2015年1月8日（周四），CIO时代网推出首次“信息安全微访谈”，此次微访谈围绕“信息安全体系建设”这一主题，由新宏昌重工集团IT总架构师、北大CIO班第19届学员齐亚卓担任主持，来自北京市燃气集团信息档案中心总工程师、北大CIO班第18届学员王广清是本次微访谈的特邀嘉宾。

    王广清，拥有17年IT从业经验、14年的项目管理经验、10年大型数据中心IT架构规划和设计经验，现担任北京市燃气集团信息档案中心总工程师，主管基础设施、信息安全、ERP系统、基础应用平台等的建设及运维工作。主要兴趣方向：信息安全、虚拟化/云计算、容灾/备份、企业IT架构规划、数据资源管理、ERP建设和运维、移动应用管理、IT运维管理、项目管理等。

    访谈部分如下：

    齐亚卓：请广清总简单介绍一下北京燃气信息安全体系的建设情况，可以聚焦一下？

    王广清：信息安全体系的建设建议按以下五个步骤进行：

    （1）现状调研和风险评估；

    （2）架构设计和蓝图规划；

    （3）信息安全体系建设；

    （4）信息安全意识培训；

    （5）信息安全体系优化。

    其中信息安全架构规划是整个体系建设的重点工作之一：

    信息安全架构是对信息安全治理机制的高度概括，从信息安全目标和方针、信息安全策略，到信息安全管理工作的分解，再到信息安全管理工作如何开展，提出了方向性和原则性指导意见。

    在信息安全架构中，设置信息安全目标和信息安全方针作为安全架构的核心；为实现信息安全目标和方针，需要构建信息安全域，不同企业构建的信息安全域的情况可能会不一样；最后再通过三个体系来保证信息安全域的实施和落地。

    在构建信息安全域时，主要参考等级保护、ISO27000、ISO20000、COBIT等国内国际的信息化控制标准，充分考虑企业自己的安全风险评估、战略驱动以及监管要求等内容，裁剪出符合企业自己特点的信息安全体系架构。

    上一张图，来看一下我们的信息安全架构：

    再接着说，信息安全体系包括组织体系、制度体系和技术体系，依据“组织体系定职责、制度体系定依据、技术体系定手段”的原则构建事前防御、事中控制、事后响应的信息安全体系，以推进信息安全体系的执行和落地。

    组织体系是信息安全战略的核心，是信息安全战略落地的基础和保障。一般来说，企业的信息安全组织体系包括领导层、管理层、执行层和监督层。

    制度体系主要包含各信息安全管理域的安全管理规定、细则和表单等，提供信息安全控制依据。目前阶段，我们的制度体系包含：1个管理规定、6个管理办法、13个管理细则、17个表单+2个流程，是一个四级文件。随着信息安全工作的推进，我们的制度体系的内容还会不断扩展和完善。

    关于技术体系，建立“五纵五横”的技术体系，实现从物理环境、网络、系统、应用到终端数据的安全控制，建立了事前预防、事中监控以及事后恢复的相关机制。采用不同层次的防护技术，如身份认证、访问控制、内容安全、监控审计和备份恢复等，形成信息安全合力，实现信息资产的安全防护。

