【IT168 專稿】最近一段時間針對微軟操作系統(tǒng)漏洞的病毒肆虐,給大多數(shù)的企業(yè)和個人帶來了不少的麻煩。在同一時間幾乎所有受害者都在驚呼“我是怎么感染病毒的?”,這里面不乏一些安全設(shè)施齊備并有專人負(fù)責(zé)的大公司??蔀槭裁淳褪窃谶@樣的大公司里還會讓病毒有機(jī)可乘?更難以想象的是病毒不僅僅進(jìn)入了大公司的內(nèi)部而且還輕易的使大公司反倒成為了一個巨大的攻擊者。
值得思考的不僅僅是此次病毒的大面積爆發(fā)給用戶帶來的經(jīng)濟(jì)損失和信息損失,而應(yīng)該更深入的考慮為什么每次有病毒爆發(fā)都會有如此之多的受害企業(yè)!對于這些問題所有人幾乎都會異口同聲地回答說:“沒辦法,根本就不知道有病毒”,而很少有人會想到信息安全管理體系的滯后。
信息安全的意義
要考慮信息安全問題,我們就不得不從信息系統(tǒng)開始說起。我們建設(shè)信息系統(tǒng)的目的主要是為了提高我們業(yè)務(wù)信息處理的效率。然而就在我們逐漸的開始熟悉甚至依賴于信息系統(tǒng)對我們業(yè)務(wù)流程的支持時,如果我們的信息系統(tǒng)由于安全問題不能支持我們的業(yè)務(wù)了,整個組織的業(yè)務(wù)必然會受到影響,進(jìn)而造成利益的損失。
在ISO17799中是這樣來描述這個問題的“信息安全的目的就是保護(hù)信息免受各方面眾多的威脅,從而達(dá)到持續(xù)運(yùn)營的目的,并使威脅對運(yùn)營的危害性降低至最小程度,盡最大可能提高投資收益和增加商業(yè)機(jī)會”。由此,我們不難看出保證業(yè)務(wù)連續(xù)性才是一個組織建立信息安全系統(tǒng)的根本目的。換言之,我們所追求的安全性其實(shí)是為保證業(yè)務(wù)的連續(xù)性。
現(xiàn)有問題深入分析
有句話叫做“三分技術(shù)七分管理”,對于一個成功的項(xiàng)目來講技術(shù)水平的高低只能占到三成比例,而真正起到?jīng)Q定作用的因素應(yīng)該是我們的安全管理體系!然而有人認(rèn)為只要信息安全項(xiàng)目施工完成就萬事大吉,就能太平天下從此不用憂心忡忡。這樣的人不是沒有而是很多,更令人擔(dān)憂的是企業(yè)的高級管理者普遍這樣認(rèn)知。
如果在一個“成功項(xiàng)目”完工后企業(yè)的決策者仍不能很好的認(rèn)識到安全問題的嚴(yán)重性與危害性,那么這個項(xiàng)目應(yīng)該說是失敗的。因?yàn)閷?shí)際上這個項(xiàng)目僅僅完成了三成的工作,最重要的也是最需要管理者支持的七成工作都還沒有開展下去。
是什么問題讓我們看到了如此多的“成功項(xiàng)目”可最后卻不堪一擊呢?分析其原因總體上可以分為幾大類:
1、廠家在宣傳其產(chǎn)品時過于夸大其詞:對于IT部門主管或項(xiàng)目負(fù)責(zé)人來講,肯定會在設(shè)備選型與選購過程中反反復(fù)復(fù)的聽到類似于我們的產(chǎn)品如何先進(jìn)、如何自動化、如何智能化等一系列“領(lǐng)先于行業(yè)”的介紹,而對于產(chǎn)品的缺陷與日后的管理卻只字未提;
2、領(lǐng)導(dǎo)層人員相關(guān)知識普遍不足:其實(shí)這個問題不僅僅存在于領(lǐng)導(dǎo)層,對于多數(shù)企業(yè)員工來講知識的匱乏也是相當(dāng)危險的一個安全隱患。也正是由于安全意識不足才導(dǎo)致了管理手段滯后和對信息安全問題的忽視;
3、技術(shù)人員意識缺陷:網(wǎng)絡(luò)管理、系統(tǒng)管理、安全管理這些職位的重點(diǎn)普遍被技術(shù)人員認(rèn)知為技術(shù)水平的高低。對于一個成功的企業(yè)IT管理員來講成功的重點(diǎn)并不是技術(shù)水平有多么的高超,而應(yīng)該是如何統(tǒng)籌管理現(xiàn)有設(shè)備的協(xié)同工作和互為補(bǔ)充;
4、獲取信息的渠道匱乏:目前作為用戶來講除了經(jīng)常性的查看安全廠商主頁以外很難再從第二渠道及時地獲得安全提示,這也就延誤了在第一時間切斷安全隱患的大好時機(jī)。
由于上述種種,我們的信息安全系統(tǒng)往往不能夠達(dá)到我們預(yù)期的安全目的。目前,大家也都在思考這個問題。
管理體系作用幾何?
