面向企业战略和服务的信息安全架构设计与应用

开篇：润墨网以专业的文秘视角，为您筛选了一篇面向企业战略和服务的信息安全架构设计与应用范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

【 摘 要 】 企业目前广泛采用的信息安全架构偏重风险管理，信息安全控制措施缺乏与企业战略的一致性和可追溯性，同时信息安全部门难以将信息安全价值与传递给内部其他部门。在实际项目经验的基础上，提出面向企业业务目标和高效服务的信息安全架构，旨在使信息安全从传统的成本中心转向企业发展的推动者。通过分析将本信息安全架构应用在保险企业的实际案例，结果显示实施本信息安全机构后，该企业在信息安全整体成熟度、员工安全意识水平、客户满意度和信息安全事件发生数量等方面均有较大幅度进步。

【 关键词 】 信息安全架构；企业战略；信息安全服务； 信息安全价值； 一致性；可追溯性

【 文献标识码 】 A 【 中图分类号 】 TP393.08

1 引言

信息安全技术和管理经过不断的发展和改善，已经能够比较有效地解决一些传统信息安全问题，如信息安全风险管理、访问控制，脆弱性管理、加密解密和灾难恢复等。随着信息越来越成为组织的核心资产，保护信息的安全已不再只是局限于技术和日常管理层面的讨论，信息的安全越来越关系到组织自身发展的安全。一次重大的信息泄露事故就能使企业的市值一落千丈。同时，一套合理的访问控制解决方案能够帮助企业快速推出核心产品（尤其是电子商务）和兼并其他企业。当前信息安全发展呈现出新的趋势和要求：（1）信息安全部门逐渐从成本中心转向价值中心，信息安全的各项活动越来越和企业战略紧密相连；（2）企业内部其他部门越来越多的要求信息安全部门提供清晰、可测量的服务来支持业务的运行。

企业的信息安全部门在不断增强其核心影响力的同时，也承担着随之而来的更多责任和挑战。其一是如何将企业战略转化为信息安全计划，将信息安全融入到组织的业务流程中，并且保持信息安全控制措施与企业战略的一致性和可追溯性；其二是如何使信息安全的价值得到认可并在组织内部最大化；其三是如何满足企业内部各部门有计划或无计划的信息安全服务需求；其四是如何确保以一种系统主动和集中统一的方式来管理业务和遵从性需求，并实现清晰的测量和不断的改进。

当前各企业广泛采用的标准或最佳实践有几种：ISO27001：2005，COBIT4.1，NISTSP800或PCIDSSv2.0等。这些标准各有优点，但也有明显的缺憾，如表1所示（缺憾部分用X表示）。

设计本信息安全架构旨在解决上述问题并建立一种高效机制达到如下目标。

* 将企业战略转化为信息安全计划，确保信息安全的可追溯性、持续一致性和简洁性，以降低成本、减少重复和提高效率。将信息安全融入到组织的业务流程中，建立一致性和可追溯性；建立清晰的信息安全架构和愿景，以减少重复和指导信息安全投入和解决方案的实施。

* 基于客户服务理念，信息安全服务价值得到认可，信息安全靠拢业务部门，为信息安全管理和业务管理建立共同语言。

* 全面管理信息安全，满足目前绝大多数法律法规、标准的最佳实际的要求，并具有灵活的可扩展性，当新需求出现后能够将其平滑的融入到现有架构中。

* 系统和集中统一的方式，使信息安全管理可预测和可测量，并不断的改进。

2 信息安全架构设计

2.1 信息安全架构设计所基于的原则

本信息安全架构的设计遵循四大原则。

1） 业务驱动：所有的信息安全目标应该从业务需求中来，从而保证信息安全管理总是做“正确的事”。

2） 整合、统一的架构：现在有数以十计的信息安全相关的法律法规，标准和最佳实践需要去符合或参考，且其各有不同的要求侧重点和优缺点。因此很有必要将所有相关的信息安全关注点整合到一个统一的架构中，以保证所有要求都被满足，同时避免不要的重复。例如，ISO27001关注全面安全控制和风险管理，PCIDSS侧重支付卡环境中技术控制和策略管理等。

