第4章博士公司基于 ISO27001 体系的信息安全管理问题诊断
通过前期的调查问卷以及与各业务部门的实地访谈,博士公司目前主要存在 9个比较严重的信息安全问题。本章中将以 ISO27001 信息安全管理体系中的 11 个安全控制域为基本框架,外加近年来信息安全研究领域所提出的信息防泄露(DLP)理论为基础形成 12 个信息安全控制维度来分析并详细的阐述形成上述 9 个信息安全问题的具体原因。【1】
4.1 信息安全策略
博士公司目前整体缺乏信息安全管理机制,根本上是缺少基本的信息安全策略。
其原因在于目前博士公司的整体战略并未将信息安全纳入其中,信息安全建设还处在初级阶段,尚未形成立体化、体系化的管理措施和理念。公司层面的信息安全制度性文件目前只有信息安全方针。由于是信息安全方针是一个纲领性的文件,缺少相应的配套流程和制度,在执行层面缺乏了相对严谨和细化的执行标准。虽然已经在公司范围内公开发布,但执行的力度和效果明显没有达到预期的效果。
另外,塞班斯法案对企业的信息系统审计有一定要求,但博士公司在信息系统内部审计方面并没有引起足够的重视,未把信息系统内部审计上升到与财务内部审计一样的高度。虽然信息安全方针中有关于对信息安全内部审计的要求,但落实到执行层面效果并不理想。既没有定义明确的审计对象、审计范围,也没有制定审计方式以及保证审计结果无误的相关审计方法。相较于财务审计信息系统审计工作形同虚设,仅仅在外部审计师到来之前临时进行突击检查,在日常的工作中内部审计工作并不是按部就班的执行。
4.2 信息安全组织
博士公司管理决策层在信息安全组织方面目前缺乏政策面支持,尚未成立信息安全管理委员会,也没有其他行政职能部门分管信息安全建设工作。由于组织构架的不明确,导致博士公司在信息安全领域投入的人力严重不足,整个公司仅有的一个信息安全岗位(信息技术部的信息安全专员),且此职位的设置仅仅是考虑到信息安全技术的运用,如防火墙的使用、上网行为管理的监控、反垃圾邮件等,并没有考虑到信息安全管理在整个信息安全建设过程中的作用。各部门也没有与公司信息安全相关人员建立工作上的接口,没有指定专人负责协调各部门内部来配合公司整体信息安全建设。另外,博士公司内部虽然成立了合规和内部控制部门,但对于信息系统安全没有设立专门的信息安全审计师的职位, 目前部门内人员的职业背景大都是财务相关,并非 IT 相关领域,对信息系统的安全审计难免生疏,在实施对信息系统的审计过程中往往心有余而力不足,有时也会偶尔发生为了应付外部审计师而采取临时唆使信息技术部的员工来编造审计记录的违规事宜。
4.3 资产管理
在访谈过程中,很少有部门可以提供一份完整的信息资产清单,即使提供的清单中大都是通过经验来主观判定信息自然的重要程度和分类等级。归根产生这一情况的原因是目前博士公司并没有建立资产的分类和分级制度,因此在执行层面上无法进行信息资产的分类和分级。
此外,在对于企业的固定资产管理的调查研究中也遇到了同样的问题,由于没有严格的固定资产管理规范。在实际的调查过程中发现,离职员工的笔记本电脑的回收和再次分配出现了严重的混乱情况,IT 部门的维护列表中的信息与财务的固定资产表中的信息存在较大的误差,在财务的固定资产表中,甚至出现了固定资产的使用人是已经离职的人员这样的情况。因此,目前博士公司需要一套完整的资产管理和分级分类制度来规范和管理其所拥有的资产。
4.4 人力资源安全
目前博士公司目前的人力资源在人员招募、绩效考核、薪酬制定、员工培训、人才关系等管理过程中拥有了一套相对完善的流程和制度。但在拟定时并未做信息安全方面的考虑,其主要表现在一下几个方面:
