對(duì)于一個(gè)家庭,其成員的健康是最大的財(cái)富���,有了健康的身體,才能正常工作�����,幸福生活。這一點(diǎn)大多數(shù)人都能認(rèn)識(shí)到���,所以每個(gè)家庭都有保證家庭成員健康的種種措施�����,比如要買一些常用必備藥品�����,以及體溫計(jì)�、血壓計(jì)等儀器����,要定期到醫(yī)院做體檢,遇到突發(fā)的疾病要到醫(yī)院就診�,平時(shí)家庭里還會(huì)培養(yǎng)一些保障健康的習(xí)慣,如勤洗手���、勤換洗衣服���、室內(nèi)常通風(fēng)換氣等�����。這些措施如果都能做到并保持的話,就可以保證家庭成員長(zhǎng)期處于一個(gè)比較健康的水平�����。
對(duì)于處在當(dāng)今這個(gè)信息時(shí)代的企業(yè)���,信息就是企業(yè)最大的財(cái)富�。什么是信息���?廣義地說����,信息就是消息�。一切存在都有信息。信息資源����,對(duì)企業(yè)而言,是指對(duì)完成某一經(jīng)營(yíng)目標(biāo)有價(jià)值的所有數(shù)據(jù)、信息的集合�����。企業(yè)信息系統(tǒng)則是能夠完成信息資源管理的一整套軟硬件系統(tǒng)及其配套設(shè)施���,其包含的范圍很廣�����,從硬件上來說包括計(jì)算機(jī)�����、網(wǎng)絡(luò)系統(tǒng)�、通訊設(shè)備��,以及其它一些硬件設(shè)備等�����,從軟件上來說包括軟件平臺(tái)、業(yè)務(wù)系統(tǒng)程序、業(yè)務(wù)數(shù)據(jù)���、文檔資料、財(cái)務(wù)報(bào)表����、人力資源等。
“信息就是財(cái)富����,安全才有價(jià)值”。企業(yè)信息安全也是一個(gè)很廣泛的概念���,許多安全問題如設(shè)備損壞、病毒危害���、黑客的惡意攻擊和入侵��、電子商務(wù)安全等都屬于企業(yè)信息安全范疇���。一個(gè)企業(yè),可以比喻成一個(gè)家庭�����,那么在企業(yè)信息安全保障方面��,有許多可以從家庭健康保障計(jì)劃得到啟示。比如����,企業(yè)的信息安全建設(shè),必然首先要購買一些信息安全產(chǎn)品�����,如防火墻�����、入侵檢測(cè)系統(tǒng)(IDS)�����、漏洞掃描系統(tǒng)���、防病毒系統(tǒng)等等����,并在網(wǎng)絡(luò)建設(shè)的初期就將這些安全產(chǎn)品部署和實(shí)施����;比較重視安全的企業(yè)還會(huì)請(qǐng)專門的安全服務(wù)提供商定期做企業(yè)信息系統(tǒng)安全評(píng)估����、安全加固��、安全審計(jì)等服務(wù)�����,遇到黑客侵襲����、病毒蠕蟲爆發(fā)等安全突發(fā)事件,也會(huì)請(qǐng)專業(yè)的安全人員進(jìn)行應(yīng)急響應(yīng)�����;企業(yè)內(nèi)部一般會(huì)制定安全策略��、安全管理制度����,或者組建專門的安全管理部門等����,采取一系列的安全管理措施����。從這些方面看���,家庭健康保障計(jì)劃和企業(yè)信息安全保障體系有很多類似點(diǎn)����。
信息安全保障體系簡(jiǎn)介
企業(yè)的信息安全建設(shè)是一個(gè)全方位的工程�����,必須全員參與����、全面考慮。目前企業(yè)信息安全建設(shè)存在著許多誤區(qū)���,有些企業(yè)只是購買了防火墻��、防病毒產(chǎn)品就聲稱已經(jīng)做到了安全����。但是這些安全產(chǎn)品所提供的服務(wù)是有限的�����,并且如果不能做到全面的檢測(cè)、合理的配置和適當(dāng)?shù)膬?yōu)化�,還不能起到應(yīng)用的作用。更重要的是����,安全技術(shù)和產(chǎn)品都應(yīng)該與企業(yè)的IT業(yè)務(wù)實(shí)際情況相結(jié)合,才能建設(shè)成為完整的信息安全系統(tǒng)����。