崔磷cuilin20复制地址
控制面板
  • 个人首页
  • 发表文章
  • 博客管理
  • 链接管理
    • 日历
    <2008年4月>
    SuMoTuWeThFrSa
    303112345
    6789101112
    13141516171819
    20212223242526
    27282930123
    45678910
    留言簿(1)
    随笔档案
    最新评论
    阅读排行榜
    评论排行榜
    从信息中心或数据中心安全生产管理中存在的问题谈全面安全体系建设

        一提起信息安全,很多相关专业人员都可以侃侃而谈,说出很多。从信息安全的定义:完整性、可用性、保密性讲到BS7799;从各种技术防护策略如防病毒、防火墙、入侵检测、网络控制、各种隔离方法讲到三分技术、七分管理;从局部具体的制度建设讲到防护、检测、响应、恢复、演练以及业务连续性的安全体系建设。而且,大家都在为此努力工作,尽力把上述理论应用到实践中去,以为这样就可以做到疏而不漏。但事实的结果却是事以愿违。很多IT运营负责人都有类似的经历,每天小心翼翼、提心吊胆、兢兢业业地工作,白天在单位寸步不离,晚上一听到电话铃响就心惊肉跳,害怕又发生了什么事。虽然嘴上对信息安全的制度、规范、策略、方法谈得条条是道,但IT运营官们对已经出现的问题是否还能再次出现心里总是没底,更谈不上预见未来还会发生什么其它的稀奇古怪的事情。在经历了很多事件之后,很多IT运营官们好像都有一种感悟,风险是“防不胜防”。因此,出现一种奇怪的现象或者是误区,很多IT运营官们觉得反正已经“防不胜防”,干脆把救火能力的提高作为工作重点,把资源使用的中心放到救火上,希望一旦失火能快速扑灭,把损失降到最小,其结果火还是越扑越多,信息安全的工作是越做感到危险越多,心里越没底。同时,在文化导向上推崇救火的个人英雄主义,推崇谁的救火水平高,谁就受到重视和任用,这些所谓的救火高手把救火作为体现个人价值的机会,时刻研究如何提高救火水平,嘴上没说但心理多少有些希望通过着火来展现自己,在这种文化的误导下,多少会纵容救火思想的泛滥,这样怎么可能提高预防的水平。

    之所以出现“防不胜防”是传统的信息安全理念或者方法停留在“哪儿漏堵哪儿”,什么地方出事了,什么地方就受到重视,这种局部的、事后管理的思想基础上。在这种思想的指导下只能是事后补救,做不到全面事先的预防。

    一个有效的信息安全管理不是靠堵漏洞来解决问题,要想在信息安全方面真正解决掉“防不胜防”的问题,做到疏而不漏,就要建立全面的信息安全体系,目标是使自己的防护系统挤出牢固、结构稳定、没有短板。下面从目前信息安全存在的几类问题,谈安全体系建设。

     

    信息中心或数据中心在生产过程中信息安全存在的几类问题

    问题之一,信息安全对象的识别问题导致安全漏洞频出(丢对象的问题)

     

    信息安全的核心是受保护的信息对象的安全。信息安全工作最主要的工作之一就是信息安全对象风险的识别,如果管理者对自己所负责的对象都不能完全说清楚,那更谈不上对象风险的识别。静态的资源对象如设备、数据、文档、人和动态的任务对象如防护任务、操作任务都是受保护的信息安全对象。信息安全对象多而复杂,对象的管理单靠相关人员凭感觉、凭记忆去管理势必造成丢对象,这是目前信息中心或数据中心漏洞频出的主要原因,所以,对象识别是数据中心或信息中心管理的首要问题。

     

    问题之二,对象管理没有标准或者标准随意改变,安全生产管理靠领导拍脑袋进行,领导重视时管理水平就高,反之则低。

     

    生产是否存在安全问题,是通过对生产对象进行检查或安全评估得出的。在对生产对象进行检查或安全评估的时候,不同的人认识程度不一样,得出的结论也不一样。即使是同一人,在不同时间作出的结论也不一样。最后,领导说有问题就有问题。而且,领导对同一问题的认识和处理,不同时间可能存在截然相反的看法和对待。一旦出了事,领导就开始重视了,安全水平也就提高。反之,安全生产水平降低。这种靠个别领导拍脑袋的粗放型管理不可能使安全生产永远处于一个高水平的状态。

