企业信息安全架构设计与落地探索

管理科学

企业信息安全架构设计与落地探索

左云岗

北京怀胜青春广场置业有限公司北京101400

以技术人员的角度提

摘要院中国企业在信息技术逐步应用的同时，必然会存在信息安全成熟度的认知过程。根据国内信息安全现状，

出一套易于操作的五体系模型，并按照项目管理的思路，采用阶段管理的方法，分三个阶段指导信息安全模型的落地实施。

关键词

院信息技术；信息安全；五体系模型；

安全策略；

项目管理

1背景

首先，我们需要先了解一下企业到底存在哪些风险。

病毒和木马，

根据

360互联网安全中心

《

2015年第二季度中国

互联网安全报告

》，

2015年第二季度360互联网中心共截获PC端新

增恶意程序样本

8002万个，日均截获88万个，不言而喻这是对企业

危害最大的风险。

网络攻击，

2015年8月25日，锤子科技2015年的最新产品坚

果手机发布，在当晚发布会进行时，锤子科技官网就遭到高达数十

G

的流量DDoS攻击，导致用户无法登录购买手机，网站一度面临全面

瘫痪的风险。

安全漏洞，

2015年10月19日，著名白帽平台乌云网爆出某邮

箱过亿数据泄漏，涉及邮箱账号、

密码、用户密保等；

2015年10月20

日同样是乌云网爆出中粮集团某核心系统配置不当导致大量敏感

信息泄露问题

2015

（

含员工信息

/

。

360补天平台

74.1%

年第二季度共收录有效漏洞

税务文件

还有什么风险？

的漏洞为高危漏洞。

10363

/可修改合同等）

个，日均收录114个，其中

2015年5月28日，携程网部分服务器遭到不明

攻击，导致官方网站及

APP无法正常使用，

此次宕机

11个小时后才

恢复，事后携程网宣布此次事件系内部人员错误操作导致，

该类风

险应该属于内部的控制管理机制问题。

Gartner

当然还有很多其他风险，这里就不一一赘述。一份来自于

全成熟度进行分布，

2006年1月的报道，

如图

1所示：

通过选取福布斯2000强企业，

按照安

图1福布斯2000强企业在不同阶段的百分比分别

百分之三十的企业处于盲目自信阶段，即普遍缺乏安全意识，

对企业安全状况不了解，未意识到企业信息安全风险的严重性。百

分之五十的企业处于认知阶段，即通过信息安全风险评估，

企业意

识到自身存在信息安全风险，开始采取一些措施提升信息安全水

平，包括基本安全产品部署、主要人员的培训教育、

建立安全团队、

制定安全方针政策、评估并了解现状。以上

80%的企业即1600家企

业才算及格。

接下来百分之十五的企业意识到局部的、

单一的信息安全控制

措施难以明显改善企业信息安全状况，

开始进行全面的信息安全架

构设计，有计划的建设信息安全保障体系，

包括启动信息安全战略

·27·

项目、设计信息安全架构、建立信息安全流程、完成信息安全改进项

目，这部分企业处于改进阶段。仅有百分之五的企业在信息安全改

进项目完成后，在拥有较为全面的信息安全控制能力基础上，

建立

持续改进的机制，以应对安全风险的变化，

不断提高，追踪技术和业

务的变化、信息安全流程的持续改进，

达到了卓越运营。

可见国际型大公司尚且如此，随着中国企业信息技术的不断应

用，也必然会经历国际大公司在信息安全方面的成熟度认知过程。

因此，如何设计适合企业自身的安全体系框架，并能够指导落地实

施，正是本文重点介绍的内容。

2国内安全领域相关工作情况

近年来，中国政府高度重视信息安全保障体系的建设，先后出

台了相应的法律法规，如《中华人民共和国计算机信息系统安全保

护条例》、《信息安全等级保护管理办法》等，以及相应的要求和指

南，如《计算机信息系统安全保护等级划分准则》、《信息系统安全等

级保护基本要求》、《信息系统安全等级保护实施指南》

、《信息系统

安全等级保护定级指南

》等。

同时一些优秀的企业管理人员也根据自身的实际需求，

提出了

适合自身企业的信息安全体系架构，

笔者找到一篇关于《大型企业

信息安全架构设计初探》的文章，文中从管理、

技术、控制三个视角，

在概念层、逻辑层和实现层三个层次，

三横三纵地阐述了构建企业

信息安全体系框架的

MCT模型，接下来文中针对MCT模型通过差

距分析法进一步介绍了如何从设计到实现的转换。

3

到逻辑，

MCT

五体系模型

再到实现的逐层递进模型，

模型从管理视角、控制视角和技术视角三个角度，

它讲述的是大型企业信息安全

由概念

的框架，但作为技术人员更希望一个易于操作和落地的模型，

因此

根据笔者自身的工作经验，梳理总结出五体系模型，将信息安全从

事前防御、事中监控与响应、事后恢复三个阶段有机结合，

通过五个

体系的建立，满足企业内部信息安全的需要，

如图

2所示：

图2五体系模型

组织体系，通过建立信息安全决策、管理、执行以及监管的机

.. All Rights Reserved.

