系統工程理論在企業數據安全管理中的應用研究

◎中國運載火箭技術研究院 徐立新 張碩

北京航天測控技術有限公司 朱皓然

系統工程理論在企業數據安全管理中的應用研究

◎中國運載火箭技術研究院 徐立新 張碩

北京航天測控技術有限公司 朱皓然

系統工程是組織管理復雜系統規劃、研究、設計、制造、試驗和使用的科學方法，是一種對所有系統都具有普遍意義的科學方法。系統工程方法是以系統整體功能最佳為目標，應用現代數學和電子計算機等工具對系統的構成要素、組織結構、信息交換和自動控制等功能進行分析研究，通過對系統要素的優化組合達到最優設計、最優控制和最優管理的目標。

隨著信息領域的飛速發展，云計算、大數據、互聯網+、智能制造等新技術加速推進，現代社會已經進入以數據和信息為核心的時代，如美國國防部系統體系架構DoD AF2.0（2015年）從以產品為中心轉向以數據為中心，德國工業4.0強調信息空間與物理空間融合(CPS)，“中國制造2025”強調全生命周期數據管理等。實際上，全業務、全過程的數據采集和集中管理是實現智慧企業的前提，數據已經成為企業的核心資產，數據安全是信息系統管理的核心要素，沒有安全保障的信息系統是沒有生命力的。企業信息系統是處理數據的復雜系統，涉及到數據的生產、傳遞、轉換、存儲、共享、計算、分析、融合、可視化展示等。其中，數據共享與數據安全是一個矛盾體，如何既能實現系統運行效率提升，又能確保業務數據安全是進行信息系統總體設計時需要考慮的核心問題。

一、信息系統管理體系及存在的問題

企業信息系統是由計算機硬件、網絡和通訊設備、計算機軟件、信息資源、信息用戶和規章制度組成，以處理信息流為目的的人機一體化系統，是由人、計算機及其它外圍設備等組成的能進行信息收集、傳遞、存貯、加工、維護和使用的復雜系統。

目前，建立企業信息系統管理體系依據的主要標準規范包括IT服務管理規范（ITSM標準）、職業健康安全管理體系（GB/T 28001/2001）、環境管理體系（GB/ T 24001-2004）等。其中，職業健康安全管理體系主要關注系統中人的安全與健康，環境管理體系主要關注系統與環境的良好協同，IT服務管理規范主要關注信息系統提供服務的規范性和質量保證。

對信息安全要求高的企業應該依據行業標準建立信息安全管理規范，大多數企業現有的信息化是以系統建設為主線，圍繞業務系統進行安全加固，在多業務系統組成的復雜信息系統環境下，對單個系統的安全加固往往不能滿足多系統數據共享的要求。現有信息系統管理體系主要存在以下幾個方面的問題：

一是缺乏數據視角。缺乏以數據為核心、以數據安全為主線的頂層思考和總體設計，數據安全建設滯后于信息系統建設，往往是在系統建成后再按照相關要求進行安全加固。

二是缺乏整體視角。目前，信息系統在總體設計時往往沒有從整體安全的角度考慮影響數據安全的各要素間的組合效應，在信息系統運行維護中也沒有把多維度要求整合到以人為主體的數據操作規程中，如安全保密規范的許多要求并沒有納入ITSM的作業流程。

三是缺乏關聯視角。按照系統工程的思想，復雜系統中各個子系統在流程和數據層面是緊密關聯的，需要在不同的業務領域傳遞和共享數據，數據的訪問和操作權限需要一致傳遞。此外，人—機—環境之間相互影響，人的操作失誤會對數據安全造成很大危險；計算機設備的故障可能造成關鍵數據丟失；環境可能影響人和機器的狀態，這些要素在企業信息系統建設中沒有得到足夠重視。

四是缺乏效能視角。信息系統數據安全保護不是唯一目標，企業信息系統安全保護應與業務效率提升協同并進，單一目標實現并不能達到企業利益的最大化。目前，不斷涌現的新技術，如云計算、大數據等都以開放、協同、共享為主題，數據安全的理念、思路和方法都要作適應性變化，需要用系統工程的方法找到系統效能的最優解。

