信息安全治理：創(chuàng)造新的戰(zhàn)略競爭機遇之一

申請免費試用、咨詢電話：400-8352-114

信息安全治理：創(chuàng)造新的戰(zhàn)略競爭機遇之一
作者：孫 強 郝亞斌 發(fā)表：2004.04.07 來源：賽迪網(wǎng)
 
　　"沒有安全的工程就是豆腐渣工程"

　　　　　　－徐匡迪 中國工程院院長

　　"技術本身實際上是信息安全體系里最不重要的部分了。不管一項技術有多先進，都只不過是輔助實現(xiàn)信息安全的手段而已。我們并不是認為技術不重要，但在信息安全的架構里，它一定要在好的信息安全治理的基礎上。"

－ 作者題記

　　賽迪顧問股份有限公司

　　賽迪培訓中心

　　孫 強 郝亞斌

　　目錄

　　1. 信息安全治理的產(chǎn)生背景

　　2. 信息安全治理的定義

　　3. 為什么說信息安全很重要？

　　4. 誰應該關注信息安全治理，關注什么？

　　5. 最高管理層（董事會）和管理執(zhí)行層應該做些什么？

　　6. 怎樣全面理解信息安全治理？

　　7. 信息安全管理和信息安全治理

　　8．信息安全治理的內容是什么？

　　9. 怎樣成功實現(xiàn)信息安全治理？

　　10. 怎樣尋找差距？

　　11. 監(jiān)管和標準制定部門采取什么行動？

　　引言

　　在當今科技時代中，信息是一個國家最重要的資源之一，信息與網(wǎng)絡的運用亦是二十一世紀國力的象征，但無論是從國家競爭力、組織再造或是國防戰(zhàn)備來說，今日正面臨著層出不窮的事件的挑戰(zhàn)。在2002年的10月上旬到11月上旬，我們記錄了來自公開媒體的典型安全事件。以下是新聞摘要：

　　新浪科技新聞：從事網(wǎng)絡安全的美國因特網(wǎng)安全系統(tǒng)公司(ISS)于美國當?shù)貢r間本周二宣布，在伯克利因特網(wǎng)域名(BIND)軟件發(fā)現(xiàn)了三個新漏洞，這三個漏洞容易引發(fā)針對大多數(shù)域名服務器(DNS)的拒絕服務(denial-of-service)進攻。其中一個漏洞甚至允許進攻者在易受攻擊的電腦上運行程序，ISS漏洞研發(fā)組的領導人Dan Ingevaldson指出，該漏洞與引發(fā)紅色代碼病毒的漏洞處在相同嚴重的級別，因為攻擊者可以利用這個漏洞散發(fā)蠕蟲病毒。

　　新華網(wǎng)倫敦11月13日電：英國警方13日宣布，國內一名網(wǎng)頁設計師因在全球范圍內傳播計算機病毒而被司法機關起訴。被告西蒙·瓦勒爾現(xiàn)年21歲，來自威爾士的蘭迪德諾。今年2月，英國警方根據(jù)美國聯(lián)邦調查局提供的情報將他逮捕。瓦勒爾被控非法襲擊網(wǎng)站和在全球范圍內傳播兩種以電子郵件為載體的計算機病毒，其中一種名叫"GOKAR REDESI"的病毒影響了46個國家的計算機系統(tǒng)，是世界傳播范圍第三廣泛的計算機病毒。瓦勒爾還被控私藏兒童色情照片。

　　計算機世界網(wǎng)消息：微軟公司稱，要獲得更高的安全性能，用戶需要升級到最新版本的Windows。微軟公司的技術總監(jiān)克萊格·蒙代表示，廣大客戶繼續(xù)使用以前版本的Windows，而不是Windows 2000和Windows XP，大大削弱了微軟公司為確保全球計算基礎設施安全所作的努力。他說，對以前版本的Windows進行改進，提高其安全性是不可能的。蒙代指出，微軟公司的被稱為"可信賴計算"的實現(xiàn)計算機安全的計劃還需要較長一段時間才能實現(xiàn)。他說，他擔心用戶會因安全問題而會對計算機失去信心。

