何新华，春增军

（中科华核电技术研究院有限公司信息技术中心，广东 深圳 518028）

0 引言

在信息化程度快速提高的今天，社会各组织或机构的各类业务越来越依赖于计算机、网络和信息系统。然而，此类信息资产却遭受到来自组织机构内部和外部的各种威胁。一旦信息资产遭到破坏，必将产生不良后果。核电作为一种特殊的清洁型能源，保护信息系统安全，确保信息的机密性、完整性和可用性，使之健康平稳运行是十分重要的。为了防止信息安全事件的发生，通行的做法是通过部署防火墙、入侵检测/入侵防范系统、防病毒系统、上网行为管理系统等进行防范。然而，此类技术手段，却无法阻止人因失效所导致的破坏。只有全面提高人员的信息安全意识，将信息安全管理纳入到组织或机构的管理体系框架内，建立健全各类信息安全规章制度，将技术手段与管理手段相结合，才能有效地杜绝信息安全事件的发生，保障组织或机构各项业务的有效开展。

1 核安全文化简介

1.1 核安全文化的起源

核电站的“安全文化”是国际核能界在三里岛和切尔诺贝利事故后，结合“企业文化”的管理思想，提出的这一新的安全管理思想和原则。它是传统的纵深防御原则的扩充，也是安全管理思想的一次重大变革。大亚湾核电站从运行初期安全管理制度就是建立在“纵深防御”和“程序管理”的安全管理思想上的，即认为设备、人和管理都是可能出现失效的，为把这种失效的可能性减为最小，除提高设备质量、人员素质和改进管理外，还必须采取一系列的防范措施，即预防、监督和在万一出现失效时必要的响应对策。

1.2 核安全文化的特点

核安全文化强调四个“凡事”，即：凡事有章可循、凡事有人负责、凡事有据可查、凡事有人监督[1]。

①凡事有章可循，指所做的工作、所要求的内容和建立的管理制度要落实到明确规定和文件，形成实实在在的制度文件；

②凡事有人负责，指要在现有业务部门结构的基础上建立起安全管理的组织结构和组织人员，对各个部门和岗位建立明确安全职责，确保每项工作都能够找到明确的负责人；

③凡事有据可查，指所做的各项工作和操作都需要形成记录；

④凡事有人监督，指要建立起完善的监督、检查和审计机制，制定明确的监督人员、岗位，制定详细的监督、检查和审计内容。

2 核安全文化与信息安全相结合

核电企业始终坚持“安全第一，质量第一，追求卓越”的方针。信息技术在核电企业内部的应用不断深化，信息系统安全、稳定运行关系到核电业务的开展。信息安全工作已经成为保障核安全的有机组成部分。

核安全文化中倡导的“纵深防御”原则在信息安全领域很早就被提出过。美国国家安全局制定的 IATF中最早提出了纵深防御，也称作“深度防护(Defense-in-Depth)”的策略。IATF强调人、技术、操作这三个核心原则，关注四个信息安全保障领域：保护网络和基础设施、保护边界、保护计算环境、支撑基础设施。

建立完善的信息安全保障体系不仅是核电企业为保障信息技术安全的需求，同时也是符合核电行业的核安全需求的。

3 信息安全管理体系简介

3.1 ISO 27001标准简介

ISO 27001信息安全管理体系标准来源于英国标准协会于1995年2月制定的信息安全管理标准BS7799，于2005年被国际标准化组织吸纳，形成《ISO/IEC 27001:2005信息安全技术信息安全管理体系要求》国际标准。

ISO 27001标准定义了建立信息安全管理体系的基本要求和方法，此标准的设计在于确保在组织中建立恰当而有效的控制措施，通过有效的控制措施来保护组织的信息资产安全，确保信息资产的机密性、完整性和有效性。采用过程化方法来建立、实施、运行监控和评审信息安全管理体系，以保持 ISMS体系的正常平稳有效运行，并进行持续优化与改进，以不断提高组织的信息安全管理水平[2]。

ISO 27001信息安全管理体系主要分为 11个安全域，包含133个控制项。11个域为信息安全方针、信息安全组织、资产管理、人力资源安全、通讯和操作安全、信息系统获取开发和维护、访问控制、信息安全事故管理、业务连续性管理和符合性。

