摘要：本文以一家大型精密模具设计、智能制造的全球化一站式服务供应商为背景，介绍了信息安全工作的经验、教训和做法。本文体现了信息安全管理的重要性，顶层设计与行业最佳实践，在给企业带来效益的同时对于企业在做信息安全的标准化，体系化建设与改进具有一定的实际参考价值。

文中从四部分介绍来规划与建设信息安全工作。1、通过安全架构的开发做顶层设计，保证与企业战略发展的一致性并增加效益；2、体系制度的建立与贯彻，定义角色、职责和企业可接受的性能级别以及对行为和动作的期望；3、安全项目建设的管理，遵循项目管理的过程域与工具技术来指导工作；4、安全运营的管控，按照安全策略制定的要求，进行日常工作，对安全事件进行监测与跟踪。在公司6000多人、IT和安全人数25人（不含研发）的前提下，取得了不错的效果。

公司是一家以大型精密模具为核心，集工业设计、汽车零部件、智能制造服务为一体的全球化一站式服务供应商。在中国沿海主要城市设有多个制造基地，在全球五大洲10多个国家设有技术工厂及服务据点。随着“两化融合”的深入推进，企业将以大型精密模具为基础，强化系统集成能力建设，以高端化、智能化为纽带，通过资本与产业的融合及品牌化运作，打造领先的中国智造的民族品牌。

在企业的信息安全管理工作中，我注重顶层的设计与开发，其中包括和IT规划的顶层架构设计中依据行业经验以及某几个重点客户的信息安全审计要求引入安全架构；结合公司其它相关部门共同编写体系制度文件，体现于公司层面对相关制度的共识与执行准则；利用项目管理的方法启动、规划、执行、监控、收尾项目，做到安全、质量风险可控；注重用持续改进的理论方法来指导安全运营的管控。下面结合实际工作，从以下四个方面讨论下针对我公司的落地情况。

一、安全架构的开发

参照The Open Group组织企业架构的开发方法，其中最核心的体现在于各种架构的开发，包括业务架构BA，应用架构AA，数据架构DA，技术架构TA。IT规划建设根据该方法获得收益的同时，企业安全也需要架构规划：根据业务战略转变成IT企业架构，在做好信息数字化的转型中，引入安全架构，来全方位地保障整个规划建设的健壮性与合规性。

1、治理委员会对应业务架构（BA）

成立企业/组织高层领导组成的信息安全治理委员会，在IT和业务职能方面明确定义角色和职责。根据业务战略、目的和目标对IT战略及其相关标准、流程和准则进行检查和审批，从而确保：技术将通过必要设施的及时实施和充分履行来确保这些业务/组织目标的实现。将提供工作包的 IT 成本降至最低，以便从IT资源中获得最优价值。

2、应用安全对应应用架构（AA）

代码安全：开发人员参照应用程序代码编写安全规范编写代码，并在开发过程中对代码进行复审；在应用系统上线前对代码进行安全脆弱性分析和渗透性测试。
访问控制：结合主机防火墙，HIPS在应用系统上开发并使用基于角色的权限控制方式对系统资源的访问进行授权，支持根据业务角色不同赋予权限，支持到功能模块、文件、报表的细颗粒度权限控制；严格限制默认账户的访问权限；权限分离采用最小授权原则，授予用户完成承担任务所需的最小权限和权限分离，如将管理与审计赋予不同用户。
身份鉴别：应用系统的用户认证与统一权限管理系统AD域进行集成，实现统一身份认证、单点登录和统一授权，并应用PKI/CA系统进行强身份认证。对外部系统采用动态码，手机码进行辅助认证。

3、数据安全对应数据架构（DA）

对在企业中产生的数据进行生命周期的管控，针对信息安全特别注意以下几点:

数据完整性：系统在数据的传输、存储、处理过程中，使用事务传输机制对数据完整性进行保证，使用数据质量管理工具对数据完整性进行校验，在监测到完整性错误时进行告警，并采用必要的恢复措施。
数据保密性：系统的身份鉴别信息、敏感的系统管理数据和敏感的业务数据在传输、存储、处理过程中，进行加密，脱敏或使用专用的协议或安全通信协议。
数据可用性：利用公司两地机房实现异地数据级灾备，备份频度达到每天一次，支持在系统数据出现异常时进行数据恢复；逐步实现核心应用的灾备，在系统出现故障或灾难时自动进行业务切换和恢复；系统相关重要网络设备、通信链路和服务器进行冗余设计，避免单点故障。

4、基础设施安全对应技术架构（TA）

基础设施安全的范围包括服务器、终端/工作站等的操作系统和数据库、中间件，网络设备等。

基线安全：根据CIS（互联网安全中心）最新系统基线标准，结合企业特点，制定并实施基线安全，包含主流操作系统及应用系统（oracle、linux、windows以及Kubernetes）及访问控制策略。操作系统遵循最小安装原则，仅安装必须的组件和应用程序，并通过自动升级或主动补丁推送方式及时得到更新。
入侵防范：通过基于主机和网络的入侵检测设备和日志管理中心监测发生的入侵行为，记录入侵信息并实时告警；利用主机管理平台支持对重要程序文件和配置文件的完整性检测，在检测到完整性受到破坏后具有恢复的措施；
安全审计：通过态势感知，日志管理平台，流量分析，堡垒机与主机管理综合对服务器、工作站/终端上所有的用户行为进行安全审计，记录系统内重要的安全相关事件。并能快速准确地溯源事件的根本原因。

二、体系制度的建立与贯彻

1、设计与编写

制度流程需要从组织层面整体考虑和设计，并形成体系框架。制度体系需要分层，层与层之间，同一层不同模块之间需要有关联逻辑，在内容上不能重复或矛盾。一般按照分为四级：一级文件包括方针、总纲；二级文件包括管理制度，管理办法；三级文件包括操作流程、规范、作业指导书、模板文件等；四级文件包括计划、表格、报告、各种运行/检查记录、日志文件等。

2、评审与发布

组织内部评审小组，涵盖各业务生产管理部门相关负责人达成共识。每两年做一次制度大版本的修订，领导人审阅签字并确认更新。

根据ISO27000的ITSM的体系要求，裁剪并发布信息安全管理体系文件。根据国标《GBT 30976.1-2014 工业控制系统信息安全》制作ICS工业互联网体系文件。根据国标《GB∕T 37988-2019 信息安全技术数据安全能力成熟度模型》及《数据安全能力建设实施指南 V1.0》建立数据安全体系文件。

3、贯彻与维护

培训安排：通过调查获取培训需求，设计管理培训主题覆盖信息安全管理制度，制定并实施培训计划，通过调查问卷、考试来做培训效果评价。
奖罚制度：对安全事件进行分类定级。对于违反安全规定的事件，根据级别不同采用不同等级的奖罚金额，让所有人明白信息安全融入在我们的日常工作中，对任何想故意违反破坏的行为形成强烈的威慑。
维护更新：进一步补充与完善安全管理体系，同时通过不断地持续改进和优化，最终形成能够自我完善，螺旋上升式的安全管理体系，将企业信息安全管理能力提升到业界领先水平。

三、安全项目建设的管理

1、立项

根据建设规划，考察市场，选择产品测试，对项目进行立项报告。在报告中体现针对特定领域的现状分析，结合企业的实际环境给出的需求分析，对于该安全项目采用必要性分析，结合企业的采购预算和人员能力的综合考虑定下产品配置型号，然后进行可行性分析和效益分析，创建项目实施计划表，为下一步项目实施做好准备。我们认为在项目规划和实施前进行充分的调研、分析和测试是项目成功的前提。

2、规划与实施

创建好项目实施的工作说明书（SOW）。第一阶段，规划项目目标（包括系统建设目标，技术服务目标），范围，甲乙方参与人员，角色与职责，进度计划。第二阶段，环境调研，方案设计，实施环境准备，生产环境的安装与测试。

