基于网络信息安全运维管理：IT创新案例系列（2）

文|01一线

信息社会，现代企业的生存与发展高度依赖网络信息系统支持，确保网络的通畅、信息系统安全可靠就显得尤其重要。针对IT管理问题和价值取向的服务方式，如何把此项复杂的工程进行细化与落地，建立信息安全保障框架？在企业有限的IT资源（包括人员、系统等）的前提下，IT运营面临严峻的挑战，企业多半缺乏信息系统应用开发能力，在很大程度上依赖于产品开发商的支持，为此，要想实现从混乱到清晰、从被动到主动、从应付到实现价值取向的服务思想，自主加外包的混合运维方式无疑是一种好的服务方式。

一、课题的背景与意义

自从进入信息社会以来，全球IT新技术道魔相长，网络安全事件层出不穷。随着攻击手段不断翻新，种类越来越多，严重危及公共组织和企业的正常工作。从网络的社会性质来看，由于互联网技术基础基本相同，网络系统相互连通，网络技术与设备的安全管理问题不是个体问题，而是牵一发动全身，只有网络整体安全性能提高，才能从根本上为网络安全提供保障，同时，网络技术与设备的安全管理规范的完善还能够为侦破和处罚网络犯罪提供有效地帮助。因此不能仅依靠个体的分散的技术措施或者管理防护，而是集合国家、社会和个人的力量构建综合保障体系。

从全球趋势看，计算机病毒、网络攻击、垃圾邮件、系统漏洞、网络窃密、虚假有害信息和网络违法犯罪等问题日渐突出，给我国经济社会发展和国家安全带来不利影响。

从企业安全来看，信息安全事故的来源是黑客主义、商业间谍、有组织的网络犯罪和恐怖活动。还有无知的员工可能被外部威胁利用，进而对信息安全造成“内外夹击”之势。

因此，合理建立网络信息安全与运维管理体系，在有限投入的基础上，最大程度地降低网络安全突发事件的负面影响，就成为当前一个迫切需要解决的问题。

国家《网络安全法》及其等级保护定级制度的实施、行业及公司要求和IT领域国内外各种管理和运维模式经验为本课题提供了支持条件。

二、网络信息安全运维的现状与管理目标

自从企业实行自主网络信息安全运维以来，虽然从组织、网络信息系统架构、安全管理体系、安全技术体系、安全运行体系建设方面陆续建立了网络信息安全运维管理机制，但总体来说较为零散，系统性和规范性存在不足，具体存在以下问题。

安全管理方面存在不是全员管理，甚至存在网络安全责任不明确的现象。相关制度标准不甚完善，相关考核机制虽已建立，但不健全。

安全技术方面，机房和工控网络管控措施不全，网络安全设备不完备，网络安全策略存在缺陷。

安全运维方面，存在运维能力不足，技术跟进不到位，运维作业不规范，应急保障制度不完善，信息系统等保材料不完整等等因素。

网络信息安全管理工作，是企业综合治理工作中的重要内容组成部分，是现代企业生产经营管理顺利进行的有力保障，同时，社会大安全文化的背景和国内外信息安全形势、企业IT运维管理安全现状，也要求企业必须将信息安全提到战略高度来认识。由于企业的文化差异，可能会有不同的影响因素，因此，建立企业信息安全保障内控体系理论，倡导和推进信息系统安全运行治理防控保障体系建设，创造良好安全的企业氛围和秩序，是保证一个行业稳定发展的一项重要工作，是时代赋予企业的又一项社会任务。

因此，针对目前网络信息安全运维的现状，通过合理建立网络信息安全与运维管理体系，尽最大可能避免网络信息系统遭受严重攻击，实现IT安全基础设施有保障，管理与操作有章可循，达到管理和运维工作高效，进而促进实现网络信息安全与业务数据完整准确是本课题的目标。