    关于安全意识培训：

    与建立以人为本的信息安全体系相呼应，在信息安全体系建设过程中要特别重视各个层面员工所需的信息安全意识和技能的培养。

    包括搭建阶梯化的信息安全培训体系，对全员进行信息安全意识的宣传，并建立信息安全长期宣传平台，对员工进行持续的信息安全意识的宣贯。

    我们已连续举行了2年信息安全周的宣传活动，采用10多种宣传手段，多维度全方位的对全体员工进行信息安全意识的宣传，起到了较好的效果。

    如果企业信息安全工作起步较晚，建议先做一个信息安全体系的规划工作，这样对企业整个的信息安全工作有个整体的规划，再按蓝图逐步建设。

    以上是我们关于信息安全体系建设的简单情况。

    齐亚卓：众所周知在信息安全中人员是一个比较复杂的问题，您能谈一下您的过往经验吗？

    王广清：人是信息安全最活跃的因素，人的行为是信息安全保障最主要的方面。人特别是内部员工既可以是对信息系统的最大潜在威胁，也可以是最可靠的安全防线。

    统计结果表明，在所有的信息安全事故中，只有20%-30%是由于黑客入侵或其他外部原因造成得，70%-80%是由于内部员工的疏忽或有意泄密造成的。

    站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。在信息安全问题上，要以人为本，人的因素比信息安全技术和产品的因素更重要。

    齐亚卓：人员是第一管理要素？

    王广清：对。人员问题一直困扰着企业信息安全工作的开展，主要表现在以下几个方面：

    一方面，企业员工对于信息安全认识不到位，部分人认为信息安全与自己很远，与自己无关，另外一部分人认为与自己很密切，但是在保护信息的安全的时候非常茫然，不知道怎么办；

    另一方面企业的技术人员缺乏必要的信息安全技能，无法很好将信息安全应用到自己的日常工作中；

    另外企业也缺乏专业的信息安全人员，常常依赖于外部的安全服务商，信息安全工作非常的被动。

    齐亚卓：对于人员的安全意识宣传，您有什么要向大家介绍的？

    王广清 ：针对以上几点，我们加强信息安全意识的宣贯，采用多种形式，既有在集中时间对企业员工进行集中性的轰炸，给员工造成强烈的冲级，同时形成长期的宣传机制，通过微信、OA等方式不断在企业内形成信息安全氛围；对于专业技术人员，提供有针对性的专业培训，不断提升技术人员的专业技能；而面对安全人员的缺乏，除了加强招聘，也与外部信息安全咨询机构和服务机构合作，借助外部机构的专业能力，努力保障我们的信息安全水平。

    关于安全意识宣传，我贴一张图：

    齐亚卓：很好，内外结合。第三个问题，请介绍一下您在系统及应用7*24小时不间断的运行的经验？

    王广清：我们比较注重系统及应用的7*24的连续运行，业务系统不间断运行是IT系统建设和运维的一个很重要的目标，而业务运行基础是 IT基础环境，一旦基础结构出现故障，业务也不能幸免。为了保障业务系统持续运行，从系统建设初期至系统上线后的运维阶段都需要把业务系统不间断运行作为系统建设和运维阶段考虑的一项重要因素。业务系统持续运行能力取决于多方面因素，在IT系统建设和运维阶段，基于历年来系统管理经验，我们主要考虑以下因素：

    1）在系统建设时优先采用稳定性高、业界口碑好的设备和产品。

    系统底层的硬件设备是业务系统稳定运行的基础，在设备选型时，我们除了考虑成本等因素外，尽量采用业界相对成熟的产品，从厂商、产品成熟度、维护等多方面考虑，尽量选择平均故障间隔时间（MTBF）长的设备，以提高可靠性和可用性。

    2）在架构设计方面，充分考虑冗余性。

    在硬件架构方面，需要考虑网络、主机、存储等设备及互联线缆的冗余性，设备内板卡的冗余性。硬件好比建筑物的基石，只有基础牢靠了，才能保证上面建筑物的牢固和稳定。

    在系统软件方面，需考虑软件特点，采用合理的应用集群架构，做到负载分摊及冗余。并且，冗余性架构要选择扩展性好，故障时对最终用户影响最小的方案。另外，尽量减少系统软件的种类，比如常用的应用中间件有Weblogic、IBM WAS，Tomcat等，我们在系统规划时，会选用以前常用的中间件，以减少维护成本。

