1、构建信息安全体系 保障企业持续运营吴岳强中 国电信股份有限公司江苏分公司 南京 210037 1 前言信息数据安全与电信企业利益密切相关,信息安全问题给企业造成经济和品牌形象损失的事件屡见不鲜。除了人为的犯罪活动外,电信企业面对的主要信息安全威胁还有人为失误、内部破坏、物理故障、程序缺陷、病毒侵袭、信息泄密等。各类信息安全事件一旦发生,往往会给企业造成严重损失和负面影响。2 实现企业信息安全的关键深刻认识信息在企业生产中的应用流程与生命周期,是信息化部门提出信息安全体系框架和制定各项规划措施的基本依据,也是做好各项信息安全工作的重要前提。要分析企业信息安全的关键点,首先需考察企业信息的生命周期
2、。企业信息主要经过产生、传递、使用、存档、查阅这 5 个环节,如图 1 所示。所有环节均面临着多样化的安全威胁:网络漏洞与黑客入侵使信息在传递过程中面临被窃取或篡改的危险;用户泄密与操作失误等问题将使信息在使用过程中遭受威胁;信息在存档后则面临恶意修改与非法访问的风险。信息安全问题贯穿信息传递和使用的全过程,必须对每一环节的威胁进行细致分析,继而确定适宜的安全措施和工作准则。针对企业信息生命周期各个阶段所面临的安全威胁,信息化部门必须采取措施予以防范,并通过全过程覆盖的信息安全审计进行监督,如图 2 所示。通过终端安全解决方案可以使每个终端成为企业内网的“健康公民” ;通过网络安全措施可以使网
3、络成为更为可靠的信息传输媒介;通过权限管理与分级授权机制能够建立权责分明的用户管理体系;通过严密规范的企业运营数据管理机制可以保障关键运营数据的安全;通过访问管理机制使访问会话与接触记录精确可控、有据可查,将非法访问拒之门外。在各类信息化的工作中,要确保 IT 基础设施的安全,尤其要做好主机安全工作,落实容灾管理规范。根据企业信息生命周期流程各个阶段所采取的安全措施,可推导出电信企业信息安全体系。信息安全体系由用户管理、访问认证、安全审计、网络安全、主机安全、终端安全、容灾等模块组成,融入了一套安全服务和安全改进的流程,为企业信息安全建设提供了全面的解决方案,如图 3 所示。3 企业转型给信息
4、安全工作带来的新要求在信息安全形势较为严峻的情况下,企业转型与发展对信息安全提出了新要求。目前,电信业务的 IT 化与 IP 化已成为日益重要的发展方向,企业内网或计算机系统的任何安全问题都有可能给整个企业的业务运营带来巨大的影响。在转型的背景下,电信企业的业务运营和支撑需要信息安全体系的实时保障。NGN、IMS 等网络技术在电信网领域不断推广,使电信网对信息安全的倚重程度更高,信息安全将成为直接影响电信通信网安全的基本要素。企业转型的另一个重要方向是对外部客户提供综合信息服务。由于转型业务和综合信息业务的开展,大量企业客户的关键数据存放在电信企业,信息和数据的安全直接关系到客户利益。另一方面
5、,由于电信企业经营的 IT 托管业务、企业网站等往往直接面对互联网的复杂环境,这也就要求电信企业必须采取足够可靠的安全措施,确保客户信息的绝对安全,通过卓有成效的工作打造企业信息安全品牌。国际化与行业政策也对企业提出了高标准的信息安全要求。电信企业在转型过程中不断落实上市公司的规范化管理制度,同时必须通过有效的治理保障投资者利益,必须建立严肃的、完备的企业内控体系。萨班斯法案对上市公司的信息安全水平提出了要求,企业的数据记录需受到良好的保护,信息系统需要定期接受安全审计。4 信息安全规划与措施在企业转型的战略背景下,企业信息安全建设的当务之急是按照信息安全体系框架推进各项工作。信息安全建设覆盖
6、面大,包括规划、组织、技术、管理、制度、标准等多方面的工作。信息安全规划应当遵循的主要原则是积极防御、落实标准、统筹安排。第一,在安全体系内确立积极防御战略。信息安全重在防范,防范不仅是在内部系统完善安全、告警等功能,更需要不断向外层拓展信息安全的防御层次,遏制安全威胁的源头。积极防御的主要工作有两个方面,一是建立内部人员与外部用户的信用体系,争取提前发现潜在风险;二是标本兼治,变被动处理安全问题为主动预防安全事件的发生。信息安全建设必须积极进行完整的、具有前瞻性的规划,安全体系的实施工作应当依据完整框架体系进行,这样才可以有效防范风险与漏洞,达到积极防御的要求。第二,落实标准是电信企业信息安