3.2 ISMS体系建设最佳实践模型简介

在对ISO 27001信息安全管理体系标准的拓展中，韩国推行的信息安全管理体系模型较为典型。通过对一个团体与外部合作伙伴间的合作安全性、加强对全体员工及相关方的信息安全意识与信息安全技术的培训工作、加强帐号密码的使用管理与密码产品的安全性要求和对信息系统的安全审计监督与检查工作,把 ISO 27001信息安全管理体系标准的11个安全域拓展成15个安全域。 15个域为信息安全方针、信息安全组织、资产管理、人力资源安全、外部合作伙伴的安全、物理和环境安全、通讯和操作安全、信息系统获取开发和维护、业务连续性管理、加密控制、信息安全事故管理、访问控制、检查/监督/审计、信息安全教育和培训、符合性。

韩国国家推行的包含15个域的信息安全管理体系模型，是国际原子能机构推荐的核机构和核行业的信息安全管理最佳实践。

4 信息安全管理体系建设过程

ISMS信息安全管理体系的建立是基于PDCA模型[3],其中P（Plan）即规划，建立与管理风险和改进信息安全有关的信息安全管理体系方针、目标、过程和程序，提供与组织整体策略方针和目标相一致的结果；D（Do）即实施，实施和运行 ISMS方针、控制措施、过程和规程；C（Check）即检查，对照 ISMS方针、目标和实践经验，评估并在适当时测量过程的执行情况，并将结果报告管理者以供评审；A（ACT）即处置，基于 ISMS内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进ISMS。

ISMS信息安全管理体系建设过程的整个生命周期可以分为现状调研阶段、资产识别与风险评估阶段、架构设计阶段、总体规划阶段、体系建立阶段、体系试运行阶段、体系认证阶段、体系维护与改进阶段。

4.1 现状调研阶段

现状调研阶段的主要工作是对组织的信息安全管理相关政策、制度和规范、业务特征或服务、现有的组织情况、网络信息与配置、日常操作与管理等内容进行调查，以了解组织业务，挖掘组织中存在的安全问题，分析组织内可能存在的信息安全风险，参照相关标准给出差距分析报告。可以采用文件审核、问卷调查、技术工具评估及现场访谈等方式进行。

差距分析是建立实施 ISMS体系的重要环节，调研人员需要针对一个组织的特点与现状，制定明确的调研目标，精心编制访谈提纲，制定调查问卷与合理安排调研时间。针对不同的调研对象，设定不同的调研侧重点。

4.2 资产识别与风险评估阶段

4.2.1 信息资产识别

深入了解并识别出一个组织的所有信息资产是开展风险评估工作的先提条件。在进行信息资产识别时，可以按应用系统资产组、非应用系统资产组和非系统资产组进行分类识别与汇总。其中，应用系统资产组以组织内部的应用系统为依据，由与系统相关的硬件、软件、系统配置信息、系统权限信息、系统开发人员、系统维护人员等信息组成本；非系统资产组以为应用系统和组织内部运行提供支持功能的设备组成；非系统资产组由办公设备、文档、人员、环境设施、服务、无形资产等组成。

信息资产采集后，可根据信息资产在机密性、完整性和可用性三个方面所表现出的不同重要程序，按5（非常高）、4（高）、3（中）、2（低）、1（可忽略）五个级别对信息资产进行赋值，评估信息资产的价值。 资产价值的大小不仅需要考虑其自身的价值，还需要考虑其业务的相关性和一定条件下的潜在价值。

4.2.2 风险评估

风险评估工作可从信息资产风险评估、业务流程评估、人员帐号评估、应用系统评估几个维度进行。

(1)信息资产风险评估

信息资产识别是开展信息资产风险评估的基础，识别出信息资产自身包含的脆弱性与潜在风险。在条件具备的情况下，可构建结合自身实际的风险评估管理模型[4]。威胁识别可以参考国信办发布的《信息安全风险评估指南》中的要求和威胁来源，结合组织的具体情况进行。脆弱性评估可以以资产为核心，识别出可能被威胁所利用的脆弱性，并对脆弱性的严重程度进行评估。对应用在不同环境中的相同的弱点，其严重程度可能是不一样，评估者应从组织安全策略的角度考虑，判断资产的脆弱性和严重程度。信息系统所采用的通信协议，与其它网络的互联等因素均应考虑在内。脆弱性收集可以采用问卷调查、访谈、工具扫描、手动检查、文档审查、渗透测试等手段。

