黃均輝

（中國電建集團中南勘測設計研究院有限公司，湖南，長沙 410014）

在“互聯(lián)網(wǎng)+”時代，企業(yè)甚至整個IT 產(chǎn)業(yè)的網(wǎng)絡管理將面臨極大的安全挑戰(zhàn)。在2017 年5 月全球爆發(fā)大規(guī)模勒索軟件感染事件，對我國互聯(lián)網(wǎng)絡也構成了嚴重安全威脅，該類型病毒通過廣播傳播，對企業(yè)內(nèi)網(wǎng)的破壞尤其嚴重。據(jù)報道國內(nèi)多個高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機構專網(wǎng)受影響，保守估計超過30 萬臺設備受到感染?；诖耍?017 年6 月1 日開始全面施行《中華人民共和國網(wǎng)絡安全法》，這對企業(yè)運行安全能力提出了更高的要求。

企業(yè)如何有效全面建設企業(yè)信息安全、全面提升企業(yè)信息安全水平？本文將對此作出探討。

1 體系化建設信息安全的必要性

1.1 信息安全建設誤區(qū)

企業(yè)在信息安全建設工作中一般存在以下誤區(qū)。

誤區(qū)一：重視硬件建設，忽視軟件作用。很多企業(yè)在信息化建設過程中，在軟件產(chǎn)品與硬件產(chǎn)品的選擇上，經(jīng)常出現(xiàn)“欺軟怕硬”的現(xiàn)象。往往只是考慮加大硬件設備的投入，簡單購買一些硬件設置，孰不知，企業(yè)還需要考慮到內(nèi)部的安全威脅，包括病毒、內(nèi)部泄密、員工行為規(guī)范等。同時，對于員工也沒有做好相應的培訓，導致員工缺乏安全保密意識，工作基本靠個人自覺或忠誠度，而沒有其他的約束。這類安全需求是硬件設備無法全部滿足的。

誤區(qū)二：重視技術投入，忽視管理保障。不同于信息化建設的長期積累和完善，信息化安全建設可以說是剛起步不久。對于信息化安全方面，還多處于采購專用設備的階段；管理建設上，沒有明確責任單位，多職能部門管理，責權不清；缺少相應的規(guī)章制度，缺乏有效的規(guī)章制度管理、修訂機制。

誤區(qū)三：信息安全的認識程度普遍不高。病毒、木馬是大家最為熟悉的，也是認知度最高的危害信息安全的方式。許多的企業(yè)缺乏對信息安全的整體認識，還停留在信息安全就是要防病毒、裝殺毒軟件，于是便有“裝了殺毒軟件、布上防火墻，信息安全無憂”的片面認識。

1.2 企業(yè)信息安全管理實施需要體系化

企業(yè)信息安全工作并不是產(chǎn)品的簡單堆積，也不是一次性的靜態(tài)過程，應該是人員、技術、操作三者緊密結合的系統(tǒng)工程，是不斷演進、循環(huán)發(fā)展的動態(tài)過程。信息安全水平的高低遵循木桶原理，即信息安全水平有多高，取決于防護最薄弱的環(huán)節(jié)，如圖1 所示。

1.3 企業(yè)信息安全體系化實施依據(jù)

（1）我國信息安全的管理體系——信息安全等級保護。信息系統(tǒng)安全等級保護是指對信息系統(tǒng)實行等級化的保護和管理。根據(jù)信息系統(tǒng)對國家利益、公共利益和社會穩(wěn)定的重要性，實行分級、分類、分階段實施保護，確保信息安全和系統(tǒng)安全正常運行，其核心是對信息系統(tǒng)安全分等級、按標準進行建設、管理和監(jiān)督，如圖2 所示。