7、全建设的强大动力。电信企业自身缺乏信息安全体系的完整构建经验,通过引进国际标准的安全模型与工作流程,可以显著促进安全体系的建设。目前起驱动作用的标准主要是萨班斯法案与 ITIL 标准。萨班斯法案的实施对于电信企业既是压力也是动力,落实萨班斯法案有关信息安全的条款,有助于企业提升信息安全水平,使信息安全工作更为专业化与国际化,提升企业在资本市场上的信用度与竞争力。ITIL 定义信息安全为一个不断检查和改进的循环过程,电信企业可以在 IT 服务管理中参照 ITIL 规范,落实其中有关信息安全的流程规范,指导 IT 工作的专业化与正规化。第三,必须对繁多的信息安全内容进行统筹安排。在实际安全工作中,
8、应本着急用先行的原则优先处理风险级别较高的问题,以点带面开展信息安全问题的综合治理。通常可以根据经验与知识找出信息安全体系中的高风险点,整理各类安全案例,分析现实威胁,把经验教训融入到 IT 系统测试用例中,在模拟场景下评估 IT 系统的健壮性。统筹安排,要求企业必须明确各个阶段的工作重点,实现信息安全体系全面实施与急用先行的有机统一,分阶段、分步骤地进行信息安全体系的持续改进。5 江苏电信信息安全工作的切入点中国电信江苏公司(以下简称江苏电信)实施信息安全工作主要是从完善组织、落实规划、加强内控 3 个方面着手,按照信息安全技术架构和信息安全管理架构开展各项具体工作,目前已取得了阶段性成果。
9、在组织建设上,企业通过成立 IT 内控核心团队有效发现并整改各类信息安全缺陷。通过成立 ITSM(IT 服务管理)团队,将信息安全措施落实在 IT 服务流程中。通过构建 IT服务管理体系,将各关键业务系统的主机、数据库、网络纳入 ITSM 体系进行全面监管。根据 IT 内控的要求,在 ITSM 中制定各类 IT 作业计划并监督执行,初步实现了 IT 运维工作的标准化与规范化。落实规划的依据是信息安全管理架构和信息安全技术架构。根据信息安全管理架构,从组织、人员、开发、运维 4 个方面入手,设计流程,制定管理制度,探索建立切实可行的信息安全组织与流程。由于 IT 内控的实施和 IT 内控手册的颁
10、布执行,电信企业已经基本建立了信息安全的组织机构,形成了人员安全管理框架,实施了应用开发、IT 运维的部分安全机制。根据信息安全技术架构,应全面准备,急用先行,制定信息安全工作推进计划。优先考虑企业信息安全的短板,安装先进信息安全管理工具。目前企业已安装了部分安全管理工具,如统一认证服务器、病毒服务器、ITSM 系统、计费业务网管、部分系统容灾等。在 IT 内控方面,重点工作是建立符合萨班斯法案 404 条款要求的 IT 内控体系,企业已提交包含大量控制点的 IT 内控细则,为内控顺利开展提供经验和模板,同时培养 IT 内控体系设计、实施、测试、评估的团队,建成内控支撑系统辅助管理内控工作。6
11、 结束语电信企业信息安全建设在今后需要重点关注 4 个方面的工作:一是针对信息安全规划出台阶段性工作计划,确立近一阶段信息安全体系建设需要做的工作,包括具体工作内容、时间点与开展办法,计划需要有前瞻性,做到长远规划与近期工作的有机统一;二是优化组织架构、管理办法、制度规范,在充分研究、试点的基础上,确立更加正式且可执行的评估标准,组织企业内部相关人员学习规范、领会理念;通过建设安全队伍,具备安全风险的检查、评估、防范能力;三是确定评估范围,组织检查落实,明确信息安全评估的考察范围,做好范围管理,对各应用系统落实评估标准的情况进行检查,做到缺陷案例化,测试回归化,检查制度闭环化;四是确立技术架构切入点,选择技术工具,根据工作计划,寻找信息安全体系的薄弱点,加强相应的技术措施以防范风险,寻求更为先进可靠的解决方案,主动跟踪信息安全新技术发展,不断适应业务发展的需要,适时引入新的安全技术工具促进安全体系的建设。
