信息安全管理
 

前言

 
   当前国内信息安全行业总体上正在经历一个从小到大,从无序到有序的发展过程,同时信息安全行业相对于其他信息产业来说的保持着较高的增长率,在这个大的背景下,相对前两年来说,近两年国内厂商逐渐有了形成各级阵营和梯队的趋势,不同层次和阵营各自主流的商业模式开始形成和逐渐定型。同时从总体来说,厂商对市场的多年培育逐渐得到了正面反馈。如在进入 2002 年后主流的安全厂商阵营、媒体和政府主管机构对安全评估服务的认同度开始提高,体现在安全市场上就是 2002 年后的纯安全评估项目越来越多,产品方面则出现了一些行业集中的安全产品采购大单等,这都对整个行业的发展起到了正向的螺旋上升的促进作用,是非常积极的一面。
同样,以技术角度来看,在经过一到两年的发展后的今天,基本上各家提供的安全产品、安全服务(以安全评估为例)的形式和内容已经是大同小异,各主流厂商的技术同质化非常明显,这也不单单是安全行业的特色了。
不过本文所关心的不是安全评估,我们所主要关注的是,随着 2002 2003 的一轮的安全评估热潮过后(某种意义上评估本身就为催热安全管理市场提供了非常好的动力),大部分被评估的企业都认识到了信息安全问题是直接来自一个或者多个企业的内部的组织和业务问题中的,只有通过良好的安全管理才能逐步、有效的解决评估中所发现的安全问题,并且为后续的信息安全提供长时间的保障。因此,市场上对信息安全管理的重视也逐步上升,而什么是信息安全管理,如何进行信息安全管理,这正是本文所试图探讨的。
需要说明的是本文所面向的对象是对信息安全管理有兴趣的朋友和业内同仁,由于作者个人阅历、兴趣和技能所限,文中存在的众多不足和偏驳之处,希望能得到大家的指正,同时还望各位谅解并多多指导,欢迎到 xfocus的安全产品版 进行讨论,或者直接和我邮件联系 blackhole@xfocus.org

一、问题的提出

任何事件的产生和发展总是需要依托于当时当地的各种外部和内部因素,随着整个大环境的改变,越来越多的客户也在外部影响(媒体、厂商宣传)和内部压力(管理需求、安全事件)等多方面作用下开始有了对信息系统进行安全管理的需求,由于客户所属各行业特性不同,决定了对安全管理需求的层次不同,本文主要是针对通常的企业信息系统的安全管理进行部分探讨。
在开始探讨前,我们先回过头置疑一下必要性,问一问自己,为什么在现在这个时刻说企业需要信息安全管理?信息安全管理是否真的有必要?
如从 WHY?WHAT?HOW? 等几个方面来进行回答、考虑和归纳的话,落实到本问题即为:
1 什么是信息系统的安全管理?对企业有什么影响?安全管理的出现单纯是因为市场推动吗?还是有其他的必然性?(为什么作 why ?)
2 对企业来说,信息安全管理有那些内容?国内外的安全现状大体情况如何? (作什么 what <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

3 如何针对安全管理的内容进行管理?(怎么作? how

  下文就将针对以上几个方面进行阐述和表达。

二、什么是信息安全管理,为什么要谈论它?why

首先,什么是信息安全和信息安全管理?

目前这也算是热门名词,各种机构、厂家都有自己的表述,让我们来看看都有些什么解释。

1 、信息安全是使信息避免一系列威胁,保障商务的连续性,最大限度地减少商务的损失,最大限度地获取投资和商务的回报,涉及的是机密性、完整性、可用性。 在可以接受的成本范围内,识别、控制并减少或者消除可能影响信息系统的安全风险就是风险管理。