圖2 信息系統(tǒng)安全等級保護基本要求

（2）《信息安全管理體系國際標準》（ISO/IEC 27001）?！缎畔踩芾眢w系國際標準》（ISO/IEC 27001）由兩大部分組成，ISO 27001 是《信息安全管理體系要求》，是在組織內(nèi)部建立信息安全管理體系（ISMS）的一套規(guī)范，其中詳細說明了建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系的模型和要求。ISO/IEC 27002 即《信息安全管理實施指南》，提出了在組織內(nèi)部啟動、實施、保持和改進信息安全管理的指南和一般原則，包括11 個要素、39 個控制目標和133 種控制措施。

（3）信息安全風險評估。信息安全風險評估是以信息資產(chǎn)為出發(fā)點，以威脅為觸發(fā)，以技術、管理、運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型，是獲知組織當前風險水平的一種手段。其能借助定量、定性分析的方法，推斷出用戶關心的重要資產(chǎn)當前的安全風險，并根據(jù)風險的嚴重級別制定風險處置計劃，確定下一步的安全需求方向。

（4）結合企業(yè)實際的原則。企業(yè)在信息安全建設過程中，應結合自身需求，如勘測設計企業(yè)尤為關心產(chǎn)品、圖紙的保護，應重點考慮。同時，在信息系統(tǒng)可承受的安全風險范圍內(nèi)盡可能地考慮成本與效率，以及緊密結合企業(yè)系統(tǒng)的安全要求及面臨的威脅制定科學、合理、可行的安全建設原則，避免萬里長城似的盲目投入，因地制宜，在體系指導下按需加固，提升管理水平。

2 結合企業(yè)實際的信息安全體系構建

在實際工作中，參照《中華人民共和國計算機信息系統(tǒng)安全保護等級劃分準則》，結合網(wǎng)絡安全評估結果，以及企業(yè)實際情況，構建了如下企業(yè)信息安全體系，體系含安全策略、安全技術、安全運維、安全管理四方面，如圖3 所示。

圖3 企業(yè)信息安全體系

安全策略是在工作方針的指導下，對信息安全某一方面工作的目標和原則進行闡述的文件。安全策略根據(jù)ISO27002 指導，建立物理安全策略、網(wǎng)絡安全策略、系統(tǒng)安全策略、應用安全策略、數(shù)據(jù)安全策略、賬戶口令策略、安全運維策略等十三方面的信息安全策略。

安全技術是安全管理和安全運維能夠有效實施的重要保障，是通過使用安全產(chǎn)品、技術以及相關的服務，與其他兩個方面共同支撐和實現(xiàn)信息安全。安全技術從物理層、網(wǎng)絡層、系統(tǒng)層、應用層、數(shù)據(jù)層和安管層共六個安全層進行安全技術建設。

安全管理主要從組織層、制度層、培訓層和績效層四個層次來進行信息安全管理方面的建設。

安全運維主要從階段性運維、日常性運維、應急響應三個層次來進行信息安全管理方面的建設。其中，以常見的安全技術的六個安全層面舉例展開：（1）物理層，重點規(guī)范管理的內(nèi)容包括機房環(huán)境保護、機房準入管理、機房備用電力供應。（2）網(wǎng)絡層，重點規(guī)范管理的內(nèi)容包括網(wǎng)絡建設規(guī)范性、網(wǎng)絡邊界、通信、網(wǎng)絡管理安全。（3）系統(tǒng)層，重點規(guī)范管理的內(nèi)容包括服務器安全、數(shù)據(jù)庫安全、終端安全。（4）應用層，重點規(guī)范管理的內(nèi)容包括應用數(shù)據(jù)庫平臺冗余、敏感終端專用、網(wǎng)站系統(tǒng)防護、網(wǎng)站系統(tǒng)監(jiān)控、系統(tǒng)傳輸加密。（5）數(shù)據(jù)層，重點規(guī)范管理的內(nèi)容包括備份數(shù)據(jù)測試、系統(tǒng)恢復演練。（6）安管層，重點規(guī)范管理的內(nèi)容包括漏洞管理、安全配置核查、內(nèi)網(wǎng)入侵檢測、郵件安全防護。