三、对策与实施效果

众所周知，网络信息安全是一个系统工程。它涉及到人、机、法、环与监视各个层面。存在管理不严、口实不严、网络信息系统遭受攻击、系统设计与运维法制规范缺失、组织和技术保障方法不妥、社会网络环境恶劣以及这些方面的监管不严等种种情况而导致种种问题和风险，只有做到严防死守，规避风险，方能做好网络信息安全、保密和运维工作。为此，以目标管理和存在风险及其问题为先导、循序渐进，按顶层布局、中层发力、底层推动内容设计与构建，为此，借鉴当前IT运维管理目标演进方式，确立各阶段建设目标。

1、把握源头治理。坚持严格依法建网、管网和用网原则，查找梳理已建、新建项目及其运维存在的问题和风险，同时，把问题整改作为网络安全工作的重要内容，提升全员网络安全责任意识。

首先，明确归口管理部门。由信息管理部门负责企业统一实施信息网络系统建设与运维，履行综合协调、监督管理职能。严防死守做到“两个全覆盖”（覆盖所有业务部门和所有信息系统），并提供组织和技术保障措施。

其次，实行厂级、部门级和班组级三层组织领导架构与网络信息安全运维管理（包括评估考核）体系，实现全员管理，并明确其分工职责，严守纪律，并纳入管理体系相关文件管理与考核。通过日常的厂务、科务和车间班前网络信息安全及其保密教育和培训，增强化全员网络责任意识，时刻谨记保密工作无小事，切实克服了麻痹大意思想。明确各个信息系统业务主管部门和运维单位（部门）具体职责，落实了网络安全责任制度，实施《网络安全责任书》和《数据保密承诺函》签订制度，包括与各部门主要负责人以及信息系统主要对接人员签订了网络安全责任书和数据保密承诺函两份文件。对外部合作方项目及后期工作实行了供方服务评估评价机制，对内部工作落实了网络安全责任和考核评价办法。

第三，开展网络源头治理工作。检查求证网络安全设备与软件的合理部署，严格实施生产、监控、办公分区分域的安全策略，严明网络边界防护设备、人员权限、远程作业等环节的管理。建立IP台账，健全设备、信息系统档案。完善网络信息系统现场应急处置方案，并定期开展培训与演练等工作。实行网络流量监控，对于异常情况，及时阻断攻击，并根据实际情况更新相应策略。从源头治理和从网络监管把好运维关，构建法制网络、健康网络与和谐网络，初步实现所有业务部门和所有信息系统健康相处，和谐与共的良好网络环境。

前期IT基础管理诊断结果：

基础架构建设阶段（SMB），手工维护阶段。主要实现IT基础架构建设。

网络和系统监控（NSM）阶段，重视自动化监控阶段。主要实现IT设备维护和管理。

IT服务管理（ITSM）阶段，重视流程管理阶段。主要实现IT服务流程管理。

业务服务管理（BSM）阶段，重视用户服务质量与满意度。主要实现IT与业务融合管理。

从IT投入和业务价值来看，前三个阶段是间接业务价值，第四阶段才是直接业务价值。

根据ITIL这个IT服务管理的方法论，先是搭建一个框架，借用工具的配合促进落地。建立IT运维管理系统参考模型。

从安全目标出发，结合IT运维管理系统参考模型，每个阶段的工作向着实现直接业务价值，不断消除或减轻对性能的约束，促进IT产品或服务满足确定的规范，实现企业效益最大化。服务好用属性通过最终的绩效和检验结果监视测量价值成分。

2、规划融合信息安全保障体系

通过从组织体系、制度体系、技术体系层面建立和实施纵深防御体系，实现稳健的信息安全保障状态。

①组织体系：通过企业中高层的支持实现业务驱动和共同推动信息安全体系建设。当然，需要提出的问题，组织有可能要依赖长期可靠的合作伙伴：通过长期可靠的合作关系，快速引进外部专业资源和先进技术，可以帮助企业推动信息安全建设工作。为了帮助组织内外信息系统人员更好地遵守行业规范及法律要求，企业实施IT网络与信息系统安全运维体系标准，组织应做到定期对全体员工进行信息安全相关教育，包括：技能、职责和意识，通过相关审核，证明组织具备实施体系的意识和能力。