(这是 BS7799 的定义, BS7799 的历史见备注 ,由于商业结构的利益所在,它的优势的描述很容易就可以找到,在这里我们只简单的说一下存在的缺陷,就是这个标准虽然已经部分成为了 ISO 标准,但仍然存在了众多争论,无论是国内外都还没有到众所公认的地步,但是,从目前现状来说,在信息系统的安全管理领域,它仍然是目前国际领域上商业上最成功的,影响力最大的标准,也将会是本文所主要参照的)
2 IT security management is a process used to achieve and maintain appropriate levels of confidentiality, integrity, availability, non-repudiation, accountability,authenticity and reliability. IT security management activities include:
l        determining organizational IT security objectives, strategies and policies,
l        determining organizational IT security requirements,
l        assessing adverse organizational impacts,
l        identifying and analyzing security threats to IT assets within the organization,
l        identifying and analyzing vulnerabilities of assets within the organization,
l        identifying and assessing risks,
l        accepting risks,
l        treating risks by transfer or avoidance,
l        reducing risks by specifying appropriate safeguards,
l        monitoring the implementation and operation of safeguards that are necessary in order to protect the information and services within the organization in a costeffective manner,
l        developing and implementing a security awareness programme, and
l        detecting and reacting to incidents.
In order to fulfil these management responsibilities for IT systems, security must bean integral part of an organization s overall management plan. ( 来自 ISO/IEC TR 13335-1 2000, 信息技术 - 安全技术 -IT 安全管理指南,第 1 部分: IT 安全的概念和模型的描述,这系列标准将安全的三要素扩展为 6 个要素 , 同时提供较完善的针对安全管理过程的描述和风险分析、技术防护手段介绍等,但此标准目前基本上没有活动较成功的商业推广,因此国内对本标准的实际采用大部分还是用其中的风险分析步骤等)

3 、信息系统安全管理是对一个组织或机构中信息系统的生命周期全过程实施符合安全等级责任要求的科学管理,它包括落实安全组织及安全管理人员,明确角色与职责,制定安全规划;开发安全策略;实施风险管理;制定业务持续性计划和灾难恢复计划;选择与实施安全措施;保证配置、变更的正确与安全;进行安全审计;保证维护支持;进行监控、检查,处理安全事件;安全意识与安全教育;人员安全管理等。 ( 来自国标 GA/T 391 2002 计算机信息系统安全等级保护管理要求 , 该标准所描述的安全管理内容与 ISO13335 类似 , 但要求在管理过程中遵循等级保护的思路 )

另外在 ISO7498 中也有对安全管理的描述,但较多的局限在技术实现层次方面,在此就不再摘录了,这几个是比较权威和认可较多的,至于国内外其他的机构和厂商对于信息安全管理的定义就更加多了,也不一一引用。
同时我们认为,企业的信息安全管理首先应该是企业管理的组成部分,这就决定了它必然具有管理的基本特征,即亨利·法约尔所引入的规划、组织、协调和控制的基本概念,为具备多种表现形式的、遵循 PD CA 环的持续性过程。
由此我们可以归纳出来,所谓的信息安全管理就是在通过系统风险分析和评估等手段确定了企业的信息系统安全需求和目标后,为实现企业的信息安全目标而协调采取的一系列多种方式和手段,包括后续的检查、监控、响应和调整的整个控制过程。

其次,为什么要讨论信息安全管理?

        为什么要谈信息安全管理?这是由国内外的信息发展现状决定的。我们先来看看国际上的情况,更早的就不说了,就从我们熟悉的 internet 说起吧,因为信息安全的高速发展必定是依托在信息行业的发展之上,而 internet 的出现和发展在某种程度上左右了全球的信息产业的发展,所以就以此为线吧。
        美国是 internet 的发源地,而也是来自美国 1988 年的莫里斯蠕虫成为了是普遍公认的首起真正意义上的基于 internet 的网络安全事件,它是信息安全领域的一个重要转折点,它改变了人们对 Internet 的认识。也就是在此次事件后,美国军方的 DARPA 组建了 CERT (计算机紧急反应小组),并导致当时的美国总统里根签署了《计算机安全法令》用以应付这类问题,这标志着 Internet 安全开始成为一个严肃的、专门的问题。

尤其值得一提的是,在美国警方已确定莫里斯就是 蠕虫的作者后,法庭却迟迟难以对他定罪。因为在当时,对制造病毒事件的行为定罪,还是没有先例的,英美法系遇到了难题。同样,比莫里斯蠕虫时间早几年的前苏联汽车厂的内部人员用病毒破坏生产线的事件最终也只能用流氓罪和故意损害劳动资料来定罪。