3 企業(yè)信息安全體系的應用與實踐

根據(jù)所構建的企業(yè)信息安全體系內(nèi)容，指導企業(yè)開展安全規(guī)劃和安全建設、安全管理行為工作，重點圍繞安全策略，進行策略、技術、運維、管理四個方面建設，建立和健全信息安全相關的安全組織和團隊、制度規(guī)章、安全技術和安全運維，取得了一定效果。具體（部分）工作有以下幾個方面。

3.1 安全策略方面

（1）物理安全策略有機房建設、物理訪問控制、環(huán)境保護、辦公物理安全等。（2）網(wǎng)絡安全策略有網(wǎng)絡拓撲結構管理、網(wǎng)絡設備安全管理、網(wǎng)絡安全實施監(jiān)控等。（3）系統(tǒng)安全策略有操作系統(tǒng)使用規(guī)范、操作系統(tǒng)升級、變更管理等。（4）應用安全策略有數(shù)據(jù)庫系統(tǒng)安全、郵件系統(tǒng)安全、業(yè)務系統(tǒng)安全等。（5）數(shù)據(jù)安全策略有關鍵業(yè)務數(shù)據(jù)加密要求、數(shù)據(jù)備份對象要求、公司機密文檔保護等。（6）賬號口令策略有口令設置規(guī)則、口令更換規(guī)則等。（7）安全運維策略有事件分級、事件處理、問題處理、知識分享等。

3.2 安全技術方面

（1）網(wǎng)絡層。①網(wǎng)絡邊界安全：利用集團某商業(yè)安域系統(tǒng)對企業(yè)對外網(wǎng)站和應用系統(tǒng)進行防護，確保網(wǎng)站安全性。②網(wǎng)絡管理安全：提供設備保障，及時更新防火墻、IPS 等網(wǎng)絡安全設備，保障網(wǎng)絡設備處于安全穩(wěn)定運行狀態(tài)。

（2）系統(tǒng)層。①服務器安全：賬號授權細化管理，各類信息系統(tǒng)訪問采用功能授權、數(shù)據(jù)授權等方式，各司其職，各用所需；實施安全審計，數(shù)據(jù)管理員通過堡壘機才能訪問服務器，可通過第三方安全審計員做到運維的事中和事后審計。②終端安全：終端安全加固，逐步實現(xiàn)終端標準化，統(tǒng)一安裝企業(yè)級殺毒軟件，加強員工密碼管理，采用最新加密技術對員工密碼進行安全存儲，并加強登錄密碼強度和強制定期修改。終端上網(wǎng)審計，滿足了對用戶上網(wǎng)行為審計備案的要求，同時可以有效管控用戶流量、電腦病毒、惡意網(wǎng)站等。

（3）數(shù)據(jù)層。備份數(shù)據(jù)、系統(tǒng)恢復演練，即利用專業(yè)存儲系統(tǒng)對企業(yè)重要業(yè)務系統(tǒng)數(shù)據(jù)實現(xiàn)本地鏡像和復制，實現(xiàn)對數(shù)據(jù)的三重備份，定期組織恢復演練。

3.3 安全管理方面

（1）組織層。成立信息安全領導小組，統(tǒng)籌企業(yè)信息化工作，該小組也是信息安全管理的決策機構；設立信息安全工作小組，由部門信息主管和管理員組成，負責信息安全的日常工作；指定明確部門為系統(tǒng)安全專職管理機構，負責具體工作，含策略研究、技術方案、實施運行及管理制監(jiān)督和指導。

（2）制度層。建立安全制度，包括《信息化基礎設施運行維護管理辦法》《數(shù)據(jù)安全管理實施細則》《互聯(lián)網(wǎng)服務區(qū)信息系統(tǒng)安全管理實施細則》《路由器接入的管理規(guī)定》等制度。