    在应用软件方面，在开发阶段就要考虑软件的可靠性，提供软件本身的冗余架构方面的支持，做到故障自动监控和自动恢复，充分发挥冗余架构的优势。

    在系统上线前做好冗余性方面的测试，进行组件失效影响分析，评估出架构单点，在整体考虑的基础上，有效消除系统单点，确保整个系统无冗余性死角。

    3）建立同城灾备中心实现核心业务系统的连续运行。

    为了降低业务中断产生的影响以及快速恢复业务，我们建立了同城灾备中心，相应的建立了业务连续性管理体系，规范了相关组织架构和工作流程，明确了业务影响分析、风险评估的方法和工作重点，对业务连续性计划的内容、演练，业务中断事件的应急处置过程提出了具体要求，加强了各部门的协同保障能力，建立了业务连续性管理持续改进机制。

    4） 进行一系列安全举措，增强系统安全壁垒。

    对系统进行安全评估，提高系统安全性，在上线前进行漏洞扫描。在维护阶段落实安全责任，提升维护人员的安全意识。明确每个管理员在安全管理方面的责任，全面规划系统的安全策略，制定系统安全管理措施，建立可靠的识别和鉴别机制。系统安全性的提高，有效降低了外界入侵系统的可能性。

    5） 建立健全系统运行维护管理制度与流程，积极按时巡检。

    对于一个系统故障，我们无法预知，系统越复杂，其维护难度越大，为了减少损失，我们尽可能地去预防各种错误，对于突发情况，尽可能地去修复。我们建立了各系统运行维护管理制度与流程，建立各系统有效的维护架构，明确职责分工，定期进行系统软硬件巡检，及时对发现的系统问题进行维护，把故障消除在初期或萌芽状态，减少了系统停业时间。

    6） 借助运维监控平台，实时监控系统运行情况。

    为了及时获得系统运行状况，我们建立了系统运维监控平台，实时、动态、统一的了解所有软、硬件系统的运行、维护情况。根据问题种类和故障级别，通过邮件、短信等方式及时通知相应管理员，从而缩短了故障响应时间。

    通过以上6条主要的措施，我们力争系统的业务连续。业务连续是每个企业都面临的主要挑战，以上一点经验与大家分享。

    齐亚卓：如何有效保障企业数据的健康和防止敏感数据外泄？

    王广清：企业的数据保护是个非常庞大的问题，信息安全是一个“木桶”的世界，“木桶”上的每块短板都决定了信息安全的高低，所以我们的经验先是解决的人的意识问题，并从制度和流程上进行了规范，

    同时也会采取一定的技术措施对数据进行保护，如对数据进行加密存储、部署堡垒机对系统层面的访问进行控制、收集系统的日志并定期进行审计。

    另外，还做了一些目前阶段能做到的事：从数据的访问安全开始，对帐号及其权限进行梳理和清理，包括系统层面的账号和应用层面的账号；从小处着手，如对于测试的生产数据，首先进行脱敏，然后才交付使用，使用完后及时删除，责任到人；从制度流程以及人的意识着手，尽量使得数据的操作尽可能的规范。当然这些措施还不够，我们敏感数据保护尚有很长的路需要走。最近社会上的一些信息安全事件，都是数据保护出了问题。

    齐亚卓：请广清总针对网络安全技术再谈一下，广大童鞋将问题聚焦到了以下6个方面：

    1）物理安全 2）网络隔离 3）加密认证 4）网络安全漏洞扫描 5）网络反病毒 6）网络入侵检测。

    王广清：关于安全技术我简单谈一下，在信息安全体系规划中我们要建立“五纵五横”的技术体系，但需要一个过程逐步实现，我们现在每年都对系统进行安全加固和整改，所以安全的建设是个时时刻刻的事。

    具体到上面几个方面，我们目前的初步做法：

    在机房环境方面，加强机房的门禁控制，严禁非授权人员的非法进入，进入机房的一定是授权的且有登记，并对机房环境形成7*24小时的监控。

    现在外界的信息安全形势非常恶劣，我们在网络边界部署了入侵检测设备，在互联网出口部署了未知威胁感知设备，并部署隔离设备对办公网和生产网进行隔离。

    在系统层面，部署了漏洞扫描设备，定期对系统进行扫描，及时进行补丁升级；部署了堡垒机，对系统管理员的操作进行控制和审计。每个新系统上线前都要进行安全检测，通过了才允许上线。

