曾弘瑞

安全工作年年做，安全问题年年有

一份来自某客户企业内网的安全加固统计数据反映：发现问题5447个，修补漏洞3323个，总体加固率为61%。这还是在亚运会大背景下各部门共同推动，各系统维护方、服务厂家积极配合的结果。这种客户网络不但存在大量安全风险问题，而且存在的问题和已处置解决的问题之间存在较大差距的现状，不禁让人担忧。

为什么安全工作年年做，问题年年有，还总有些问题年年存在却总也解决不了，应该如何去推动安全工作真正落实下去，而不是把问题和风险悬在那里？

据此，华为在客户处开展调研和咨询工作，并归纳四大典型安全风险：即IT系统自身安全性不强；安全加固无法根除所有隐患；安全工作开展存在明显短板；安全支撑手段不够，安全要求难以落地。

如何去解决这些疑难杂症，华为提出安全三同步的工作思路，希望从机制上用系统的方法推动网络与信息安全问题的解决，统筹规划从前端到运维末端各阶段各部门安全工作。

遵循同步规划、同步建设、同步运行的指导思想

关键业务相关系统的稳定和安全运行是安全工作的核心，应当着重从系统全生命周期、全流程角度来同步考虑安全工作，使安全建设需要符合业务发展需要。

安全三同步以“同步规划、同步建设、同步运行”为指导思想，本着“谁主管、谁负责”工作原则落实执行，在系统生命周期各阶段明确责任部门及安全职责，在全过程中推行安全同步开展，强化安全工作前移，降低运维阶段的服务压力。在过程中建立和推行一套工作机制，包括从规划到验收阶段统一的管理制度、技术规范、运作、实施细则和工作流程，并在过程中梳理支撑手段。统筹规划从前端到运维末端各阶段各部门安全工作的一体化开展，最终推动系统生命周期安全目标的落实。

三大架构共铸安全三同步工作模型

笔者通过工作架构、组织架构、体系架构三方面来具体介绍安全三同步工作模型。

所谓安全三同步是指围绕系统的规划、建设和运行三过程同步开展和落实各阶段安全要求。这个过程又可细化为5个可操作阶段，分别是规划设计、立项采购、开发实施、上线验收以及运行维护。对应到三同步中，即安全规划是对规划设计阶段的安全管理，安全建设是对立项采购、开发实施、上线验收的安全管理，安全运行是对运行维护的安全管理。安全贯彻整个系统生命周期，保证了系统由最初的需求到最终的安全运维整个过程的安全。通过做好各阶段的安全管理工作，促进系统自身安全性和防护能力提升，推动安全工作中的短板。

安全三同步组织结构则按角色定义，由安全统筹部门以及规划、采购、建设、维护这四个阶段主管部门组成，使得安全工作有一个归口部门进行统一管理，从而使管理工作系统化、统一化。真正做到谁主管谁负责。

安全三同步文件体系架构分为4层，这与目前主流的安全体系诸如ISO27001、ISO20000等体系结构一致。一级文件是管理办法，指导性文件；二级文件是管理细则文档，明确提出各阶段安全工作要点以及各阶段安全主管部门的职责；三级文件是操作指引文档，详细的描述完成安全管理工作的步骤以及关键环节工作要点、工作输入输出等，规范并指导工作开展；四级文件为安全三同步工作各相关记录文件以及各类配置规范和标准。

工作流转过程：标准统一、环环相扣、责任明确

图3是安全三同步的工作流转过程示意图，从总体上说明了系统各个阶段的安全工作。在规划设计时识别安全需求，明确安全目标；在立项采购确保安全要求以具备法律效应的书面形式被明确；在开发实施时落实前期已明确的安全要求；在上线验收时确保系统满足系统安全验收评判要求，而在运维阶段确保业务连续性，杜绝信息安全事件，做到安全可控、安全运维。

系统安全工作整个过程是在一个统一标准下进行的，各个环节环环相扣紧密结合，以《系统入网安全设计标准》为参照，进行安全需求分析，确立最终的安全设计要求。在立项采购时，会以安全设计要求为依据，进行招标采购工作。在系统开发阶段会以安全设计要求作为依据，开展系统的开发实施。系统实施完成后，依照系统入网验收安全标准对系统进行入网验收，而入网验收安全标准的制定又与系统入网安全设计标准是相互关联的。

在各阶段的工作落实上，我们定义了各阶段的必要环节以及规范相应环节的输入输出要求和责任部门。以规划阶段为例，规划设计的安全要求是识别安全需求，明确安全目标。为此我们定义了安全规划的必要环节即安全需求收集、安全规划设计、规划评审，规划部门作为明确的责任部门在设计时要求遵循安全设计规范要求并最终在技术规范书输出中包含安全功能定义，如图4所示。

工作展望：携手客户，推进安全工作落地化

运用安全三同步的理念，把安全管理的工作做落地化推进是开展安全咨询的新尝试。在新的工作模式下需要管理、技术、人员、流程各方面支撑，安全工作会涉及原有流程的调整，各部门适应新的流程也需要一个过程，工作的开展会遇到以往没有碰到的问题。因此，工作开展会经历体系的建立、体系的试点再到体系推广和例行化开展这样阶段化渐进的过程。总之，用创新的方法，实践的态度，最终一定能建立和完善一套可落地的安全工作机制，提升安全能力和管理水平。

（作者单位：华为技术有限公司）