     

    问题之三,任务实施没有严格的流程和规范、没有详细的计划,完成任务或解决问题的时候,经常出现质量差、效率低、耽误事。

     

    现在信息中心或数据中心存在不同人对同一任务,完成的数量和质量不一致;甚至是同一人在不同时间完成任务的数量和质量也不一致。主要原因是对所有的任务没有详尽的计划或操作手册,只有混乱的、并束之高阁挂在墙上的、出事后用来追究责任的所谓制度和规范。某些单位没有自己的制度规范,为图省事或迷信他人,就多方抄袭其它单位的,然后,进行简单的叠加整合,其结果是分类混乱,多处重叠,前后矛盾,员工看不懂或根本不看,结果是员工想怎么干就怎么干。即使有操作手册的单位,往往忽略该任务的安全流程设计,即在生产任务手册中只注重任务正常完成流程的设计,忽略了应对可能出现的异常事件的流程设计。

     

    问题之四,被动等问题出现,才去解决问题,忽略对敌人的预先研究,对新出现的敌人没能作到主动防御。

     

    我们没有系统地去研究我们的敌人,我们不完全了解敌人是谁,不了解我们的敌人所采用的进攻方法。如果我们不了解敌人就不可能保护好自己,保护自己的目的是为了最终消灭敌人,如果我们不预先研究敌人,就作不到知己知彼,也就不可能消灭敌人。

     

    问题之五,岗位职责出现交叉或真空导致生产过程丢任务、拖任务。

     

    信息中心或数据中心变化任务多,新任务多。由于岗位职责很难把这些任务划分清晰,经常会出现职责交叉或职责真空地带,导致出现这样的现象:很多新任务不知道该由谁干,或者该干的不会干,会干的不能干,从而导致经常出现丢任务、拖任务或扯皮的现象。

    问题之六,缺乏固定的检查体系,致使生产操作过程出现不稳定、不安全的现象。

     

    虽然,有制度、有规范,但生产还是不能完全按安全流程、安全规范执行,领导盯的紧了,操作者尽量按要求做,领导稍一疏忽,操作过程可能不稳定、不安全。

    问题之七,生产人员以为只要作了防护,打了预防针以后就可以万事大吉,而不关心随着时间的推移,现有的防护是否达标的问题。(评估问题)

    问题之八,人员能力问题使每个IT 经理都面临一种压力。IT经理最大的困惑是要么没有合适的人员干活,要么是有能人,每天提心吊胆担心这些能人离开。这是IT企业在知识管理上要解决的问题。

    问题之九,人员工作激情、工作意愿问题。前面谈到的都是规范、标准、制度、计划等有序规则问题。光有规则是不够的,任何工作都需要人有动力驱动,积极努力去做才能做好。无规则,有动力,乱作一团,有规则,无动力死水一潭。建立有效的适应信息安全需要的绩效考核系统是信息安全体系建设一个重要的部分。

    问题之十,文化建设问题。信息安全最大的问题是大家在主观上对信息安全缺乏重视,对敌人缺乏警惕,对眼前发生的事件视而不见,置若罔闻,对敌人的进攻麻木不仁。文化建设是信息安全管理最主要的工作。文化建设的目的就是要改变大家麻痹大意的思想理念和马马虎虎、粗心大意的行为方式,建立一种时刻提高警惕,营造“阶级斗争”要年年讲、月月讲、天天讲的文化氛围。文化建设是信息安全最有效的手段,如果能做到领导真正重视,全员能全面参与,做到全民皆兵,即使没有现代化的入侵检测的手段,也能有效地发现敌人的藏身之处。

    问题之十一,风险收集渠道的问题。风险识别是信息安全管理的主要工作和日常工作。而风险识别最基础的工作是全面风险信息的收集。由于风险信息来源是多方面的,比如:操作过程中遇到或发现的事件;检查、评估过程中发现的问题;专家的感觉和预测等。如何建立有效的风险信息收集渠道是it运营官面临的困惑之一。

    问题之十二,持续改进的问题。传统的信息安全管理过多关注事后的快速处理和解决问题,很少深挖是否还存在同类问题,更谈不上深究其本质,做到彻底预防。

     

    针对上述问题,论述全面信息安全体系建设

     

    一、      生产对象信息库的建设

    什么是数据中心的安全 ?

