试析基层单位重要网络运维服务外包后的安全治理
打印
引言
安全可靠是电子政务的核心要求之一。从各省市政务外网的建设情况来看,其大量采用符合实际情况的安全设备和安全软件,重点防范外部入侵,而对于重要网络违规、越权操作的管理与防范则相对考虑较少。
基层单位重要网络与政务外网相比,其安全管理对象主要是内部人员。尤其在当下,IT服务外包已是政府部门普遍采用的运维管理方式,若直接照搬政务外网的服务外包管理办法,且未建立与之相适应的风险管控机制,那么信息的安全便受到威胁。因此,对重要网络进行有效治理,是基层单位面临的一项重要任务。
现有标准管理体系对重要网络安全运行的保障效用
通俗来说,基层单位重要网络就像一个运输系统,由“道路”“车辆”“货物”“驾驶员”四大要素组成。其中,道路即物理环境、网络线路和传输控制等运行环境;车辆即应用系统和各类重要载体;货物即重要信息;驾驶员即重要信息的管理人员和使用人员。相关标准规定了重要信息系统的管理过程、要求和内容,以“货物”为核心,按照“道路—车辆—驾驶员”的顺序逐层加固,并提供了相对安全的运输环境,涵盖从产生到消亡全生命周期状态。但现有标准中大部分内容仅规定了原则和最低要求,在实践中,还应结合具体情况,制定适宜详尽的管理制度和策略。
例如,管理要素中的“三员”是重要网络管理的重要成员,更是风险控制的直接责任主体,关系重大。现有标准对“三员”仅做了原则的基础性定义,即三权分立、覆盖全面、明确边界、相互独立和相互制约等,设置时,还需在原则上因地制宜。另外,现有标准未限定“三员”的人数,仅要求安全审计员与安全保密管理员不可由同一人兼任,单位应根据分工需要来确定人数及角色。
信息及相关技术控制目标(COBIT)治理框架
重要网络风险控制是一个动态复杂的过程,强调对影响系统安全的内外因素进行归纳,对系统演化行为进行监控与分析。由于大部分技术部门在单位组织中被当作纯粹的维护部门,办公室主要侧重人事、财务、公务等后勤保障工作,所以若采用仅由这两个部门组成的“双寡头”管理模式,没有领导层和业务部门的参与,很难在风险控制上有所作为。
信息及相关技术控制目标(COBIT)是一个框架和支持性工具集,为管理层与各利益相关方架起沟通的桥梁,辅助解决控制需求、技术支持、业务风险和控制等级等问题。COBIT在信息系统全生命周期模型的基础上,将治理体系划分为4个阶段:规划与组织、获取与实施、交付与支持、监控与评价,将IT活动归纳为34个关键流程,并定义了阶段与流程的映射关系。COBIT以流程驱动为主线,每个流程的输出作为其他流程的输入,控制IT资源在流程中发挥恰当作用,并为专业与非专业人员之间,创建适宜的交互语言。
COBIT以控制为基础,为每个流程设定了多个IT资源控制目标,确保与业务目标相关联,同时设立目标值和衡量指标,监控流程结果和绩效。使用RACI关系图(R指谁负责,A指谁批准、C指咨询谁、I指告知谁)为每个流程中的相关人员设定角色和职责,明确责任的界定与追究,角色范围主要包括所有业务流程的相关人员。制定流程相应的政策、计划、程序,规定这些内容应如何进行记录、检查、维护、审批、保存、传达和用于培训,由相关职责人员在适当时间检验其执行结果,确保它们是正确且最新的,可获取、可理解的。COBIT根据业务需求,在3个层次上制定了目标,即IT目标、流程目标和活动目标,目标自上而下设立,1个业务目标确立若干个IT目标,1个IT目标确立若干个流程目标,1个流程目标确立若干个活动目标。同时还为每个目标制定衡量指标,衡量指标有两种功能,其一是在事件结束后测评目标是否达到,其二是在事件结束前预期目标实现程度,以驱动目标顺利达到。
为帮助组织适时了解自身IT系统状况,COBIT建立了成熟度模型,利用平衡记分卡评估系统所处的绩效状态。值得一提的是,虽然成熟度模型设定了0—5的等级,但COBIT无意于准确定义了一个系统的等级,即不强求所有流程结果均达到某个等级以上,而是关注图表展示出来的各流程绩效结果,绩效结果由能力、覆盖和控制等3个要素来呈现。其优点是,方便管理层对照等级图谱,以提高绩效涉及内容,有助于专业管理人员向非专业管理人员解释IT流程管理存在的缺陷并确定改进目标。
基于COBIT的服务外包治理模型
将相关运维工作外包后,传统安全管理主要包括简单管理模式、制度管理模式和混合管理模式。简单管理模式主要由专业管理人员陪同,并监督运维工程师的具体操作,效果受专业管理人员业务素养和工程师自律能力影响;制度管理模式主要通过运维安全制度,规范运维商和工程师的行为,效果受执行力和事后审计能力影响;混合管理模式主要通过制度和运维安全管理设备(如堡垒机)相结合对外包进行安全管理,效果受投资成本及专业管理人员的专业素养影响。传统的外包管理办法虽然相对成熟,但受个别人员素养的影响较大,不能照搬进重要网络相关管理环节。
