企業信息安全建設工作探索與實踐

黃均輝

（中國電建集團中南勘測設計研究院有限公司，湖南，長沙 410014）

在“互聯網+”時代，企業甚至整個IT 產業的網絡管理將面臨極大的安全挑戰。在2017 年5 月全球爆發大規模勒索軟件感染事件，對我國互聯網絡也構成了嚴重安全威脅，該類型病毒通過廣播傳播，對企業內網的破壞尤其嚴重。據報道國內多個高校校內網、大型企業內網和政府機構專網受影響，保守估計超過30 萬臺設備受到感染。基于此，2017 年6 月1 日開始全面施行《中華人民共和國網絡安全法》，這對企業運行安全能力提出了更高的要求。

企業如何有效全面建設企業信息安全、全面提升企業信息安全水平？本文將對此作出探討。

1 體系化建設信息安全的必要性

1.1 信息安全建設誤區

企業在信息安全建設工作中一般存在以下誤區。

誤區一：重視硬件建設，忽視軟件作用。很多企業在信息化建設過程中，在軟件產品與硬件產品的選擇上，經常出現“欺軟怕硬”的現象。往往只是考慮加大硬件設備的投入，簡單購買一些硬件設置，孰不知，企業還需要考慮到內部的安全威脅，包括病毒、內部泄密、員工行為規范等。同時，對于員工也沒有做好相應的培訓，導致員工缺乏安全保密意識，工作基本靠個人自覺或忠誠度，而沒有其他的約束。這類安全需求是硬件設備無法全部滿足的。

誤區二：重視技術投入，忽視管理保障。不同于信息化建設的長期積累和完善，信息化安全建設可以說是剛起步不久。對于信息化安全方面，還多處于采購專用設備的階段；管理建設上，沒有明確責任單位，多職能部門管理，責權不清；缺少相應的規章制度，缺乏有效的規章制度管理、修訂機制。

誤區三：信息安全的認識程度普遍不高。病毒、木馬是大家最為熟悉的，也是認知度最高的危害信息安全的方式。許多的企業缺乏對信息安全的整體認識，還停留在信息安全就是要防病毒、裝殺毒軟件，于是便有“裝了殺毒軟件、布上防火墻，信息安全無憂”的片面認識。

1.2 企業信息安全管理實施需要體系化

企業信息安全工作并不是產品的簡單堆積，也不是一次性的靜態過程，應該是人員、技術、操作三者緊密結合的系統工程，是不斷演進、循環發展的動態過程。信息安全水平的高低遵循木桶原理，即信息安全水平有多高，取決于防護最薄弱的環節，如圖1 所示。

1.3 企業信息安全體系化實施依據

（1）我國信息安全的管理體系——信息安全等級保護。信息系統安全等級保護是指對信息系統實行等級化的保護和管理。根據信息系統對國家利益、公共利益和社會穩定的重要性，實行分級、分類、分階段實施保護，確保信息安全和系統安全正常運行，其核心是對信息系統安全分等級、按標準進行建設、管理和監督，如圖2 所示。

圖2 信息系統安全等級保護基本要求

（2）《信息安全管理體系國際標準》（ISO/IEC 27001）?！缎畔踩芾眢w系國際標準》（ISO/IEC 27001）由兩大部分組成，ISO 27001 是《信息安全管理體系要求》，是在組織內部建立信息安全管理體系（ISMS）的一套規范，其中詳細說明了建立、實施、運行、監視、評審、保持和改進信息安全管理體系的模型和要求。ISO/IEC 27002 即《信息安全管理實施指南》，提出了在組織內部啟動、實施、保持和改進信息安全管理的指南和一般原則，包括11 個要素、39 個控制目標和133 種控制措施。

（3）信息安全風險評估。信息安全風險評估是以信息資產為出發點，以威脅為觸發，以技術、管理、運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型，是獲知組織當前風險水平的一種手段。其能借助定量、定性分析的方法，推斷出用戶關心的重要資產當前的安全風險，并根據風險的嚴重級別制定風險處置計劃，確定下一步的安全需求方向。