    数据中心的安全就是数据中心所有对象的安全。所谓安全生产就是要保证生产任务对象能顺利安全完成;保证数据对象不被串改;保证系统对象不被攻击;保证信息对象不被泄露和窃取;保证操作者对象可靠;保证场地、供电、通讯等环境对象不受破坏等。生产对象信息库的建立是安全稳定生产的核心任务之一

     

    l      什么是生产对象?

     

    生产对象是生产系统的基本单位,是由硬件、人、场地、供电等实体对象和软件、数据、文档、生产任务以及生产任务流程等非实体对象组成。

     

    l      数据中心生产对象的分类

     

    生产对象分静态实体对象(硬件对象、环境对象、人等)、静态非实体对象(数据对象、软件对象、文档对象等)、静态任务非实体对象(该任务可由固定流程完成)、动态任务非实体对象(任务是新出现的没有固定流程参考)。

     

     

    l      存在问题。

    目前生产过程中漏洞防不胜防的主要原因是生产对象太多,内容复杂。不可能完全由生产负责人单凭大脑记住每一个对象的每一个细节。一个中等规模的城商行的生产系统中,如果对生产对象进行粗略的分类,主要的实体对象有几百个,非实体对象有十几类几千个,静态任务对象有几十个甚至上百个,平均每天发生的动态任务对象10个左右。仅仅一个数据中心就这么多生产对象,如果全行生产系统不建立生产对象信息库,对象的管理者单凭个人大脑记忆去管理,势必会忽略对某些对象的监测;安全生产的检查者或评估者,在对所有对象进行全面检查或评估的时候,就会出现对象漏检的事情发生,因为是安全检查,即使是它存在安全隐患,也不可能发现。

     

    l      解决办法。建立生产对象信息系统

     

    所谓生产安全就是生产对象的安全或对象操作的安全。安全生产的任务是通过对生产对象的操作来完成的。从操作人、环境、设备到软件、数据文档、生产任务等都是生产对象。生产对象小到一根通讯线的一个接头,大到生产的场地和主机,从能看得见的机密文档到存在电脑中一般人看不见绝密数据。如果生产者忘掉任何一个对象或疏于对其进行控制,都将造成不可挽回的损失。

    生产是围绕生产对象进行的,生产的安全管理也就是如何加强对生产对象的安全防范,如果管理者不知道或不了解每一对象,他也就不会知道对象的漏洞在哪里,更谈不上对对象的防范。只有全面掌握生产对象,才能有的放矢地进行安全管理。如果我们忘记了对某一不引人注意的、微小的环境对象管理,比如忽视了对从室外接入的通讯线的某一个接头的检查和防护,一旦有人不小心碰了一下接头,造成短路或断路,有可能造成大面积网点通讯中断。再比如,如果忽略某一个非实体对象如程序、数据、文档的管理,造成他们在存储、调阅、传输过程中的泄密,都有可能带来极其严重的后果。所以建立完备生产对象信息库是建立安全生产体系的核心任务之一。这个系统建立的标志是生产对象信息库的建设,或至少有生产对象资源列表。这个信息库或资源列表要从多角度反映资源的管理属性,也就是资源要按管理范围、区域、网络拓扑、应用、防护边界、防护等级进行分类,其中资源的防护等级分类是工作的重点。

     

    二、      安全规划、安全标准的建立是信息安全的基础。

    加强信息安全体系规划和标准化建设。建立信息安全基础建设和运营的规划体系,做好基础建设的规划,信息对象安全防护的规划,生产运营规范操作、安全的指导,完善信息安全方针、有效的信息安全策略、方法、制度、管理流程、管理规范和技术标准;

    l      问题的提出

    在对安全对象进行评估的时候,不同的人认识程度不一样,最后,领导说有问题就有问题,而且,领导对同一问题在不同时间的认识和处理,不同时间存在截然相反的看法和对待。

    l      问题的原因

    之所以出现这样的现象,是由于对生产对象没有统一的安全标准。在没有标准的时候,我们只能凭管理者的感觉来评判所出现的问题是否严重还是不严重。所以就会出现不同的人,对待同一安全问题的态度和处理方法,在同一时间可能不一样。同一个人对同一问题,在不同时间可能认识程度也不一样。同一人在不同时期,对同一问题采取的手段及措施可能也不一样。

