◎中国运载火箭技术研究院 徐立新 张硕

北京航天测控技术有限公司 朱皓然

系统工程理论在企业数据安全管理中的应用研究

◎中国运载火箭技术研究院 徐立新 张硕

北京航天测控技术有限公司 朱皓然

系统工程是组织管理复杂系统规划、研究、设计、制造、试验和使用的科学方法，是一种对所有系统都具有普遍意义的科学方法。系统工程方法是以系统整体功能最佳为目标，应用现代数学和电子计算机等工具对系统的构成要素、组织结构、信息交换和自动控制等功能进行分析研究，通过对系统要素的优化组合达到最优设计、最优控制和最优管理的目标。

随着信息领域的飞速发展，云计算、大数据、互联网+、智能制造等新技术加速推进，现代社会已经进入以数据和信息为核心的时代，如美国国防部系统体系架构DoD AF2.0（2015年）从以产品为中心转向以数据为中心，德国工业4.0强调信息空间与物理空间融合(CPS)，“中国制造2025”强调全生命周期数据管理等。实际上，全业务、全过程的数据采集和集中管理是实现智慧企业的前提，数据已经成为企业的核心资产，数据安全是信息系统管理的核心要素，没有安全保障的信息系统是没有生命力的。企业信息系统是处理数据的复杂系统，涉及到数据的生产、传递、转换、存储、共享、计算、分析、融合、可视化展示等。其中，数据共享与数据安全是一个矛盾体，如何既能实现系统运行效率提升，又能确保业务数据安全是进行信息系统总体设计时需要考虑的核心问题。

一、信息系统管理体系及存在的问题

企业信息系统是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成，以处理信息流为目的的人机一体化系统，是由人、计算机及其它外围设备等组成的能进行信息收集、传递、存贮、加工、维护和使用的复杂系统。

目前，建立企业信息系统管理体系依据的主要标准规范包括IT服务管理规范（ITSM标准）、职业健康安全管理体系（GB/T 28001/2001）、环境管理体系（GB/ T 24001-2004）等。其中，职业健康安全管理体系主要关注系统中人的安全与健康，环境管理体系主要关注系统与环境的良好协同，IT服务管理规范主要关注信息系统提供服务的规范性和质量保证。

对信息安全要求高的企业应该依据行业标准建立信息安全管理规范，大多数企业现有的信息化是以系统建设为主线，围绕业务系统进行安全加固，在多业务系统组成的复杂信息系统环境下，对单个系统的安全加固往往不能满足多系统数据共享的要求。现有信息系统管理体系主要存在以下几个方面的问题：

一是缺乏数据视角。缺乏以数据为核心、以数据安全为主线的顶层思考和总体设计，数据安全建设滞后于信息系统建设，往往是在系统建成后再按照相关要求进行安全加固。

二是缺乏整体视角。目前，信息系统在总体设计时往往没有从整体安全的角度考虑影响数据安全的各要素间的组合效应，在信息系统运行维护中也没有把多维度要求整合到以人为主体的数据操作规程中，如安全保密规范的许多要求并没有纳入ITSM的作业流程。

三是缺乏关联视角。按照系统工程的思想，复杂系统中各个子系统在流程和数据层面是紧密关联的，需要在不同的业务领域传递和共享数据，数据的访问和操作权限需要一致传递。此外，人—机—环境之间相互影响，人的操作失误会对数据安全造成很大危险；计算机设备的故障可能造成关键数据丢失；环境可能影响人和机器的状态，这些要素在企业信息系统建设中没有得到足够重视。

四是缺乏效能视角。信息系统数据安全保护不是唯一目标，企业信息系统安全保护应与业务效率提升协同并进，单一目标实现并不能达到企业利益的最大化。目前，不断涌现的新技术，如云计算、大数据等都以开放、协同、共享为主题，数据安全的理念、思路和方法都要作适应性变化，需要用系统工程的方法找到系统效能的最优解。

