对于一个家庭,其成员的健康是最大的财富,有了健康的身体,才能正常工作,幸福生活。这一点大多数人都能认识到,所以每个家庭都有保证家庭成员健康的种种措施,比如要买一些常用必备药品,以及体温计、血压计等仪器,要定期到医院做体检,遇到突发的疾病要到医院就诊,平时家庭里还会培养一些保障健康的习惯,如勤洗手、勤换洗衣服、室内常通风换气等。这些措施如果都能做到并保持的话,就可以保证家庭成员长期处于一个比较健康的水平。
对于处在当今这个信息时代的企业,信息就是企业最大的财富。什么是信息?广义地说,信息就是消息。一切存在都有信息。信息资源,对企业而言,是指对完成某一经营目标有价值的所有数据、信息的集合。企业信息系统则是能够完成信息资源管理的一整套软硬件系统及其配套设施,其包含的范围很广,从硬件上来说包括计算机、网络系统、通讯设备,以及其它一些硬件设备等,从软件上来说包括软件平台、业务系统程序、业务数据、文档资料、财务报表、人力资源等。
“信息就是财富,安全才有价值”。企业信息安全也是一个很广泛的概念,许多安全问题如设备损坏、病毒危害、黑客的恶意攻击和入侵、电子商务安全等都属于企业信息安全范畴。一个企业,可以比喻成一个家庭,那么在企业信息安全保障方面,有许多可以从家庭健康保障计划得到启示。比如,企业的信息安全建设,必然首先要购买一些信息安全产品,如防火墙、入侵检测系统(IDS)、漏洞扫描系统、防病毒系统等等,并在网络建设的初期就将这些安全产品部署和实施;比较重视安全的企业还会请专门的安全服务提供商定期做企业信息系统安全评估、安全加固、安全审计等服务,遇到黑客侵袭、病毒蠕虫爆发等安全突发事件,也会请专业的安全人员进行应急响应;企业内部一般会制定安全策略、安全管理制度,或者组建专门的安全管理部门等,采取一系列的安全管理措施。从这些方面看,家庭健康保障计划和企业信息安全保障体系有很多类似点。
信息安全保障体系简介
企业的信息安全建设是一个全方位的工程,必须全员参与、全面考虑。目前企业信息安全建设存在着许多误区,有些企业只是购买了防火墙、防病毒产品就声称已经做到了安全。但是这些安全产品所提供的服务是有限的,并且如果不能做到全面的检测、合理的配置和适当的优化,还不能起到应用的作用。更重要的是,安全技术和产品都应该与企业的IT业务实际情况相结合,才能建设成为完整的信息安全系统。企业最好与专业的安全服务提供商合作,对于可能出现的安全事故还有制订好应急措施,具有一定的应急响应和灾难恢复的能力。另外,据权威机构统计表明,信息安全大约60%以上的问题是由于管理方面的原因造成的。中国国家信息安全测评认证中心的调查结果也表明,信息安全问题主要来自泄密和内部人员犯罪,而非病毒和外来黑客引起。所以,企业解决信息安全问题不应仅从技术方面着手,同时更应加强信息安全管理工作,通过建立正规的信息安全管理体系以达到系统地解决信息安全问题。
基于以上的分析和从家庭健康保障措施中得到的启示,我们提出一种三维的信息安全保障体系,包括安全技术、安全服务和安全管理三个方面。信息安全是技术、服务和管理的统一,信息安全保障体系的建立必须同时关注这三方面。安全技术是整个信息系统安全保障体系的基础,由专业安全服务厂商提供的安全服务是信息系统安全的保障手段,信息系统内部的安全管理是安全技术有效发挥作用的关键。
图1 信息安全保障体系模型图
安全技术、安全服务和安全管理构成信息安全保障体系三维立体空间的三个维度(如图1所示)。安全技术偏重于静态的部署,安全服务和安全管理则分别从信息系统外部和内部两个方面动态的支持与维护。
安全技术是指为了保障信息的完整性、保密性、可用性和可控性而采用的技术手段、安全措施和安全产品。完整性、保密性、可用性和可控性是信息安全的重要特征,也是基本要求。安全技术方面依据信息系统的分层次模型,考虑每个层次上的安全风险分析和安全需求分析,在每个层次上部署和实施相应的安全产品和安全措施。
信息系统安全问题的解决需要专业的安全技能和丰富的安全经验,否则不但不能真正解决问题,稍有不慎或误操作都可能影响系统的正常运行,造成更大的损失。安全技术的部署和实施由专业安全服务厂商提供的安全服务来实现,确保安全技术发挥应有的效果。通过专业、可靠、持续的安全服务来解决应用系统日常运行维护中的安全问题,是降低安全风险、提高信息系统安全水平的一个重要手段。
安全服务是由专业的安全服务机构对信息系统用户进行安全咨询、安全评估、安全方案设计、安全审计、事件响应、定期维护、安全培训等服务。安全服务根据用户的情况分级分类进行,不是所有的用户都需要所有的安全服务。安全服务机构根据用户信息的价值、可接受的成本和风险等综合情况为用户定制适当的安全服务。
除了外部的安全服务,信息系统内部的安全管理也是必不可少的。安全管理不善,可能会遇到很多安全问题,如内部人员误操作、故意泄密和破坏,以及社会工程学攻击等。整个信息安全保障体系的建设过程都离不开信息系统内部的安全管理,安全管理贯穿安全技术和安全服务的整个过程,并对维持信息系统安全生命周期起到关键的作用。安全管理是制订安全管理方针、政策,建立安全管理制度,成立安全管理机构,进行日常安全维护和检查,监督安全措施的执行。安全管理的内容非常广泛,它包括安全技术各个层次的管理,也包括对安全服务的管理,还包括安全策略、安全机构、人员安全管理、应用系统安全管理、操作安全管理、技术文档安全管理、灾难恢复计划等。