按照现有标准的管理要求,运维管理应是“三员”的职责,所以外包服务在重要网络的运行、使用和管理中的作用必须受到严格限制。从责任上讲,安全保密不仅不能外包,客观上也无法外包出去。虽然当前“三员”仍存在一些暂时性问题,但绝不可因此将“三员”的工作几乎全部委托给外包单位。外包服务人员不能承担“三员”的职责,只能在有限范围内辅助“三员”的工作。此外,管理和使用重要信息系统是在培养新的安全办公习惯,也不应局限在“三员”范围内,需要集体参与及更多的沟通与协作,特别是与领导层之间的有效沟通,进而建立合理的治理体系。
目前,大多数重要网络的运维和管理内容涉及网络设备维护、保障和技术支撑、应用支持、日常巡检和台账维护、安全审计和保密检查等方面。除上述事件管理外,部分单位还有变更管理、问题管理和突发事件处置等服务项目。在重要网络实施外包服务时,需要对这些服务内容做适当调整,结合实际情况,确定业务目标,再对COBIT进行适当剪裁和借鉴,便可逐步完成治理体系的构建。建设过程大致可分为4个部分。
第一部分:识别范围,规划目标。由保密管理机构牵头,梳理组织业务,划定重要网络覆盖范围,包括内外部人员、设备、环境、技术、角色、活动和关系等,特别要识别关键事件和核心问题,确定问题的根源及成功因素。排查到的整体情况与COBIT成熟度模型进行对比,从而确定组织当前的状态,参考COBIT通用目标,制定本单位的治理目标,整体达成一致认识,创造适合治理的环境,由保密主管负责,在高层和管理层之间建立一套有效的沟通语言和反馈机制,启动治理流程。
第二部分:选定服务支持,制定层级目标。由保密主管指派具体管理部门,选择具有涉密集成资质的企业合作,在现有标准的约束下,按照最小化授权、技术与数据分离、外包不可代替“三员”等原则,以技术支撑和处理安全问题、风险为切入点,在上述服务内容中划定可外包的范围。将所有服务内容与治理目标关联,设计流程和活动,制定层级的IT目标、流程目标和活动目标。为各目标商定相应的关联指标,其中部分指标不得低于现有标准规定内容。选定指标考核格式和方式,以符合保密管理组织既定的沟通语言和反馈机制,由此确定流程、目标和指标之间的循环关系,如图2虚线框中内容所示。为每个流程和活动明确角色、责任和岗位,绘制RACI图,建立持续驱动和改进动力的保障机制,实施全生命周期管理。
第三部分:启动服务实施,健全过程管理。COBIT对整体进行控制,不涉及技术细节,因此在签订合同时,应就服务和运营水平,在合同中标明或另附协议定义,定义时可按照现有标准的相关要求,参照IT服务管理标准库(ITIL)设立指标和反馈机制,参照PRINCE2设计服务过程考核管理办法。启动服务后,“三员”应严格按协议约定频率和形式落实监督审计工作,确保系统的安全稳定以及外包工程师同重要数据的隔离。过程管理中应特别重视事件响应和问题管理,逐渐形成本单位的IT管理知识库。利用不断更新的知识库培训“三员”,使单位逐步具备独立保证系统正常运作的能力。
第四部分:监控服务质量,评估绩效价值。对系统整体建立外包质量监督和评价机制,包括协定的绩效指标、及时的绩效报告及对偏差的快速反应机制,确保已设定的工作能够被落实,并与已设定的方向和策略保持一致。绩效报告中应充分利用层次分析法或平衡记分卡等方法,对指标符合程度进行直观描述,以方便单位领导整体、系统地把握重要系统的成熟度状态。通过建立内部监督和评估体系,对系统整体进行分析和评估,关注外包项目的执行情况、外包项目的质量与预期的差别、系统的投资回报率及系统安全风险状态等,以完成重要信息系统自身的循环治理。
结语
COBIT很重视人的因素,其详细控制目标中经常出现“培训”这个词,强调在治理过程中,应逐渐壮大自身的人才队伍,提高自身的应用能力,使重要网络实现更多价值。IT治理是否有效主要受2个因素的影响,即执行力和沟通语言的顺畅度,二者缺一不可。顺畅沟通应是各层次间的沟通,是有共识、有共同语言,没有理解障碍的沟通,特别是实现其内部与外部、管理层与用户、管理层与高层之间的顺畅沟通。
COBIT也存在一些不足之处,例如,它侧重治理监控而忽略了IT技术过程,部分指标内容只适合参考,应用到具体重要网络中,必须经过适当裁减或调整,缺乏定量描述。所以在具体的治理实践中,也不可过多依赖。有效治理取决于其对实践的适应性及与环境的相符性。
(原载于《保密科学技术》杂志2017年6月刊)