管理科学

落实完善信息安全管理与控制

构，并明确各级机构的角色与职责，

的相关主体和责任。

手册、台账等信息，通过建立

制度体系，涉及制度、规范、流程、

和完善以上内容，实现内部信息安全规则和标准的统一。

技术体系，指实现信息安全所采取的具体技术措施，如通过软

件、硬件、工具、技术服务等手段从技术领域防范信息安全风险的发

生。

运行体系，指日常运维工作，包括健康检查、安全监控、事件响

IT审计等内容。通过日常工作防范潜在风险的发生，

应、变更管理、

分数越高，信息价值越高。如图

4

安全性和可用性进行分类并打分，

示例。

当风险出现时能及时监测并应对，

保障整个公司业务的正常运行。

恢复体系，涉及应急恢复、备份恢复、容灾恢复、策略修订等，通

过恢复体系，将业务状态恢复至受攻击之前的运行水平，

有效保障

企业的业务连续性，同时为了保证整个安全架构的健壮性，

需要加

强安全架构的后评估，在业务恢复后，

通过对恢复效果的评估，及时

调整相应的安全策略。

组织体系和制度体系是基础、技术体系是依托、

运行体系和恢

复体系是保障，通过五个体系相互作用，

有效实现事前防御、事中监

控和响应、事后恢复的有机结合。

4模型的落实与监控

谈到五体系模型的落地，我们按照项目管理的思路，

采用阶段

管理的方法，将其分为准备阶段、制定阶段和运行阶段三部分，依次

落实。

4.1准备阶段

准备阶段是项目的开始，通过准备阶段的工作完成项目启动、

组织建立、信息评价和风险应对四部分，

为下一个阶段的开展提供

有效的保障。

项目启动，标志着信息安全项目正式开始，项目发起人与管理

层选定项目负责人，并将项目范围、

项目目标、预计项目持续的时间

及所需要的资源、可交付成果及评价标准，

高层管理者在项目中的

角色和义务等逐个确定。

组织建立，项目负责人根据实际工作需要成立相应的小组，

并

确定相关成员，

如图

3示例。由公司高层管理人员组成领导小组，

负

责需求提出、资源分配、阶段目标确认等事项；

由相关的技术专家和

顾问组成决策小组，负责标准和策略的决策事项；

由公司内部财务、

审计、法务等部门人员组成审计小组，

负责项目审计工作，并对领导

小组负责；由相关的技术工程师、

业务人员组成执行小组，负责具体

事项的执行工作。同时，确定项目结束后应该移交的运维部门或组

织。

图3组织示例

信息评价，首先要完成信息资产的选定工作，

即分析企业内存

在哪些信息资产，比如纸质信息、网络信息、

系统信息、供应商信息、

项目信息等，根据信息来源的不同进行收集和整理，通过对信息资

产的价值评估、业务影响力、决策依据必要性等进行初步筛选，

最终

确定有效的信息资产。同时要考虑各部门及岗位存在的相关信息，

依据轻度、中度、重度的机密程度进行区分，

比如财务部资产、账款

等信息；人力资源部员工资料、工资情况等信息。其次，

按照机密性、

图4价值评价分类示例

风险应对，根据信息资产的价值，

假定该信息资产被泄漏，通过

风险的定性评估、定量评估，发生概率的评估，选择不同的应对方

式，如风险规避、风险转移、风险减轻、

风险接受，最大限度的保障企

业信息资产的安全。

4.2制定阶段

制定阶段涵盖了信息安全建设项目的计划、执行、控制及收尾

过程，是三个阶段中最重要的一环，

是运行阶段的执行标准和基础。

包含策略制定、制度建立、导入系统和部署发布四部分。

策略制定，根据准备阶段所确定的信息资产，依据其分值和风

险应对方式，采用不同策略进行响应，

相关的策略涉及五体系模型

的全部内容，如确立组织体系的规模及责任、

指导制度体系的建立、

为技术体系提供依据和标准、规范运行体系的操作流程、

保障恢复

体系的最终效果。相关策略又分为技术策略和管理策略。

4.3运行阶段

运行阶段为三个阶段的最后一个阶段，

按照制定阶段的安全策

略执行，由运维部门或组织负责整个安全架构的维护与管理工作，

原项目中各组织解散，该阶段涉及健康检查与评估、事件监控与响

应、事后恢复与审计三部分。

健康检查与评估，指运维部门依据安全策略对整个信息安全

架构进行例行健康检查，可以按照日、

月、年周期进行，并通过漏

洞扫描、模拟攻击、应急演练等手段评估现有信息安全架构的健壮

性。

事件监控与响应，安全事件既可以是企业内部发生的事件，

也

可以是企业外部发生的事件，根据事件的进展进行跟踪，

并依据事

先确定的安全策略执行相应的响应流程。

事后恢复与审计，针对企业内部发生的安全事件，

依据恢复体

系，将业务状态恢复至受攻击前的运行水平，

并对此次攻击和响应

的处理步骤进行审计和评价，确保所有操作依据已确定的规范或指

南执行。

5结论

本文对信息安全架构提出的五体系模型和落地探索，

在实际工

作中不能完全适应每一个企业，但也希望通过这些努力，

与大家分

享，让更多的人能为企业保驾护航，

提升安全。当然受限于笔者自身

的水平和实践，在许多方面会存在不足，

在此仅供大家参考。

参考文献

[1]

院

全体系架构设计初探

罗革新，吕增江，崔广印，

12

[J].勘探地球物理进展，

鲍天祥，王振欣，于普漪

第

31卷第

.大型企业信息安

6期，2008年

[2]

第

刘振宇

月.

.国家大剧院信息安全保障体系探索

[3]2015

5卷第5期，2014年5月.

[J].信息安全与技术，

2015年

年第二季度中国互联网安全报告

8月6日.

[R].360互联网安全中心，

·28·

.. All Rights Reserved.