企业信息安全建设工作探索与实践

黄均辉

（中国电建集团中南勘测设计研究院有限公司，湖南，长沙 410014）

在“互联网+”时代，企业甚至整个IT 产业的网络管理将面临极大的安全挑战。在2017 年5 月全球爆发大规模勒索软件感染事件，对我国互联网络也构成了严重安全威胁，该类型病毒通过广播传播，对企业内网的破坏尤其严重。据报道国内多个高校校内网、大型企业内网和政府机构专网受影响，保守估计超过30 万台设备受到感染。基于此，2017 年6 月1 日开始全面施行《中华人民共和国网络安全法》，这对企业运行安全能力提出了更高的要求。

企业如何有效全面建设企业信息安全、全面提升企业信息安全水平？本文将对此作出探讨。

1 体系化建设信息安全的必要性

1.1 信息安全建设误区

企业在信息安全建设工作中一般存在以下误区。

误区一：重视硬件建设，忽视软件作用。很多企业在信息化建设过程中，在软件产品与硬件产品的选择上，经常出现“欺软怕硬”的现象。往往只是考虑加大硬件设备的投入，简单购买一些硬件设置，孰不知，企业还需要考虑到内部的安全威胁，包括病毒、内部泄密、员工行为规范等。同时，对于员工也没有做好相应的培训，导致员工缺乏安全保密意识，工作基本靠个人自觉或忠诚度，而没有其他的约束。这类安全需求是硬件设备无法全部满足的。

误区二：重视技术投入，忽视管理保障。不同于信息化建设的长期积累和完善，信息化安全建设可以说是刚起步不久。对于信息化安全方面，还多处于采购专用设备的阶段；管理建设上，没有明确责任单位，多职能部门管理，责权不清；缺少相应的规章制度，缺乏有效的规章制度管理、修订机制。

误区三：信息安全的认识程度普遍不高。病毒、木马是大家最为熟悉的，也是认知度最高的危害信息安全的方式。许多的企业缺乏对信息安全的整体认识，还停留在信息安全就是要防病毒、装杀毒软件，于是便有“装了杀毒软件、布上防火墙，信息安全无忧”的片面认识。

1.2 企业信息安全管理实施需要体系化

企业信息安全工作并不是产品的简单堆积，也不是一次性的静态过程，应该是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程。信息安全水平的高低遵循木桶原理，即信息安全水平有多高，取决于防护最薄弱的环节，如图1 所示。

1.3 企业信息安全体系化实施依据

（1）我国信息安全的管理体系——信息安全等级保护。信息系统安全等级保护是指对信息系统实行等级化的保护和管理。根据信息系统对国家利益、公共利益和社会稳定的重要性，实行分级、分类、分阶段实施保护，确保信息安全和系统安全正常运行，其核心是对信息系统安全分等级、按标准进行建设、管理和监督，如图2 所示。

图2 信息系统安全等级保护基本要求

（2）《信息安全管理体系国际标准》（ISO/IEC 27001）。《信息安全管理体系国际标准》（ISO/IEC 27001）由两大部分组成，ISO 27001 是《信息安全管理体系要求》，是在组织内部建立信息安全管理体系（ISMS）的一套规范，其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求。ISO/IEC 27002 即《信息安全管理实施指南》，提出了在组织内部启动、实施、保持和改进信息安全管理的指南和一般原则，包括11 个要素、39 个控制目标和133 种控制措施。

（3）信息安全风险评估。信息安全风险评估是以信息资产为出发点，以威胁为触发，以技术、管理、运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型，是获知组织当前风险水平的一种手段。其能借助定量、定性分析的方法，推断出用户关心的重要资产当前的安全风险，并根据风险的严重级别制定风险处置计划，确定下一步的安全需求方向。