（4）結合企業實際的原則。企業在信息安全建設過程中，應結合自身需求，如勘測設計企業尤為關心產品、圖紙的保護，應重點考慮。同時，在信息系統可承受的安全風險范圍內盡可能地考慮成本與效率，以及緊密結合企業系統的安全要求及面臨的威脅制定科學、合理、可行的安全建設原則，避免萬里長城似的盲目投入，因地制宜，在體系指導下按需加固，提升管理水平。

2 結合企業實際的信息安全體系構建

在實際工作中，參照《中華人民共和國計算機信息系統安全保護等級劃分準則》，結合網絡安全評估結果，以及企業實際情況，構建了如下企業信息安全體系，體系含安全策略、安全技術、安全運維、安全管理四方面，如圖3 所示。

圖3 企業信息安全體系

安全策略是在工作方針的指導下，對信息安全某一方面工作的目標和原則進行闡述的文件。安全策略根據ISO27002 指導，建立物理安全策略、網絡安全策略、系統安全策略、應用安全策略、數據安全策略、賬戶口令策略、安全運維策略等十三方面的信息安全策略。

安全技術是安全管理和安全運維能夠有效實施的重要保障，是通過使用安全產品、技術以及相關的服務，與其他兩個方面共同支撐和實現信息安全。安全技術從物理層、網絡層、系統層、應用層、數據層和安管層共六個安全層進行安全技術建設。

安全管理主要從組織層、制度層、培訓層和績效層四個層次來進行信息安全管理方面的建設。

安全運維主要從階段性運維、日常性運維、應急響應三個層次來進行信息安全管理方面的建設。其中，以常見的安全技術的六個安全層面舉例展開：（1）物理層，重點規范管理的內容包括機房環境保護、機房準入管理、機房備用電力供應。（2）網絡層，重點規范管理的內容包括網絡建設規范性、網絡邊界、通信、網絡管理安全。（3）系統層，重點規范管理的內容包括服務器安全、數據庫安全、終端安全。（4）應用層，重點規范管理的內容包括應用數據庫平臺冗余、敏感終端專用、網站系統防護、網站系統監控、系統傳輸加密。（5）數據層，重點規范管理的內容包括備份數據測試、系統恢復演練。（6）安管層，重點規范管理的內容包括漏洞管理、安全配置核查、內網入侵檢測、郵件安全防護。

3 企業信息安全體系的應用與實踐

根據所構建的企業信息安全體系內容，指導企業開展安全規劃和安全建設、安全管理行為工作，重點圍繞安全策略，進行策略、技術、運維、管理四個方面建設，建立和健全信息安全相關的安全組織和團隊、制度規章、安全技術和安全運維，取得了一定效果。具體（部分）工作有以下幾個方面。

3.1 安全策略方面

（1）物理安全策略有機房建設、物理訪問控制、環境保護、辦公物理安全等。（2）網絡安全策略有網絡拓撲結構管理、網絡設備安全管理、網絡安全實施監控等。（3）系統安全策略有操作系統使用規范、操作系統升級、變更管理等。（4）應用安全策略有數據庫系統安全、郵件系統安全、業務系統安全等。（5）數據安全策略有關鍵業務數據加密要求、數據備份對象要求、公司機密文檔保護等。（6）賬號口令策略有口令設置規則、口令更換規則等。（7）安全運維策略有事件分級、事件處理、問題處理、知識分享等。

3.2 安全技術方面

（1）網絡層。①網絡邊界安全：利用集團某商業安域系統對企業對外網站和應用系統進行防護，確保網站安全性。②網絡管理安全：提供設備保障，及時更新防火墻、IPS 等網絡安全設備，保障網絡設備處于安全穩定運行狀態。

（2）系統層。①服務器安全：賬號授權細化管理，各類信息系統訪問采用功能授權、數據授權等方式，各司其職，各用所需；實施安全審計，數據管理員通過堡壘機才能訪問服務器，可通過第三方安全審計員做到運維的事中和事后審計。②終端安全：終端安全加固，逐步實現終端標準化，統一安裝企業級殺毒軟件，加強員工密碼管理，采用最新加密技術對員工密碼進行安全存儲，并加強登錄密碼強度和強制定期修改。終端上網審計，滿足了對用戶上網行為審計備案的要求，同時可以有效管控用戶流量、電腦病毒、惡意網站等。

