随着信息通信越来越多地替代传统的业务模式,企业应该将信息保护集成到业务运作的管理层面。在传统的体系架构下,很多人认为安全对业务是有负面影响的,而不是能够推动核心业务活动效率的提高。如何建立有效的企业信息安全资产保护计划并得到有效实施,是每个企业管理层和信息安全决策者最关心的问题。
一、企业面临的信息安全风险趋势
企业越来越依靠信息资源,安全事件不断增长,而安全事件造成的损失以及用于事件处理的财力、人力以及IT资源的投入需要不断增长。这就需要进行IT规划和费用调整以保证适当的安全投入,部署有效的工具,来解决紧迫的安全问题。
安全威胁趋势
内部非授权访问和使用威胁仍然是企业面临的最大威胁,根据CSI/FBI的2005年计算机安全调查,内部威胁呈现不断增长的趋势,超过80%的数据损失来自于组织内部,主要是非授权访问和信息窃取。尽管多数情况下人们通常怀疑这些问题源于外部侵入,但是计算机系统与数据的大部分损失并非源于恶意的外部攻击,而是一些很简单的人为操作错误,或者是系统内部分合法用户的未授权或无意活动。
在CSI/FBI2005年计算机安全调查中,安全攻击形式中病毒(含蠕虫和木马)与间谍软件分别占83.7%和79.5%,远远高于其它攻击形式。此外还有三分之一的端口扫描和五分之一的数据或网络破坏。
随着应用系统复杂性的提高,应用的安全漏洞也在不断增加。安全威胁的对象正逐渐地从网络和操作系统转向应用系统以及更有价值的数据。然而企业对安全的关注仍然集中在病毒蠕虫以及操作系统层面的漏洞上。
Gartner预测有75%的安全漏洞是出在应用层面,到2009年有80%的企业将遭受应用安全事件,由于业务安全造成的财物损失将增加5倍以上,企业将不得不增加应用安全开发和测试方面的投入。
欺骗攻击(Phishing and Phraming)是新涌现的新的攻击方式,通过骗取用户信任来诱使用户访问非法的站点。Phishing是指通过电子邮件或者即时通信发送欺骗性的站点连接,诱使用户访问。
而Pharming是通过攻击DNS欺骗,将合法站点解析到非法地址。而一旦用户访问并信任该站点,就有可能泄露个人敏感信息或者遭受恶意代码的攻击。随着这种攻击技术的发展,攻击目标已不仅限于银行攻击,而是已经开始向所有的在线业务扩展。
新技术的不断应用也大大扩展了企业安全需求的领域,无线局域网、蓝牙、RFID、VoIP、即时通讯、移动终端等技术扩大了企业的安全边界。未来通过无线通信技术系统和移动应用的结合,都需要首先考虑安全问题。没有安全机制,攻击者可以很容易地对数据信息以及IT基础设施进行控制。
从信息安全到业务安全
业务安全需求不断变化,相关技术不断进步。企业不断扩展业务,员工、客户以及合作伙伴越来越多地与企业网络连接,进行移动办公和开展在线业务,这也就意味着对核心信息资产的威胁机会增加。信息安全已经从单独的保护计算机系统发展到保护业务安全。网络应用的攻击可以导致业务中断,影响经济收入和客户形象。
中国企业的安全形势
InformationWeek杂志和Accenture公司在2005年10月的联合安全调查显示,中国企业正在遭受越来越多的安全威胁和攻击破坏。这次调查的主要结论有:
* 缺少信息安全战略,安全基础设施落后,存在较多的安全隐患。
* 间谍软件、病毒和蠕虫带来了严重危害和经济损失。
* 组织都试图探测安全事件是否发生以及何时发生,但很少有组织使用预防性的安全软件,超过半数的组织在事件发生后才了解事件过程。
* 未来安全投资关注在应用防火墙和监控软件,安装入侵检测工具,集成安全系统和应用安全。
* 企业趋向实施安全外包。
基本的用户口令、网络防火墙和防病毒是中国企业主要的安全措施。病毒、蠕虫和Web攻击仍然是最常见的攻击方式。已知的操作系统和应用程序的漏洞也是黑客攻击的主要目标。
很多企业期望提高安全防护能力,但是多数企业表示没有信息安全战略指导,IT基础设施落后,员工缺少安全意识,缺乏安全运作流程。
二、企业信息安全的目标和安全需求
根据国际信息安全管理标准ISO 17799的描述,信息安全的目标是“通过防止和减小安全事故的影响,保证业务连续性,使业务损失最小化”。
保护企业的信息资产对于业务持续以及法律遵循都是关键的。由于这些原因,信息被看作业务资产的一部分,需要有效的管理。因此,企业必须保护信息资产的机密性、完整性和可用性。
