信息安全保障体系在大型企业的实施.doc

信息安全保障体系在大型企业的实施 近年来，信息化战略已经成为三一集团的核心经营战略，已初步形成了一个集团层面统一的信息化运营平台，在信息化给企业带来利益的同时，信息网络的安全问题日益突出。本文就三一集团信息安全保障体系建设的过程进行了分析，提出了大型企业建设信息安全保障体系的方案，从策略体系、组织体系、管理体系和技术体系等4个方面就具体实施策略进行了深入讨论，最后用实施结果数据证明了该方案的合理性与可行性。 一、引言随着信息化程度的提高，信息技术“双刃剑”效应使信息安全问题日益突出，信息安全需求已从原来的系统安全和网络安全逐渐深入到系统内部体系安全和数据安全上，并开始对管理体系造成一定的影响。三一集团的信息安全战略从集团业务需求出发，遵从风险管理理念，在统一的信息技术战略规划基础上，借鉴国际最佳实践经验，为全面指导企业的信息安全工作制定了方针政策。为实现保障业务持续，促进业务发展的目的，规划了保证信息的机密性、完整性和可用性等建设目标。信息安全保障体系包括以下四个领域：信息安全策略、信息安全组织、信息安全管理和信息安全技术。二、信息系统安全保障的含义我们的企业需要一个怎样的科学的信息安全保障体系结构呢?PDRR是不是就够了?笔者认为，要提出一个信息安全保障体系结构，起码应该考虑以下几个问题：一是保障信息安全，必须有哪些环节;二是这些环节应该能够全面衡量信息安全的保障能力;三是应该能够从宏观上指导信息安全保障体系的建设，而且在微观上能够推动具体的技术、政策、管理、标准和人员素质的发展和提高，而且应该把握住相应的评测原则。信息系统安全保障是关于组织保障其信息系统，从而保障组织的信息和资产，最终保障组织的使命，并为组织信息系统的所有相关方提供信心的复杂系统学科。我们可以从以下方面理解和思考信息系统安全保障。(1)信息系统安全保障不仅仅是一门技术学科，而是综合技术、管理和人，是一门复杂的系统学科。在技术上讲，不应只考虑具体的产品和技术，而应进一步考虑信息系统整体的信息技术系统体系结构。在管理上，应考虑建立综合的信息系统安全保障、信息化的组织管理体系，明晰相应的岗位职责;信息系统安全保障应建立完善的规章制度并严格执行。在人员上，应加强所有使用信息系统人员的安全意识和能力，以及信息系统专业人员的专业技能和能力。(2)信息系统安全保障不仅仅是一种项目性的暂时行为，而应融入信息系统生命周期的全过程，应考虑和覆盖信息系统计划组织、开发采购、实施交付、运行维护和废弃的整个生命周期，形成信息系统安全保障能力的长效机制。在具体实践中，信息系统安全保障工作应同信息化建设同步规划、同步建设，还应加强安全工程的建设和监理管理。(3)信息系统安全保障的目的不仅仅是保障信息系统本身，其根本目的是通过保障信息系统从而保障信息系统所支持的业务系统、保障组织的使命。信息系统安全保障不仅仅涉及信息系统本身，信息系统安全保障应以业务为主导、以组织的使命、社会职责和社会服务性为出发点和根本。(4)信息系统安全保障不仅仅是孤立的自身的问题，还需要考虑电信、电力等提供基础设施的支持、需要承担保密、公共安全和国家安全等社会职责，因此是一个社会化、需要各方参与的综合性工作。三、信息安全保障体系的基本框架信息安全的特征是为了保证信息的保密性、完整性和可用性。信息系统安全保障是以风险和策略为核心，在信息系统运行环境的整个生命周期中提供包括技术、管理、人员和工程过程在内的综合安全保障，在信息系统中保障信息的这些安全特征，并实现组织的使命。1.信息系统安全保障模型信息系统安全保障模型的主要内容是：以风险和策略为出发点和核心，即从信息系统所面临的风险和信息系统所处的环境出发，制定组织信息系统安全保障策略体系，通过在信息系统生命周期中对技术、工程、管理和人员进行保证，确保信息的保密性、完整性和可用性特征，从而实现和贯彻组织策略并将风险降低到可接受的程度，达到保护组织的信息和信息系统资产，保障组织实现其使命的最终目的。图1描述了信息系统安全保障模型。图1 信息系统安全保障模型整个信息系统安全保障模型建立在信息系统所处的运行环境、风险和策略的基础上。信息系统所处的运行环境和风险，是信息系统安全保障的起点。