    l      解决办法。安全标准的建立是任务制定和实施、结果评定和检查的前提和基础

    有了规划和标准才能实现在目标的指导下,才能使员工知道该做什么、如何做以及理想的结果是什么;才能根据标准查问题,然后才是解决问题。如果没有标准,问题在哪,提出的问题是否正确,不同时间对同一件事看法是否一致,都将成为困扰安全管理的大问题。如果不建立安全生产对象的标准,安全生产的管理又和过去一样,领导重视了,安全水平提高。反之,安全生产水平降低。这种靠个别领导拍脑袋的粗放型管理不可能使安全生产永远处于一个高水平的状态。因此,安全对象标准的建立是信息中心或数据中心安全生产的基础,是信息中心或数据中心头等重要的大事。安全对象的收集、整理、细化是基础的基础。

    任何管理的基础或关键都是标准的建设,例如:解放军正步走,每步要求75厘米,每分钟60步等是步调一致的前提。

     

    三、静态生产任务对象运行操作手册的建设

    l      问题的提出

    信息中心或数据中心解决问题的时候,经常出现效率低、耽误事、质量差;任务完成的不稳定、不安全。

    传统安全生产管理是通过建章建制来约束、控制可能故障或风险的发生。规章制度是基于已出现的异常事件或可能将要出现的异常事件而建立的。也就是说,每当发现一个隐患的存在,就在整体制度规范、岗位责任制中加上相应的条例。这种管理模式存在两个问题:一是,在信息中心或数据中心这样一个各种异常事件经常变化的环境里,相应规章制度不断增加,旧的没落实新的又增加,再加上制度、规范、任务、岗位责任制绞在一起,随着时间的推移,这些制度规范犹如一团乱麻,相关人员很难掌握,更谈不上落实执行;二是,某一特定异常事件,很少发生,时间长了相关人员容易麻痹大意,偶尔有一两次没按制度规范流程工作,又没有人发现,久而久之相关人员逐步将这些为了安全生产而附载在生产任务之上的安全流程、安全规范逐步省略。其结果,随着时间的推移,看似有效的制度规范流程,逐步被束之高阁。

    传统的管理方式是造成任务完成效果不一样的根本原因。过去信息中心或数据中心生产任务流程写在岗位职责和制度规范中,这个岗位的所有任务流程和规范都绞在一起,当事人很难从中理出和自己任务有关的头绪,结果大家对岗位职责和任务规范,看了都说知道了,但过后就忘,多数人认为岗位责任制、制度规范就是挂在墙上应付检查的。因此,很多人就按照自己对任务的理解去做,认为完成任务就可以,虽然任务完成了,但任务完成的一致性差别很大。比如同样一个咨询问题一个人这样解释,而另一个人却另一种解释。更有甚者很多人为图省事,在工作中省掉很多附加在生产流程之上的安全流程,为安全生产埋下隐患。

    l      解决办法。生产任务对象运行操作手册的建设

    生产任务对象分静态任务对象(固定流程)和动态任务对象(随机出现,流程和方法无法事先确定)。

    静态生产任务系统完成那些重复的、需要固定流程完成的工作,比如轧帐,日常寻检,监视系统,日常维护等。通过静态生产任务系统解决生产的稳定性安全性问题。

    静态任务安全生产运营系统的任务是按生产流程、安全规范完成生产任务。静态生产任务是由功能任务和安全任务组成。往往大家在制定操作手册的时候,注重功能任务的实现,而忽略其应该附带的安全任务。

    ?        什么是功能任务

    “功能任务”=“生产对象”+“充分的生产流程”

    其中:

    l    “生产对象”包括:人、环境(电、通讯、场地)、设备、软件。

    l    “充分的生产任务流程”,通过它可以完成所要求生产任务,它是生产任务完成的充分条件。

    ?        什么是安全任务

    “安全任务”=“生产对象”+“必要的安全流程”+“规范”