业务安全
信息安全的目标是保护企业的信息资产,防范业务风险,保证业务连续性。因此,业务安全是企业信息安全的终极目标。
企业需要把安全作为业务战略目标的一部分,安全不再只是一种投入,而是能够促进和保障业务产出的手段。因此,企业需要有效地实施信息安全控制,保护有价值的资产,支持和达成企业业务目标。
业务安全需求包括业务连续性、业务流程安全、法律安全要求、隐私保护要求等。
IT安全
IT系统实现业务功能,是企业业务信息化的关键。IT能力的发展的驱动因素是业务发展方向,同时也驱动了安全的建设。IT系统的安全持续运行是实现企业业务价值的保障。
IT安全需求就是从IT的角度明确安全保护需求以及IT系统对安全的支持情况,包括两个层面的内容:一是IT系统自身的安全需求,包括业务安全需求的功能实现以及网络安全、系统安全、应用安全、数据安全、业务连续性等层次的需求;另一个层面是安全系统对IT系统功能的要求,例如对IT基础设施、服务管理方面的要求。
安全建设既保证了IT基础设施和服务的安全,又属于IT建设的一部分。因此,安全建设需要与IT战略相一致,并且适应未来IT基础设施和技术的变化。
法律和策略要求
各种法律法规的需求不断变化、层出不穷,企业需要很大的精力去保持与法律法规的符合性。企业需要识别相关的法律法规中提出的,需要遵守的安全要求及其对业务和IT的影响。例如萨班斯法案对上市公司的内部控制、报告、披露和归档要求,法律对个人隐私数据保护的要求,国家政策和标准提出的信息系统等级保护要求等。
企业安全建设还应该符合企业的安全战略和相关的安全策略、标准的要求。
三、企业信息安全之道
为了保证安全目标和安全需求的实现,企业需要进行安全规划和建设。企业信息安全建设的总体思路是:以业务资产为核心,以安全战略为指导,根据安全需求来建立安全能力发展计划和整体的安全框架,逐步建立安全基础设施,为业务提供安全能力支持。
企业信息资产管理
业务信息资产是企业信息安全保护的核心目标,因此要进行信息安全建设,首先明确安全保护的对象。企业需要通过分析业务流程,识别关键的业务资产,确定业务资产的安全所有人和认责人,明确安全保护责任。
在以业务为核心的企业内部,信息资产包括业务应用软件、硬件、网络、相关的数据和信息,还包括相关的关键业务流程和人员。建立企业信息资产目录并进行维护,可以帮助企业实施有效的信息资产安全保护,业务连续性和灾难恢复。在信息资产目录中应该定义资产的安全等级和安全责任人。
安全风险评估
安全风险评估是实现企业安全的重要环节。安全需求必须基于风险评估,并且应该在设计阶段开始前确定。通过风险评估,可以识别关键业务资产的安全威胁和风险,了解企业的安全现状和风险水平,分析安全需求和安全改进方向。
风险不只是技术概念,更多地是一个业务概念。企业需要根据风险评估的结果,结合业务需求来分析安全需求。安全需求必须覆盖风险评估中识别的各种安全风险,并且与业务的其它需求进行协调和集成考虑。安全需求中不仅包括软件功能方面的安全需求,还应包括物理安全、管理流程、系统管理等非软件方面的需求。
风险评估的目的在于定义核心信息资产,并且分析应用环境中可能存在的风险。安全风险评估是定义应用安全需求、选择相应对策以及设计安全系统的基础。根据应用以及关键数据的重要程度,确定所需要采用的安全机制。
通过安全风险评估明确存在风险的关键的业务资产和业务流程,识别其安全需求和安全现状。安全风险的可接受水平以及安全需求的确认需要业务人员和管理层来确认,应该将实施控制措施的支出与安全故障可能造成的业务损失进行权衡考虑,对安全建设的方向和目标进行决策。
建立信息安全战略
通过风险评估了解了企业的安全现状和风险水平,企业明确了各个层次的安全需求和改进方向,企业需要制定与业务战略和IT战略一致的安全战略,明确企业的安全建设目标和安全建设原则。
安全战略是企业在一定时期内的一整套安全决策,这一决策决定了企业的安全策略和制度、流程、行为和技术的建设。
制定企业安全战略的目标是支持企业战略,保证平衡的安全风险管理,保证谨慎而有效的安全投资,使安全能够与业务发展和IT能力建设同步,并且努力促使安全成为业务发展的有力驱动。
信息安全建设规划