二、信息系統運行管理模型框架

1.企業/組織能力模型

按照系統工程理論，現代企業的組織能力模型由人員組織、工具方法、技術過程3個方面要素構成，各要素間的科學合理組合決定了企業實現目標的能力（見圖1）。

人員組織主要包括人員個體的素養、技能、資質、態度以及人員職責、組織形態、協同方式、規章制度等。

工具方法主要包括系統運行管理使用的軟硬件工具、工作環境、所需資源、操作規程、標準規范等。

技術過程主要包括信息系統管理的業務流程、過程控制、角色與權限控制、數據輸入輸出控制、系統運行監控等。

信息系統數據安全保障能力的提升不僅要關注人員，還要重視先進技術的應用和優化業務流程，特別要關注3個要素的組合適配，確保在現有條件下實現系統數據保護能力的最大化和最優化。

2.信息系統運行管理體系模型框架

筆者采用系統工程的方法，結合企業組織能力模型框架，參照現有的系統模型構造了企業信息系統運行管理體系模型框架（見圖2）。

圖1 組織的3維度能力模型

能力層是信息系統運行管理體系對外提供的核心服務能力，其核心是提供信息系統穩定運行能力、業務數據安全保障能力、數據全生命周期管理能力、信息系統故障的快速反應能力、數據分析處理服務及可視化展現能力等。

業務層是提供上述能力的系統運行管理業務的組合，主要包括系統運行環境管理（機房），設備運行狀態監控，系統配置管理，業務系統訪問權限管理，內部與外部人員管理，數據交換、存儲與備份管理，數據分析與展現管理等。

系統層為業務層提供IT管理工具支撐，主要包括2個平臺和2個中心。運維管理平臺主要提供系統運維的業務功能，包括機房管理、網絡管理、配置管理、數據備份管理等；安全管理平臺主要提供系統中安全相關軟硬件設備的集成管理，包括安全設備運行狀態監控、報警信息集成、安全事件關聯分析、日常綜合審計等；呼叫中心主要提供統一的服務接入平臺；安全審計中心主要提供系統變更、權限變更、事件報警、設備告警的日常審計功能，定期給出系統運行安全審計報告。

數據層提供信息系統產生數據的全生命周期管理功能，包括業務數據庫管理、主數據庫維護、系統配置庫管理以及數據的存儲、備份和異地災備等功能。

設施層為信息系統穩定運行提供場地環境支撐，包括機房、網絡、服務器、存儲系統、安防系統等。

此外，標準規范子體系是與信息系統運行管理相關的數據格式標準、數據交換標準、輸入輸出規范、系統集成規范以及系統權限配置規范、操作規范、運行管理制度等；安全保障子體系是確保信息系統安全運行的相關物理安全、網絡安全、云運行安全、安全保密制度等方面的規范、制度、流程、配置、措施的集合。

三、信息系統數據安全保障要素分析

信息系統運行管理的核心是確保業務數據在輸入、傳輸、交換、存儲、利用、輸出等環節的一致性、完整性和安全性。增強信息系統管理中的數據安全保障能力，就需要以數據為核心，從信息系統運行管理體系模型入手，綜合分析人—機—環境各要素對數據安全的影響，通過多方面采取針對措施，從整體上確保數據安全。

企業信息系統運行維護過程是一個典型的人—機—環境互動系統，如圖3所示。

人員因素。授權偏差，人員訪問和操作權限過大；誤操作，數據輸入出錯、誤刪數據、違規輸出數據等；系統配置更改，可能導致數據備份機制失效；啟停系統，業務系統中斷和緩存數據丟失；日志滿，導致系統停止運行或日志數據丟失等。

主要措施：辨識關鍵、重要崗位，從資質、技術、心理、健康、素質、修養等方面選擇合適人員上崗；辨識核心、重要系統，配備合適人員管理；辨識關鍵、重要作業，制定操作方案，并進行現場操作審核；按照PDCA方法審核作業流程是否閉環，過程是否記錄完整；更改措施納入操作流程和體系文件中。

圖2 企業信息系統運行管理體系模型框架

圖3 人—機—環境互動系統模型

機器因素。設備老化宕機；設備非正常斷電；設備故障，如配件損壞、聯網中斷、磁盤報警等，這些都會導致設備存放數據的丟失。

主要措施：制定設備維修保養計劃，實施設備全生命周期管理，按時更換老舊設備；加強設備運行狀態日常巡檢，及時處理報警信息；關鍵設備冗余配置，加強維護保養和日常巡檢；更改措施納入體系文件。