3、验收

在项目结束之前，实施团队须提交如下交付内容：运转良好的系统、《工作说明书》、《安装指导》、《实施指导》、《培训文档》、《系统验收报告》。

例如：实施团队将根据系统设计，对系统的验收标准如下：安装介质及软件许可；系统功能说明书；服务管理工具或系统的测试计划及报告、上线计划及报告、操作指南及配置手册；技术支持联系人列表。

4、评估

系统上线运行三个月以后，我们会重点评估预期的系统价值是否达到，如工作效率方面的价值、加强管控方面的价值、防范风险方面的价值。通过上线该系统，改善相应的安全考核指标和方法，建立长期的改善机制，确保持续创造价值。项目团队内部组织项目回顾机制，按季度执行，邀请使用部门、业务部门的高层领导参与并定义改进的衡量及验收标准，最终提交改进报告。

四、安全运营的管控

1、应急响应开发演练

为了实现快速有效的恢复，最小程度地减少信息丢失或盗窃。通过快速地监测与处理来保护信息系统和数据，通过快速解决事件来高效使用资源。在不同等级的网络安全应急响应事件发生后，安全事件响应组应启动响应预案，并负责应急处置工作。我们开发了针对重要系统，重要数据库的勒索病毒演练。比如《应急处置方案》包括紧急处置方案及后续跟进方案。最后通过模板编辑好《安全事件应急响应报告》来做总结。

2、密码策略，终端安全

收回员工电脑的管理员权限，并部署EDR产品监控病毒和漏洞的情况。邮件及PC端的密码策略，做到1-3个月更改1次，密码必须满足复杂性要求。在实施的过程中，IT内部组织会议，评估更改密码带来的影响。然后设计了专门的安全声明并经过公司董事会的认可并签字，做为公司的政策文件，这样保证策略在推行过程中尽可能地降低阻碍。

3、入侵检测，安全整改

随着网络安全风险系数的提高，作为防火墙有益的补充，网络入侵检测技术能够帮助网络系统实时发现、识别攻击的发生，提升了管理员的安全管理能力。因此通过网络入侵检测技术和防火墙的结合，可以实现一个完整的网络安全解决方案。公司部署了入侵检测硬件产品，搭建在数据中心边界，通过串行的接入网络、实时监测通往数据中心服务器的流量；对于某些业务存在误拦截的情况，经过安全整改和风险评估后可以针对该业务流量允许放行，这样就保障了业务连续性，并将该“风险”进行特别标识作为后续重点关注对象。

4、节假日特定策略

由于节假日很多员工放假，一旦发生安全事件可能无法及时响应和处理，因此制订了节假日期间的信息安全特定策略。我们要求所有服务器在节假日之前做一次密码更新，手动更新未自动更新的补丁，重启生效；VPN账户只对IT内部员工的运维账户开放，供应商账户使用需申请；内网关闭445，3389，135，137，138，139，80，8080端口，工作日再提前打开；可通过终端管理平台监测所有终端是否关机，对于没有关机的实行强制关机；离线备份服务器断开网络，必要时再进行人为干预恢复备份。

5、文件安全传输，文控中心的设立

企业内部设立文控中心，内部的数据流转必须经过审批流程到专门的电脑做文件交换处理（比如打印、导出），并保证责任落实到相关部门主管；通过该流程的执行做好机密文件的传输保障。同时对于专门的文件交换服务器进行加固，开启防火墙细致的访问策略，防病毒和漏洞补丁的定时更新与扫描评估。

我们还采用文件级别的加密策略来保护资产：将设计图纸、开发代码、财务信息、客户资料等重要的电子文档在完全不改变用户的习惯下进行自动加密，即使这些文档被非法带离企业也无法解密和应用。通过文件水印的方式防止截屏，拍照，从技术上控制这方面的数据泄露。