    其中:

    l    “必要的安全流程”,它是保证生产任务安全完成的必要条件,也就是一般情况下,不加安全任务也可完成生产任务,但在特殊情况,如果不执行安全任务,生产任务将出现问题。

    l    “规范”由环境规范(共性规范)和任务规范(个性规范)组成,它的目的也和安全流程一样,是为了保障生产任务顺利进行,它的特点是,必须做…..,禁止…..。

    基于上述原因,有必要建立信息中心或数据中心生产系统维护手册,该手册汇集所有可能的静态任务,各种重复出现的问题、解决办法以及相应的执行人员,各种应急方案的处理。在问题出现的时候,任何相关人员即使是没做过,不管多么复杂,通过手册也能很好地完成。

        信息中心或数据中心生产系统维护手册包含以下分册,《生产任务流程分册》、《生产异常及故障处理分册》、《技术业务咨询分册》、《服务支持分册》、《生产对象及任务分册》、《生产对象安全标准分册》。

    四、建立集中、动态的生产任务调度系统。动态生产任务系统完成那些变化的、新出现的、没有现成的任务流程与之匹配的任务。动态生产任务系统解决丢任务、拖任务的问题。

    l      问题的提出

    信息中心或数据中心在生产过程中存在三类问题,一类是丢任务、拖任务;另一类是任务完成的不稳定,任务完成的质量和效果不一致;还有一类是在操作过程中忽视安全漏洞仅仅是为完成任务而作任务。

    l      问题的原因

    原因之一,传统生产运营任务的范围是通过岗位职责来定义的,任务流程是通过岗位的制度规范来描述的。如果对于一个任务岗位交叉少,任务流程简单,用传统的方法是可以的。但对信息中心或数据中心而言,一个任务的完成可能牵扯很多岗位,涉及到许多信息中心或数据中心内部部门和外部单位。一方面,如果通过岗位职责来定义任务,那么在岗位的衔接或交叉地区就会出现灰色地带,有好任务大家就抢,认为是自己的职责范围,有麻烦大家就躲,认为岗位职责没有明确这是我的任务,这样就会造成不作为,丢任务。

    原因之二,随着商业银行开展新业务增加,业务复杂程度越来越大,涉及的环节越来越多,比如一个小灵通交费处理,涉及电话银行、我方通讯、银行主机处理、通讯调度、电信公司通讯、电信主机处理。任何一个环节出问题都可能导致交费不成功。而处理这样的问题由于牵涉的部门、人员很多,信息来源又不一致,在传统生产模式下,势必会造成处理问题在某一环节延迟或中断,所以会经常出现拖任务、丢任务的现象发生。比如受理问题的人不知如何处理,也不知谁会处理,而会处理该问题的人又不知道问题的发生,当事人只能等问题反映到领导后看如何解决,这样就出现拖问题的现象出现。再比如,收到问题当事人根据情况将问题交给下一个处理者,然后下一个再交给下一个,中间有可能有一个环节处理不下去,他又不及时返回,这样就会出现丢任务。

    还有一个原因造成丢任务和拖任务,那就是信息中心或数据中心发生的问题或故障并不是总出现,有时甚至一年也不会出现一次,一旦出现了,要么处理过的人由于时间久了忘了如何处理,要么会处理的人不在现场。这样就会耽误问题的解决,拖任务。

    l      解决办法,建立集中、动态的生产任务调度系统。

    什么是动态生产任务系统?

    动态生产任务系统的核心是建立生产任务集中采集、集中调度组织资源、集中控制流程运行、二次反馈重新优化控制的系统

    一般来讲,理想的情况是在出现问题时,一个人最好既能发现问题又能解决问题,这样效率最高。但事实上对信息中心或数据中心这样技术难度和复杂度非常高部门来讲,每个人的专长不一,很多事情是很难由一个人来完成的。由于可能牵涉到内部不同部门(如硬件维护、软件开发、服务支持、咨询等部门)或岗位,过去横向资源的调动只能通过领导,这样,就有可能效率低,或丢任务。

    五、静态生产对象防护手册的建立。

    实现信息安全的主要方法就是按照规划和标准,对信息对象进行防护。规划和标准是分类的、原则性的指导方案,因此,必须根据规划、标准并结合具体的生产对象,建立每个具体生产对象的防护手册。比如信息安全指导手册中在有关用户口令管理中有一条:口令要半年更换,防护手册就要根据对象手册找出有哪些用户需要更换口令,然后,制定具体针对每一登陆用户的口令管理实施计划(什么时间、有什么人、采用什么办法、对那个口令实施更换)