（4）结合企业实际的原则。企业在信息安全建设过程中，应结合自身需求，如勘测设计企业尤为关心产品、图纸的保护，应重点考虑。同时，在信息系统可承受的安全风险范围内尽可能地考虑成本与效率，以及紧密结合企业系统的安全要求及面临的威胁制定科学、合理、可行的安全建设原则，避免万里长城似的盲目投入，因地制宜，在体系指导下按需加固，提升管理水平。

2 结合企业实际的信息安全体系构建

在实际工作中，参照《中华人民共和国计算机信息系统安全保护等级划分准则》，结合网络安全评估结果，以及企业实际情况，构建了如下企业信息安全体系，体系含安全策略、安全技术、安全运维、安全管理四方面，如图3 所示。

图3 企业信息安全体系

安全策略是在工作方针的指导下，对信息安全某一方面工作的目标和原则进行阐述的文件。安全策略根据ISO27002 指导，建立物理安全策略、网络安全策略、系统安全策略、应用安全策略、数据安全策略、账户口令策略、安全运维策略等十三方面的信息安全策略。

安全技术是安全管理和安全运维能够有效实施的重要保障，是通过使用安全产品、技术以及相关的服务，与其他两个方面共同支撑和实现信息安全。安全技术从物理层、网络层、系统层、应用层、数据层和安管层共六个安全层进行安全技术建设。

安全管理主要从组织层、制度层、培训层和绩效层四个层次来进行信息安全管理方面的建设。

安全运维主要从阶段性运维、日常性运维、应急响应三个层次来进行信息安全管理方面的建设。其中，以常见的安全技术的六个安全层面举例展开：（1）物理层，重点规范管理的内容包括机房环境保护、机房准入管理、机房备用电力供应。（2）网络层，重点规范管理的内容包括网络建设规范性、网络边界、通信、网络管理安全。（3）系统层，重点规范管理的内容包括服务器安全、数据库安全、终端安全。（4）应用层，重点规范管理的内容包括应用数据库平台冗余、敏感终端专用、网站系统防护、网站系统监控、系统传输加密。（5）数据层，重点规范管理的内容包括备份数据测试、系统恢复演练。（6）安管层，重点规范管理的内容包括漏洞管理、安全配置核查、内网入侵检测、邮件安全防护。

3 企业信息安全体系的应用与实践

根据所构建的企业信息安全体系内容，指导企业开展安全规划和安全建设、安全管理行为工作，重点围绕安全策略，进行策略、技术、运维、管理四个方面建设，建立和健全信息安全相关的安全组织和团队、制度规章、安全技术和安全运维，取得了一定效果。具体（部分）工作有以下几个方面。

3.1 安全策略方面

（1）物理安全策略有机房建设、物理访问控制、环境保护、办公物理安全等。（2）网络安全策略有网络拓扑结构管理、网络设备安全管理、网络安全实施监控等。（3）系统安全策略有操作系统使用规范、操作系统升级、变更管理等。（4）应用安全策略有数据库系统安全、邮件系统安全、业务系统安全等。（5）数据安全策略有关键业务数据加密要求、数据备份对象要求、公司机密文档保护等。（6）账号口令策略有口令设置规则、口令更换规则等。（7）安全运维策略有事件分级、事件处理、问题处理、知识分享等。

3.2 安全技术方面

（1）网络层。①网络边界安全：利用集团某商业安域系统对企业对外网站和应用系统进行防护，确保网站安全性。②网络管理安全：提供设备保障，及时更新防火墙、IPS 等网络安全设备，保障网络设备处于安全稳定运行状态。

（2）系统层。①服务器安全：账号授权细化管理，各类信息系统访问采用功能授权、数据授权等方式，各司其职，各用所需；实施安全审计，数据管理员通过堡垒机才能访问服务器，可通过第三方安全审计员做到运维的事中和事后审计。②终端安全：终端安全加固，逐步实现终端标准化，统一安装企业级杀毒软件，加强员工密码管理，采用最新加密技术对员工密码进行安全存储，并加强登录密码强度和强制定期修改。终端上网审计，满足了对用户上网行为审计备案的要求，同时可以有效管控用户流量、电脑病毒、恶意网站等。

