跳转至

企业 IT 系统安全治理:策略、规范与生命周期管理

这篇文章从 策略 → 规范 → 生命周期管理 三个层面,谈一谈企业 IT 系统安全应该怎么做,以及我个人在实际工作中的理解和做法。

1. 先有业务,再有安全:根据业务制定安全策略

安全不是凭空出现的一套“模板”,而是 围绕具体业务场景设计出来的系统化策略

  • 有什么样的业务,就应该有什么样的安全策略。
  • 不同业务对保密性、完整性、可用性的要求完全不同:
  • 面向外网的门户网站,重点是防入侵、防篡改、防 DDoS;
  • 核心交易系统,要优先保障数据一致性、事务完整性与高可用;
  • 内网文件共享平台,更关注权限边界与审计留痕。

一个合理的做法是: 1. 梳理业务资产:系统列表、数据分类分级、关键链路依赖; 2. 识别威胁与风险点:入口、暴露面、人为操作、第三方系统等; 3. 基于风险制定策略:访问控制策略、网络分区策略、备份与恢复策略、变更策略等。

安全策略应该是可落地的 高层原则,为后续的规范、制度和技术配置提供方向。

2. 根据策略制定规范:系统规范 vs. 人的规范

在策略明确之后,需要把它拆解成 可执行的规范。这些规范大致可以分为两类:

  1. 对系统组件的规范(技术层面)
  2. 对人的规范(行为与流程层面)

从我的经验来看,很多严重的安全问题并不是技术栈多“老旧”造成的,而是 人的行动不可预测、缺乏约束 导致的:

  • 人的错误行为被视为导致偏差和事故的关键原因之一;
  • 没有规范和培训,再强的安全设备也可能被“一次误操作”绕过。

2.1 系统组件的规范(相对容易理解)

系统组件层面的规范通常是大家比较熟悉的部分,例如:

  • 网络与访问控制
  • 防火墙策略:只开放必要端口、网段白名单、东西向流量控制;
  • ACL 策略:对交换机、路由器、负载均衡设备上的访问控制列表进行统一规划;

  • 零信任理念:内部网络也要进行身份认证与访问控制,而不是“内网即可信”。

  • 身份与权限管理

  • 用户角色划分:区分系统管理员、业务管理员、普通用户、审计员等角色;
  • 最小权限原则:权限按“够用即可”分配,而不是“先给大权限再慢慢收”;

  • 账号生命周期:创建、变更、离职回收全程可追踪。

  • 系统与数据安全配置

  • 基线加固:操作系统、数据库、中间件按照安全基线进行配置;
  • 日志与审计:关键操作必须落日志,并保证日志可集中审计与长期保存;
  • 备份与加密:对敏感数据进行备份与加密存储,防止泄露与误删。

这些是相对“技术化”的内容,实施起来有明确参考标准和工具可用。

2.2 对人的规范(安全工作的核心)

对人的规范 往往被低估,但它其实是系统安全的核心部分之一。

在既定安全策略的前提下,需要从以下几个方面管理“人”的行为:

  1. 用户与运维人员培训
  2. 让相关人员理解:为什么要这样配置、这样操作,如果不遵守会有什么后果;

  3. 定期的安全意识培训:钓鱼邮件、密码管理、远程访问、数据下载等日常场景的风险提示。

  4. SOP(Standard Operating Procedure 标准作业程序)

  5. 为常见的操作建立标准步骤,例如:
    • 新系统上线流程;
    • 变更与发布流程;
    • 故障处理流程;

  6. SOP 可以尽量做到“拿着文档就能按步骤做”,减少个人经验差异带来的风险。

  7. WI(Work Instruction 作业指导书)

  8. 比 SOP 更细、面向具体岗位 / 具体操作的说明;
  9. 例如“如何在某某系统上为新员工开通账号”的详细操作步骤与截图;

  10. 让新人在短时间内也能按规范完成工作,降低“拍脑袋操作”的概率。

  11. 权限与责任边界的明确

  12. 谁有权做什么、更改什么配置、查看什么数据,最好都写进制度;
  13. 发生问题时可以快速追溯,也能避免“大家都能改,出了问题没人负责”的情况。

可以说,系统安全的很多薄弱点,都是因为“人的规范”缺失或执行不到位 导致的。

3. 安全是一个持续过程:生命周期管理

安全工作不是一次性项目,而是 贯穿整个业务生命周期 的长期工作。

从系统立项、设计、上线,到运行、变更、下线,每个阶段都需要有对应的安全活动:

  1. 立项 / 需求阶段
  2. 进行数据分类分级,明确合规要求;

  3. 评估业务对安全性的要求(保密性、完整性、可用性)。

  4. 设计 / 方案阶段

  5. 在架构设计中就考虑网络分区、身份认证、权限模型、日志体系;

  6. 评审第三方组件与云服务的安全性和合规性。

  7. 建设 / 上线阶段

  8. 按照安全基线进行部署和配置;

  9. 在上线前进行必要的安全测试或漏洞扫描。

  10. 运行 / 运维阶段

  11. 日常巡检、日志审计、告警处理;

  12. 定期进行权限复核、策略回顾、应急演练。

  13. 变更 / 下线阶段

  14. 变更前进行风险评估和回滚预案设计;
  15. 系统下线时对数据进行妥善处理(归档、匿名化、销毁等),回收账号与权限。

在整个生命周期中,过程管理特别关键: - 确保过程正确,是确保结果可控、一致的重要前提; - 在过程中进行周期性的检查和回顾,才能及时发现偏差并纠正。

4. 我的实践态度与后续计划

从实际工作观察来看,大部分公司在以下方面已经做得相对不错:

  • 能够 制定整体安全策略
  • 能够为系统组件制定一定程度的技术规范(防火墙、ACL、角色划分等)。

在这些基础工作上,我会重点做好:

  1. 认真履行既定策略与规范
  2. 在日常运维中严格执行既定安全策略和系统配置要求;

  3. 做好周期性检查和回顾,根据系统变化及时调整与完善细节。

  4. 加强对人的管理与支撑

  5. 我认为“对人的规范”是系统安全的核心之一;

  6. 在熟悉系统一段时间后,我会逐步补充并完善:

    • 用户及运维人员的安全培训内容;
    • 针对关键操作的 SOP 和 WI 文档;
    • 常见问题和风险场景的操作指南。

  7. 推动安全与业务的良性循环

  8. 通过文档化、标准化,让安全要求更容易被执行;
  9. 通过周期性回顾,把线上实际情况反馈到策略和规范中去;
  10. 最终让安全工作不只是“管控”,而是业务稳定运行的基础设施。

从策略、规范到生命周期管理,系统安全本质上是一项 持续的管理工程。技术措施固然重要,但如果没有对人的约束、培训和引导,安全体系就难以落地。只有把“技术 + 制度 + 人”结合起来,安全工作才能真正融入业务,而不是游离在业务之外。