(1)组织构架在确定整个企业的组织架构时,组织的内部治理和风险控制并未涉及到信息安全。因此从决策层、到落地层并没有设立信息安全委员会、信息安全执行小组、以及各业务部门的信息安全接口岗等部门或岗位。而博士公司内部也没有人员来兼顾原本这些部门和岗位所应承担的职责。
(2)员工行为规范和安全意识博士公司在对其员工的日常管理中主要参照《博士公司员工手册》为管理依据,但“手册”中的细则并未涉及到如电子邮件使用规范、数据(信息)传输规范、数据(信息)存储规范这样的信息安全领域。由于信息安全不会给博士公司带来经济收益,大部分员工都认为不采取措施不一定会造成损失,因而也不愿意把时间和精力投入到信息安全保护上。博士公司本身也迫于业绩压力的影响和业务各项资源限制,未对员工展开定期的信息安全意识培训。
(3)人员复用出于人力资源成本的考虑,博士公司的员工通常身兼数职,人员复用的情况在各部门之中普遍存在,甚至会出现大量的第三方外包人员介入博士公司的核心业务,不可避免的接触到核心业务数据。无论是员工还是第三方外包人员,在于博士公司签订合同或协议时并未涉及到数据保密义务的条款。
4.5 物理和环境安全
由于考虑到办公场地成本,博士公司在日常的办公场地中隔出一个区域作为数据中心。在对数据中心的调研工作过程中发现,作为博士公司的业务中枢,数据中心的27物理环境中无法满足 BCP(业务持续性计划)要求,存在着几个重要的安全隐患:
(1)环境温度:
整个数据中心仅配有 1 台家用的 1.5 匹立式空调,由于数据中心内所存放的服务器大都对环境的温度和湿度有严格要求,在建立数据中心时一般会按照标准采用专用的精密空调。另外,若仅有的 1 台空调出现意外停止工作,容易造成环境温度升高(尤其在夏天)而导致的服务器当机,引发业务的中断。
(2)电力系统:
整个数据中心仅有 20 个平方左右,起初在设计时仅考虑到 3 个 42U 机柜的用电负荷,但目前设置了 5 个标准 42U 的机柜。增加的两个机柜直接由市电提供电力,并非按照机房用电标准采用 UPS(不间断电源)来进行供电。若发生停电,采用市电的服务器会立即停止工作,甚至出现不稳定的电流而导致服务器硬件被损坏,短时间无法修复的情况。
(3)服务器管理:
由于数据中心实际的物理面积限制无法再架设机柜,有多台服务器因为没有机柜可以固定上架,临时堆放在数据中心的防静电地板上,容易造成损坏。机柜内的服务器也并未按照标准把服务器的 IP 地址、管理员、使用用途等信息采用标签的形式标注。
(4)网络跳线:
各机柜内以及各机柜之间的网络跳线凌乱,未按照数据中心机房的建设标准来进行规范的走线,每条网络跳线末端也未有明确的标识,出现故障时较难采取排障措施。
(5)备用线路:
整个博士公司的数据中心目前只有一条线路连接 Internet,并没有考虑备用或应急线路,一旦此线路出现故障,博士公司整个业务系统对外的服务都将瘫痪。
除了上述提到的存在于数据中心的物理安全威胁外,掌握大量企业纸质材料(信息)的作业管理部和财务部的物理安全也存在较大的问题,其在办公物理位置的规划中并没有考虑到信息安全因素。非但办公室并没有设立门禁系统,任何博士公司的员工都可以随意进出,而且也并未设立专用的纸质文件归档室,目前的纸质文件和凭证随意堆放在办公区域的走廊中,也未安排专人进行定期核对和盘点。
4.6 访问控制
博士公司目前无论在系统层面还是业务操作层面都未制定严格的访问控制机制,导致目前现状的原因为:
(1)信息系统层面:
博士公司各业务部门的办公网络之间并未采用逻辑隔离的方式,网络防火墙中也未采取基于 VLAN 分割原则而定义的访问控制策略,任何的电脑终端(包括本身不是博士公司员工的第三方外包服务人员)都可以毫无阻挡地连接数据中心用来存储业务数据的数据库服务器。另外,访问控制机制的不足也会扰乱各业务部门之间的数据流向,一旦发生信息安全事件时,由于无法准确追踪数据流,给排查工作造成障碍。