(2)应用流程评估

流程评估可以从流程的价值特性、操作特性、控制特性和保障特性四个方面进行评估。

流程的价值特性评估可以从是否具有明确的流程目标，流程是否与企业的战略目标相协调，流程所涉及到的所有者、管理者及参与者是否有明确的界定及职责划分等方面进行。

流程的操作特性评估可以从流程设计是否合理，流程规则是否清晰，流程操作程序是否规范化，流程的输入输出及反馈信息是否有效，是否合理使用信息资源等方面进行。

流程的控制特性评估可以从是否采用必要的管理控制手段来保证流程的合法性，是否采用了必要的技术手段来保证流程运转的安全和效率，是否满足流程建模中定义的关键控制点的要求，流程是否在人员技术和管理上考虑异常处置方式和流程的合规性等方面进行。

流程的保障特性评估可以从是否建立完备的测量指标并进了阶段性的测量，是否建立了相应的问责制和是否有持续优化机制等方面进行。

(3)人员帐号评估

人员帐号评估可以从对人资部门、合法员工和系统管理员等方面进行评估。

对人资部门的评估中，需要考虑人资部门是否参与系统帐号与员工个人帐号的审批工作，系统权限的开通流程是否有流转单，外来人员帐号权限开通与变更流程，员工转岗或离辞帐号权限变更流程，是否有帐号定期检查机制，是否有统一的系统授权机制等。

对合法员工的人员帐号评估中，应考虑员工入职、变岗、离辞情形下的系统授权与变更情况，相关审批记录，员工帐号口令的复杂度及更改周期，员工电脑共享目录开放情况等。

对系统管理员进行的人员帐号评估中，应考虑到对合法员工授权与变更审批流程、外来人员系统授权与变更流程、系统帐号与人事系统中的帐号的对应关系、帐号权限分配流程与权限变更流程、是否建立系统帐号及相应的权限分配清单、系统帐号分配与删除流程、是否有帐号定期检查制度、共用帐号的权限使用与密码管理策略、是否有系统默认帐号的存在等。

(4)应用系统评估

应用系统评估可以从系统开发部署与运行管理、身份鉴别[5]、访问控制、交易安全、数据保密性、数据完整性、系统完整性、数据导入导出、剩余信息处理、密码安全、输入输出合法性、异常处理、备份与故障恢复、日志与审计、系统容量规划与可用性管理等方面进行。

4.3 架构设计阶段

架构设计阶段可以考虑从安全策略保障体系、安全组织保障体系、安全运行保障体系、安全技术保障体系、应急恢复保障体系、保密体系等方面构建组织的信息安全总体架构。

安全策略保障体系包括建立组织的信息安全方针与策略，明确管理层对信息安全的期望与承诺，描述对组织的信息资产进行有效管理的方法，规定人员安全操作的流程与规范，制定系统配置规格、使用策略等。

安全组织保障体系包括建立完成组织安全目标的组织机构，包括跨部门的信息安全管理委员会、安全工作小组、第三方安全服务组织等。

安全运行保障体系包括建立日常安全运行与维护机制，包括生产调度、运行监控、问题处理、变更管理。重点是建立生产运行问题处理机制，形成完善的运行保障机制，及时、准确、快速地处理生产问题，强调执行过程安全。

安全技术保障体系包括应用先进成熟的技术手段与产品，降低安全风险，包括安全产品的购置与配置加固、防病毒、加强安全域和网络访问控制，统一监控管理平台、统一身份认证与授权管理平台等。

应急恢复保障体系包括业务持续性计划及灾难恢复规划的实施，包括建立数据灾难备份中心，各个业务系统及IT系统的应急方案，其目标是控制事态发展，保障生命财产安全，恢复正常生产运行状态。

4.4 总体规划阶段

总是体规划报告将明确组织未来信息安全建设的总体方向，规划出组织未来一段时期内的信息安全建设工作，如建立实施 ISMS体系、实施网络安全域的划分、完善信息安全组织架构、安全运维评估与检查、建立安全运行中心、建立业务连续性和应急体系、完善设备淘汰机制、加强系统帐号管理、信息资产管理、加强服务器安全、实施 IT审计、系统高可用性改造、域策略安全优化、实施软件开发安全、加强人力资源安全管理等。