企業(yè)最好與專業(yè)的安全服務(wù)提供商合作,對(duì)于可能出現(xiàn)的安全事故還有制訂好應(yīng)急措施�����,具有一定的應(yīng)急響應(yīng)和災(zāi)難恢復(fù)的能力��。另外�����,據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)表明���,信息安全大約60%以上的問題是由于管理方面的原因造成的��。中國國家信息安全測(cè)評(píng)認(rèn)證中心的調(diào)查結(jié)果也表明�����,信息安全問題主要來自泄密和內(nèi)部人員犯罪�����,而非病毒和外來黑客引起����。所以�����,企業(yè)解決信息安全問題不應(yīng)僅從技術(shù)方面著手����,同時(shí)更應(yīng)加強(qiáng)信息安全管理工作,通過建立正規(guī)的信息安全管理體系以達(dá)到系統(tǒng)地解決信息安全問題���。
基于以上的分析和從家庭健康保障措施中得到的啟示�����,我們提出一種三維的信息安全保障體系�����,包括安全技術(shù)���、安全服務(wù)和安全管理三個(gè)方面���。信息安全是技術(shù)、服務(wù)和管理的統(tǒng)一����,信息安全保障體系的建立必須同時(shí)關(guān)注這三方面。安全技術(shù)是整個(gè)信息系統(tǒng)安全保障體系的基礎(chǔ)��,由專業(yè)安全服務(wù)廠商提供的安全服務(wù)是信息系統(tǒng)安全的保障手段�,信息系統(tǒng)內(nèi)部的安全管理是安全技術(shù)有效發(fā)揮作用的關(guān)鍵。
圖1 信息安全保障體系模型圖
安全技術(shù)���、安全服務(wù)和安全管理構(gòu)成信息安全保障體系三維立體空間的三個(gè)維度(如圖1所示)。安全技術(shù)偏重于靜態(tài)的部署����,安全服務(wù)和安全管理則分別從信息系統(tǒng)外部和內(nèi)部?jī)蓚€(gè)方面動(dòng)態(tài)的支持與維護(hù)����。
安全技術(shù)是指為了保障信息的完整性��、保密性����、可用性和可控性而采用的技術(shù)手段、安全措施和安全產(chǎn)品��。完整性�����、保密性���、可用性和可控性是信息安全的重要特征����,也是基本要求�����。安全技術(shù)方面依據(jù)信息系統(tǒng)的分層次模型,考慮每個(gè)層次上的安全風(fēng)險(xiǎn)分析和安全需求分析����,在每個(gè)層次上部署和實(shí)施相應(yīng)的安全產(chǎn)品和安全措施。
信息系統(tǒng)安全問題的解決需要專業(yè)的安全技能和豐富的安全經(jīng)驗(yàn)��,否則不但不能真正解決問題����,稍有不慎或誤操作都可能影響系統(tǒng)的正常運(yùn)行,造成更大的損失����。安全技術(shù)的部署和實(shí)施由專業(yè)安全服務(wù)廠商提供的安全服務(wù)來實(shí)現(xiàn),確保安全技術(shù)發(fā)揮應(yīng)有的效果���。通過專業(yè)�����、可靠��、持續(xù)的安全服務(wù)來解決應(yīng)用系統(tǒng)日常運(yùn)行維護(hù)中的安全問題����,是降低安全風(fēng)險(xiǎn)、提高信息系統(tǒng)安全水平的一個(gè)重要手段��。
安全服務(wù)是由專業(yè)的安全服務(wù)機(jī)構(gòu)對(duì)信息系統(tǒng)用戶進(jìn)行安全咨詢��、安全評(píng)估��、安全方案設(shè)計(jì)����、安全審計(jì)����、事件響應(yīng)、定期維護(hù)��、安全培訓(xùn)等服務(wù)����。安全服務(wù)根據(jù)用戶的情況分級(jí)分類進(jìn)行,不是所有的用戶都需要所有的安全服務(wù)�����。安全服務(wù)機(jī)構(gòu)根據(jù)用戶信息的價(jià)值�、可接受的成本和風(fēng)險(xiǎn)等綜合情況為用戶定制適當(dāng)?shù)陌踩?wù)���。
