對于一個家庭��,其成員的健康是最大的財富����,有了健康的身體,才能正常工作����,幸福生活。這一點大多數(shù)人都能認識到����,所以每個家庭都有保證家庭成員健康的種種措施,比如要買一些常用必備藥品����,以及體溫計、血壓計等儀器����,要定期到醫(yī)院做體檢����,遇到突發(fā)的疾病要到醫(yī)院就診�,平時家庭里還會培養(yǎng)一些保障健康的習慣,如勤洗手�����、勤換洗衣服�����、室內(nèi)常通風換氣等�。這些措施如果都能做到并保持的話,就可以保證家庭成員長期處于一個比較健康的水平���。
對于處在當今這個信息時代的企業(yè)��,信息就是企業(yè)最大的財富��。什么是信息���?廣義地說�����,信息就是消息。一切存在都有信息��。信息資源��,對企業(yè)而言���,是指對完成某一經(jīng)營目標有價值的所有數(shù)據(jù)��、信息的集合����。企業(yè)信息系統(tǒng)則是能夠完成信息資源管理的一整套軟硬件系統(tǒng)及其配套設施��,其包含的范圍很廣��,從硬件上來說包括計算機��、網(wǎng)絡系統(tǒng)����、通訊設備,以及其它一些硬件設備等,從軟件上來說包括軟件平臺���、業(yè)務系統(tǒng)程序���、業(yè)務數(shù)據(jù)、文檔資料�、財務報表、人力資源等��。
“信息就是財富����,安全才有價值”。企業(yè)信息安全也是一個很廣泛的概念���,許多安全問題如設備損壞��、病毒危害����、黑客的惡意攻擊和入侵�、電子商務安全等都屬于企業(yè)信息安全范疇。一個企業(yè)��,可以比喻成一個家庭,那么在企業(yè)信息安全保障方面����,有許多可以從家庭健康保障計劃得到啟示�����。比如�����,企業(yè)的信息安全建設���,必然首先要購買一些信息安全產(chǎn)品����,如防火墻���、入侵檢測系統(tǒng)(IDS)��、漏洞掃描系統(tǒng)���、防病毒系統(tǒng)等等���,并在網(wǎng)絡建設的初期就將這些安全產(chǎn)品部署和實施;比較重視安全的企業(yè)還會請專門的安全服務提供商定期做企業(yè)信息系統(tǒng)安全評估���、安全加固���、安全審計等服務,遇到黑客侵襲�����、病毒蠕蟲爆發(fā)等安全突發(fā)事件����,也會請專業(yè)的安全人員進行應急響應;企業(yè)內(nèi)部一般會制定安全策略����、安全管理制度,或者組建專門的安全管理部門等�,采取一系列的安全管理措施。從這些方面看��,家庭健康保障計劃和企業(yè)信息安全保障體系有很多類似點���。
信息安全保障體系簡介
企業(yè)的信息安全建設是一個全方位的工程���,必須全員參與����、全面考慮���。目前企業(yè)信息安全建設存在著許多誤區(qū),有些企業(yè)只是購買了防火墻�、防病毒產(chǎn)品就聲稱已經(jīng)做到了安全。但是這些安全產(chǎn)品所提供的服務是有限的�����,并且如果不能做到全面的檢測����、合理的配置和適當?shù)膬?yōu)化,還不能起到應用的作用���。更重要的是��,安全技術和產(chǎn)品都應該與企業(yè)的IT業(yè)務實際情況相結(jié)合�����,才能建設成為完整的信息安全系統(tǒng)��。企業(yè)最好與專業(yè)的安全服務提供商合作���,對于可能出現(xiàn)的安全事故還有制訂好應急措施�,具有一定的應急響應和災難恢復的能力��。另外���,據(jù)權(quán)威機構(gòu)統(tǒng)計表明��,信息安全大約60%以上的問題是由于管理方面的原因造成的�����。中國國家信息安全測評認證中心的調(diào)查結(jié)果也表明��,信息安全問題主要來自泄密和內(nèi)部人員犯罪�����,而非病毒和外來黑客引起��。所以����,企業(yè)解決信息安全問題不應僅從技術方面著手,同時更應加強信息安全管理工作����,通過建立正規(guī)的信息安全管理體系以達到系統(tǒng)地解決信息安全問題。
基于以上的分析和從家庭健康保障措施中得到的啟示���,我們提出一種三維的信息安全保障體系,包括安全技術�����、安全服務和安全管理三個方面����。信息安全是技術、服務和管理的統(tǒng)一�����,信息安全保障體系的建立必須同時關注這三方面���。安全技術是整個信息系統(tǒng)安全保障體系的基礎����,由專業(yè)安全服務廠商提供的安全服務是信息系統(tǒng)安全的保障手段,信息系統(tǒng)內(nèi)部的安全管理是安全技術有效發(fā)揮作用的關鍵��。
圖1 信息安全保障體系模型圖
安全技術�、安全服務和安全管理構(gòu)成信息安全保障體系三維立體空間的三個維度(如圖1所示)。安全技術偏重于靜態(tài)的部署���,安全服務和安全管理則分別從信息系統(tǒng)外部和內(nèi)部兩個方面動態(tài)的支持與維護�����。