    六、建立合理的信息安全管理的组织架构。

    建立适应信息安全运营的合理的组织架构。(规划、运营、应用发展、审计评估、资源管理(系统资源和人力资源)、知识管理)。

    特别强调合理的安全生产运营组织架构应该有独立的安全规划审计部

    l      问题的提出。

    过去我们为安全生产制订了很多规范,这种规范都是凭操作者自觉遵守来完成,所以不同的操作者,规范执行的好坏不一样。同时,生产运营部门首先关心的是任务能否尽快完成,如果一旦出现生产和安全发生矛盾的时候,这时如果运营部门的领导既管生产又管安全,那么,他就有可能弃安全保生产。

    l      问题的原因

    生产运营和和安全管理永远是一对矛盾,我们希望这对矛盾能在运行中互相制约均衡发展,而不是矛战胜盾(只顾生产、不顾安全)或者是盾战胜矛(片面强调安全而不发展生产)。如果安全管理听命于生产运营,则有可能出现生产中忽视安全流程、忽视安全规范的落实。反之,如果片面强调安全生产,这也不行那也不行,则有可能造成不生产或少生产的现象的出现。

    l      解决办法:建立独立的安全队伍

    安全队伍能够自上而下渗入到每个生产环节,发现问题,提出解决问题的办法。

    l      安全队伍的任务

    安全队伍的任务是安全生产理论和方法的研究;安全知识的普及教育和生产人员的培训;安全信息收集;安全计划、安全方案的起草;安全标准的制订;整体防御体系的建立;安全计划、安全方案落实的监督;安全目标的定期评估及审记。

    总之,建立安全队伍的目的,就是通过这样一只队伍来研究敌人,了解自己,作到知己知彼百战不殆;通过安全知识的普及教育来消除生产者的麻痹大意思想,从而重视生产安全;通过审查评估来发现问题及时解决;通过整体的防御体系建设来拒敌于国门之外。

    七、人力资源管理。建立人力资源管理体系,完善人才任用、绩效考核、人才培养和人才激励机制,培养一批高素质的信息安全专门人才。

    事业成功与否很重要一点取决于是否拥有一批有激情、能吃苦、有知识、有能力、有良好习惯人才队伍。

    建立针对信息安全体系建设的、面向人员激励的绩效考核系统,使员工有意愿主动为信息安全建设作贡献。一个好的信息安全绩效考核系统能够完备地收集员工处理所有事件的信息,并且至少能从治病、根除、预防三个角度来综合评价员工对安全体系建设的贡献度。

    建立有效的知识管理系统,解决人才快速成长问题。知识管理的目的就是要解决别人花很大力气获得的成功经验,在你需要的时候,你能很容易、很快地引用;解决过去他人范过的错误,今后保证在你身上不会重复发生;任何高级技术和管理人员的流动都不会对运营带来负面影响。知识管理的目标就是要解决内部知识分享,外部知识快速提取、转化、吸收,把别人或者自己脑中的隐性知识,变为整个集体的显性知识,从浩如烟海的知识海洋中提取出有用的知识,并转化为全体员工所能掌握的知识。知识管理体系建设以知识识别、知识沉淀、知识分享、知识转移、知识创新为知识管理流程体系的基本框架,以文化建设、管理体系、IT技术作为保障建立完整的知识管理体系。

    总结:安全体系建设的总体目标就是通过体系建设做到疏而不漏,彻底解决信息安全生产中风险“防不胜防”的问题。从传统的静态的、局部的、事后补救的安全防护模式变为动态的、全面的、系统的、预防的安全防护模式。

    图一

     

    图一描绘了信息安全体系建设的具体目标就是建立一个基础、三个支柱、三个系统、三个平台。即:安全规划、安全标准的建立是信息安全体系建设的基础;在规划和标准基础之上打造安全稳定静态生产对象、规范一致的生产任务对象(流程)、合格的人力资源是安全体系建设的三个支柱;围绕三个支柱建立静态对象的防护系统、任务对象的操作系统、全面的人力资源管理系统;建立覆盖所有对象风险识别的内部审计和检查平台,基于安全标准的外部评估平台,以及贯穿所有支柱和系统的基于Itil和iso9000理念的流程管理平台。

