国航信息安全建设:从天到地的保护网
- 来源:计算机世界
- 关键字:
- 发布时间:2010-01-28 13:07
在国航的未来发展战略中,信息安全正占据着越来越重要的位置:几乎所有业务都与信息技术相关,特别是涉及到客户信任度的商务及财务方面,甚至如果没有信息安全管理体系这张保护网,飞行安全也无法得到保障。
信息安全作为IT领域的一个重要分支,正随着IT系统应用的深化变得越来越重要。中国国际航空公司(简称“国航”)作为国内航空业的领军企业,也是我国惟一的载旗航空公司,在信息安全建设方面非常重视,也取得了一些成果。回顾国航信息安全建设的过程,展望后期建设,国内航空企业的信息安全建设仍然“在路上”。
从零星建设到全新安全之旅
国航对信息安全的认识是在逐步实践摸索中不断成熟和提升的。2006年以前,国航使用的信息系统对业务工作的支撑还比较有限,而且来自外界的威胁尚不明显,因此信息安全建设的迫切性不突出,大部分是局限于安全设备采购、安全软件安装等零星、被动的建设。
2007年,国航有一批涉及运行保障和商务领域的大型核心系统陆续投产运行,使得信息系统的支撑作用得到明显提升。同时,考虑到2008年奥运会的举行将带来外围威胁增加,从2007年下半年开始针对重点领域薄弱环节启动了信息安全技术平台一期建设,到2008年6月完成。
2008年初,随着信息安全技术平台建设的深入,国航对信息安全的理解也在不断加深,逐步认识到信息安全工作要搞好,必须从管理体系建设入手,全面整体地规划,然后分步实施。至此,国航开始把信息安全工作作为一项长期事业来看待了。
国航近几年大量投入信息系统建设,取得了明显成效。与此同时,信息安全问题也逐步浮出水面。国航意识到,在国航未来的发展战略中,信息安全占据了越来越重要的位置,几乎所有业务都与信息技术相关,特别是涉及到客户信任度的商务及财务方面。甚至,若没有信息安全管理体系这张保护网,飞行安全也无法得到保障。
信息系统的根本价值在于对业务的支撑,这决定了国航的信息安全愿景必然来源于国航的愿景:国航的信息安全首先要确保核心业务不中断,这是一个基石和底线;其次,为了保障客户的利益,必须确保客户信息不泄漏;第三,为了达到稳步提升,还要确保核心系统不被攻击;最后,国航是一个与国际接轨的开放型企业,绝不能采取简单隔离的办法获取安全,而是要采用国际先进的管理技术体系来实现目标。因此,国航信息安全建设的愿景目标是:建立起成熟的、具备国际水平的信息安全保障体系,确保核心业务不中断、核心系统不被攻击、客户信息不泄漏。
围绕着这个愿景,国航人开始了自己信息安全建设的全新之旅。
ISO27001与安全跷跷板
国航的信息安全建设是参照国际标准ISO27001展开的。ISO27001的前身是BSI(英国标准协会)针对信息安全管理方面建立的一套被欧美广泛采用标准BS7799。2005年,由国际标准组织(ISO)颁布为国际标准ISO27001:2005,是目前世界上惟一的信息安全管理标准,成为信息安全管理的国际通用语言。其方法是通过“风险评估”、“风险管理”切入企业的信息安全需求,经由完整的控制方法选择及落实,有效降低企业面临的风险。建立信息安全管理体系(ISMS)已成为各种组织,特别是高科技产业、金融机构等管理运营风险不可缺少的重要机制。所以,对于国航这样安全等级很高的企业,让本组织通过ISO27001认证已经是一个必须提出来的课题。从另一个角度讲,也是对国航股东的交待。也只有通过实施ISO27001认证项目,才能促进国航尽快把建立信息安全管理体系这项任务落实下来。
ISO27001由11个域构成,图一比较形象地展示了这11个域的关系:
首先,也是最根本的是组织需要有“安全方针”,然后就是要落实“组织”机构去支撑这个方针,而“资产”作为安全管理的核心目标对象必须被管控起来。“人员安全”、“物理及环境安全”、“通信与操作管理”以及“访问控制”分别对系统运行过程中涉及的四个方面定义了详细的防控要求。我们常说要把问题消灭在萌芽状态,同样,ISO27001的制定者把“信息系统获得、开发与维护”作为单独一个域列进来,确保项目交付的系统能够最大限度满足安全要求。安全不是绝对的,信息安全工作另一项任务就是把安全事件的影响降到最低,在这方面“信息安全事件管理”和“业务连续性管理”提供了比较好的保障。最后,“符合性”对审计和法律符合方面提出了要求。
ISO27001的11个域共133个控制点,这些元素其实又可划分为“管理制度/流程”、“组织/人员”、“技术平台”三类,它们共同构成了一个安全翘翘板(见图2)。
信息安全管理制度/流程建设
管理体系的基础是制度和流程的建设,这个问题分两部分:
首先是制度和流程的制定。国航依据ISO27001的要求,结合本单位实际,编制了覆盖所有安全域的文档,其中一级文档3份,二级文档29份。此外,由于国航信息管理部本身也有多个部门,为了既体现统一标准又能照顾灵活性,所以部层面的文档统一制定到二级,然后由各二级部门依据二级文档结合本部门生产实际融合到自身业务手册(三级文档)中。
更难的在于规章的贯彻落实。国航借助奥运保障和ISO27001外审认证的机会,在主要生产部门进行了全面的现状评估,列出了各种存在的安全风险。公司领导高度重视,各生产部门按照要求在限定的期限内整改完毕,大大提高了信息安全边界。此外,国航结合自身的质量控制流程,将信息安全的各项要求植入到信息建设等日常管控流程中,从方案设计、试运行检查、验收、系统交接、变更、巡检等各个阶段进行把控。此外,今年提出的“建立国航信息安全管理体系成熟度模型”的内部课题,对ISO27001每个控制点设定更细化的成熟度定义,并建立信息安全管理评分标准和一套快捷的计算方法,便于内审后迅速测算出管理水平等级,解决现有体系对控制点的评测方式定性成分较多、不利于客观计分和定量分析的问题。
经过这些工作,国航的整体管理水平有了较明显的改善。在奥运前我们按照ISO27001标准进行的评估得分为32.6分(最佳实践为10分,该模型参考最低为40分),整体处于较差水平,11个域中3个差、4个较差、4个中等;到2009年,评估得分升至27.1分,11个域中已经没有差的了,较差3个、中等6个、较好3个。
为进一步强化制度和流程建设,2010年将在现有体系文件基础上完善所有操作细则,重新编写所有部门的业务指导书,逐条落实信息安全指导规章。此外,筹备建立基于岗位的信息资源管控机制,使未来的信息资源配备像薪酬等级一样成为员工的一项重要人事信息,大大提高信息安全管理的主动性和计划性。
信息安全技术平台建设
在2007年底,国航为加强奥运信息安保工作,启动了信息安全系统建设项目,主要目的是通过技术平台建设尽量做到对重点系统和关键领域的保护。当时我们看到的主要问题包括:网络安全架构不清晰;来自互联网威胁日益增加,而我们自身防护能力偏弱;用户量大,同时行为控制存在漏洞;重点系统服务器安全性难以检测。针对这些问题,在信息安全系统一期建设中,划分了安全区域,部署了抗DOS攻击以及入侵检测等系列设备,并引入终端安全管理软件和对双因素强身份认证方式重点用户单位进行管理,利用弱点扫描工具发现系统漏洞,凡是没经过安全检测的系统不得投入运行。
基于这些重点领域的技术平台建设,配合各项管理措施,国航在奥运期间阻止了大量的攻击,出色地完成了奥运信息安全保障任务。同时,我们也深知信息安全技术平台的建设是必须和管理体系的建设同步的。目前,国航已经明确了未来三年的建设内容,将采用统一规划、分步实施的方式,建立起用户身份与访问集中管控系统、弱点管理系统、安全审计系统、安全运行管理系统等组件。通过这些系统的建设,国航将实现利用技术手段完成五大安全服务目标:
一、对企业范围内(含必要的合作伙伴)用户身份的识别、验证进行管理控制,提供对用户身份和信任凭证生命周期的管理。
二、对企业范围内IT实体访问的管理控制。
三、对企业范围内的信息流进行监控,保证信息流的机密保护、完整准确和合理可达。
四、对企业范围内IT实体的正确、完整、可靠运行提供管理控制。