　　美國太平洋時間11月16日消息：日本政府將考慮用另外一種操作系統(tǒng)替代微軟公司的Windows操作系統(tǒng)，以便加強計算機網(wǎng)絡安全保護。保護計算機網(wǎng)絡安全是日本首相小泉純一郎建立"電子政府"計劃的一個長期目標，這一"電子政府"計劃允許公民通過互聯(lián)網(wǎng)與政府各部門進行工作交流。目前，日本政府計算機網(wǎng)絡中使用的服務器和個人電腦中，絕大多數(shù)都在使用Windows操作系統(tǒng)。但是，日本政府對于采用其它的操作系統(tǒng)卻很感興趣，特別是一些開放源文件程序，如Linux。

　　中國日報報道：美國聯(lián)邦政府11月12日對一名英國計算機管理員提起起訴，指控他非法侵入了美軍和美國航空航天局的92處計算機網(wǎng)絡，其中在侵入新澤西州一處海軍設施的網(wǎng)絡時導致該設施系統(tǒng)陷入崩潰。

　　人民日報華東新聞：江蘇省普通高中信息技術等級考試，近萬考生答卷被刪，"黑客"破壞網(wǎng)上考試被判刑6個月。

　　美國當?shù)貢r間10月21日，全世界13臺路由DNS服務器（Route Server）同時受到了DDoS（分布式拒絕服務）攻擊。值得慶幸的是并沒有釀成嚴重事故。但此事再次表明，在因特網(wǎng)上目前仍舊存在很多充當DDoS攻擊幫兇的機器。每臺機器的預防策略的不完善就有可能威脅到因特網(wǎng)賴以存在的基礎。

　　以上的新聞使我們回想起了以往與之相關的安全事件，正是人與技術的結合制造了各類信息安全事件。愛蟲病毒導致了120億美元的損失，但是在此事件發(fā)生不足十個月的時間之后，全球依然遭受同一類型病毒Anna Kournikova的襲擊，難道我們沒有從愛蟲病毒的襲擊事件中吸取教訓嗎？事實上，大多數(shù)受害組織當然吸取了教訓。他們更新了病毒庫、在未安裝掃描工具的郵件服務器上安裝掃描工具?？墒侵苯訌募夹g的角度去尋求解決方案，只是解決了問題的一半。有多少組織會花費時間去更新郵件策略、向所有的員工解釋更新策略的原因并在策略方面教育員工呢？答案是少數(shù)的。無數(shù)次的慘痛教訓使我們得出一個教訓：即使有安全策略，但沒有對用戶進行安全意識教育等的機制，那同沒有安全策略是沒有多大區(qū)別的。

　　從10月到11月的這段時間并非特例，其他時間也有類似的記錄，有些記錄則更糟。實際上，資料顯示情況正變得更加糟糕：安全缺陷、侵犯，信譽受損，以及災難性事件的數(shù)量正隨著時間的推移而增加。我們學會有關安全的東西越多--如何設計系統(tǒng)安全架構、如何建立安全的操作系統(tǒng)、采用先進的安全技術和設備、增加在系統(tǒng)安全上的投資等，可是我們建立的系統(tǒng)越無法面對急劇變化的環(huán)境。Gartner Group最新的一份安全報告告訴我們："各類令企業(yè)損失慘重的安全違規(guī)事件追究到最后是人所造成的，并且發(fā)展成為物理安全和人員的問題。IT安全部門試圖用技術方法來解決這些安全問題，但這是行不通的。"

　　國外的一項研究表明，15年來，每年在信息安全方面的預算上漲了17倍，但實際花費卻增長了120倍。但是有多少花費起到了作用？可以說直到現(xiàn)在,對于任何一個花費了大量資金在信息安全方面的管理者來說,其收效甚微。