通过对信息安全总体规划的实施，可以逐步改变组织的信息安全现状，为未来组织的信息系统的平稳运行和业务的持续开展提供强有力的安全保障。

4.5 体系建立阶段

ISMS是实施信息安全管理所必需的结构、规则、过程和资源等因素所组成的有机总体。

建立ISMS的过程应当以风险管理为基础，通过建立一整套文件化的管理制度，包括方针、策略、程序文件、操作手册、记录等。

体系文件可以按三个层级关系进行组编，其中：

① 一级文件包括组织的信息安全方针和策略等文件，是整个体系的纲领性文件；

② 二级文件的旨在规范和组织信息安全管理体系的建立与维护有关的活动，主要有体系审核、管理评审、文件和记录控制、持续改进等文件；

③ 三级文件是依据一、二级文件提出的信息安全管理要求所制订的信息安全管理文件，逻辑上从高到低分为“规定”、“程序”两个层次。

体系文件应涵盖ISO 27001标准的133个控制项，对于不适用于组织的控制项，应在《适用性声明》文件中加以说明。

4.6 体系试运行阶段

ISMS体系建立后，需要对体系建立阶段编制的体系文件进行发布，对ISMS体系的15个域和133个控制项的控制措施进行落实、检查与监督，进入ISMS体系试运行阶段。

制定合理有效的体系试运行计划、规划试老实巴交中的工作重点、成立体系试运行工作小组和内审小组、领导及全体员工的积极参与和配合是体系试运行工作取得成功的关键。

在体系试运行阶段，通过制作宣传画报、进行信息安全意识培训、体系文件宣贯等方式，使全体员工充分了解ISMS体系是一个很重要的工作环节。

采取纠正预防措施整改工作书，将在体系试运行阶段发现的不足之处以书面的方式下发到各个部门，责令限期整改，并安全专人进行辅导与监督，是体系得以落实的一个较为有效的手段。

在体系统试运行阶段，可以综合开展ISMS体系和体系文件宣贯、信息安全意识培训、落实控制措施、进行风险处置、检查与改进、控制措施有效性测量、管理系统改进与优化、内审、管理评审、准备ISMS体系认证等工作。

4.7 体系认证阶段

体系试运行结束后，组织可向具有体系认证资质的第三方外部审核机构申请体系认证。体系认证工作分为预审和正审二阶段。全部通过后，组织可获得ISMS体系认证证书。

4.8 体系维护阶段

由于组织信息系统所处的内外环境的变化，信息资产所面临的风险也在不断的发生变化，将组织所面临的风险控制在组织可接受的水平，保持 ISMS体系有效平稳运行，并持续改进是十分重要的。ISMS体系保持与持续优化工作应以信息资产风险评估为主线，结合内审、管理评审和外部审核机构复审等工作进行。

5 结语

随着信息技术的发展和各类网络安全事件所产生的破坏性，各行各业对网络与信息安全的重视程度日益提升。引进国际先进的信息安全管理理念，借签各行各业的成功经验，构建切合自身实际的 ISMS体系成为当务之急。通过对ISMS体系建设几个阶段中所涉及的方法、手段、关注点等进行阐述，有助于核电企业构建有效的 ISMS体系。然而，如何将信息安全管理体系标准与信息系统等级保护要求、ISO 20000标准等进行有效融合，从而构建更有效的ISMS体系还有待于进一步的研究。

[1] 李达.核安全文化与信息安全的结合[EB/OL].（2009-06-22）[2010-03-20]. http://sec.chinabyte.com/4/8915504.shtml.

[2] 春增军.基于ISO27001的企业信息安全保障体系的构建设想[J].情报杂志，2009,28(05):155-162.

[3] 中国国家标准化管理委员会.GBT-22080-2008 信息技术-安全技术-信息安全管理体系-要求[S].北京：中国标准出版社，2008.

[4] 周权.基于代数方法的信息安全风险评估管理模型[J].通信技术，2008，41（07）：193-195.

[5] 任伟，刘嘉勇，熊智.一种基于指纹的远程双向身份鉴别方案[J].通信技术，2009，42（11）：124-126.