3） 系统化思维：运用系统化思维可以帮助组织解决复杂且动态的问题，适应运营中的各种变化，减轻战略上的不确定性和外部因素的影响。例如，需要整合机构、人员、技术和流程；需要考虑安全、成本和易用性的权衡；需要靠持续改进（Plan-Do-Check-Act）；需要考虑全面防护和纵深防护。

4） 易用性：信息安全架构的最大价值在于被理解和广泛应用于组织的实践当中。因此，信息安全架构必须易于理解并且实际可操作性要强，应避免太过复杂和晦涩。

2.2 信息安全架构实现

2.2.1 信息安全架构-域试图

基于上面的基本原则，本信息安全架构由三个域组成（如图1所示）：治理（Governance）、保障（Assurance）和服务（Services）。

治理（Governance）： 信息安全治理域强调战略一致性，风险管理，资源管理和有效性测量。治理域又包括三个子域：愿景与战略、风险与遵从性管理和测量。各子域主要功能如下所述。

* 愿景与战略： 将遵从性要求，信息安全的发展趋势，行业发展趋势和业务战略转化为信息安全愿景、战略和路线图。

* 风险与遵从性管理： 管理信息安全风险使信息安全风险控制在组织可接受的范围内。

* 测量： 监控和测量整体信息安全的有效性并持续提升信息安全对组织的价值。

保障： 保障域侧重于信息安全的全面与纵深防护措施。保障域包含预防、监测、响应和恢复四个部分。各部分主要功能如下所述。同时保护的对象为不同层面的信息资产：数据层、应用层、IT基础设施层和物理层。

* 预防： 实施信息安全控制措施包括管理措施和技术措施，防止信息安全威胁损害组织的信息安全控态。

* 监测： 部署信息安全监测能力监控正在发生或已经发生的信息安全事态。

* 响应：部署信息安全响应体系迅速、高效的抑制信息安全事件。

* 恢复： 建立组织的可持续性能力，但重要信息系统不可用时，可以在计划的时间内恢复。

服务： 服务域显示了面向客户（内部和外部），协作与知识更新对信息安全实践非常重要。服务域包含三个部分：信息安全服务、知识管理、意识与文化。各部分主要功能如下所述。

* 信息安全服务： 信息安全团队应对待组织内部其他部门和对外部客户一样，基于服务基本协议，提供高质量的信息安全服务。

* 知识管理： 知识是信息安全实践和服务的基石。信息安全知识管理包括获取、维护和利用知识去获取最大的信息安全专业价值。信息安全知识应不仅在信息安全团队内部而且在整个组织被共享。

* 意识与文化： 信息安全意识与文化在组织内部建立一个整体的信息安全氛围。一个好的信息安全意识与文化意味着每个人都每个人都了解信息安全，关心信息安全、在日常工作中关注信息安全。信息安全意识与文化对提升组织整体信息安全成熟度和降低信息安全风险至关重要。

2.2.2 信息安全架构-组件试图

为支撑信息安全架构的三个域，本信息安全架构组件融合了不同标准和最佳实践的精华部分，并自成一体，如图2所示。本架构参考的标准主要有如下一些：ISO27001：2005、PCIDSSv2.0、COBIT4.1、COBIT5.0、ITILv3 以及NIST SP-800系列等。

3 信息安全架构在企业内实际应用效果分析

本信息安全架构已被推广和应用到各个行业中，如保险业、银行业、教育和非盈利性机构等。本文选取一个保险企业的案例来说明本信息安全架构给企业带来的积极变化。

背景：此保险公司有3000名员工，计划在加拿大多伦多（Toronto）上市，因此需要符合加拿大和行业的一些法律法规的要求，如Bill198、PIPEDA、PCIDSS等。同时公司高层决定借鉴信息安全管理的最佳实践标准，如ISO27002、NIST SP800、COBIT、ITIL、 FFIEC和 TOGAF等。因本信息安全架构的特点就是融合各法规、标准和最佳实践的要求，因此不需要做任何大的改动的情况下（降低成本）就能应用到此保险公司中。