(2)业务操作层面:
各部门对于自身的人员与岗位职责划分并未按照访问控制机制做严格限定,在访谈过程中,几乎所有的部门成员在日常业务操作过程中都可以接触到整个部门的业务数据。各部门内并未对数据接触的对象按照安全等级进行明确的划分。
4.7 业务连续性管理
博士公司目前的业务持续性计划较为简单和初级,具体原因也可分为信息系统层面和业务操作层面两个维度。
(1)信息系统层面:
博士公司的信息技术部门在应对业务出现中断时缺乏排障的能力和恢复能力,由于物理环境、访问控制、以及权限管理等方面存在不足,使得一旦系统出现无法运营的状态,运营和维护人员无法快速定位和解决问题。另一方面,信息技术部在对于业务持续性管理中所投入资源也比较有限,对于备份外联线路、服务器存储的高可用性配置、智能路由等保证 BCP 效果的系统健壮性设计存在缺陷。另外,对于可能造成业务中断的情况缺乏足够的应急预案和流程。
(2)业务操作层面:
由于博士目前的业务运营高度依赖于 IT 系统,各业务部门并未设立相应的线下业务流程。一旦 IT 系统遭受了黑客攻击或意外中断,无法短时间修复时,博士公司的业务将全面瘫痪。在于各业务部门负责人访谈的过程中,被访谈人几乎都表示业务持续性计划理应由 IT 部门考虑,业务部门并没有制定持续性计划的义务。
4.8 通讯与操作管理
目前博士公司的并没有对生产环境中的操作终端进行严格管理,也没有制定出相应的操作程序和操作文档。由于 IT 运营维护团队的人员复用情况客观存在,使得职责界定变得相对模糊,容易产生疏忽和误操作系统的风险。
各业务终端在与实际的后台服务器进行交互数据时未经过加密处理,数据在使用明文传输时容易被黑客劫取,并且博士公司内部并没有定义严格的访问控制策略,一旦出现数据在传输过程中被劫取无从追查。
缺乏保护在业务过程中所输出的各种含有敏感信息的文档的措施,没有采用如数字证书、文件水印等加密等技术保证在传播的过程中被恶意截取而导致的敏感信息泄露。
博士公司的整个信息系统还没有一个统一的运维和监控管理平台,在日常的系统运行中倘若信息系统发生故障,目前大都是系统用户发现无法进行正常的业务操作而报障给运维人员,运维人员很难第一时间发现并采取补救措施从而降低对正常业务的影响。
4.9 信息系统的获取开发和维护
博士公司的信息技术部门在系统的开发和维护方面的存在安全隐患,其原因主要归结于:
(1)原始的需求整理并未考虑到信息安全因素目前博士公司的应用系统在开发初期的需求整理过程中,并未考虑如身份验证机制,恶意代码的防范等系统在安全性方面的要求。
(2)无阶段性验收标准信息技术部大量雇佣了软件外包人员做系统底层的代码编写,系统从开发阶段到运行各阶段,并没有规范的验收标准和里程碑。虽然外包服务商提供了相应交付物和说明文档,但与需求说明书以及双方签署的软件开发合同中的定义存在较大差距。
(3)系统测试和试运行由于业务系统没有专用的测试和试运行环境,测试工作目前都是通过在开发人员或测试人员的本机中运行(PC 机),为了满足测试要求,需要将生产环境中的业务数据导入到测试人员的本机中,无疑增加了业务数据泄露的可能性。并且这样的测试条件很可能新开发出来的系统未经过严格的测试或试运行就上线到生产系统,从而引发系统本身设计缺陷或代码错误而导致的整体的业务流瘫痪。另外,由于没有专职的软件测试人员,目前的测试工作大都由博士公司的开发人员或第三方软件开发供应商来承担测试任务,由于没有专门的测试人员来检查开发出来的产品质量,博士公司在软件品质保证方面基本处于缺失状态。
4.10 信息安全事故管理
博士公司目前对于突发的信息安全事件没有体系化的管理机制,其主要表现在:
(1)缺乏标准的安全事故响应和调查制度在与博士公司信息安全负责人的访谈中了解到,目前博士公司并没有制定《信息安全事件处理规范》这样的标准流程文档,发生信息安全事件时也没有统一的事件上报流程。现有的情况是上报人不通过其直属上司直接将疑似信息安全事件上报到公司信息技术部负责人 CIO 处,上报人往往不能判断所上报事件是否属于信息安全事件,也无法在上报时为调查人员提供第一手的调查线索。另外,信息安全专员在调查疑似信息安全事件时没有规范的调查流程、方案和纪律,其调查过程和结果基本取决于调查人员的过往经验,由于没有正式的授权调查通知,时常会遇到被调查部门不配合调查的情况。
(2)基层员工上报信息安全事件意识在对于基层员工的调查问卷统计结果显示,有超过 90%以上的基层员工对什么是信息安全事件,以及发生信息安全事件后应该向那些部门和岗位反映无从知晓,目前所统计的信息安全事件在企业的运营中很可能是“冰山一角”,有大量未被上报而实际发生的信息安全风险隐藏在员工的日常工作中,也不排除员工因害怕信息安全事件的追查结果会威胁到上报人或其他相关人员本身的利益。(3)对外包人员疏于管理所有博士公司的员工和第三方外包服务人员都有责任和义务来上报信息安全事件和接受相关人员的调查,但实际的情况是外包人员并不属于博士公司直接管辖,在调查信息安全事件时,经常由于人员流动而无法明确外包服务人员的责任人,外包服务人员更不会主动上报信息安全事件。
(4)信息系统维护人员职责不清由于人员成本的问题,目前信息系统的开发与维护人员的职责并未严格划定清晰,运维和开发人员并没有形成两权分立相互制约的机制,导致同时都具有系统架构底层以及查看和操作生产数据的权限,以至于发生信息安全事件时,无法及时准确的找到运营以及快速的定位责任人。
(5)访问控制与信息防泄露目前博士公司的访问控制机制并不健全,只要有系统权限的人员可以自公司任何一台电脑或终端上访问公司的核心业务系统并且提取数据,再加上没有完善的系统留痕和审计措施,一旦发生数据外泄的事件,也基本无法把问题和原因定位在一个范围内,增加了排查的难度。
4.11 符合性
博士公司本身属于国内公司,但与 2011 年登录纽约交易所,因此信息系统的设计、运行、使用、管理都要符合中美两国法律、法规的制约。由于监管方面的要求,目前关于信息系统的符合性管理的主要以塞班斯法案为纲领,由于合规内控部门的人员大都是为财务背景,且在人员岗位中并未设立专职的信息系统内部审计岗位,再加上相应的审计制度缺失,实际上目前博士公司对信息系统的管理未引入严格的内部审计机制,仅靠外部咨询方给予指导性意见。
4.12 防信息泄露
系统化的管理机制在企业的整个信息安全工作中是相当重要的,相较于传统的信息安全技术,系统化的信息安全管理机制则相对偏“软”。在实地走访博士公司 CIO的过程中了解到,博士公司在对信息安全建设中还是以技术防范为主,存在重技术、轻管理的情况。目前在业务系统后端部署有防火墙系统、入侵检测设备、上网行为管理等信息安全设备,而在前端(各业务部门实际的操作终端)也引入了目前所流行的虚拟化技术、桌面终端监控机制和 DLP(Data leakage prevention)系统。由于博士公司相关人员缺乏应对信息泄露的机制和经验,即便拥有诸多信息安全设备,仅 2013年上半年博士公司就有 8 起信息安全事件,其中将近一半的信息安全事件的调查至今都无法找到头绪。在已经查处的安全事件中,其中有一例是由于内部人员通过合法的途径绕开重重防护而将敏感信息传播到博士公司外部,竞争对手由于事先了解到了这些信息,在产品的设计和营销上做了专门的针对性部署, 由于此次泄露事件,博士公司直接经济损失达 1500 万人名币,50 多位名高净值客户流失。博士公司目前缺乏一套完整的信息安全管理机制来支撑公司的风险管理,信息安全工作无的放矢。