正是由于针对信息系统运行环境的风险，有了特定威胁动机的威胁源、使用各种攻击方法、利用信息系统运行环境中的各种脆弱性、对信息系统的资产造成相应影响，由此才引出信息安全问题。信息安全就是在信息系统的运行环境中围绕着风险，针对其运行环境中所面临的各种风险，根据由此制定的策略体系，在信息系统生命周期各个阶段采取管理、技术等安全保障措施，将风险减少至预定可接受的程度，从而保障其使命要求。策略体系是组织对风险、资产和使命综合理解的基础上所作出的指导文件，策略体系的制定，反映了组织对信息系统安全保障及其目标的理解，它的制定和贯彻执行对组织信息系统安全保障起着纲领性的指导作用。2.信息系统安全保障评估信息系统安全保障评估，就是在信息系统所处的运行环境中，对信息系统安全保障的具体工作和活动进行客观的评估，通过信息系统安全保障评估所搜集的客观证据，向信息系统的所有相关方，提供信息系统的安全保障工作能够实现其安全保障策略、能够将其所面临的风险降低到其可接受程度的主观信心。信息系统安全保障评估的评估对象是信息系统，信息系统是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和，因此信息系统不仅包含了讨论技术的信息技术系统，还包括同信息系统所处的运行环境相关的人和管理等领域。信息系统安全保障是一个动态持续的概念，是涉及信息系统整个生命周期的概念，因此信息系统安全保障的评估也应该提供一种动态持续的信心。图2信息系统安全保障评估概念和关系四、信息系统安全保障体系的建设三一集团IT总部信息安全部负责集团的信息安全保卫工作，承担具体的信息安全项目建设、信息安全体系规划和信息安全审计的职责。企业信息安全保障体系的建设是一个体系化的工程，涉及信息安全策略体系、信息安全组织体系、信息安全管理体系和信息安全技术体系四个部分。1.信息安全策略体系信息安全策略体系是核心内容，其他各部分都是以策略体系为目标进行建设与实施。目前已编制三一集团信息安全方针，提出了三一集团信息安全的目标、框架和总体要求，用于指导信息安全工作的开展。并遵循动态发展的思想。在满足企业信息系统目前基本的、必须的安全需求的基础上，可以随着企业应用和网络安全技术的发展，不断调整安全策略，应对不断变化的网络安全环境。2.信息安全组织体系信息安全组织体系是安全工作的管理和实施体系，监督各种安全工作的开展，协调各部门在安全实施中的分工和合作，保证安全目标的实现。图3 三一集团信息安全组织架构3.信息安全管理体系从安全风险分析可以看出，企业信息系统的安全需求是全方位和整体的，需要从技术、管理等方面进行全面的安全设计和建设，有效提高企业信息系统的防护、检侧、响应和恢复能力，以抵御不断出现的安全威胁与风险，保证系统长期稳定可靠的运行。信息安全管理体系，就是对安全生命周期中各个安全环节的要求，包括安全工程管理机制，安全预警机制、定期的安全风险识别和控制机制、应急响应机制和定期的安全培训机制等。目前三一集团已按照ISO 27001标准，从需求到开发到运行再到维护整个IT系统生命周期的可用性管理，共编制了28个制度和26个技术规范，保障了信息的保密性、完整性和可用性。并从基础运营、流程优化、SLA保障和业务连续性四个阶段分别推动制度和规范在全集团的执行，建立完善的信息安全考核体系。4.信息安全技术体系信息安全技术体系是对实现信息安全的具体措施，安全策略、安全管理、安全运维必须依托相应的技术手段方可执行，技术体系包括了身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份恢复，是信息安全保障体系的重要支撑。目前三一集团已部署防火墙、入侵检测、VPN、互联网安全网关和审计、防病毒、补丁分发、防垃圾邮件、内网安全管理等系统，全方位的、整体的对信息系统进行全面管控。同时，按照各应用系统特点，编制了系统业务连续计划，保障了系统长期、稳定、可靠的运行。五、小结完整的信息安全保障体系建设是信息安全走向成熟的标志。信息安全保障体系的建设，必须进行科学的规划，从技术保障、管理保障和工程保障三方面建立全面有机的安全整体，从而建立真正有效的、能够为信息化建设提供安全保障的平台。经过半年的试运行，三一集团信