经过9个月的实际运行，公司进行了各项测量指标重新评估并与实施本信息安全架构前的指标进行了对比分析。

3.1 平衡计分卡（Balanced Scorecard）[10]测评分析

平衡计分卡是衡量信息安全对企业贡献价值的一种分析工具。平衡计分卡包括四个测量项目：对企业的贡献，对愿景的规划，内部流程的成熟度和面向客户。该保险公司在实施本信息安全架构前后分别进行了两次测评。测评方法是由公司高级管理人员和各部门经理对信息安全部门进行评估，0级表示无成绩，5级表示完美，然后取平均值。2011年7月评估结果显示“企业贡献”为2.2，“愿景规划”为2.5，“内部流程”为2.8，“面向客户”为2.1；2012年7月评估结果显示“企业贡献”为4.1，“愿景规划”为3.9，“内部流程”为3.8，“面向客户”为4.1。如图3所示。测评结果表明实施本信息安全架构后企业高层及各部门对信息安全给企业带来的价值的认可度有较为明显提升。

3.2 总体信息安全成熟度级别分析

本文采取的信息安全总体成熟度的评价是基于ISO27002的控制域和CMMI[11]的评估级别。0级是最低级，5级是最高级。该保险公司在实施本信息安全架构前后分别进行了两次自评估。2011年10月实施本信息安全架构前成熟度水平是介于2.0-3.0之间， 2012年10月实施本信息安全架构后成熟度水平是介于3.0-4.5之间，如图4所示。成熟度级别分析结果表明实施本信息安全架构后整体成熟度有较为明显提升。

3.3 独立审核发现点数量分析

第三方机构独立审核是从专业、客观的角度来衡量整体信息安全控制措施，包括管理、技术和流程。审核发现点的数量越多，表明脆弱点越多，存在的风险越大。该保险公司在实施本信息安全架构前后分别邀请用一个第三方审核机构对其进行了全面审核与评估（依据上市公司的管控要求）。2011年9月审核结果显示有4个高风险项，8个中风险项和13个第风险项；2012年9月审核结果显示无高风险项，且只有2个中风险项和4个第风险项。如图5所示。审核结果表明实施本信息安全架构后整体风险水平有较为明显降低。

3.4 信息安全事件发生数量分析

信息安全事件（特别是1级与2级事件）发生的数量标志着信息安全控制措施的全面性和有效性。信息安全事件数量越少，表明整体控制措施越有效。该保险公司统计了实施本信息安全架构前后发生的信息安全事件数量。2011年1月-10月期间有4个一级安全事件（重大），12个二级安全事件（严重），25个三级安全事件和40个四级安全事件；2012年1月-10月期间有1个一级安全事件（重大），2个二级安全事件（严重），10个三级安全事件和16个四级安全事件。如图6所示。信息安全事件数量分析结果表明实施本信息安全架构后安全控制措施的全面性和有效性有较为明显增强。

3.5 鱼叉式网络钓鱼模拟攻击测试结果分析

模拟钓鱼攻击测试是对企业员工整体信息安全意识水平一种比较客观的考核方式。收到攻击（点击链接）的人数越少，表明整体信息安全水平越高。该保险公司采用ThreatSim的模拟攻击测试平台，在实施本信息安全架构前后分别选取了5个分支机构（共200人）进行了模拟攻击测试。测试的主要方法是注册一个与该保险公司类似的网络域名，然后伪造一份看似从信息安全管理员发出的E-mail，此E-mail的大致内容是说该保险公司于近期对相关系统进行了升级，将会影响到原有的帐户和密码，要求终端用户尽快修改密码。此E-mail包含一个链接到修改密码的伪网页。