②制度体系：企业IT网络与信息系统安全运维系统建设的范围包括机房安全、数据安全、网络安全、服务器安全、业务应用安全、终端安全等。为此，企业应明确内部运维和外部协同的内容及其标准规范，包括绩效标准。建立实施IT网络与信息系统安全运维体系标准，首先把高效的信息安全做法固化下来形成规则制度或标准，成为组织中信息安全行为准则。保证事前预防、事中监控和事后审计等安全措施的得到有效执行与落实。

③技术体系：一般来说，网络设备技术体系可以按照从上到下信息所流经的设备来部署工具。即从数据安全、终端安全、应用安全、操作系统与数据库安全、网络安全、物理安全六个方面来选择不同的安全工具。按照“适度防御”原则，综合采用各种安全工具进行组合，形成企业“适用的”安全技术防线。适时根据风险评估的结果，采取相应措施，降低风险。适时采用1～2种综合管理的工具来帮助把所有的安全监控工具进行统一管控。例如SOC是给企业日常维护管理者使用，ITRM作为综合风险呈现，是给企业风险或安全管理层使用。

厂部定期开展“弱口令”、“扫漏洞”网络安全检查活动，排查弱口令和未授权访问等突出安全隐患，对未按要求设置密码的终端机立即进行整改。在数据管理方面，遵循“统一管理、分级负责、授权访问”的原则。系统管理人员按照数据的管理和使用权限，做好数据的授权访问和备案工作，严禁向行业外传播发布。网络和各系统管理员每星期对数据库运行日志进行分析整理，结合系统实际运行情况，对数据库进行优化配置与调整。对数据库报错信息等异常，应及时与系统服务商联系，尽快解决处理。对系统进行软件升级、硬件维护时，必须对系统数据进行全备份。

④体系运行和监控：体系的日常运行和监控就是从信息的生命周期进行流程控制，即在信息的创建、使用、存储、传递、更改、销毁等各个阶段进行安全控制。之前不能忽视在信息创建开发安全阶段的一个细化控制手段。在运行体系建设中，结合流程分析来关注信息的生命周期安全。关注运行过程中应急管理，包括灾备中心建设、业务连续性计划、应急响应等等。

3、初见成效和取得的阶段性成果

以创新管理课题形式开展实践。通过调研和宣传教育，针对存在问题和风险进行分析评估，遵循PDCA工作思路方法提出系统架构，策划对策措施实施方案。具体方法：以当前实施的批次管理系统运维管理为样本，举一反三应用到其它各个管控系统，最后往前延伸，建立健全上游机房网络和下游工控安全管理。第一阶段：创造：“四全工作法“即”全员参与、全面梳理、全面诊断、全面加固“专项工作，确定实施方案；第二阶段：针对前期存在问题和风险开展安全加固整改与实施网络安全等级保护工作的同时，创造并构建“1+2+2+N”的运维模式。1具体指编制各信息系统《运维管理办法》；2具体指建立《系统运行日志》，《系统运维月度报告》；2具体指建立《系统运维问题管理清单》，《系统运维风险管控清单》，N具体指建立编制各信息系统《作业指导书》，通过这种运维模式，提高系统维保人员维保能力和运维效率。第三阶段：系统整合后，基本构建了网络信息安全与运维管理体系。

基于网络信息安全运维管理，采用了网络与信息系统防护方案、等级保护措施，进一步完善了IT建设网络信息系统运维体系。通过这种运维模式，提高系统维保人员维保能力和运维效率。

基于网络信息安全与运维管理，除实施了网络安全设备及其技术外，目前已建立了管理体系架构，发布实施了63个IT标准文件，包括机房、网络和各个信息系统应急预案与演练体系，规范了IT建设网络信息系统安全运维工作行为，提高了安全防护和运维效率。今年上半年，经受了一次规模网络演习的检验，也得到当地公安部门和公司的一致好评。

结语

通过基于网络信息安全运维创新管理课题实践，从信息安全综合治理战略理念出发，结合当前企业IT运维管理现状和安全风险防范的新思路、新方法，从组织体系、制度体系和技术体系三个层面建立和实施了信息系统安全运行治理防控保障体系，基本实现了信息系统可持续改进运行。