環境因素。靜電，導致服務進程中斷或器件損壞；高頻電磁輻射，導致服務中斷、IP丟包等故障；配電故障，導致宕機；環境傳感器失效，溫度、濕度過高導致系統運行故障、宕機；空調、暖氣漏水，導致設備損壞；火災等。

主要措施：定期檢查機房環境設施有效性，如接地、空調、配電、消防、防水、防鼠等；作業中考慮環境要素，如靜電、電磁干擾等；制定機房環境監控設備定期保養計劃，老舊設備按期報廢；制定應急計劃等。

人—機因素。病毒感染，人員操作違規導致服務器感染病毒，系統出現運行故障、數據丟失等；設備跌落，設備在搬運和上架過程跌落會導致硬盤損壞，丟失數據；靜電，人身體產生的靜電導致設備運行中斷；灑水，人員攜帶水、飯等進入作業現場，造成設備進水后損壞等。

主要措施：建立數據和軟件病毒檢查機制，及時更新防病毒庫，并納入操作流程；設備運輸、上架等操作應制定安全操作規程；在操作規程中納入防靜電規范；制定機房防水應急預案，嚴禁帶入與工作無關物品等。

人—環因素。系統管理工作環境與機房沒有分離，會導致靜電、觸電、斷電、斷網等隱患；違規在機器工作環境作業；人員對環境控制系統誤操作等。

主要措施：系統運行管理工作場所與服務器區分離；盡量減少直接在機房進行人員操作；增強對環境控制要素的巡檢。

機—環因素。服務器熱通道設計不合理，夏季高溫時機房溫度持續升高；新風系統設計不合理，部分區域新風不暢；特殊環境下機器缺乏加固措施等。

主要措施：對服務器機柜熱通道進行優化設計，必要時增加送風管道；空調、新風系統與消防系統聯合設計等。

人—機—環因素。人員吸煙導致消防設備啟動；人員誤操作導致設備斷電；機房門禁系統失效；安防視頻監控位置不當等。

主要措施：嚴格制定并執行機房操作規程；重要區域設置對內手動開門裝置；安防監控視頻應能反映人員進出和操作位置等信息。

四、數據安全保障的關鍵措施

1.系統架構設計合理

首先，在系統設計理念上要從以業務系統為核心轉變為以數據為核心。業務系統是數據生產系統，業務系統數據安全保護是分立的、局部的，無法實現整體的、全生命周期的數據安全。其次，在系統架構設計上要解決數據分散管理的問題。由于網絡是扁平的、對等的，而網絡承載的數據是共享的，在多組織、分布式數據存儲管理機制下系統整體數據的安全取決于子系統中最薄弱的環節，分散的系統架構不利于建立安全可控的信息訪問機制，數據集中管理有利于實現唯一數據源，建立統一訪問控制機制，有效控制數據出入，確保數據整體安全。第三，信息系統架構應該簡化。復雜系統并不一定意味著系統結構的復雜，系統架構越簡單越有利于實施整體數據安全防護，可以采用相對集中的數據中心提供統一的數據服務，多級數據中心在邏輯上形成一個整體，構造統一的數據源訪問控制機制，有效控制數據出入關口，嚴格控制FTP、ODBC等直接訪問數據的應用，確保數據整體安全。

2.建立人員與設備認證機制

對信息系統接入的設備和人員采取嚴格的認證機制，確保系統使用人員和接入的設備是合法合規的。目前，大多數信息系統對接入的人員采取了嚴格的認證措施，但對接入的設備卻沒有強認證機制，存在很大的安全隱患，應該采取設備認證和授權的技術措施，杜絕非法接入帶來的數據安全隱患。

3.完善監督審計機制

信息系統管理員擁有很大的數據操作權限，因此應該建立相互獨立、相互制約、相互監督的安全管理機制，審計管理崗位應該獨立于運行維護管理部門，由第三方安全審計人員承擔，確保審計業務的公正性。此外，應該建立過程實時審計制度，在信息系統運行維護流程中納入安全審計角色，對大量系統配置操作實施過程審計，避免事后審計帶來的諸多問題。

信息系統數據安全保障能力是一個不斷適應、發展和提升的過程，只有以系統工程的理念實施頂層規劃、架構設計、組織保障、執行落實，才能從整體上把控數據全生命周期的安全管理，實現信息系統整體數據安全的目標。