2011年5月测试结果显示有47%的员工点击了有害链接，点击有害链接的员工中有18%的人输入了密码，点击有害链接的员工中有68%的人完成了在线培训内容；2012年5月测试结果显示有14%的员工点击了有害链接，点击有害链接的员工中有3%的人输入了密码，点击有害链接的员工中有98%的人完成了在线培训内容。如图7所示。模拟攻击测试分析结果表明实施本信息安全架构后该保险公司员工整体信息安全意识水平有较为明显进步。

3.6 信息安全服务客户满意度调查结果分析

客户满意度调查是从被服务客户的角度来衡量信息安全团队的服务能力，以及给公司带来的实际价值。满意度百分比值越高，表明信息安全团队的能力和服务价值越被认可。该保险公司在实施本信息安全架构前后分别对精算部、个人保险部、商业保险部、索偿部、渠道与销售部做了信息安全服务满意度调查。

2011年8月调查结果显示对服务专业质量的满意度为72%，对服务请求响应速度的满意度为46%，对服务态度的满意度为67%，整体满意度为60%；2012年8月调查结果显示对服务专业质量的满意度为95%，对服务请求响应速度的满意度为85%，对服务态度的满意度为92%，整体满意度为88%；如图7所示。客户满意度分析结果表明实施本信息安全架构后企业各部门对信息安全服务价值的认可度有较为明显提升。

4 结束语

现阶段信息安全管理着重在信息安全的风险控制，随着信息安全管理角色的转变，信息安全需要跟多的与组织战略结合，为组织创造更多的价值，并通过提供信息安全服务使组织内部各部门享受到信息安全给组织带来的价值并认可这些价值。当前被广泛采用的一些标准和最佳实践有其优点，但同时无法满足一些新的挑战。目前缺乏一种高效可执行的信息安全架构来将企业战略转化为信息安全计划、基于客户服务理念使信息安全服务价值最大化以及全面系统化管理信息安全。本文针对上述问题提出的一种面向企业战略和服务的信息安全架构。通过将本信息安全架构应用到实际的企业中，验证了本信息安全架构能够为企业提供更多的价值、增强客户满意度、提升整体安全成熟度和员工信息安全意识水平。

参考文献

[1] International Organization for Standardization， International Electrotechnical Commission. ISO/IEC 27001：2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements. Switzerland： ISO copyright office， 2005.

[2] IT Governance Institute. Control Objectives for Information and related Technology 4.1，USA： IT Governance Institute， 2007.

[3] National Institute of Standards and Technology， U.S. Department of Commerce. NIST Special Publication 800 series.

[4] PCI Security Standards Council LLC. PCI DSS Requirements and Security Assessment Procedures， Version 2.0. 2010.

[5] National Security Agency Information Assurance.

[6] Solutions Technical Directors. Information Assurance Technical Framework （IATF） version3.0. 2010.

[7] IT Governance Institute. Control Objectives for Information and related Technology 5.0，USA： IT Governance Institute， 2012.

[8] Sharon Taylor， Majid Iqbal， Michael Nieves， 等. Information Technology Infrastructure Library ， England： Office of Government Commerce， ITIL Press Office， 2007.

[9] Federal Financial Institutions Examination Council. IT Examination Handbook， information security Booklet. USA： FFIEC， 2006

[10] The Open Group's Architecture Forum. The Open Group Architecture Framework version 9.1， 2012.

[11] Howard Rohm. Using the Balanced Scorecard to Align Your Organization. Balanced Scorecard Institute， a Strategy Management Group company， 2008.

[12] Software Engineering Institute， Carnegie Mellon University. Capability Maturity Model Integration （CMMI） Version 1.3. USA： Carnegie Mellon University， 2010.

[13] STRATUM SECURITY. Proactive Phishing Defense. 2012.

作者简介：

唐昌龙（1980-），男，博士在读；研究领域为网络安全、信息安全管理体系、信息安全架构。

刘吉强（1973-），男，博士，教授；研究方向为网络安全、可信计算、应用密码学、安全协议。