郄军利：等级化安全保障体系实战

郄军利：谢谢严主任精辟的总结，我来自和勤软件，我们和勤间一直以来在信息安全方面是精耕细作的，今天非常有荣幸有这样的一个机会跟大家分享一下我们这个公司在信息安全保障体系建设方面的一些经验，还有我们在客户和我们行业研究的一些成果，能够借这个机会跟大家进行一个交流和分享。

我们在最近几年来也越来越多的感觉到通过研究我们的客户或者是跟我们的客户的学习以及对整个行业的研究和把握，我感觉最近两年来越来越多的客户都有一个非常相近的一个问题或者是一个困惑，就是信息建设或者是在进行信息安全体系建设的这个过程中通常都面临这样几个比较相同的挑战，我们来看一下有那些挑战呢。

首先，我们企业自身安全需求高度膨胀，尤其是对近几年来我们越来越多的企业都开始进行比如说基于业务系统大集中或者是说越来越多的生产平台非常高度的依赖于这个信息系统，这时候对我们信息安全的挑战是越来越严峻。同时，刚才严主任也说了，我们外部的威胁也越来越严峻了，包括我们安全威胁越来越隐蔽化，这都是我们企业面临的最主要的问题。

同时我们还面临一个挑战是什么呢？就是我们之前很多专家也说的合规性的挑战，包括上午的沈院士还有很多的专家讲了这个问题，现在国家等级保护在各行各业基本上形成了对国家信息安全基本的体系，我们每一个不同行业的客户都越来越多的开始意识到在等级方面进行大量的工作。还有一个市场是行业的要求，刚才很多专家也都讲了，我们的银监会有风险管理内部指引，我们的移动有自己的安全防护的体系，同时还有一个更重要的针对上市公司的一个很大的合规要求就是2009年7月1号要实施的所谓的中国的塞班斯法案，这个对我们国内的很多的上市公司也提出来了更高的要求。

还有一点是什么呢？在我们很多的客户这边，我们很多的客户比如是电信、金融或者是一些大型的央企或者是跟国外的合作或者是有贸易的企业都有一个国际化这样的战略目标，我们知道很多企业现在越来越多的企业都在做什么？ISO9000质量管理体系，环境管理体系，现在很多企业都意识到我们在信息安全管理领域里面ISO27001，很多企业越来越重视这个问题。这是国际化战略目标的需要，还有一个问题是企业形象的需要，我们开始做这样几个方面的工作。

对于我们的用户来说，很多的客户都同时面临这样几方面的信息安全的挑战，有国家的合规性的要求，有国际化的这种目标的要求，还有企业的这种自身的安全需求，很多的企业现在都是在这样几个方面工作之间疲于奔命。比如说今年要检查等级保护，明天我们可能要企业考虑做一个ISE27000，还有我们业务系统要上线，要做一个项目，去把业务系统的安全做一下。

基于这种情况我们的团队根据我们很多行业的客户做了这样一个比较深入的研究，同时对国内、国外的相关政策和法规还有我们行业的一些特点和需求进行了一些深入的挖掘，提出来了我们和勤的等级化的安全保障体系。我们等级化的安全保障体系就是基于我们企业自身的需求为主线，然后去全面参考我们国家的等级保护的要求，还有我们行业的法律法规，行业规范，同时充分融合国际上的安全事件，在这里面也加入了一些客户自身的一个安全建设的经验，还有我们和勤公司多年的安全服务的实践的经验，去构建这样的一个一体化的安全保障体系。在这个保障体系里面优势是什么呢？就是充分兼容，我们在这个体系设计初期的时候尽可能是思路借鉴法律法规的要求，覆盖是比较全面的，指标体系的选择也是充分参与的。同时重点突出，有的放矢，我们在整个体系建设过程中并不是所有的方向都是他的重点，并不是说全部是重点，而是根据企业不同的阶段，不同的需求去突出它对现阶段的建设的重点，有的放矢，这样的话就可以做到既节省成本，同时也可以切实可行。

我们来简单的看一下主体设计的方向，简单介绍一下基本的思路。首先我们在保障体系里面我们借鉴了一个体系化的设计方案和等级化的设计方案。体系化的设计方案我们在这里面考虑到ISO27000的要求和思路，去在设计之初满足ISO2700的主体设计思路。在这里面我们之前说到最重要的一个就是保障的指标体系，就是说我们每一个业务系统都要去做哪些事情，这样一个参考和指标的要求是什么，在这里面我们也是通过结合等级保护的安全要求，逻辑的指标要求，通过他们去充分的融合。

我们知道国家的等级保护都是有技术规范的，同时ISO27000也是有它的规范的，我们根据企业的业务特性进行裁减和定制，根据业务的不同的重要性的级别进行裁减和布置乃至结合我们的一些体系设计过程中或者是这种业务系统不同这样的一个安全特点，进行修改和优化，最终得到我们整体的安全保障的指标体系。