除了外部的安全服務(wù),信息系統(tǒng)內(nèi)部的安全管理也是必不可少的���。安全管理不善��,可能會(huì)遇到很多安全問題���,如內(nèi)部人員誤操作、故意泄密和破壞����,以及社會(huì)工程學(xué)攻擊等。整個(gè)信息安全保障體系的建設(shè)過程都離不開信息系統(tǒng)內(nèi)部的安全管理��,安全管理貫穿安全技術(shù)和安全服務(wù)的整個(gè)過程�,并對(duì)維持信息系統(tǒng)安全生命周期起到關(guān)鍵的作用。安全管理是制訂安全管理方針���、政策��,建立安全管理制度�����,成立安全管理機(jī)構(gòu)�,進(jìn)行日常安全維護(hù)和檢查,監(jiān)督安全措施的執(zhí)行���。安全管理的內(nèi)容非常廣泛,它包括安全技術(shù)各個(gè)層次的管理����,也包括對(duì)安全服務(wù)的管理,還包括安全策略���、安全機(jī)構(gòu)���、人員安全管理、應(yīng)用系統(tǒng)安全管理���、操作安全管理���、技術(shù)文檔安全管理、災(zāi)難恢復(fù)計(jì)劃等���。
所以說安全技術(shù)�����、安全服務(wù)和安全管理三者之間有密切的關(guān)聯(lián)����,它們從整體上共同作用,保證信息系統(tǒng)長(zhǎng)期處于一個(gè)較高的安全水平和穩(wěn)定的安全狀態(tài)���。
從家庭健康保障措施看企業(yè)信息安全保障體系
1�����、從常備藥品到安全技術(shù)
許多家庭都有個(gè)小藥箱����,里面會(huì)常備一些應(yīng)對(duì)常見疾病的藥物�,如感冒藥、消炎藥���、創(chuàng)可貼等等����,家庭成員有這樣的小病不用去醫(yī)院,吃些藥或簡(jiǎn)單處理一下就可以好了����。除了常備藥外,還會(huì)有體溫計(jì)����、血壓計(jì)等等,如果有人感覺不舒服�,可以用體溫計(jì)量一下是否發(fā)燒,用血壓計(jì)量一下是否有高血壓���、低血壓癥狀。
與此對(duì)應(yīng)來考慮����,企業(yè)的信息安全建設(shè)必然要購買安全產(chǎn)品,這已經(jīng)成為共識(shí)����,象防火墻、防病毒等設(shè)備和產(chǎn)品����,已經(jīng)成為企業(yè)網(wǎng)絡(luò)建設(shè)必不可少的設(shè)備。企業(yè)一般會(huì)在網(wǎng)絡(luò)建設(shè)初期��,隨著路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備同時(shí)購買并部署����。近些年入侵檢測(cè)、漏洞掃描�、網(wǎng)絡(luò)內(nèi)容監(jiān)控、身份認(rèn)證和授權(quán)等安全產(chǎn)品也逐漸被用戶所認(rèn)識(shí)和接收����,銷售量在逐年增加,這就像SARS過后�����,許多家庭必備藥箱中又多了板藍(lán)根一樣����。可見���,“魔高一尺����,道高一丈”,黑客攻擊技術(shù)在發(fā)展變化����,安全防御技術(shù)也在不斷提高,企業(yè)的安全意識(shí)也在隨之增強(qiáng)和發(fā)展����。今后,可能還會(huì)有更多的安全產(chǎn)品成為企業(yè)的“常用必備藥”�。
2、從定期體檢到安全服務(wù)
家庭成員定期要做體檢�����,全面地檢查身體的各器官是否正常���,是否有隱藏的病患。在生病的時(shí)候���,如果家庭小藥箱的藥不能夠很快地治愈疾病�,那就需要到醫(yī)院就醫(yī)了����。畢竟有些病是不那么容易治愈的。有些家庭里有在醫(yī)院工作的人,即便這樣���,由于醫(yī)療器材和專業(yè)知識(shí)的限制�����,最終還是要到醫(yī)院里接收治療�。醫(yī)院實(shí)際上就是為我們普通人員提供健康服務(wù)的專門機(jī)構(gòu)�。那么,對(duì)于企業(yè)來說����,是不是也有專門提供安全服務(wù)的機(jī)構(gòu)呢?