安全技術是指為了保障信息的完整性�����、保密性����、可用性和可控性而采用的技術手段�、安全措施和安全產(chǎn)品。完整性、保密性��、可用性和可控性是信息安全的重要特征���,也是基本要求�。安全技術方面依據(jù)信息系統(tǒng)的分層次模型�,考慮每個層次上的安全風險分析和安全需求分析,在每個層次上部署和實施相應的安全產(chǎn)品和安全措施����。
信息系統(tǒng)安全問題的解決需要專業(yè)的安全技能和豐富的安全經(jīng)驗,否則不但不能真正解決問題�����,稍有不慎或誤操作都可能影響系統(tǒng)的正常運行����,造成更大的損失����。安全技術的部署和實施由專業(yè)安全服務廠商提供的安全服務來實現(xiàn),確保安全技術發(fā)揮應有的效果�����。通過專業(yè)、可靠��、持續(xù)的安全服務來解決應用系統(tǒng)日常運行維護中的安全問題�,是降低安全風險、提高信息系統(tǒng)安全水平的一個重要手段�����。
安全服務是由專業(yè)的安全服務機構(gòu)對信息系統(tǒng)用戶進行安全咨詢�、安全評估、安全方案設計���、安全審計�、事件響應���、定期維護����、安全培訓等服務�。安全服務根據(jù)用戶的情況分級分類進行,不是所有的用戶都需要所有的安全服務��。安全服務機構(gòu)根據(jù)用戶信息的價值、可接受的成本和風險等綜合情況為用戶定制適當?shù)陌踩铡?
除了外部的安全服務��,信息系統(tǒng)內(nèi)部的安全管理也是必不可少的����。安全管理不善,可能會遇到很多安全問題��,如內(nèi)部人員誤操作�����、故意泄密和破壞���,以及社會工程學攻擊等���。整個信息安全保障體系的建設過程都離不開信息系統(tǒng)內(nèi)部的安全管理,安全管理貫穿安全技術和安全服務的整個過程��,并對維持信息系統(tǒng)安全生命周期起到關鍵的作用����。安全管理是制訂安全管理方針�����、政策,建立安全管理制度��,成立安全管理機構(gòu)�����,進行日常安全維護和檢查��,監(jiān)督安全措施的執(zhí)行��。安全管理的內(nèi)容非常廣泛�����,它包括安全技術各個層次的管理�,也包括對安全服務的管理,還包括安全策略���、安全機構(gòu)���、人員安全管理、應用系統(tǒng)安全管理����、操作安全管理�、技術文檔安全管理�、災難恢復計劃等。
所以說安全技術���、安全服務和安全管理三者之間有密切的關聯(lián)��,它們從整體上共同作用���,保證信息系統(tǒng)長期處于一個較高的安全水平和穩(wěn)定的安全狀態(tài)。
從家庭健康保障措施看企業(yè)信息安全保障體系
1����、從常備藥品到安全技術
許多家庭都有個小藥箱,里面會常備一些應對常見疾病的藥物��,如感冒藥���、消炎藥����、創(chuàng)可貼等等����,家庭成員有這樣的小病不用去醫(yī)院,吃些藥或簡單處理一下就可以好了����。除了常備藥外,還會有體溫計���、血壓計等等�,如果有人感覺不舒服����,可以用體溫計量一下是否發(fā)燒,用血壓計量一下是否有高血壓����、低血壓癥狀。
與此對應來考慮���,企業(yè)的信息安全建設必然要購買安全產(chǎn)品���,這已經(jīng)成為共識,象防火墻�����、防病毒等設備和產(chǎn)品,已經(jīng)成為企業(yè)網(wǎng)絡建設必不可少的設備��。企業(yè)一般會在網(wǎng)絡建設初期����,隨著路由器、交換機等網(wǎng)絡設備同時購買并部署����。近些年入侵檢測、漏洞掃描��、網(wǎng)絡內(nèi)容監(jiān)控��、身份認證和授權(quán)等安全產(chǎn)品也逐漸被用戶所認識和接收���,銷售量在逐年增加���,這就像SARS過后,許多家庭必備藥箱中又多了板藍根一樣�����。可見���,“魔高一尺,道高一丈”����,黑客攻擊技術在發(fā)展變化,安全防御技術也在不斷提高���,企業(yè)的安全意識也在隨之增強和發(fā)展�。今后�,可能還會有更多的安全產(chǎn)品成為企業(yè)的“常用必備藥”。
2����、從定期體檢到安全服務
家庭成員定期要做體檢,全面地檢查身體的各器官是否正常��,是否有隱藏的病患�。在生病的時候,如果家庭小藥箱的藥不能夠很快地治愈疾病�����,那就需要到醫(yī)院就醫(yī)了。畢竟有些病是不那么容易治愈的��。有些家庭里有在醫(yī)院工作的人����,即便這樣,由于醫(yī)療器材和專業(yè)知識的限制�����,最終還是要到醫(yī)院里接收治療����。醫(yī)院實際上就是為我們普通人員提供健康服務的專門機構(gòu)。那么�����,對于企業(yè)來說�����,是不是也有專門提供安全服務的機構(gòu)呢��?