五、对企业范围内IT安全事件进行记录和监控,保证IT安全事件的可追溯和及时响应。
信息安全组织与人员建设
依据国际最佳实践模型,一个企业必须设立信息安全管理委员会,还必须有一个实体运作的信息安全管控中心。在这个模型里面,信息安全管理委员会是一个公司级别的高层机构,它的任务主要包括:
审批公司信息安全规划和预算;
审核重大信息安全事件处理结果,并决策改进方案;
审核信息安全管理层提交的信息安全方针、策略和规范,并颁布全公司执行;
接受和审核信息安全管控中心的定期汇报;
协调信息安全组织内部,以及和其他部门的工作。
信息安全管控中心是执行机构,属于企业信息部门下属的一个二级单位,它的职责是:
负责制定公司的信息安全策略及整体规划,并督促实施;
制定公司的信息安全预算,并提交信息安全管理委员会审批;
负责公司的安全策略、标准、架构及其他重要安全规范的制定、更新,并监督执行;
汇总和制定信息安全的教育和培训计划,并监督或组织执行;
负责组织调查并处理信息系统的重大安全事故,提出整改或补救措施,并监督执行;
管理、协调各安全小组的日常工作,并对重大事宜进行审批;
负责对信息系统的试运行、上线以及重大变更等活动的审批;
与外部信息安全组织的联络和沟通。
国航按照这一模型,结合自身情况,在执行过程进行了一些修正。我们依照模型要求成立了由公司领导牵头、信息管理部、总裁办、人力、规划、财务领导参与的信息安全管理委员会。在执行层面,将信息安全管控中心的职能按策略监督和运行拆分为两部分,由信息管理部技术管理办公室负责安全标准、流程的制定以及审计,由信息管理部各分部和各生产部门承担执行层面的工作。
为了使各项规章能够得到严格的贯彻执行,国航在行政序列以外又建立了质量安全员认证体系。通过内部认证培训,为各生产部门培养了几十名质量安全员,让他们负责本部门日常的安全知识宣贯和安全审计职责,定期向策略监督部门进行沟通汇报。
今后,国航将进一步培养自身的安全专业人员,壮大专兼职安全管理队伍。更重要的是,我们要将信息安全管理体系纳入国航整体安全运行标准体系,形成国航完整的安全保障体系。
……
信息安全作为IT领域的一个重要分支,正随着IT系统应用的深化变得越来越重要。中国国际航空公司(简称“国航”)作为国内航空业的领军企业,也是我国惟一的载旗航空公司,在信息安全建设方面非常重视,也取得了一些成果。回顾国航信息安全建设的过程,展望后期建设,国内航空企业的信息安全建设仍然“在路上”。
从零星建设到全新安全之旅
国航对信息安全的认识是在逐步实践摸索中不断成熟和提升的。2006年以前,国航使用的信息系统对业务工作的支撑还比较有限,而且来自外界的威胁尚不明显,因此信息安全建设的迫切性不突出,大部分是局限于安全设备采购、安全软件安装等零星、被动的建设。
2007年,国航有一批涉及运行保障和商务领域的大型核心系统陆续投产运行,使得信息系统的支撑作用得到明显提升。同时,考虑到2008年奥运会的举行将带来外围威胁增加,从2007年下半年开始针对重点领域薄弱环节启动了信息安全技术平台一期建设,到2008年6月完成。
2008年初,随着信息安全技术平台建设的深入,国航对信息安全的理解也在不断加深,逐步认识到信息安全工作要搞好,必须从管理体系建设入手,全面整体地规划,然后分步实施。至此,国航开始把信息安全工作作为一项长期事业来看待了。
国航近几年大量投入信息系统建设,取得了明显成效。与此同时,信息安全问题也逐步浮出水面。国航意识到,在国航未来的发展战略中,信息安全占据了越来越重要的位置,几乎所有业务都与信息技术相关,特别是涉及到客户信任度的商务及财务方面。甚至,若没有信息安全管理体系这张保护网,飞行安全也无法得到保障。
