作为公司信息安全部的技术主管,我以前常常自认为掌握了所有在实际工作中需要知道的信息安全策略知识。但是自从去年我参加了一个旨在提高一些公司或社团内信息安全策略的学习小组后,我才发现自己是多么的渺小,原来的看法是多么的可笑。
在1995年期间,我们和商业伙伴之间的通讯方式还是除了书信外,就是通过电话联系,彼此之间几乎都是孤立的。在当时,因特网对我们来说只是听说过,却从来没有接触过的非常时尚的事物。
转眼间就到了2001年. 我们和商业伙伴之间都通过租借的专用网络或英特网互相传递重要的信息,电子邮件变得和电话一样重要,几乎所有的交易也都是在网上进行。这时我们周围的世界已经变得越来越复杂,老一套的安全策略已经无法适应时代的发展而急需更新。
在学习小组这段信息安全策略学习期间,我学会了许多新的东西,现在我把它称之为信息安全策略的六个神话。
Ø 偏见1: 信息安全策略是信息安全的重要基础
首先声明,我下面说的也许是我个人的偏见而已,但信息安全策略对信息安全的重要性这一点是我们谁也不可否认的。当然,并不是任何情况都如我说的这样,我认为发展信息安全策略在实际信息安全工作中应该放在第二步,第一步应该是开发出一种能对企业信息安全风险进行正确评估和量化的方法来。你应该非常明确你需要保护的是什么,以及保护的费用相对它本身的价值是否值得。比如,如果为保护可口可乐的秘方,原子弹的发射公式或其它重要的敏感信息而需要花费一百万美元可能就是值得的。
在实际工作中,你需要能够对所保护的信息系统和数据的价值和保密费用作出正确地比较和评估。
信息安全风险评估任务繁重,但是完成后您将可以了解:
* 贵公司的信息资源;
* 正常运行并盈利的关键信息;
* 贵公司要防范的风险。
风险评估有几分象网球赛,不可能一个人完成。在多数的公司,所必需的知识和资源分布在公司各个部门。通过对信息安全风险进行恰当的评估,您可以结识公司各部门的人员,了解整个公司到底如何运行。
Ø 偏见2:信息安全是个技术问题。
您的加密方针是“所有的数据都必须用WhizBang 4.3和128位密钥加密”吗?如果是这样和话,那您就应该重新审视一下你的加密策略。我告诉你:策略不是技术手册。
信息安全策略能够反映贵公司维护信息安全的手段,是公司管理层对下级的指示。
当然安全策略是不会具体描述如何去完成某项任务的,它只是大概地指出所要完成的目标是什么。例如,加密敏感信息的安全策略可能只有一句话:“机密或者高度机密的信息在公共网络的计算机上保存和传输时,必须使用公司信息安全部门认可的硬件或者软件对信息进行加密。”对于这段话,您应该注意:
* 这段话很简单,不是技术性的,而且就像高级经理要说的那样。这很好,毕竟安全策略本来就应该是公司的总体指导性原则。
* 它申明了要达到的目标和为达到这个目标公司高层的因素。
* 它没有具体指出要使用何种技术,如何配置。
* 它是可评估的。当检查的时候,可以对各个部门执行的表现和成绩打分。
* 它不会因为某种新的加密算法已经发布(或者旧的被废除),或者您的加密算法提供商破产而修改。
在这里您可以把信息安全的策略看做是国家的宪法。宪法并没有从细节上规定停车规则和建筑规则。但是,从中央政府到地方政府的所有法律都可以溯源到国家宪法。如同国家宪法一样,信息安全策略提供了维护网络信息系统安全日常规则的总体框架。
[page]
Ø 偏见3:为支持信息安全策略,您的安全策略需要多层次的文档支持。
不要因为您在制定这些策略上投入了大量的时间和精力,就认为你的同事也同样会而且愿意投入大量的时间和精力。这里我要对你说:让你和同事的生活轻松一些吧。一旦您的安全策略确定了,要制定一套标准向有关人员和部门解释如何才能遵守这些策略。例如,《便携式计算机加密标准》,用来支持上面讨论过的策略,里面可能包含下列信息:
* 所有运行Windows 2000的便携式计算机必须使用内置的加密文件系统(Encrypting File System ,EFS)自动加密文件、设置文件夹及其下属文件。
* 用户必须将公司的文件和信息保存在硬盘驱动器的加密部分。
* 网络支持部门要保管EFS密码,以便从便携式计算机上重新获得数据。密码必须保存在安全的地方,保证仅网络支持部门的负责人和内部检查负责人可以获得。
其他的加密标准可能包括:如何保护保存在PDA上的信息;什么时候电子邮件信息必须加密;编译公司使用的软件可以用到什么加密产品。简练的文档标准好处很多:
* 不要因为出现了什么新的技术而使原来已经制定的安全策略动摇。要记住,策略仅仅表明的是公司的目标和方向,不能因为软件升级或者技术大改变就变成了过时的东西。策略是要经过数年的实践才有效的。
* 可以解决不同部门具体办事方式不同的问题。只要制定的标准可以同策略相符合,这些标准就可以从不同部门的实际层面上来制定。如在文档加密这个问题,战略规划部门的信息一般都是绝密的,整个用来保存的硬盘可能都要加密。如果这样,战略规划部门的加密标准就可以以此为准。
* 标准要便于理解,当然并不是要让公司所有人都觉得你制定的访问控制,加密算法和防火墙规则设定得让人着迷。要使同事们能够比较容易地找到实际的安全问题解决方法,不要让他们面对的只是大量无用的信息。
* 时机很重要,因为新的策略发布时,公司里的焦急情绪就会上升。人们都想知道如何做才能符合新的策略的要求。我的建议是在实施之前较长时间就公布这些新的策略,让同事阅读理解,然后制定相应的标准应对最常见、最紧急的问题。这样才是明智的。
Ø 偏见4:新的策略的制定实施会遇到新的麻烦
您在公司的内部网一公布新的公司信息安全策略,您的收件箱可能就会出现大量的消息,它们都来自您的同事,他们对您新公布的策略感到焦急、迷惑甚至愤怒,觉得您的“大作”是个"大灾难"。他们考虑的都是执行这些策略时他们必须做的额外的工作和增加的预算。