安全服務在國內(nèi)是近年來才提出的,在國外已經(jīng)成為受到了廣泛的重視����,國外專業(yè)的安全服務公司已經(jīng)不是少數(shù)的了。以前���,一般大型企業(yè)都會設有專門的部門和專職人員負責網(wǎng)絡管理����,在安全建設方面�����,這些網(wǎng)管也就兼任了安全管理員的角色�。但是��,隨著安全技術的不斷發(fā)展變化��,網(wǎng)絡攻擊和防御都成了越來越高難度和深度的技術����,網(wǎng)管們在負責管理網(wǎng)絡應用系統(tǒng)的同時,越來越難以兼顧網(wǎng)絡的安全���。就象家庭成員里有醫(yī)生的話���,就算他水平再高���,也有看不了的病。那就需要專門的安全服務公司�����,專業(yè)的安全技術人員�。這也是符合現(xiàn)在這個社會分工越來越細化的趨勢。
企業(yè)最好與專業(yè)的安全服務公司建立長期的合作關系�����,定期由安全服務公司派出專業(yè)人員�����,對企業(yè)的網(wǎng)絡進行全面安全檢測��。檢測的內(nèi)容包括:網(wǎng)絡設備���、操作系統(tǒng)及應用系統(tǒng)是否存在安全漏洞����,系統(tǒng)是否安裝了最新的補丁(patch)�,是否被黑客安裝了隱蔽的后門程序等等,這樣的安全檢測最好定期進行���。檢測完成后���,如果有必要的話,就要進行安全修復和加固工作�����,就是在經(jīng)過檢測后對所有的不安全因素及危及安全的隱患進行處理的工作�,比如對系統(tǒng)進行升級����、補漏、配置等工作���。
當企業(yè)遇到突發(fā)的安全事件時����,比如蠕蟲病毒爆發(fā)、黑客攻擊導致網(wǎng)絡中斷�,業(yè)務系統(tǒng)癱瘓等,這時需要安全服務公司提供應急響應服務�。應急響應可以在盡可能短的時間內(nèi),為企業(yè)的信息系統(tǒng)清除病毒����、阻擊黑客、恢復業(yè)務�����,使企業(yè)的損失降至最低�����。企業(yè)的網(wǎng)絡不可能永遠不受攻擊���,就像人不可能一輩子不得病一樣��,只要預防措施做得好����,就能把損失降低到一個可以接受的水平��。但是如果沒有這樣的預防措施,對于人來說就可能有生命危險�,對于企業(yè)來說就可能遭到致命的打擊。許多企業(yè)的倒閉都是與安全事件相關的���,這樣的例子不難找到�。
3�����、從健康習慣到安全管理
如果一個家庭里有小孩的話����,家長一定會教育小孩養(yǎng)成一些健康的好習慣,如飯前要洗手����,不能亂吃東西等等����,因為家長知道,小孩的健康意識是較低的���,是家庭健康的薄弱環(huán)節(jié)��。對于企業(yè)����,從領導到普通員工中是否也會有不注重安全的“小孩”呢?答案是肯定的�。一些人員的安全意識較差,比如�����,對于自己的計算機不安裝防病毒軟件���,自己進入業(yè)務系統(tǒng)的登錄口令設的過于簡單�����,很容易被人猜測��,還有私自訪問不安全網(wǎng)站�,下載和安裝與工作無關的軟件等等�,這些都給企業(yè)的內(nèi)網(wǎng)造成了極大的安全隱患和威脅。企業(yè)需要制定安全策略和安全規(guī)范�,并成立專門的安全管理部門,設立專職的安全管理人員��,對那些給企業(yè)信息安全帶來嚴重隱患的行為和人員進行管理和監(jiān)督,這樣才能從內(nèi)部保證信息安全�����。
總之�,無論是家庭的健康保障還是企業(yè)的信息安全,都不是一種方法和措施就可以實現(xiàn)的���,都需要從各個方面綜合考慮����,全面防護����,形成一個安全體系。信息安全業(yè)界有個“木桶原理”����,一個木桶能夠盛多少水,取決于木桶周邊最短的一塊木板�����,同樣企業(yè)信息系統(tǒng)的安全也取決于最薄弱的環(huán)節(jié)���,安全技術�、安全服務�、安全管理就是組成企業(yè)信息系統(tǒng)這個木桶的木板,哪個方面做的不好��,都會直接影響企業(yè)的安全水平��。只有三個方面都做到足夠的高度��,才能保障企業(yè)信息系統(tǒng)能夠全面的��、長期的處于較高的安全水平�����。