设计方法是什么呢？我们知道企业里面很多的业务系统的重要性不同，保护的级别也不同，所以说我们针对保护对象进行分级的这样一个划分，然后制订一个分等级的保护对象的框架，后面我会介绍到一个比较关键的地方。另外就是我们对整体的安全目标进行分解，得到不同业务系统细化到哪一个不同的组级或者是设备的分等级的安全的目标，结合我们前面所设计的这样一个等级化的安全指标体系，然后去构建我们等级化的安全保障体系，同时在这个体系的建设过程中也会参考到我们比较通用的一个PDCA的一个模型。

等级化的安全保障体系框架是一个类似的事例，通过不同的企业和不同的行业会有所不同，在这个里面我们会尽可能的覆盖到我们的客户所涉及的或者是关心的内容，比如说等级保护的要求，行业的规范或者是置疑。等级化安全保障体系的建设流程我们在这里面也是借鉴了一些比较常用的行业的安全体系的这样一个建设的流程，首先第一阶段我们进行评估，对业务系统进行这样一个梳理，进行风险评估，进行保护对象的等级的划分。然后根据我们的风险评估的结果，我们会发现我们企业里的问题会根据我们的严重程度的高低会进行这样的一个划分，然后进行规划和设计的时候去考虑到不同的安全风险的程度，去进行这样一个规划和设计。提出我们整个安全规划设计的方案，去协助客户进行实施，进行日常的运维，这是它的一个基本的流程。

在这个建设流程过程中我们和勤公司启动了安全服务和解决方案，也是在整个生命周期都会提供一个全程的服务或者是解决方案的一些产品或者是服务。在评估阶段我们会提供定级的咨询或者是等级化的咨询服务，在规划阶段我们会提供相应的等级保护的体系设计或者是信息安全建设的这样一个规划，在解决方案实施和运维阶段我们会根据我们给客户的规划以及客户未来的实际的这样一个安全的投入去帮助客户在不同领域选择恰当的产品或者是恰当的服务，帮助客户进行安全保障体系的建设，或者是帮助客户去选择一些流程管理工具，或者是一些安全管理工具，或者是一些安全运维的工具。

当安全金融体系建设里面会根据我们安全技术体系的设立帮助客户选择不同的安全产品，我们帮助客户进行选择，告诉客户在什么样的地方用什么样的产品。同时我们和勤这几年在安全技术方面也有自己的一些产品，包括我们在安全运维的划分和边界防护这一块有基于我们自己的防火墙，同时在补丁和终端管理平台我们也有自己的一些产品，通常会协助客户进行这样一个基于自身安全需求的定制。同时在安全监督审计这一边我们也有基于网络的审计平台或者是基于数据库的审计产品，在这里面也会在不同的阶段去协助客户进行这方面的建设。在客户进行等级保护的认定测评或者是认定测评过程中也会为客户提供一些相应的辅导，我们和勤在整个的信息安全保障体系加强周期的过程中会提供全程的服务。

接下来我们看一下我们在体系过程中的一些关键点，在整个安全保障体系设计的过程中，应该说它要解决的问题是非常多的，今天由于时间的限制，我谈三个方面，分别谈一点我们的体会。首先是管理方面，还有就是技术体系的建立方面，还有就是安全运维体系的建设方面。我们看一下在整个的安全保障体系这个建设的过程中，在安全管理体系里面最重要的一点是什么呢？很多情况下我们一般客户比如说我们客户去做了一个安全管理的咨询项目，这做了一个安全管理体系的建设，这个项目完了不是管项目三个月还是五个月，或者是半年或者是多久，项目完了以后留给客户的文档很多，对于很多客户来说这些制度到底有没有有效的去贯彻，去执行呢？这个是我在管理体系里面最重要的一个关注点，就是我们管理制度的融合和落实。

在这里面我们有一点自己的经验，首先在这个管理体系建立的过程中要尽可能的动员全员参与，让大家认识到信息安全不光是IT部门的事情，在这里面最重要的首先是要从企业高层发起，尽可能的动员主管信息化的领导或者是企业的一把手参与到这个项目的关键阶段。还有一个就是得到业务部门的支持，我们知道我们最终进行信息安全这种保障体系的设计或者是建设最终的目标是什么呢？就是要保障业务部门的业务系统的安全，在这里面一定要得到业务部门的支持。还有一点最重要的就是要得到全体员工的理解，通过定期的一些培训或者是宣讲的教育得到员工的理解。

这时候我们在后期的安全管理或者是安全制度、流程规范的运行过程中会尽可能的减少阻力。同时还有一点就是针对企业的分支机构应该明确管理制度的适用办法，在我们很多的项目过程中，我们的企业的集团公司跟下属公司有不同的管理模式，就是说我们在很多项目的建设过程轴是需要主义，不同的管理模式下我们要明确安全管理制度的适用范围，针对二级企业到底管多少，管到什么程度，在之前要尽可能的明确，这也是为以后的安全制度的推行的落实减少阻力。