6、安全自评估、合同要求

为了满足对上下游的信息安全要求，我们重点推进了2项策略：

开展自评估管理工作，找出自身值得推广的良好实践以及有待改进的地方，提出并落实改进意见，以不断提高下游供应链及合作伙伴的安全管理水平。规定每年开展并提供《XX公司安全自评估报告》。
在采购与销售合同中，专门增加信息安全要求或遵循部分，来印证与满足不同供应链的要求，把上游对我们的供应链安全要求落实、推广到下游和合作伙伴。

7、信息安全月报

每月向公司领导发布报告，体现信息安全在企业内部一个月内的运营数据和进行分析，发现不足、持续改进。包括安全服务指标达成率、整体安全级别评估、事件处理、趋势分析、安全计划任务完成情况及异常事件处置情况，报告总结等情况，给企业相关利益者一个综合的评定。

8、多维度安全培训

启用屏幕保护程序，在员工离开座位的时候，自动锁屏并出现安全意识屏保动画，来加强基础安全的教育。每周在信息分享平台上对全集团推送卡通漫画，让员工在轻松的阅读与观看下领会信息安全的关注项。入职员工通过在线课堂的学习，来了解信息安全。并通过在线考试，来评估员工学习的有效性。

根据项目安排开发人员，应用实施人员开展配置管理、变更管理方面的项目培训。对信息安全注意事项专门体现在标准操作手册中。安全团队每月接受合作伙伴和供应商的技术实践分享，接受当下以及未来市场上的安全理念与先进技术。

9、回顾、分析与改进

定期或者根据安全事件发生的情况，开展回顾、分析和改进活动，明确改进措施，以完善安全建设、修补漏缺、规划改进任务，确保实现闭环。例如：

基线管理中，要保证系统的安全设置可以统一实施，可以更快的迭代、提高新建系统与评估系统的效率；
针对SQL注入的高危漏洞，需要代码层次上的修改，再通过WAF或漏扫设备评估其效果。
对于员工终端的漏洞修补，通过终端管理平台持续不断的更新补丁、尽可能自动化完成；对于个别终端不能自动化处理的问题，保证手动及时处理，保证病毒与漏洞修补的覆盖率。

总结

经过常年的建设，依据ISO的ISMS体系标准逐步完善了体系建设要求，结合制度文件在人员、技术、资源、流程方面使得我们企业在信息安全取得了一定的成果。

通过安全架构的开发，更有效地从宏观角度规划设计，使IT安全系统效率和业务变革间取得更好的平衡，使企业分散的系统，流程优化整合为集成的环境，以响应企业业务战略的变化与交付，提高IT管控效率，提高投资回报，降低未来的投资风险。优化改进已有的安全体系管理制度，开发设计新的体系制度，包括专项于工业互联网安全，数据安全的制度开发，通过裁剪找到适合本企业的标准并评审与发布。

利用项目管理技术手段，对信息安全项目进行全生命周期的管理，使其转化成公司的资产；更好的交付与有效管理，可以满足相关利益者更明确与合理的期望。但我们在人员、资源、技术、流程上还存在着较大的提升空间，涉及到人员连续性管理，知识管理，事件管理等方面；制度文件的贯彻与培训、应用安全的全生命周期管理、数据的分类分级、数据的隐私保护等还处于初步阶段。这些方面需要更多部门的配合并形成共识，由事件驱动、合规驱动向业务驱动、风险意识驱动的方向转变。做到主动防御、积极防御，把信息安全的建设、运营作为一个长期的工作，并不断地进行持续改进，全面提升企业的信息安全能力。

作者介绍

波叔，从事网络基础运维、信息安全及某上市企业下属的IT公司管理岗位多年，高级职业经理人，在制造行业有非常丰富的信息安全实践经验。

RECOMMEND

往期回顾

关于安全村文集·科技创新型企业专刊

科技强大的根本在于企业创新，创新过程中需要确保信息安全工作。专刊汇集了安全工作者的经验、教训、心得、体会、思路、方法、架构、方案，希望搭建一个创新型企业信息安全交流的平台，推动行业的信息安全工作交流、共享、提升。

关于安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

投稿邮箱：[email protected]