二、信息系统运行管理模型框架

1.企业/组织能力模型

按照系统工程理论，现代企业的组织能力模型由人员组织、工具方法、技术过程3个方面要素构成，各要素间的科学合理组合决定了企业实现目标的能力（见图1）。

人员组织主要包括人员个体的素养、技能、资质、态度以及人员职责、组织形态、协同方式、规章制度等。

工具方法主要包括系统运行管理使用的软硬件工具、工作环境、所需资源、操作规程、标准规范等。

技术过程主要包括信息系统管理的业务流程、过程控制、角色与权限控制、数据输入输出控制、系统运行监控等。

信息系统数据安全保障能力的提升不仅要关注人员，还要重视先进技术的应用和优化业务流程，特别要关注3个要素的组合适配，确保在现有条件下实现系统数据保护能力的最大化和最优化。

2.信息系统运行管理体系模型框架

笔者采用系统工程的方法，结合企业组织能力模型框架，参照现有的系统模型构造了企业信息系统运行管理体系模型框架（见图2）。

图1 组织的3维度能力模型

能力层是信息系统运行管理体系对外提供的核心服务能力，其核心是提供信息系统稳定运行能力、业务数据安全保障能力、数据全生命周期管理能力、信息系统故障的快速反应能力、数据分析处理服务及可视化展现能力等。

业务层是提供上述能力的系统运行管理业务的组合，主要包括系统运行环境管理（机房），设备运行状态监控，系统配置管理，业务系统访问权限管理，内部与外部人员管理，数据交换、存储与备份管理，数据分析与展现管理等。

系统层为业务层提供IT管理工具支撑，主要包括2个平台和2个中心。运维管理平台主要提供系统运维的业务功能，包括机房管理、网络管理、配置管理、数据备份管理等；安全管理平台主要提供系统中安全相关软硬件设备的集成管理，包括安全设备运行状态监控、报警信息集成、安全事件关联分析、日常综合审计等；呼叫中心主要提供统一的服务接入平台；安全审计中心主要提供系统变更、权限变更、事件报警、设备告警的日常审计功能，定期给出系统运行安全审计报告。

数据层提供信息系统产生数据的全生命周期管理功能，包括业务数据库管理、主数据库维护、系统配置库管理以及数据的存储、备份和异地灾备等功能。

设施层为信息系统稳定运行提供场地环境支撑，包括机房、网络、服务器、存储系统、安防系统等。

此外，标准规范子体系是与信息系统运行管理相关的数据格式标准、数据交换标准、输入输出规范、系统集成规范以及系统权限配置规范、操作规范、运行管理制度等；安全保障子体系是确保信息系统安全运行的相关物理安全、网络安全、云运行安全、安全保密制度等方面的规范、制度、流程、配置、措施的集合。

三、信息系统数据安全保障要素分析

信息系统运行管理的核心是确保业务数据在输入、传输、交换、存储、利用、输出等环节的一致性、完整性和安全性。增强信息系统管理中的数据安全保障能力，就需要以数据为核心，从信息系统运行管理体系模型入手，综合分析人—机—环境各要素对数据安全的影响，通过多方面采取针对措施，从整体上确保数据安全。

企业信息系统运行维护过程是一个典型的人—机—环境互动系统，如图3所示。

人员因素。授权偏差，人员访问和操作权限过大；误操作，数据输入出错、误删数据、违规输出数据等；系统配置更改，可能导致数据备份机制失效；启停系统，业务系统中断和缓存数据丢失；日志满，导致系统停止运行或日志数据丢失等。

主要措施：辨识关键、重要岗位，从资质、技术、心理、健康、素质、修养等方面选择合适人员上岗；辨识核心、重要系统，配备合适人员管理；辨识关键、重要作业，制定操作方案，并进行现场操作审核；按照PDCA方法审核作业流程是否闭环，过程是否记录完整；更改措施纳入操作流程和体系文件中。

图2 企业信息系统运行管理体系模型框架

图3 人—机—环境互动系统模型

机器因素。设备老化宕机；设备非正常断电；设备故障，如配件损坏、联网中断、磁盘报警等，这些都会导致设备存放数据的丢失。

主要措施：制定设备维修保养计划，实施设备全生命周期管理，按时更换老旧设备；加强设备运行状态日常巡检，及时处理报警信息；关键设备冗余配置，加强维护保养和日常巡检；更改措施纳入体系文件。