信息系统的根本价值在于对业务的支撑,这决定了国航的信息安全愿景必然来源于国航的愿景:国航的信息安全首先要确保核心业务不中断,这是一个基石和底线;其次,为了保障客户的利益,必须确保客户信息不泄漏;第三,为了达到稳步提升,还要确保核心系统不被攻击;最后,国航是一个与国际接轨的开放型企业,绝不能采取简单隔离的办法获取安全,而是要采用国际先进的管理技术体系来实现目标。因此,国航信息安全建设的愿景目标是:建立起成熟的、具备国际水平的信息安全保障体系,确保核心业务不中断、核心系统不被攻击、客户信息不泄漏。
围绕着这个愿景,国航人开始了自己信息安全建设的全新之旅。
ISO27001与安全跷跷板
国航的信息安全建设是参照国际标准ISO27001展开的。ISO27001的前身是BSI(英国标准协会)针对信息安全管理方面建立的一套被欧美广泛采用标准BS7799。2005年,由国际标准组织(ISO)颁布为国际标准ISO27001:2005,是目前世界上惟一的信息安全管理标准,成为信息安全管理的国际通用语言。其方法是通过“风险评估”、“风险管理”切入企业的信息安全需求,经由完整的控制方法选择及落实,有效降低企业面临的风险。建立信息安全管理体系(ISMS)已成为各种组织,特别是高科技产业、金融机构等管理运营风险不可缺少的重要机制。所以,对于国航这样安全等级很高的企业,让本组织通过ISO27001认证已经是一个必须提出来的课题。从另一个角度讲,也是对国航股东的交待。也只有通过实施ISO27001认证项目,才能促进国航尽快把建立信息安全管理体系这项任务落实下来。
ISO27001由11个域构成,图一比较形象地展示了这11个域的关系:
首先,也是最根本的是组织需要有“安全方针”,然后就是要落实“组织”机构去支撑这个方针,而“资产”作为安全管理的核心目标对象必须被管控起来。“人员安全”、“物理及环境安全”、“通信与操作管理”以及“访问控制”分别对系统运行过程中涉及的四个方面定义了详细的防控要求。我们常说要把问题消灭在萌芽状态,同样,ISO27001的制定者把“信息系统获得、开发与维护”作为单独一个域列进来,确保项目交付的系统能够最大限度满足安全要求。安全不是绝对的,信息安全工作另一项任务就是把安全事件的影响降到最低,在这方面“信息安全事件管理”和“业务连续性管理”提供了比较好的保障。最后,“符合性”对审计和法律符合方面提出了要求。
ISO27001的11个域共133个控制点,这些元素其实又可划分为“管理制度/流程”、“组织/人员”、“技术平台”三类,它们共同构成了一个安全翘翘板(见图2)。
信息安全管理制度/流程建设
管理体系的基础是制度和流程的建设,这个问题分两部分:
首先是制度和流程的制定。国航依据ISO27001的要求,结合本单位实际,编制了覆盖所有安全域的文档,其中一级文档3份,二级文档29份。此外,由于国航信息管理部本身也有多个部门,为了既体现统一标准又能照顾灵活性,所以部层面的文档统一制定到二级,然后由各二级部门依据二级文档结合本部门生产实际融合到自身业务手册(三级文档)中。
更难的在于规章的贯彻落实。国航借助奥运保障和ISO27001外审认证的机会,在主要生产部门进行了全面的现状评估,列出了各种存在的安全风险。公司领导高度重视,各生产部门按照要求在限定的期限内整改完毕,大大提高了信息安全边界。此外,国航结合自身的质量控制流程,将信息安全的各项要求植入到信息建设等日常管控流程中,从方案设计、试运行检查、验收、系统交接、变更、巡检等各个阶段进行把控。此外,今年提出的“建立国航信息安全管理体系成熟度模型”的内部课题,对ISO27001每个控制点设定更细化的成熟度定义,并建立信息安全管理评分标准和一套快捷的计算方法,便于内审后迅速测算出管理水平等级,解决现有体系对控制点的评测方式定性成分较多、不利于客观计分和定量分析的问题。
经过这些工作,国航的整体管理水平有了较明显的改善。在奥运前我们按照ISO27001标准进行的评估得分为32.6分(最佳实践为10分,该模型参考最低为40分),整体处于较差水平,11个域中3个差、4个较差、4个中等;到2009年,评估得分升至27.1分,11个域中已经没有差的了,较差3个、中等6个、较好3个。