　　為什么會這樣，組織的最高管理層和管理執(zhí)行層應該怎么辦，這正是本文的主題。

　　組織的最高管理層和管理執(zhí)行層有責任思考并對以下問題做出答復：

·什么是信息安全？

·信息安全的重要性在哪里？

·信息安全應由誰負責？

·如何發(fā)現(xiàn)潛在的系統(tǒng)安全弱點？

·信息安全治理的內容；

·怎樣進行信息安全治理；

·怎樣設計一個明確的安全體系結構圖和計劃藍圖來實施信息安全方案？

·怎樣評估企業(yè)信息安全治理的成熟度級別；

·信息安全如何為企業(yè)創(chuàng)造新的戰(zhàn)略競爭機遇？

　　1. 信息安全治理的產(chǎn)生背景

　　在當今的全球商業(yè)環(huán)境中，信息的重要性被廣泛接受，信息系統(tǒng)在商業(yè)和政府組織中得到了真正的廣泛的應用。許多組織對其信息系統(tǒng)不斷增長的依賴性，加上在信息系統(tǒng)上運作業(yè)務的風險、收益和機會，使IT治理成為企業(yè)治理越來越關鍵的一部分。最高管理層（董事會）和執(zhí)行管理層同樣需要確保IT適應企業(yè)戰(zhàn)略，企業(yè)戰(zhàn)略也恰當利用IT的優(yōu)勢。

　　但現(xiàn)實世界的任何系統(tǒng)都是一串復雜的環(huán)節(jié)，安全措施必須滲透到系統(tǒng)的所有地方，其中一些甚至連系統(tǒng)的設計者、實現(xiàn)者和使用者都不知道。因此，不安全因素總是存在。沒有一個系統(tǒng)是完美的，沒有一項技術是靈丹妙藥。

　　事實上針對系統(tǒng)安全的攻擊越來越普遍。早在1996年，美國會計總署（GAO）報告指出，美國國防部一年有15，000個系統(tǒng)遭到高達250，000次攻擊，其中65%攻擊成功，防范和彌補損失的費用高達數(shù)億美元。更只得注意的是，這些攻擊中只有400個被查明，20個被報告。如果說1996年很大程度上是一種系統(tǒng)的弱點，5年以后得今天，它已成為一種威脅，正如美國聯(lián)邦調查局對100個針對電子商務網(wǎng)站的敲詐案件調查表明，攻擊者不僅威脅公開客戶信息，并且實際上在要求得不到滿足時實現(xiàn)這種威脅。許多國家的政府已經(jīng)認識到安全的重要性，并積極采取措施提高信息安全，如根據(jù)敏感度隔開信息基礎設施，投資于更好的認證方法，以及使信息基礎設施使用者對其行為負責等。以美國政府為例，"9.11事件"后美國信息基礎設施保護委員會（PCIPB）列出了53個信息安全重點問題，把信息安全列入國家戰(zhàn)略。在這個戰(zhàn)略中，信息安全被分成5個等級；第一級是家庭用戶和小型商業(yè)機構，第二級是大型企業(yè)，第三級是高等教育、聯(lián)邦政府、州與地方政府等關鍵部門，第四級是國家優(yōu)先任務，第五級是全球性合作網(wǎng)絡。但是，在今年Gartner舉辦的研討會上，與會人士普遍認為9.11后企業(yè)依然沒有提高警惕，這一點從Gartner 研究主管Donna Scott進行的調查中就可以明顯的反映出來，這次調查是Scott今年關于保持業(yè)務發(fā)展的連續(xù)性問題的陳述報告的一部分。該報告顯示全球2000強企業(yè)中只有不到25%在全面的業(yè)務連續(xù)性計劃上進行了投資，而就在這些進行了投資的企業(yè)當中，只有50%對自己的恢復計劃進行了全面的測試。 針對嚴峻的現(xiàn)狀，Scott警告說："隨著實時企業(yè)觀念的推進，即使是最小的中斷--關鍵業(yè)務系統(tǒng)幾分鐘或是幾小時的儲運損耗、關鍵供應商或是外部服務供應商服務的中斷、整個經(jīng)濟形勢可能引發(fā)的潛在業(yè)務沖擊及其對客戶/供應商所產(chǎn)生的影響--都可能帶來極為嚴重的商業(yè)后果。"

　　美國政府將在2003年投資五百多億美元，用于改造IT基礎設施及其性能。其中政府機構用于網(wǎng)絡安全的支出將增長64%，達到約30億美元?？吹缴厦娴臄?shù)字，你一定會認為，隨著網(wǎng)絡安全支出的增長，政府部門的計算機安全環(huán)境將會得到極大的改善，能夠抵御任何形式的網(wǎng)絡威脅。然而事實可能并非如此。Gartner的副總裁John Pescatore預言，政府網(wǎng)絡安全的顯著改善至少需要花費三年的時間。他認為，與個人網(wǎng)絡安全相比，政府網(wǎng)絡安全現(xiàn)在還處于遠遠落后的狀態(tài)，要想解決一些比較大的問題，必須先要建立網(wǎng)絡安全的基礎和機制。