    (1)、一个基础:安全规划、安全标准的建立是信息安全的基础。加强信息安全体系规划和标准化建设。建立信息安全基础建设和运营的规划体系。做好基础建设的规划,安全防护的规划,运营安全的指导,完善信息安全方针、信息安全策略、方法、制度、管理流程、管理规范和技术标准;

    建立信息安全规划和生产对象安全标准的目的,就是要通过规划使工作向着目标前进,通过标准驱动任务的完成质量,通过标准来检查和评价存在的问题。

    (2)、支柱之一和支柱之二:静态生产对象和动态任务对象信息库的建设。生产对象多而复杂,对象的管理单靠相关人员凭感觉、凭记忆去管理是信息安全漏洞频出的主要原因。安全防护人员脑子里对所管防护对象的缺失会导致对该对象防护和漏洞检查的缺失,这就是信息安全人员感到防不胜防的主要原因。

    (3)、支柱之三、打造适应信息安全发展的人才队伍。建立人才的发展战略和市场化的激励机制,培养和造就一支高素质的信息化人才队伍。

    (4)、围绕静态对象的安全防护系统。围绕信息安全对象支柱,在安全标准指导下建立信息对象全面防御平台,集中的监测平台,事件响应及应急平台,以及恢复和业务连续性平台。

    (5)、围绕动态任务的对象的安全操作系统。建立规范化、流程化、安全约束的运营操作系统。

    (6)、围绕人力资源的人力资源管理系统。建立适应安全体系建设的组织结构;建立人员激励的绩效考核系统;建立人员能力提高和信息共享的知识管理系统;建立合适的风险控制的文化系统。

    (7)、内部审计和跟踪检查平台。建立基于对象完整的风险检查平台。

    (8)、内部和外部的评估平台。建立按照标准进行评估的内部和外部评估平台。

    (9)、Itil和iso9000。建立覆盖所有对象的、畅通的风险信息收集的渠道和以风险识别、风险预防为本的Itil和iso9000平台。Itil平台倡导事件,问题,配置,变更等多项管理,企业最好可以以事件,问题,配置,变更等管理为需求,建立符合自身要求的Itil 管理平台。平台最好可以记录事件,问题并且辅之以良好的组织结构和处理流程以及事件与问题之间的关系;Itil 平台建设的好坏直接影响客户满意程度,所以是安全体系建设很重要的部分。

     

      图二,从流程角度来看如何建立安全体系建设。人在规划标准指导下对资源进行分类防护,建立防护手册;人还是在规划和标准指导下对资源进行操作,建立操作手册。解决人本身问题,如意识习惯问题、动力问题、能力问题、关系问题是通过文化建设、绩效考核和激励、知识管理、组织结构系统建设来实现。

                            图二

     

    上述都是信息安全体系建设的理念,但大家更关心的是如何实施信息安全体系建设。下面简单介绍信息安全体系建设的关键内容和实施过程。

    实施安全体系的关键:管理层支持;全员参与;建立符合企业要求的信息安全规划和信息安全标准的指导手册;实施过程中的执行力问题

    1.        管理层支持。安全体系建设必须得到企业最高领导着的支持,并且授权副总经理任信息安全体系建设项目的管理代表,负责协调与信息安全体系建设项目相关各部门的工作。

    2.        全员参与。安全体系建设项目建设是一个企业长期的,不断持续改进的项目,所以它必须要求全体人员进行参与,信息安全体系遵循木桶原理,要求所有管理的对象都包含在信息安全体系之下,当然也包括人。

    3.        建立符合企业要求的信息安全规划和信息安全标准的指导手册。每个企业的性质与需求的不同,促使企业要建立符合自身特点的安全体系,所以在做信息安全体系项目之前,企业需要就自身特点撰写一份安全指导手册,这份手册包括企业的方针,管理者目标,所使用的安全策略,企业的对象库,企业的安全架构,企业动态,静态任务的管理,业务连续性管理,知识管理,文化管理等内容。