为了实现企业安全战略,企业应该根据安全风险水平和安全需求,分解安全建设目标,制订安全项目建设计划。
安全越来越成为业务战略的重要组成部分,每个企业都面临着不同的挑战。企业需要建立适应性的安全解决方案,即能够满足不断扩展的业务需求,又能够适应不断变化的技术需求。
企业安全规划和实现并不单纯是技术问题,需要符合业务目标,依靠管理支持,并考虑安全投资预算,并建立适当的安全策略。
企业安全建设是选择解决方案而不是产品,因此需要规划整体的安全技术架构、管理组织和流程体系构成的安全能力框架,并定义各种安全能力的建设计划。企业需要将信息的保护看作整个安全机制的一部分,建立整体信息安全框架,结合了主动管理、监控、员工安全意识、管理层支持等。
安全建设需要关注技术发展趋势,应用成熟的技术和产品,充分利用已有的安全基础设施。
一般企业需要建立三到五年的安全能力发展计划,规划原则是:
* 安全策略先行:首先建立安全策略、标准和各种管理制度、流程,并进行有效的宣传和贯彻。
* 逐步建立和完善安全组织: 一般企业需要首先建立安全组织架构,明确并落实相关的安全责任。在初期阶段可以在现有的业务和IT岗位上落实安全责任,然后根据安全管理和维护的工作量,来逐步增加工作岗位。
* 根据风险评估结果确定的安全风险优先级,结合安全需求和投资预算,确定安全项目建设的优先级,一般先从投资小、见效大、易实施的项目(例如安全加固、补丁管理)开始,然后是较为复杂的、实施周期长的中长期安全建设项目的规划。
四、企业信息安全最佳实践
企业在信息安全建设和运行过程中,需要参考相关标准和行业安全实践,采用成熟的安全技术和方法,建立符合企业战略的安全体系。
信息资产分类和分级
由于不同信息资产对企业的价值不同,因此并不是所有的信息资产都需要进行相同的保护,需要按照信息资产的价值和安全需求特点实施恰当的保护。信息资产保护的等级需要依靠反映资产价值和安全需求的信息资产分类。资产的敏感性和重要性越高,其对安全的需求也就越高。
选择遵循的安全标准
企业可以实施和维护有效的信息安全管理体系,建立风险管理流程,结合物理、技术以及操作方面的安全控制。
成熟的安全标准可以为企业提供适应性的安全框架和最佳实践指南。例如ISO 17799——《信息安全管理实践准则》(原BS 7799-2)和ISO 27001——《信息安全管理体系规范》(原BS 7799-2)就可以作为企业建设信息安全管理体系提供了框架指南,并提供了广泛性的信息安全控制措施及最佳实践。
我国政府组织以及包括国家关键基础设施的企业单位,需要遵守计算机安全等级保护要求。等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督,根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护。
从业务系统规划阶段开始
对新的业务应用系统,从规划阶段就应该充分考虑安全方面的需求,并且在系统的设计、开发和运行维护集成考虑安全。
在软件工程领域内普遍接受的一个原则是:在开发过程中,尽早修改软件漏洞所消耗的成本更加低廉。因此,在应用生命周期的早期阶段将精力集中于防护与减少安全风险是非常重要的,能够及早发现安全问题,提高软件质量、可靠性以及灵活性。
安全意识教育和培训
安全意识对企业安全至关重要。安全的信息流中最薄弱的环节就是人的环节。
用户是任何网络安全系统的基础,因此需要对包括管理层在内的所有用户进行适当的培训,确保对安全需求和管理过程有正确的认识。
用户意识到系统安全的威胁和利害关系,并具有在日常工作过程中支持组织安全策略的能力,应对用户进行安全意识教育和安全操作流程的培训,以提高人员安全意识,提高人员技能水平,尽量降低可能的安全风险。
管理层支持和决策
越来越多的企业发现内部信息安全威胁和来自竞争对手的压力,媒体和法律开始认识到保护需求,管理层也会遭受安全方面的压力。毫无疑问,对于业务安全和经济损失,CEO和高管层责无旁贷。
企业的信息资产安全是企业业务持续运营的关键。企业管理层对业务负有最终的责任,因此对信息安全也负有最终责任。
管理层需要提高对信息安全的认知和管理决策水平,平衡安全需求和安全投资,通过合理的安全决策和规划建设,保障企业安全建设符合法律要求以及业务发展的需求。