行业信息安全体系建设的模式研究

记得在2002年前后，一提到网络安全，人们很自然地就想到了有没有部署防火墙系统；到了2004年，入侵监测系统也为人们所熟识；2005年，防火墙系统、入侵监测系统和防病毒系统已经成为了人们防范网络安全事故的三大基础“法宝”。

    时至今日，越来越多的企业单位已经认识到：即使购买了再多的安全产品，也不等同于企业信息网络的安全；而基于需求而构成的以管理、技术和人员三者相互结合的安全防护体系，也不能等同于企业信息网络100%的安全。这不免令众多企业单位的IT主管或安全主管有些沮丧，但对于信息安全市场的发展和成长来说，或许是针强心剂。有例证：“2007年全球信息安全状况调查（由CIO/CSO杂志和普华永道联合调查）”显示，在调查中，对自己安全技术保障非常有信心或比较自信的企业约占了80％－85%，而当问及对合作伙伴和供应商的安全技术保障时，这一数字则下降为70％－75％；当然，反之亦然。这无疑为国际和国内的安全厂商提供了更好的发展机会，但同时也对行业或企业安全体系的建设模式和思路提出了更高的要求。

1.论述
    鉴于此，为了从根本上保护行业信息系统的安全，为行业业务系统的稳定、安全运营保驾护航，作者重点提出了三种较为典型的信息安全系统建设的模式和思路，并特别地对第二种安全建设模式进行了重点阐述。

1.1.业务安全建设――“基于行业业务系统生命周期各阶段的风险管理”模式
    尽管越来越多的安全顾问和客户都已经认识到将安全策略防护与业务系统相结合无疑是一种有效的安全防护手段，但是若我们在业务系统开发之初就引入安全设计与开发方法，并在业务系统开发流程中加以过程控制，再辅以安全策略防护和安全管理的话，定会收到事半功倍的效果！这就是业界公认的“基于业务系统生命周期各阶段的风险管理”模式――旨在加强业务系统本身的安全性，从本质上增强行业信息系统的抗攻击能力。简要阐述如下：

    从业务系统的设计开发、运行维护，及风险管理的角度看，风险评估活动应贯穿于信息系统的整个生命周期中。即，业务系统在设计阶段要进行风险评估以确定系统的安全目标；在建设、验收阶段要进行风险评估以确定系统的安全目标达成与否；在运行、维护阶段也要不断进行风险评估以确定系统安全措施的有效性，从而最终确保安全目标始终如一的得以坚持（关于业务系统生命周期各阶段对风险评估的要求，及风险评估的方法、流程，这里不再赘述，有兴趣者请参考《GB/T 20984-2007 信息安全技术 信息安全风险评估指南》）。其核心框架见图1：

   
图1“基于行业业务系统生命周期各阶段的风险管理”模式核心框架

    上述提及的“在业务系统设计开发、运行维护各阶段引入风险评估”的模式，相对于客户和应用系统厂商来说，其认知程度不尽相同，虽然已有案例佐证，但是在实际推广运用过程中还是难免让人觉得可操作性不是很强，其实用性也大打折扣。至于如何打破僵局，获得所有人员的一致认可，将该模式推广开来，除了需要各安全厂商给予市场推动之外，恐怕更多的还是需要整个IT界一起共同努力而完成。

1.2.运营安全建设――“基于行业业务系统监测与预警”模式
    回顾国内网络安全的发展，各行业在业务系统开始建设时，由于网络安全并不产生直接经济效益，所以对其并没有特别重视。因此，对于行业安全建设来说，无论是客户方，还是安全厂商，目前所开展的信息安全建设都是基于行业IT系统的基础安全建设（或者是基于行业办公网络的安全建设），而对于业务系统的安全运转方面的保护涉及很少（这并不意味着业务系统不需要安全建设），以至于业务系统中即使出现了异常情况也无从知晓，直至事故发生，造成严重的后果。因此，在基于行业业务系统本身安全性的基础上，我们需要新的思路开展行业业务系统的安全运营建设。

    目前，世界各国已经逐步建立了地震监测与预警系统、灾害天气预警系统、海啸监测与预警系统等各类应对自然灾害的监测预警系统，这为各国政府机构及时采取有效应对措施赢得了时间，在保护人民生命财产安全，保障日常生产、生活等方面提供了坚实的基础，且取得了明显的成效。

    由此，我们不妨借鉴一下世界各国应对自然灾害所建立的“监测与预警系统”模式。如果我们基于行业各类业务系统数据统计、挖掘分析的基础上，设计开发出相应的业务监测与预警系统，实时地对行业业务系统的运转进行监测分析，及时发现并定位业务中的异常情况，为行业业务的正常运转、开拓与发展提供可靠的数据支撑参考。这即是近几年来许多客户、应用系统厂商、安全厂商所共同关注的“基于行业业务系统监测与预警分析系统”，即SOMC（Security Operation Monitoring Center――安全运营监测中心，即以IT资产业务数据为核心）。