（3）数据层。备份数据、系统恢复演练，即利用专业存储系统对企业重要业务系统数据实现本地镜像和复制，实现对数据的三重备份，定期组织恢复演练。

3.3 安全管理方面

（1）组织层。成立信息安全领导小组，统筹企业信息化工作，该小组也是信息安全管理的决策机构；设立信息安全工作小组，由部门信息主管和管理员组成，负责信息安全的日常工作；指定明确部门为系统安全专职管理机构，负责具体工作，含策略研究、技术方案、实施运行及管理制监督和指导。

（2）制度层。建立安全制度，包括《信息化基础设施运行维护管理办法》《数据安全管理实施细则》《互联网服务区信息系统安全管理实施细则》《路由器接入的管理规定》等制度。

3.4 安全运维方面

（1）阶段性运维。定期风险评估，即依托第三方信息安全测评机构技术力量，定期对面向外网的网站和应用系统进行信息渗透测试，及时发现潜在风险，并进行针对性的整改。

（2）应急响应。应急管理，即制定网络与信息安全应急演练预按，并定期组织演练，通过演练修订应急预案、及时发现存在问题，检验我院应急综合能力。

4 工作建议

在建设过程中也探索出更好开展本项工作的注意事项。

4.1 业务驱动

信息安全最终目的是为业务的开展提供支持和保障，实施时在安全性和业务开展的便利性之间找到平衡点，同时提高业务部门对信息安全工作的理解和认识，在此过程中获得业务部门的支持与配合、共同推动，真正实现信息安全为业务服务。

4.2 高层的支持

高层领导的支持和参与，能有效协调各部门的关系，建立跨部门的协作机制，保证信息安全目标的顺利实施。

4.3 有效的管理和监控

信息安全体系实施规划包含多项子任务，其中一些任务的实施时间跨度长、投资大，而且相互之间存在着一定的依赖关系，这些对于企业具有很大的挑战。为此，需要落实强有力的实施管理和监控措施，从总体计划、子计划、各任务，在计划、执行、检查、改进多层面，开展管理和监控，掌握实施情况并及时调整。

4.4 长期可靠的合作伙伴

信息安全任务的实施涵盖范围很广，涉及许多专业的技术和产品，既需要广泛借鉴信息安全相关国际标准和最佳实践理念，又要充分结合企业对信息安全的特定需求。考虑到目前自身的安全能力，选择合适的外部资源协助、引进外部专业资源和先进技术，有利于帮助企业推动信息安全建设工作。

4.5 借力大数据技术发挥外部资源效用

在信息大爆炸的时代，大数据凭借其本身的巨大优势，如通过运用相关技术能整理和分析及时发现攻击行为、找出攻击源头，并且通过对威胁数据的技术整合和信息处理分析，能快速提出有效的针对性方案。这是一般企业难以做到的。因此，在实际中可以借助外部专业公司资源和优势，充分发挥企业加固内部防御、引进外部技术模式的最大化效应。

5 结束语

在“互联网+”的环境下，企业面临的安全威胁不断深化，形势严峻，单纯地靠产品已不能满足企业实际安全需求。企业信息安全工作“三分技术、七分管理”，整体的安全水平往往取决于最弱的一环，因此，需要更为全面的体系化、系统化实施，才能实现并保持一定的信息安全水平。

本文提出企业按照“遵循等保、评估风险、结合实际”建设原则，构建了企业信息安全体系，通过在安全策略、安全技术、安全管理、安全运维四方面重点建设，建立和健全信息安全相关的安全组织和团队、制度规章、安全技术和安全运维，及时弥补企业信息安全木桶的短板，有效解决问题及防范风险，全面提升企业信息安全水平，并且提出了后续工作的相关建议，更好地为企业业务的发展保驾护航。