3.4 安全運維方面

（1）階段性運維。定期風險評估，即依托第三方信息安全測評機構技術力量，定期對面向外網(wǎng)的網(wǎng)站和應用系統(tǒng)進行信息滲透測試，及時發(fā)現(xiàn)潛在風險，并進行針對性的整改。

（2）應急響應。應急管理，即制定網(wǎng)絡與信息安全應急演練預按，并定期組織演練，通過演練修訂應急預案、及時發(fā)現(xiàn)存在問題，檢驗我院應急綜合能力。

4 工作建議

在建設過程中也探索出更好開展本項工作的注意事項。

4.1 業(yè)務驅動

信息安全最終目的是為業(yè)務的開展提供支持和保障，實施時在安全性和業(yè)務開展的便利性之間找到平衡點，同時提高業(yè)務部門對信息安全工作的理解和認識，在此過程中獲得業(yè)務部門的支持與配合、共同推動，真正實現(xiàn)信息安全為業(yè)務服務。

4.2 高層的支持

高層領導的支持和參與，能有效協(xié)調各部門的關系，建立跨部門的協(xié)作機制，保證信息安全目標的順利實施。

4.3 有效的管理和監(jiān)控

信息安全體系實施規(guī)劃包含多項子任務，其中一些任務的實施時間跨度長、投資大，而且相互之間存在著一定的依賴關系，這些對于企業(yè)具有很大的挑戰(zhàn)。為此，需要落實強有力的實施管理和監(jiān)控措施，從總體計劃、子計劃、各任務，在計劃、執(zhí)行、檢查、改進多層面，開展管理和監(jiān)控，掌握實施情況并及時調整。

4.4 長期可靠的合作伙伴

信息安全任務的實施涵蓋范圍很廣，涉及許多專業(yè)的技術和產(chǎn)品，既需要廣泛借鑒信息安全相關國際標準和最佳實踐理念，又要充分結合企業(yè)對信息安全的特定需求?？紤]到目前自身的安全能力，選擇合適的外部資源協(xié)助、引進外部專業(yè)資源和先進技術，有利于幫助企業(yè)推動信息安全建設工作。

4.5 借力大數(shù)據(jù)技術發(fā)揮外部資源效用

在信息大爆炸的時代，大數(shù)據(jù)憑借其本身的巨大優(yōu)勢，如通過運用相關技術能整理和分析及時發(fā)現(xiàn)攻擊行為、找出攻擊源頭，并且通過對威脅數(shù)據(jù)的技術整合和信息處理分析，能快速提出有效的針對性方案。這是一般企業(yè)難以做到的。因此，在實際中可以借助外部專業(yè)公司資源和優(yōu)勢，充分發(fā)揮企業(yè)加固內(nèi)部防御、引進外部技術模式的最大化效應。

5 結束語

在“互聯(lián)網(wǎng)+”的環(huán)境下，企業(yè)面臨的安全威脅不斷深化，形勢嚴峻，單純地靠產(chǎn)品已不能滿足企業(yè)實際安全需求。企業(yè)信息安全工作“三分技術、七分管理”，整體的安全水平往往取決于最弱的一環(huán)，因此，需要更為全面的體系化、系統(tǒng)化實施，才能實現(xiàn)并保持一定的信息安全水平。

本文提出企業(yè)按照“遵循等保、評估風險、結合實際”建設原則，構建了企業(yè)信息安全體系，通過在安全策略、安全技術、安全管理、安全運維四方面重點建設，建立和健全信息安全相關的安全組織和團隊、制度規(guī)章、安全技術和安全運維，及時彌補企業(yè)信息安全木桶的短板，有效解決問題及防范風險，全面提升企業(yè)信息安全水平，并且提出了后續(xù)工作的相關建議，更好地為企業(yè)業(yè)務的發(fā)展保駕護航。