还有一点就是在我们安全管理制度设计的时候要尽可能的融合，很多情况下我们的信息安全管理制度不单是推出一个管理制度，然后下发让大家执行，很多情况下会发生冲突，或者有一些不兼容的地方，这个时候我们在制度设计的初期就应该考虑到这些问题，尽可能的解决这些问题。另外一个就是安排全员参与的教育培训，还有就是设计督导和检查的机制，通过一些相关的培训来实现。

在这里面还有一点就是比如我们在很多企业里面这种奖罚机制没有办法建立，在国企里面或者是很多的企业里面我们基本上没有办法对其他部门进行奖励或者是惩罚，这个都没有办法做到。在很多情况下，也会通过一些其他的方式去进行相关的弥补，在很多企业下如果没有办法设计这种奖惩措施的手段，在信息安全方面我们设立罚分制。我们给每个人每年12分的信息安全的分数，违规一次扣两分，重大违规扣10分或者是几分，一年之内12分扣完之后我们送到学习班去学习，这样的话对于企业，对于员工自身直接的利益没有太多的影响，但是可以督促他。如果你每期总上学习班在面子上也管不住，这也是一种机制，去引导全体的员工进行信息安全的管理制度的落实。

针对复杂的大系统的差异性安全要求的描述也是非常重要的问题，不同的系统他们之间既有信息沟通的需要，又有信息隔离的需要，这个时候同样要进行描述和分解，在这里面我们就引入了一个安全保护对象的框架，就是说针对我们用户不同的系统和区域，我们设计不同的安全级别，然后最终设计一个不同的安全保护对象，形成整个安全保护框架的体系，根据这样的安全保护对象的框架，我们再去进行安全的划分和实现。这里面同时去帮助客户梳理网络边界，比如说哪个业务系统到底和哪个业务系统有关联。比如说企业的ERP的财务系统或者是企业的一些核心的业务支撑系统，其他的边缘的业务系统都跟他们有互联互通的需求。但是同时这种业务系统的级别又是比较高的，通过安全保障这样一个对象和框架的引入再去进行安全的划分和调整，然后进行相应的安全策略和防护的措施。

还有一点就是在我们整个安全网络体系建设中有安全运维的建立，在安全运维过程中很多情况下我们的项目可能是对于厂商来说项目完了就是完了，可能是两个月，可能是三个月，或者是半年，或者是一年，完了厂商走人了，留下来一大堆的问题，我们这个体系到底怎么样，后面有我们这个企业自己怎么样去可持续的运行、发展和完善。在这里面我们设计体系的初期就会考虑这个问题，同时我们引入了PDC的模型的机制，然后制订一些内部定期的自评、检查、完善了机制，同时也会引导企业合理的去借助外部的咨询公司进行相关的运维过程的支持。同时在运维的过程中我们也会协助企业去选择一些恰当的工具，比如说我们的管理制度，我们的管理流程，我们的管理规范，推出来之后往往并不能指望这些企业全部靠员工去实现。

我们在整个方案的建设成果，我们预期的目标是什么呢？就是说以企业应用系统的需求为核心，去构建等级化安全保障体系，这个体系首先要满足我们企业业务系统安全的需要，同时确保不同级别的业务系统都能满足要求，同时避免投资浪费，我们在建设初期应该把这个东西考虑进去。同时在体系设计的初期也要充分的考虑到ISO27001的兼容性，向ISO27000的过渡打好基础。

前面我给大家简单的分享一下和勤公司在等级化体系建设中的一些经验，下面我们看一下和勤公司的简单的介绍。和勤公司是2003年成立的，总部在上海，在中国河海外都有一些分公司和机构，销售是遍布于中国和海外的各个地区。我们在业务这一块我们主要是分为两个层面，一个是软件产品的业务，另外一个就是信息安全，信息安全这一块一方面是专业的安全信息服务，另外一方面有防火墙、网络审计等这些产品，之后会陆陆续续根据我们客户的需求有一些相应的安全产品上线。同时我们的客户是遍布海内外的，在国内、国外都有一些比较经典的客户，在国内的能源行业、航空运输包括一些钢铁、港口都有一些客户，包括我们在金融行业，还有一些政府行业都有我们一些相关的客户和我们的一些案例。

我们和勤公司一直以来也是非常关注于我们企业这样的信息化安全的建设，我们也期望在我们这样一个信息化安全为客户提供咨询的同时，帮助客户成长的同时，也期望跟客户一起成长。通过我们跟不同客户的交流和融合，保证我们客户长期的安全和保障，我的演讲就是这些，谢谢大家！

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。