所以说安全技术、安全服务和安全管理三者之间有密切的关联,它们从整体上共同作用,保证信息系统长期处于一个较高的安全水平和稳定的安全状态。
从家庭健康保障措施看企业信息安全保障体系
1、从常备药品到安全技术
许多家庭都有个小药箱,里面会常备一些应对常见疾病的药物,如感冒药、消炎药、创可贴等等,家庭成员有这样的小病不用去医院,吃些药或简单处理一下就可以好了。除了常备药外,还会有体温计、血压计等等,如果有人感觉不舒服,可以用体温计量一下是否发烧,用血压计量一下是否有高血压、低血压症状。
与此对应来考虑,企业的信息安全建设必然要购买安全产品,这已经成为共识,象防火墙、防病毒等设备和产品,已经成为企业网络建设必不可少的设备。企业一般会在网络建设初期,随着路由器、交换机等网络设备同时购买并部署。近些年入侵检测、漏洞扫描、网络内容监控、身份认证和授权等安全产品也逐渐被用户所认识和接收,销售量在逐年增加,这就像SARS过后,许多家庭必备药箱中又多了板蓝根一样。可见,“魔高一尺,道高一丈”,黑客攻击技术在发展变化,安全防御技术也在不断提高,企业的安全意识也在随之增强和发展。今后,可能还会有更多的安全产品成为企业的“常用必备药”。
2、从定期体检到安全服务
家庭成员定期要做体检,全面地检查身体的各器官是否正常,是否有隐藏的病患。在生病的时候,如果家庭小药箱的药不能够很快地治愈疾病,那就需要到医院就医了。毕竟有些病是不那么容易治愈的。有些家庭里有在医院工作的人,即便这样,由于医疗器材和专业知识的限制,最终还是要到医院里接收治疗。医院实际上就是为我们普通人员提供健康服务的专门机构。那么,对于企业来说,是不是也有专门提供安全服务的机构呢?
安全服务在国内是近年来才提出的,在国外已经成为受到了广泛的重视,国外专业的安全服务公司已经不是少数的了。以前,一般大型企业都会设有专门的部门和专职人员负责网络管理,在安全建设方面,这些网管也就兼任了安全管理员的角色。但是,随着安全技术的不断发展变化,网络攻击和防御都成了越来越高难度和深度的技术,网管们在负责管理网络应用系统的同时,越来越难以兼顾网络的安全。就象家庭成员里有医生的话,就算他水平再高,也有看不了的病。那就需要专门的安全服务公司,专业的安全技术人员。这也是符合现在这个社会分工越来越细化的趋势。
企业最好与专业的安全服务公司建立长期的合作关系,定期由安全服务公司派出专业人员,对企业的网络进行全面安全检测。检测的内容包括:网络设备、操作系统及应用系统是否存在安全漏洞,系统是否安装了最新的补丁(patch),是否被黑客安装了隐蔽的后门程序等等,这样的安全检测最好定期进行。检测完成后,如果有必要的话,就要进行安全修复和加固工作,就是在经过检测后对所有的不安全因素及危及安全的隐患进行处理的工作,比如对系统进行升级、补漏、配置等工作。
当企业遇到突发的安全事件时,比如蠕虫病毒爆发、黑客攻击导致网络中断,业务系统瘫痪等,这时需要安全服务公司提供应急响应服务。应急响应可以在尽可能短的时间内,为企业的信息系统清除病毒、阻击黑客、恢复业务,使企业的损失降至最低。企业的网络不可能永远不受攻击,就像人不可能一辈子不得病一样,只要预防措施做得好,就能把损失降低到一个可以接受的水平。但是如果没有这样的预防措施,对于人来说就可能有生命危险,对于企业来说就可能遭到致命的打击。许多企业的倒闭都是与安全事件相关的,这样的例子不难找到。
3、从健康习惯到安全管理
如果一个家庭里有小孩的话,家长一定会教育小孩养成一些健康的好习惯,如饭前要洗手,不能乱吃东西等等,因为家长知道,小孩的健康意识是较低的,是家庭健康的薄弱环节。对于企业,从领导到普通员工中是否也会有不注重安全的“小孩”呢?答案是肯定的。一些人员的安全意识较差,比如,对于自己的计算机不安装防病毒软件,自己进入业务系统的登录口令设的过于简单,很容易被人猜测,还有私自访问不安全网站,下载和安装与工作无关的软件等等,这些都给企业的内网造成了极大的安全隐患和威胁。企业需要制定安全策略和安全规范,并成立专门的安全管理部门,设立专职的安全管理人员,对那些给企业信息安全带来严重隐患的行为和人员进行管理和监督,这样才能从内部保证信息安全。
总之,无论是家庭的健康保障还是企业的信息安全,都不是一种方法和措施就可以实现的,都需要从各个方面综合考虑,全面防护,形成一个安全体系。信息安全业界有个“木桶原理”,一个木桶能够盛多少水,取决于木桶周边最短的一块木板,同样企业信息系统的安全也取决于最薄弱的环节,安全技术、安全服务、安全管理就是组成企业信息系统这个木桶的木板,哪个方面做的不好,都会直接影响企业的安全水平。只有三个方面都做到足够的高度,才能保障企业信息系统能够全面的、长期的处于较高的安全水平。