        在这 15 年中,信息安全问题越来越多,从 美国的 Cert 报告的安全事件增长 的图中我们可以看到,在国际范围内安全事件增长都是非常快,属于全球性的热门话题。
                                 

图一: CERT 信息安全事件统计<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /><?xml:namespace prefix = w ns = "urn:schemas-microsoft-com:office:word" /> Source:  CERT
同时 , 由于信息技术的飞速发展 , 信息安全事件对***者的技术要求越来越简单,实施***的成本越来越低 , 企业所面临的信息安全威胁越来越大。
这是国际上的统计信息,我们看国内的,公安部公共信息网络安全监察局在在前段时间发布了 2003 年全国计算机病毒疫情调查报告。调查显示, 2003 年中国计算机用户感染计算机病毒的比例达 85.57% ,较去年增加 1.59 个百分点,较 2001 年增加 25.57 个百分点。计算机病毒对用户造成损失的比例占被调查用户的 63.57% ,较去年略有下降,这数据仅仅是基于病毒方面的统计 。从整个信息安全的角度来看,这几年我国接连不断地出现程度不同的信息系统安全事故,如 首都机场因电脑系统故障, 6000 多人滞留机场, 150 多驾飞机延误;南京火车站电脑售票系统突然发生死机故障,整个车站售票处于瘫痪状态;广东省工行因系统故障,全线停业一个半小时;深交所证券交易系统宕机事件等等。这些事故不仅仅是简单的信息系统瘫痪的问题,其直接后果是导致巨大的经济损失,还造成了不良的社会影响。如果说经济损失还能弥补,那么由于信息网络的脆弱性而引起的公众对网络社会的诚信危机则不是短时期内可能恢复的。      
在进入 21 世纪后,越来越多企业认识到信息成为企业最重要的资产,而企业的信息安全管理工作作的好,就可以在一定时间段之内做好安全防范工作,避免造成安全损失。

 

那么,为什么会出现这么多安全问题?(归根到底是人所造成的)

CSI/FBI 的安全报告
图二:信息安全事件统计 Source:  CSI 计算机安全协会 (Computer Security Institute)http://www.gocsi.com/

有些记录则更糟,实际上,资料显示情况正变得更加糟糕:安全缺陷、侵犯,信誉受损,以及灾难性事件的数量正随着时间的推移而增加。

同时,随着技术的发展,信息安全所涉及的方面也越来越多,信息安全在国内已经是一个横跨多个方面的一级学科了。从下图我们可以看到信息安全技术的复杂性。

图三: 信息安全的复杂性

  有必要明确指出的是,在涉及众多层面时,技术从来不是一个单纯的包治百病的灵药,必然需要更高层次的协调和组织,以及相应的控制,通常我们就把这个理解为信息安全管理。

最后,我们需要作什么?(信息安全管理)

从上文这些情况,我们可以看到以下信息安全发展的趋势:

1 ***次数越来越多,覆盖面越来越广, 信息安全的复杂性

2 对***者的技术要求越来越简单,实施***的成本越来越低。

3 安全管理工作作的好,就可以在时间段之内做好安全防范工作,避免安全损失。

我国政府主管部门以及各行各业已经认识到了信息安全的重要性。政府部门开始出台一系列相关政策,直接牵引、推进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业,也开始出台对信息安全技术产品的应用标准和规范。
<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" /> 2003 9 7 ,中办、国办转发了×××第三次会议审议的《关于加强信息安全保障工作的意见》中办发( 27 号),以进一步提高我国信息安全保障工作的能力和水平、维护公众利益和国家安全生产。《意见》提出了信息安全保障工作的总体要求和主要原则,并确定了工作重点和保障措施。目前围绕着 27 号文的各种工作正在落实中。
那么,在目前这个阶段,作为 企业来说,应该怎么办,信息安全管理有些什么那?如何作好信息安全管理呢?这正是本文的主题。