安全服務(wù)在國內(nèi)是近年來才提出的�����,在國外已經(jīng)成為受到了廣泛的重視���,國外專業(yè)的安全服務(wù)公司已經(jīng)不是少數(shù)的了��。以前���,一般大型企業(yè)都會(huì)設(shè)有專門的部門和專職人員負(fù)責(zé)網(wǎng)絡(luò)管理����,在安全建設(shè)方面����,這些網(wǎng)管也就兼任了安全管理員的角色。但是�����,隨著安全技術(shù)的不斷發(fā)展變化����,網(wǎng)絡(luò)攻擊和防御都成了越來越高難度和深度的技術(shù)�,網(wǎng)管們?cè)谪?fù)責(zé)管理網(wǎng)絡(luò)應(yīng)用系統(tǒng)的同時(shí),越來越難以兼顧網(wǎng)絡(luò)的安全�。就象家庭成員里有醫(yī)生的話,就算他水平再高��,也有看不了的病��。那就需要專門的安全服務(wù)公司�,專業(yè)的安全技術(shù)人員��。這也是符合現(xiàn)在這個(gè)社會(huì)分工越來越細(xì)化的趨勢(shì)。
企業(yè)最好與專業(yè)的安全服務(wù)公司建立長(zhǎng)期的合作關(guān)系��,定期由安全服務(wù)公司派出專業(yè)人員�����,對(duì)企業(yè)的網(wǎng)絡(luò)進(jìn)行全面安全檢測(cè)�����。檢測(cè)的內(nèi)容包括:網(wǎng)絡(luò)設(shè)備��、操作系統(tǒng)及應(yīng)用系統(tǒng)是否存在安全漏洞��,系統(tǒng)是否安裝了最新的補(bǔ)?��。╬atch)���,是否被黑客安裝了隱蔽的后門程序等等,這樣的安全檢測(cè)最好定期進(jìn)行�。檢測(cè)完成后,如果有必要的話����,就要進(jìn)行安全修復(fù)和加固工作����,就是在經(jīng)過檢測(cè)后對(duì)所有的不安全因素及危及安全的隱患進(jìn)行處理的工作�,比如對(duì)系統(tǒng)進(jìn)行升級(jí)、補(bǔ)漏����、配置等工作。
當(dāng)企業(yè)遇到突發(fā)的安全事件時(shí)�,比如蠕蟲病毒爆發(fā)、黑客攻擊導(dǎo)致網(wǎng)絡(luò)中斷�����,業(yè)務(wù)系統(tǒng)癱瘓等���,這時(shí)需要安全服務(wù)公司提供應(yīng)急響應(yīng)服務(wù)����。應(yīng)急響應(yīng)可以在盡可能短的時(shí)間內(nèi)�����,為企業(yè)的信息系統(tǒng)清除病毒�����、阻擊黑客�����、恢復(fù)業(yè)務(wù),使企業(yè)的損失降至最低���。企業(yè)的網(wǎng)絡(luò)不可能永遠(yuǎn)不受攻擊�,就像人不可能一輩子不得病一樣��,只要預(yù)防措施做得好,就能把損失降低到一個(gè)可以接受的水平����。但是如果沒有這樣的預(yù)防措施,對(duì)于人來說就可能有生命危險(xiǎn)����,對(duì)于企業(yè)來說就可能遭到致命的打擊。許多企業(yè)的倒閉都是與安全事件相關(guān)的��,這樣的例子不難找到�。
3、從健康習(xí)慣到安全管理
如果一個(gè)家庭里有小孩的話�����,家長(zhǎng)一定會(huì)教育小孩養(yǎng)成一些健康的好習(xí)慣����,如飯前要洗手,不能亂吃東西等等��,因?yàn)榧议L(zhǎng)知道�,小孩的健康意識(shí)是較低的,是家庭健康的薄弱環(huán)節(jié)��。對(duì)于企業(yè)�����,從領(lǐng)導(dǎo)到普通員工中是否也會(huì)有不注重安全的“小孩”呢���?答案是肯定的�。一些人員的安全意識(shí)較差,比如���,對(duì)于自己的計(jì)算機(jī)不安裝防病毒軟件,自己進(jìn)入業(yè)務(wù)系統(tǒng)的登錄口令設(shè)的過于簡(jiǎn)單����,很容易被人猜測(cè)��,還有私自訪問不安全網(wǎng)站�����,下載和安裝與工作無關(guān)的軟件等等�,這些都給企業(yè)的內(nèi)網(wǎng)造成了極大的安全隱患和威脅。企業(yè)需要制定安全策略和安全規(guī)范���,并成立專門的安全管理部門��,設(shè)立專職的安全管理人員�����,對(duì)那些給企業(yè)信息安全帶來嚴(yán)重隱患的行為和人員進(jìn)行管理和監(jiān)督��,這樣才能從內(nèi)部保證信息安全���。
總之��,無論是家庭的健康保障還是企業(yè)的信息安全���,都不是一種方法和措施就可以實(shí)現(xiàn)的,都需要從各個(gè)方面綜合考慮���,全面防護(hù)����,形成一個(gè)安全體系�����。信息安全業(yè)界有個(gè)“木桶原理”���,一個(gè)木桶能夠盛多少水�,取決于木桶周邊最短的一塊木板�����,同樣企業(yè)信息系統(tǒng)的安全也取決于最薄弱的環(huán)節(jié),安全技術(shù)�、安全服務(wù)、安全管理就是組成企業(yè)信息系統(tǒng)這個(gè)木桶的木板�����,哪個(gè)方面做的不好�,都會(huì)直接影響企業(yè)的安全水平��。只有三個(gè)方面都做到足夠的高度�����,才能保障企業(yè)信息系統(tǒng)能夠全面的��、長(zhǎng)期的處于較高的安全水平��。