（3）數據層。備份數據、系統恢復演練，即利用專業存儲系統對企業重要業務系統數據實現本地鏡像和復制，實現對數據的三重備份，定期組織恢復演練。

3.3 安全管理方面

（1）組織層。成立信息安全領導小組，統籌企業信息化工作，該小組也是信息安全管理的決策機構；設立信息安全工作小組，由部門信息主管和管理員組成，負責信息安全的日常工作；指定明確部門為系統安全專職管理機構，負責具體工作，含策略研究、技術方案、實施運行及管理制監督和指導。

（2）制度層。建立安全制度，包括《信息化基礎設施運行維護管理辦法》《數據安全管理實施細則》《互聯網服務區信息系統安全管理實施細則》《路由器接入的管理規定》等制度。

3.4 安全運維方面

（1）階段性運維。定期風險評估，即依托第三方信息安全測評機構技術力量，定期對面向外網的網站和應用系統進行信息滲透測試，及時發現潛在風險，并進行針對性的整改。

（2）應急響應。應急管理，即制定網絡與信息安全應急演練預按，并定期組織演練，通過演練修訂應急預案、及時發現存在問題，檢驗我院應急綜合能力。

4 工作建議

在建設過程中也探索出更好開展本項工作的注意事項。

4.1 業務驅動

信息安全最終目的是為業務的開展提供支持和保障，實施時在安全性和業務開展的便利性之間找到平衡點，同時提高業務部門對信息安全工作的理解和認識，在此過程中獲得業務部門的支持與配合、共同推動，真正實現信息安全為業務服務。

4.2 高層的支持

高層領導的支持和參與，能有效協調各部門的關系，建立跨部門的協作機制，保證信息安全目標的順利實施。

4.3 有效的管理和監控

信息安全體系實施規劃包含多項子任務，其中一些任務的實施時間跨度長、投資大，而且相互之間存在著一定的依賴關系，這些對于企業具有很大的挑戰。為此，需要落實強有力的實施管理和監控措施，從總體計劃、子計劃、各任務，在計劃、執行、檢查、改進多層面，開展管理和監控，掌握實施情況并及時調整。

4.4 長期可靠的合作伙伴

信息安全任務的實施涵蓋范圍很廣，涉及許多專業的技術和產品，既需要廣泛借鑒信息安全相關國際標準和最佳實踐理念，又要充分結合企業對信息安全的特定需求。考慮到目前自身的安全能力，選擇合適的外部資源協助、引進外部專業資源和先進技術，有利于幫助企業推動信息安全建設工作。

4.5 借力大數據技術發揮外部資源效用

在信息大爆炸的時代，大數據憑借其本身的巨大優勢，如通過運用相關技術能整理和分析及時發現攻擊行為、找出攻擊源頭，并且通過對威脅數據的技術整合和信息處理分析，能快速提出有效的針對性方案。這是一般企業難以做到的。因此，在實際中可以借助外部專業公司資源和優勢，充分發揮企業加固內部防御、引進外部技術模式的最大化效應。

5 結束語

在“互聯網+”的環境下，企業面臨的安全威脅不斷深化，形勢嚴峻，單純地靠產品已不能滿足企業實際安全需求。企業信息安全工作“三分技術、七分管理”，整體的安全水平往往取決于最弱的一環，因此，需要更為全面的體系化、系統化實施，才能實現并保持一定的信息安全水平。

本文提出企業按照“遵循等保、評估風險、結合實際”建設原則，構建了企業信息安全體系，通過在安全策略、安全技術、安全管理、安全運維四方面重點建設，建立和健全信息安全相關的安全組織和團隊、制度規章、安全技術和安全運維，及時彌補企業信息安全木桶的短板，有效解決問題及防范風險，全面提升企業信息安全水平，并且提出了后續工作的相關建議，更好地為企業業務的發展保駕護航。