　　目前業(yè)界普遍認為，信息安全是政府和企業(yè)必須攜手面對的問題。政府和企業(yè)管理執(zhí)行層（董事會）有責任確保為所有使用者提供一個安全的信息系統(tǒng)環(huán)境，而且，政府部門和企業(yè)在認識到安全的信息系統(tǒng)好處的同時，應該自我保護以避免使用信息系統(tǒng)時的固有風險。

　　中國工程院院長徐匡迪最近指出："沒有安全的工程就是豆腐渣工程"。近期我國接連不斷地出現(xiàn)程度不同的信息系統(tǒng)安全事故，首都機場因電腦系統(tǒng)故障，6000多人滯留機場，150多駕飛機延誤；南京火車站電腦售票系統(tǒng)突然發(fā)生死機故障，整個車站售票處于癱瘓狀態(tài)；廣東省工行因系統(tǒng)故障，全線停業(yè)一個半小時；深交所證券交易系統(tǒng)宕機事件等等。這些事故不僅僅是簡單的信息系統(tǒng)癱瘓的問題，其直接后果是導致巨大的經(jīng)濟損失，還造成了不良的社會影響。如果說經(jīng)濟損失還能彌補，那么由于信息網(wǎng)絡的脆弱性而引起的公眾對網(wǎng)絡社會的誠信危機則不是短時期內可能恢復的。

　　我國政府主管部門以及各行各業(yè)已經(jīng)認識到了信息安全的重要性。政府部門開始出臺一系列相關政策，直接牽引、推進信息安全的應用和發(fā)展。由政府主導的各大信息系統(tǒng)工程和信息化程度要求非常高的相關行業(yè)，也開始出臺對信息安全技術產(chǎn)品的應用標準和規(guī)范。國務院信息化領導小組最近頒布的《關于我國電子政務建設指導意見》也強調指出了電子政務建設中信息系統(tǒng)安全的重要性；中國人民銀行正在加緊制定網(wǎng)上銀行系統(tǒng)安全性評估指引，并明確提出對信息安全的投資要達到IT總投資的10%以上，而在其他一些關鍵行業(yè)，信息安全的投資甚至已經(jīng)超過了總IT預算的30-50%。

　　我們回頭來看，政府和各行各業(yè)對信息安全的重要性有了認識，相關的標準規(guī)范正在形成，投資力度在加大，安全技術、產(chǎn)品、市場在發(fā)展，多數(shù)企業(yè)機構正在制定符合不同業(yè)務信息系統(tǒng)和網(wǎng)絡安全等級需要的綜合性安全策略和計劃。那么，我們?yōu)槭裁匆廊粵]有安全感呢？！到底需要什么樣的方法或機制來管理或治理信息安全呢？經(jīng)過近一年對國內外信息安全和最佳實務的研究，我們認為關鍵是要建立一套能夠涵蓋組織信息安全的制度安排機制，它包括治理機制和治理結構，這種制度安排通過建立和維護一個框架來保證信息安全戰(zhàn)略和組織的業(yè)務目標精確校準，并且和相關的法律和規(guī)范一致。從后面的分析闡述中，我們可以看到有效的信息安全治理是非常必要的。

　　2. 信息安全治理的定義

　　安全涉及保護有價值的資產(chǎn)不被遺失、濫用、泄露或者損害。我們此處的"有價值的資產(chǎn)"特指從電子媒介上記錄、處理、存儲、共享、傳送和接受的信息。信息必須保護不被導致不同類型的弱點如損失、不能訪問、改變和故意泄露的威脅的損害，這些威脅包括錯誤、遺漏、欺詐、意外和故意損害。相應的保護是一系列分級的技術和非技術的安全措施，如物理安全措施、背景審查、用戶識別、密碼保護、智能卡、生物測定和防火墻。這些措施將確定信息系統(tǒng)的弱點和面臨的威脅。

　　在不斷變化的技術環(huán)境中，今天最好的安全措施在明天可能過時。安全措施必須緊跟這些變化，必須被作為系統(tǒng)開發(fā)生命周期過程整體的一部分加以考慮，并在過程的每一階段明確定位。有效的安全需要主動及時的制度安排。