为进一步强化制度和流程建设,2010年将在现有体系文件基础上完善所有操作细则,重新编写所有部门的业务指导书,逐条落实信息安全指导规章。此外,筹备建立基于岗位的信息资源管控机制,使未来的信息资源配备像薪酬等级一样成为员工的一项重要人事信息,大大提高信息安全管理的主动性和计划性。
信息安全技术平台建设
在2007年底,国航为加强奥运信息安保工作,启动了信息安全系统建设项目,主要目的是通过技术平台建设尽量做到对重点系统和关键领域的保护。当时我们看到的主要问题包括:网络安全架构不清晰;来自互联网威胁日益增加,而我们自身防护能力偏弱;用户量大,同时行为控制存在漏洞;重点系统服务器安全性难以检测。针对这些问题,在信息安全系统一期建设中,划分了安全区域,部署了抗DOS攻击以及入侵检测等系列设备,并引入终端安全管理软件和对双因素强身份认证方式重点用户单位进行管理,利用弱点扫描工具发现系统漏洞,凡是没经过安全检测的系统不得投入运行。
基于这些重点领域的技术平台建设,配合各项管理措施,国航在奥运期间阻止了大量的攻击,出色地完成了奥运信息安全保障任务。同时,我们也深知信息安全技术平台的建设是必须和管理体系的建设同步的。目前,国航已经明确了未来三年的建设内容,将采用统一规划、分步实施的方式,建立起用户身份与访问集中管控系统、弱点管理系统、安全审计系统、安全运行管理系统等组件。通过这些系统的建设,国航将实现利用技术手段完成五大安全服务目标:
一、对企业范围内(含必要的合作伙伴)用户身份的识别、验证进行管理控制,提供对用户身份和信任凭证生命周期的管理。
二、对企业范围内IT实体访问的管理控制。
三、对企业范围内的信息流进行监控,保证信息流的机密保护、完整准确和合理可达。
四、对企业范围内IT实体的正确、完整、可靠运行提供管理控制。
五、对企业范围内IT安全事件进行记录和监控,保证IT安全事件的可追溯和及时响应。
信息安全组织与人员建设
依据国际最佳实践模型,一个企业必须设立信息安全管理委员会,还必须有一个实体运作的信息安全管控中心。在这个模型里面,信息安全管理委员会是一个公司级别的高层机构,它的任务主要包括:
审批公司信息安全规划和预算;
审核重大信息安全事件处理结果,并决策改进方案;
审核信息安全管理层提交的信息安全方针、策略和规范,并颁布全公司执行;
接受和审核信息安全管控中心的定期汇报;
协调信息安全组织内部,以及和其他部门的工作。
信息安全管控中心是执行机构,属于企业信息部门下属的一个二级单位,它的职责是:
负责制定公司的信息安全策略及整体规划,并督促实施;
制定公司的信息安全预算,并提交信息安全管理委员会审批;
负责公司的安全策略、标准、架构及其他重要安全规范的制定、更新,并监督执行;
汇总和制定信息安全的教育和培训计划,并监督或组织执行;
负责组织调查并处理信息系统的重大安全事故,提出整改或补救措施,并监督执行;
管理、协调各安全小组的日常工作,并对重大事宜进行审批;
负责对信息系统的试运行、上线以及重大变更等活动的审批;
与外部信息安全组织的联络和沟通。
国航按照这一模型,结合自身情况,在执行过程进行了一些修正。我们依照模型要求成立了由公司领导牵头、信息管理部、总裁办、人力、规划、财务领导参与的信息安全管理委员会。在执行层面,将信息安全管控中心的职能按策略监督和运行拆分为两部分,由信息管理部技术管理办公室负责安全标准、流程的制定以及审计,由信息管理部各分部和各生产部门承担执行层面的工作。
为了使各项规章能够得到严格的贯彻执行,国航在行政序列以外又建立了质量安全员认证体系。通过内部认证培训,为各生产部门培养了几十名质量安全员,让他们负责本部门日常的安全知识宣贯和安全审计职责,定期向策略监督部门进行沟通汇报。
今后,国航将进一步培养自身的安全专业人员,壮大专兼职安全管理队伍。更重要的是,我们要将信息安全管理体系纳入国航整体安全运行标准体系,形成国航完整的安全保障体系。
关注读览天下微信,
100万篇深度好文,
等你来看……