环境因素。静电，导致服务进程中断或器件损坏；高频电磁辐射，导致服务中断、IP丢包等故障；配电故障，导致宕机；环境传感器失效，温度、湿度过高导致系统运行故障、宕机；空调、暖气漏水，导致设备损坏；火灾等。

主要措施：定期检查机房环境设施有效性，如接地、空调、配电、消防、防水、防鼠等；作业中考虑环境要素，如静电、电磁干扰等；制定机房环境监控设备定期保养计划，老旧设备按期报废；制定应急计划等。

人—机因素。病毒感染，人员操作违规导致服务器感染病毒，系统出现运行故障、数据丢失等；设备跌落，设备在搬运和上架过程跌落会导致硬盘损坏，丢失数据；静电，人身体产生的静电导致设备运行中断；洒水，人员携带水、饭等进入作业现场，造成设备进水后损坏等。

主要措施：建立数据和软件病毒检查机制，及时更新防病毒库，并纳入操作流程；设备运输、上架等操作应制定安全操作规程；在操作规程中纳入防静电规范；制定机房防水应急预案，严禁带入与工作无关物品等。

人—环因素。系统管理工作环境与机房没有分离，会导致静电、触电、断电、断网等隐患；违规在机器工作环境作业；人员对环境控制系统误操作等。

主要措施：系统运行管理工作场所与服务器区分离；尽量减少直接在机房进行人员操作；增强对环境控制要素的巡检。

机—环因素。服务器热通道设计不合理，夏季高温时机房温度持续升高；新风系统设计不合理，部分区域新风不畅；特殊环境下机器缺乏加固措施等。

主要措施：对服务器机柜热通道进行优化设计，必要时增加送风管道；空调、新风系统与消防系统联合设计等。

人—机—环因素。人员吸烟导致消防设备启动；人员误操作导致设备断电；机房门禁系统失效；安防视频监控位置不当等。

主要措施：严格制定并执行机房操作规程；重要区域设置对内手动开门装置；安防监控视频应能反映人员进出和操作位置等信息。

四、数据安全保障的关键措施

1.系统架构设计合理

首先，在系统设计理念上要从以业务系统为核心转变为以数据为核心。业务系统是数据生产系统，业务系统数据安全保护是分立的、局部的，无法实现整体的、全生命周期的数据安全。其次，在系统架构设计上要解决数据分散管理的问题。由于网络是扁平的、对等的，而网络承载的数据是共享的，在多组织、分布式数据存储管理机制下系统整体数据的安全取决于子系统中最薄弱的环节，分散的系统架构不利于建立安全可控的信息访问机制，数据集中管理有利于实现唯一数据源，建立统一访问控制机制，有效控制数据出入，确保数据整体安全。第三，信息系统架构应该简化。复杂系统并不一定意味着系统结构的复杂，系统架构越简单越有利于实施整体数据安全防护，可以采用相对集中的数据中心提供统一的数据服务，多级数据中心在逻辑上形成一个整体，构造统一的数据源访问控制机制，有效控制数据出入关口，严格控制FTP、ODBC等直接访问数据的应用，确保数据整体安全。

2.建立人员与设备认证机制

对信息系统接入的设备和人员采取严格的认证机制，确保系统使用人员和接入的设备是合法合规的。目前，大多数信息系统对接入的人员采取了严格的认证措施，但对接入的设备却没有强认证机制，存在很大的安全隐患，应该采取设备认证和授权的技术措施，杜绝非法接入带来的数据安全隐患。

3.完善监督审计机制

信息系统管理员拥有很大的数据操作权限，因此应该建立相互独立、相互制约、相互监督的安全管理机制，审计管理岗位应该独立于运行维护管理部门，由第三方安全审计人员承担，确保审计业务的公正性。此外，应该建立过程实时审计制度，在信息系统运行维护流程中纳入安全审计角色，对大量系统配置操作实施过程审计，避免事后审计带来的诸多问题。

信息系统数据安全保障能力是一个不断适应、发展和提升的过程，只有以系统工程的理念实施顶层规划、架构设计、组织保障、执行落实，才能从整体上把控数据全生命周期的安全管理，实现信息系统整体数据安全的目标。