其實(shí)管理對于信息安全的意義也內(nèi)早已有了共識,但是對于如何成功地實(shí)施安全管理體系卻一直都在探索之中。目前國際上對安全管理也有很多的嘗試,比較有代表性的有ISO13335和ISO17799這兩個安全管理的標(biāo)準(zhǔn)。對于這兩個標(biāo)準(zhǔn)還有很多不同評價,但我們認(rèn)為其參考或借鑒的價值是現(xiàn)而易見的。
盡管已經(jīng)有了這些標(biāo)準(zhǔn),但是建立信息安全管理體系能夠?qū)ξ覀兊男畔踩鸬侥男┳饔媚兀?br>
建立信息安全管理體系能夠使我們從宏觀角度全面地考慮各種因素,比如技術(shù)的、制度的、人為的等等,并且提供了一套基準(zhǔn)以便能使我們綜合的考慮各種因素;
建立信息安全管理體系能夠使我們在建設(shè)過程中通過對企業(yè)各種業(yè)務(wù)流程的分析,從而能夠比較全面的識別各種影響業(yè)務(wù)連續(xù)性的風(fēng)險。并且可通過管理系統(tǒng)本身對各種風(fēng)險以及系統(tǒng)本身進(jìn)行持續(xù)性的識別和改進(jìn),達(dá)到一個保持更新的目的;
通過信息安全管理體系對各種影響業(yè)務(wù)連續(xù)性風(fēng)險的識別,從而能夠輕易的劃分、規(guī)范和分析各種風(fēng)險的重要程度及危害性;
無論ISO17799還是ISO13335都強(qiáng)調(diào)了風(fēng)險評估的必要性。正確理解和把握這一點(diǎn)可使我們在規(guī)劃信心安全體系的時候更具理性;
同樣的,ISO17799和ISO13335也都強(qiáng)調(diào)了人的作用,要求對所有相關(guān)人員進(jìn)行必要的以及經(jīng)常性的安全培訓(xùn),以使他們的行為和理念能夠符合整個安全體系的要求。這一點(diǎn)同樣至關(guān)重要;
通過信息安全管理體系明確企業(yè)的信息安全規(guī)范、規(guī)定相關(guān)的權(quán)限和責(zé)任。信息的處理必須在相應(yīng)的控制措施保護(hù)下進(jìn)行;
其實(shí)建立信息安全體系的作用遠(yuǎn)不僅如此,目前在信息安全界仍存有很多觀點(diǎn)、理念以及方法的探索。但是毋庸置疑的是,通過建立信息安全體系能夠使我們通過與安全產(chǎn)品和技術(shù)構(gòu)建的安全系統(tǒng)更有效的整合,從而使企業(yè)信息安全運(yùn)行成為一個整體。
圍繞核心選擇道路
其實(shí)對于建設(shè)信息安全體系整體來講,實(shí)施是相對容易的一個環(huán)節(jié)。因?yàn)橥ㄟ^我們對安全體系觀點(diǎn)和理念的深入分析以及對各種可行方法的不斷探索,使我們已經(jīng)具備了總體的和局部的實(shí)施方法及細(xì)則,為我們的真正建設(shè)奠定了堅(jiān)實(shí)的基礎(chǔ)。
在實(shí)施過程中企業(yè)可以參考一些國際標(biāo)準(zhǔn)作為實(shí)施的核心依據(jù),另外企業(yè)也可以根據(jù)自身需要自主建立實(shí)施或聘請專業(yè)安全公司提供全面的技術(shù)指導(dǎo)與支持。但不管怎樣我么都應(yīng)始終圍繞核心選擇適合自己的信息安全化道路,而不要盲從于已有的工程案例。
筆者參考相關(guān)國際標(biāo)準(zhǔn)為大家列出了下面幾個核心問題,希望能在如何選擇適合自己的安全化道路方面給大家以一定幫助。
1、安全方針:制定一份適合企業(yè)自身情況的安全方針可為信息安全提供管理指導(dǎo)和支持;
2、安全組織:應(yīng)在公司內(nèi)部管理信息安全;
3、資產(chǎn)分類及管理:對公司的信息資產(chǎn)采取適當(dāng)?shù)谋Wo(hù)措施;
4、人員安全:通過對人員的培訓(xùn)與考核,盡最大可能減少人為錯誤、偷竊、欺詐或?yàn)E用信息及處理設(shè)施的風(fēng)險;
5、實(shí)體和環(huán)境安全:防止對商業(yè)場所及信息未經(jīng)授權(quán)的訪問、損壞及干擾;
6、通訊與運(yùn)作管理:確保信息處理設(shè)施正確和安全運(yùn)行;
7、訪問控制:統(tǒng)一管理對信息的訪問;
8、系統(tǒng)的建立和維護(hù):確保將安全體系完整的納入信息系統(tǒng);
9、商業(yè)活動連續(xù)性管理:防止商業(yè)活動的中斷,并保護(hù)關(guān)鍵的業(yè)務(wù)過程免受重大故障或?yàn)?zāi)難的影響;
10、符合法律:避免違反任何刑法和民法、法律法規(guī)或合同義務(wù)以及任何安全要求。
小編結(jié)語
建立適合企業(yè)自身的信息安全管理體系是信息事業(yè)發(fā)展的必然趨勢,盡管現(xiàn)在要走的路還很長,還需要各方面的不斷補(bǔ)充和完善,但建立、運(yùn)行以及不斷改進(jìn)完善我們的信息安全管理體系必將大大提高我們企業(yè)自身的安全防范能力。