng)基地信息安全建設(shè)內(nèi)容

互聯(lián)網(wǎng)基地在進(jìn)行信息安全建設(shè)的過程中，注重對業(yè)務(wù)運(yùn)營流程進(jìn)行深入解析，理清所有業(yè)務(wù)活動環(huán)節(jié)及節(jié)點(diǎn)。深入了解設(shè)計(jì)、開發(fā)、部署和運(yùn)維4個階段，剖析業(yè)務(wù)運(yùn)營全過程，清晰定義每個環(huán)節(jié)的角色職責(zé)。在風(fēng)險(xiǎn)評估階段，從業(yè)務(wù)目標(biāo)出發(fā)，結(jié)合業(yè)務(wù)流程，對支撐業(yè)務(wù)流程有效運(yùn)轉(zhuǎn)的關(guān)鍵資產(chǎn)進(jìn)行梳理與評估，找出了一系列的風(fēng)險(xiǎn)點(diǎn)。針對這些風(fēng)險(xiǎn)設(shè)計(jì)安全控制集、安全措施集和安全檢查集，形成閉環(huán)的風(fēng)險(xiǎn)控制機(jī)制，確保風(fēng)險(xiǎn)控制有效落實(shí)。

圖3 互聯(lián)網(wǎng)基地信息安全建設(shè)框架

在體系運(yùn)行過程中，我們把信息安全責(zé)任落實(shí)到各專業(yè)室、各個崗位。使大家都了解自己在信息安全工作中必須做什么，為什么要這樣做，這樣做對公司、對個人會有什么益處；不能做什么，為什么不能做，如果這樣做會給公司、對個人帶來什么害處。

在向業(yè)務(wù)部門推行全控制措施時，將該安全措施對業(yè)務(wù)部門產(chǎn)生的影響進(jìn)行有效的分析，讓業(yè)務(wù)部門理解實(shí)施信息安全管控的必要性，并配合根據(jù)現(xiàn)有安全要求，制定最適合在部門實(shí)施的具體信息安全策略。

體系運(yùn)行后，必須對體系運(yùn)行的情況進(jìn)行定義的檢查跟蹤，以及時發(fā)現(xiàn)問題。所以定期的信息安全內(nèi)部審計(jì)機(jī)制非常重要，只有進(jìn)行檢查（Check），并對檢查中發(fā)現(xiàn)的問題進(jìn)行整改（Action），整個信息安全體系才會形成完整的PDCA循環(huán)，形成一個閉環(huán)。沒有檢查機(jī)制的安全管理是不可能有績效的。