    在终端安全和防病毒方面，要求在终端和服务器上部署防病毒软件，如在普通用户的客户端部署了360企业版安全系统，在服务器端部署其他的防病毒软件，多种防病毒设施进行防御。

    在加密认证方面，对新上线的一些重要系统，采取双因子认证机制，保障系统的安全。

    另外，我们加强安全的运维，有专门的安全运维人员每天对安全日志进行分析，及时进行安全告警的处理。对待信息安全，我们如履薄冰、如临深渊，一刻都不能放松。

    齐亚卓：下一个问题，对于移动设备安全你有什么见解？

    王广清：在移动终端管理方面，我们有相应的安全要求，并部署了对应的技术手段。

    我们部署了移动管理平台，实现对集团采购的移动终端和员工自带的BYOD设备的管理，两者的管理策略不一样。

    前者可对移动终端上软件的安装、设备的访问等进行统一的部署和管理，后者只实现对移动应用商店的管理。这就是目前我们在移动设备安全上做的初步工作。

    提问环节：

    提问一：你们信息安全涉及到分级保护了么？等级保护做到几级？客户端计算机的信息安全管理做到什么程度？各个应用系统的访问控制是如何实现的？

    王广清：我们有涉密系统，涉密系统是有关分保的，但这一块是单独管的。等保中有的系统三级，有的系统二级，我们在建设前有一个等级划分的初步规定。

    关于各个应用系统的访问控制，我们进行了安全域的划分，安全域之间的访问在防火墙上定义相应的策略。对于员工对系统的访问，在防火墙上定义相应的策略，需要访问什么才开什么。即只能访问指定的端口，然后应用系统本身通过权限来控制，密码要符合强密码要求。

    关于客户端计算机的信息安全管理，一是防病毒，二是接入控制。我们在客户端上都安装了360企业版，在中心端部署了360终端管理软件，实现对终端补丁、终端资产等的管理。在接入控制上，我们已部署AD系统，但入域工作需要一个过程，还在推进中。

    提问二：应对社会工程学的机制和措施？

    王广清：关于社会工程学，钓鱼、下饵，都是社会工程学，我们更多的是加强员工安全意识的宣传，通过flash、安全手册、微信、厕所的宣传画等手段告诉大家来自网上可能的威胁，我们也部署了技术手段，如未知威胁检测设备。

    提问三：信息安全相关的KPI？

    王广清：关于信息安全的KPI，我们只是定义了信息安全组织架构及相关的职责，目前还没有具体到KPI，这是我们后续要做的事情。

    提问四：信息安全产品的选型是怎么做的？

    王广清：关于信息安全产品的选型，建议用业内口碑较好的产品，通过招标将采购价格降下来。

    提问五：我有个问题，如您所说的，信息安全关键是全员安全意识，应该从全体员工都要遵守有关规定，对员工违反信息安全要求方面，是怎么问责的？

    王广清：目前还没有量化，只是在信息安全管理规定中说有处罚。

    提问六：对于外来人员的移动设备如何管控？

    王广清：对于外来人员的移动设备，如果通过我们的wifi只能上互联网，不能访问我们的业务系统。

    提问七：我们现在刚请等保测评完成测评，我想推进基于iso27000工作，咨询费用较少，应该如何推进。我不想拿27000认证，只想内部运行按27000动转。

    王广清：27000认证建议先做信息安全体系的规划，然后体系落地试运行一段时间，再申请27000的认证，27000认证可以促进信息安全工作的提升以及领导对信息安全工作的重视，建议做。等保测评是针对系统的，27000是针对你们部门或企业的，建议只做部门或某个数据中心。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。