    SOMC通过实时监测行业业务系统的各类生产数据结果，深入挖掘分析历史生产数据走向，通过数据基线理论模型创建预警基线；然后将现有生产数据的统计计算结果与预警基线进行差异化与量化分析，一旦接近或者超过预警基线便立即进行安全预警，并输出其业务类型、数值结果、地域区域、所有者、主管责任人、相关干系人等信息，便于后续的审计和处理。其数据理论参考模型见图2：

 
图2“基于行业业务系统的监测与预警”模式理论模型

    这与传统的SOC（Security Operation Center――安全运营中心，即以IT资产安全事件为核心）有着本质的区别：传统的SOC则体现为一种集中的安全管理形式，它能够将众多的安全设备、安全技术集中管理起来，能够对安全设备及应用系统的日志进行集中管理、分析，为系统的安全状态监控、故障快速定位、事件关联分析、系统分析报表等提供技术基础平台支持。

    如对于社保行业而言，可以通过“行业业务系统监测与预警分析平台”依据季节年份监测、统计营业收入状况、对于大额医疗病例收入进行统计与监测等；对于金融行业而言，也可以通过此模式对大额信贷业务进行监测与统计，及时发现违规财务行为，提供安全预警，并输出相关信息，便于审计和处理，从而利用技术手段实现对行业或企业内部违规行为的监控与预警。

1.3.内控安全建设――“基于‘内部控制框架理论’建立内控制度”模式
    长期以来，高级管理层一直在寻找控制和管理企业的更好方法。而内部控制系统的建立和内控措施的实施能够促进行业或企业朝着盈利目标和成就其使命的方向持续发展，并将这个过程中的干扰因素最小化。内控措施能够帮助管理层应对快速变化的经济和竞争环境，以及不断改变的客户需求，并针对未来的发展进行调整。总之，内部控制系统能够降低资产损失的风险，并有助于确保企业财务系统的可靠性和对于法律、法规的遵循性。其核心框架内容参见图3：

 
图3“基于内控理论建立内控制度”模式核心框架

    如上图所示，现代内控框架理论将内部控制目标分为三类，包括与运营有关的目标――即经营的效率与效果、与财务报告有关的目标――即财务报告的可靠性，以及与法律法规的遵循性有关的目标。

    下面将以“COSO内部控制框架”为理论依据来阐述如何通过“建立内部控制框架”的模式，来完善和优化企业内部控制、增强风险防范能力（虽然“COSO内部控制框架”并非唯一的内部控制框架，但却是美国证券交易委员会唯一推荐使用的内部控制框架，《萨班斯法案》第 404 条款的「最终细则」也明确表明“COSO内部控制框架”可以作为评估企业内部控制的标准）。

    “COSO内部控制框架”认为，内部控制系统是一个系统化的框架，是建立在风险管理的基础上，包括内控环境、风险评估、内控活动、信息与沟通、监督五大要素，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系简单阐述如下：

    内控系统五大要素之间的关系我们可以理解为：①企业的核心是人，人的诚信、道德价值观和胜任能力构成了企业的内控环境，这是企业发展的基础。②每个企业都有自己的发展目标，为了目标的实现，必须分析影响因素，即进行风险评估。③针对风险评估的结果需要采取相应的内控活动来控制和减少风险。④同时与内控环境、风险评估和内控活动相关的信息应及时被获取、加工整理，并在企业内部传递，这就是信息与沟通，信息与沟通系统围绕在内控活动周围，反映企业各项管理活动的运转情况。⑤为了保证内控体系的正常运转，还需要对整个内控过程进行监督。

    从上述阐述可以看出，基于内控框架理论而实施的行业或企业内控安全建设已经远远超越了其信息系统安全建设的范畴，行业或企业信息系统安全建设仅仅是其内控安全建设的一个组成部分或者一种实现手段，即IT内控安全建设。

    因此，基于内控理论建立内部控制框架，确立理性、高效的内控制度，并作为行业或企业安全建设的思路和模式，应是每个行业或企业安全建设的战略发展规划和终极目标。

2.结语
    纵观行业信息安全体系的发展与建设，不仅仅是行业或企业的普通员工，更是对于高层领导而言，都日益对业务系统的安全保障建设给予了前所未有的重视。这将为行业信息安全建设，直至国家战略安全建设奠定了坚实的根基。

0人

了这篇文章

类别： 解决方案┆阅读( 0)┆评论( 0) ┆ 返回博主首页┆ 返回博客首页

上一篇 响应国策号召 天融信开启安全整合之旅 下一篇 按摩小姐气得移动公司老总吐血！