         指导手册是企业建立信息安全体系建设的关键,下面举例说明指导手册所包含的内容

    第一部分:安全方针、安全管理的原则与组织安全

      目标:管理层应该有一个明确的策略方向,就是方针;说到底是以快速解决问题为主还是以发现问题为主,以自身加固为主还是以边界防护为主,或者包含所有,总之目标就是给员工一个工作的方向,当碰到问题的时候,如果没有安全策略,员工可以依照方针做出有利于安全体系建设的判断。并且对方针和原则做出清晰透彻的解释。比如:检测为主、强壮核心、区域分隔、防护边界、分片包干可以作为一个原则,在指导手册中至少做出类似的解释:另外一个目标就是制定组织框架,让管理人员、用户、行政人员、应用程序设计人员、审计人员以及安全人员和专家协同工作,让他们参与风险管理的工作。

    第二部分:信息安全系统制度规范管理

       目标:建立适合自身的规范制度,这里主要是行为规范,属于员工应该遵守的最低限度。例如其中可以包括机房管理规范,设备管理规范,设备操作规范,数据操作规范,文档管理规范,环境管理规范,保密管理规范等。

    第三部分:信息安全系统静态任务管理

       目标:建立组织信息安全体系的静态任务操作手册,其中包括操作流程和安全流程,按照员工的岗位进行类别划分,例如:机房执机人员静态任务操作手册,网络管理员静态任务操作手册,数据库管理员静态任务操作手册,小型机,服务器系统管理员静态任务操作手册,数据操作员静态任务操作手册,应用系统管理员静态任务操作手册,文档管理员静态任务操作手册,安全员静态任务操作手册等。

    第四部分:信息安全系统动态任务管理

    目标:将动态任务进行分类,由专人对所发生的事件进行整理并且按照规则进行分类。分类原则按照工作岗位类别进行,具体分为:主机系统类,数据库类,网络类,应用类,数据类,文档类,环境类,咨询类,执机类,安全类。让所有员工了解到什么是动态任务,可以对动态任务进行举例说明。

    第五部分: 安全策略规划指导及标准

       目标:挑选符合企业风险要求的安全策略,可以从一下几个方面进行选择:主机,服务器系统安全策略(主机系统关闭服务策略,主机系统访问控制策略,主机系统用户安全策略)网络系统安全策略(网络分割控制策略,网络访问控制原则,认证服务策略,防火墙策略)数据库安全策略(数据库的审计功能与策略,数据库权限管理,数据库索引整理与表的重组,监控并且避免死锁,数据库的性能监控)整体安全策略(防病毒策略,防入侵策略)等。

    第六部分:业务连续性管理

       目标:建立业务连续性的组织架构,并且制定与业务连续性相关的标准及策略。例如:双机热备系统建设,数据备份系统建设,冗灾系统建设,系统恢复预案等。

    第七部分:IT技术平台基础建设

       目标:信息安全系统建设的基础就是有一个标准的IT基础平台,IT基础平台包括:综合业务系统平台规划,综合网络系统规划,综合主机系统规划,数据库系统规划,OA系统规划,电子银行平台规划,管理信息系统规划以及其他系统平台等。目标就是建立规范的IT基础平台

    第八部门:知识管理

       目标:建立企业知识管理流程,例如:知识管理的搜集,知识管理的分类,知识管理的整理,知识管理的培训,知识管理的应用等。

    第九部分:第三方评估

       目标:提出第三方评估的需求,选择评估方的标准,评估出来问题的解决流程。

    4、实施过程很重要的一点是执行力的问题。大家都清楚任何理念想法得不到贯彻落实,这种理念和想法只能是空想。执行力的问题也是困扰所有管理者最大的问题,目前市面上有很多书讲执行力的问题,合理的组织结构、良好的文化氛围、有效的绩效考核、周密科学的计划、认真细致的检查评估都是执行力管理所要解决的问题。上述内容多而复杂,让人感到无从下手,好像说多了等于没说。大家都知道部队是执行力做得最好的,我在部队进行军训的时候教官说的一句话道出部队管理的真谛:“部队管理实际上非常简单,制定纪律、认真学习、仔细检查”。从部队管理的效果和简单方法,我们悟出这样的道理:执行力的关键首先是制定详细科学的计划和标准,然后进行广泛深入的培训,最后做到认真细致的检查。

    作者:崔磷 阅读() 评论()  编辑 发表于:2007-07-05 14:43