安全是一个广泛的主题,它涉及到许多不同的区域(物理设备、网络、系统平台、应用程序等),每个区域都有其相关的风险、威胁及解决方法。当我们讨论信息安全的时候,经常只关心黑客和操作系统的漏洞。尽管它们是安全的重要部分,但只是安全广义概念上的两个组件而已。
对于连网的企业组织来说风险与威胁是没有终止的。信息安全是一个动态发展的过程,不仅仅是纯粹的技术,仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息安全建设是一项复杂的系统工程,要从观念上进行转变,规划、管理、技术等多种因素相结合使之成为一个可持续的动态发展的过程。
绝对的信息安全是不存在的,每个网络环境都有一定程度的漏洞和风险。这种程度是可以接受的。信息安全问题的解决只能通过一系列的规划和措施,把风险降低到可被接受的程度,同时采取适当的机制使风险保持在此程度之内。当信息系统发生变化时应当重新规划和实施来适应新的安全需求。信息系统的安全往往取决于系统中最薄弱的环节 - 人。人是信息安全中最关键的因素,同时也应该清醒的认识到人也是信息安全中最薄弱的环节。
我们经常听到这样令人感兴趣的信息:病毒、蠕虫造成了严重的破坏,黑客获取了信用卡的信息,大型网站主页被黑等等。可能人们普遍的认识是企业没有安装安全产品(如:防火墙、入侵检测系统、防病毒系统等)。这些问题很大程度上是安全管理没有有效实施造成的。安全管理是企业信息安全的核心。安全管理包括风险管理、安全策略和安全教育。这三个组件是企业安全规划的基础。风险管理识别企业的资产,评估威胁这些资产的风险,评估假定这些风险成为现实时企业所承受的灾难和损失。通过降低风险(如:安装防护措施)、避免风险、转嫁风险(如:买保险)、接受风险(基于投入/产出比考虑)等多种风险管理方式得到的结果来协助管理部门根据企业的业务目标和业务发展特点来制定企业安全策略。
随着企业规模、业务发展、安全需求的不同,安全策略可能繁简不同。但是安全策略都应该简单明了、通俗易懂并直接反映主题,避免含糊不清的情况出现。信息安全策略是企业安全的最高方针,由高级管理部门支持,必须形成书面文档、广泛发布到企业所有员工手中,同时,要对所有相关人员进行安全策略的培训,对于有特殊责任人员要进行特殊的培训,使得安全策略能够真正在企业正常运营过程中得到贯彻、落实、实施。在安全规划中管理部门的支持是最重要的因素之一,仅仅是简单的点头同意是不够的。
安全管理通过适当的识别企业的信息资产,评估信息资产的价值,制定、实施安全策略、安全标准、安全方针、安全措施来保证企业信息资产的完整性、机密性、可用性。
一、风险管理
风险是指某种破坏或损失发生的可能性。风险管理是指识别、评估、降低风险到可以接受的程度并实施适当机制控制风险保持在此程度之内的过程。没有绝对安全的环境,每个环境都有一定程度的漏洞和风险。
1. 需要重视的风险
企业中潜在的风险有多种形式,不仅仅只与计算机相关。当考虑信息安全的时候,有几种风险必须重视,包括(但不局限于):
风险应当被识别、分类。真实的风险是很难估量的,但是对潜在风险进行估量是可取的。
2. 风险分析
对于一个企业来说,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的威胁和影响,将是企业实施安全建设必须首先解决的问题,也是制定安全策略的基础与依据。在风险分析过程中,最开始考虑的有两方面的内容:一个是对企业资产的识别,另一个是对威胁的识别。对于每一个明确要保护的资产,都应该考虑到可能面临的威胁,以及威胁可能造成的影响。还要考虑的因素是在风险影响和防护措施花费之间的经济权衡。
要保护企业的信息系统安全,首先要知道企业中有哪些可识别的资产,哪些是最关键的、需要重点防护的,哪些是次要一些的但是也需要保护的,哪些是不需要专门关注的。从防御的角度来说,对于外来的威胁有时很难准确把握,但对"自己",应该做到心中有数。当企业意识到资产的价值及可能面临的威胁时,才可以在保护这些资产的预算上作出明智的决定。如果信息没有任何价值,那么就没有意义保护这些无庸的信息。所以一个很重要的问题是企业应当评估如果不保护此信息的话损失有多大。
风险分析的成功执行需要高级管理部门的支持和指导。管理部门需要确定风险分析的目的和范围,指定小组进行评估,并给予时间、资金的支持。风险小组应该由企业中不同部门的人员组成,可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员等。
2.1 确定资产
表1中列出了一些企业可能具有的信息资产。
资产类型 | 说明 |
硬件 | 包括服务器、工作站、路由器、交换机、防火墙、入侵检测系统、终端、打印机等整件设备,也包括主版、CPU、硬盘、显示器等散件设备。 |
软件 | 包括源代码、应用程序、工具、分析测试软件、操作系统等 |
数据 | 包括软硬件运行中的中间数据、备份资料、系统状态、审计日志、数据库资料等 |
人员 | 包括用户、管理员、维护人员等 |
文档 | 包括软件程序、硬件设备、系统状态、本地管理过程的资料 |
消耗品 | 包括纸张、软盘、磁带等 |