　　信息安全的目標是"保護依靠信息的人、系統(tǒng)和傳輸信息的通訊系統(tǒng)不受損害，這種損害來源于信息可用性、機密性和完整性的失效"。目前新出現(xiàn)的定義又增加信息有效性和占有性之類的概念－后者與偷竊、欺詐和舞弊相對應－網(wǎng)絡經(jīng)濟當然增加了電子交易信用和責任的需要。依據(jù)國際上一般公認的準則，對大部分組織來說，滿足安全目標必須做到：

·可用性：信息在需要時可用和有用，提供信息的系統(tǒng)能適當?shù)爻惺芄舨⒃谑r恢復；

·保密性：信息只能被有相應權限的人看到，或透露給他們；

·完整性：未經(jīng)授權，信息不能被修改；

·真實性和不可否認性：組織之間或組織與合作伙伴間的商業(yè)交易和信息交換是可信賴的。

　　可用性、保密性、完整性、真實性和不可否認性之間的相對優(yōu)先級和重要性根據(jù)信息系統(tǒng)中的信息和使用信息的商業(yè)環(huán)境的不同而不同，例如，當信息影響與戰(zhàn)略相關的關鍵決策時，管理信息的完整性就特別重要。

　　根據(jù)國際會計師聯(lián)合會發(fā)布的管理信息和通訊系統(tǒng)風險國際指南第一號報告《管理信息安全》，與信息安全相關的6個主要活動是：

　　政策制定--使用安全目標和核心原理作為框架，圍繞這個框架制定安全政策；

　　角色和責任--確保每個人清楚知道和理解各自的角色、責任和權力；

　　設計--開發(fā)由標準、評測措施、實務和規(guī)程組成的安全與控制框架；

　　實施--適時應用方案，并且維護實施的方案；

　　控制--建立控制措施，查明安全隱患，并確保其得到改正；

　　安全意識，培訓和教育--安全意識的養(yǎng)成，宣貫保護信息的必要性，提供安全運作信息系統(tǒng)所需技巧的培訓，提供安全評估和實務教育。

　　最后一點還要加上激勵，因為人們可能有這種有意識，但需要激發(fā)其行動。

　　然而，制定一項政策，使人們接受它，然后希望每個人遵守這項政策的日子已一去不復返了。風險出現(xiàn)的速度和變化的速度需要一種不同于以前的、連貫的方法，我們稱之為"測試和修補"。它通過執(zhí)行安全管理職能，提高防衛(wèi)能力和完善政策建立安全機制，來連續(xù)地監(jiān)控和測試基礎設施和環(huán)境的隱患和響應速度，如下圖所示：

　　新興的信息安全方法就像門衛(wèi)在晚上穿行走廊，檢查門把柄來了解房間的安全狀況。如果有人認為技術能夠解決安全性問題，那么他就不理解安全性問題，也不理解技術。

　　3. 為什么說信息安全很重要？

　　美國明尼蘇達大學Bush-Kugel的研究報告中指出，企業(yè)在沒有信息資料可用的情況下，金融業(yè)至多只能運作2天，商業(yè)則為3.3天，工業(yè)則為5天，保險業(yè)約為5.6天。而以經(jīng)濟情況來看，有25%的企業(yè)，因為數(shù)據(jù)的損毀可能立即破產(chǎn)，40%會在兩年內宣布破產(chǎn)，只有7%不到的企業(yè)在五年內后能夠繼續(xù)存活。

　　信息系統(tǒng)可能產(chǎn)生許多直接或間接的好處，但也有可能產(chǎn)生許多直接或間接的風險。這些風險已使系統(tǒng)所需要受到的保護與已受到的保護之間產(chǎn)生差距，這種差距是由下列因素形成：

·技術的廣泛使用；

·系統(tǒng)的互連互通；

·距離、時間和空間限制的消失；

·技術變革的不均衡；

·管理和控制權的下放；

·對進行反傳統(tǒng)的電子攻擊的吸引力；

·外部因素如立法機關、法規(guī)的要求或技術的發(fā)展。

　　這意味著存在一個新的對重要的商業(yè)運作有重大影響的風險區(qū)，如：

·要求更高的系統(tǒng)可用性和強壯性；

·更可能的誤用或濫用信息系統(tǒng)而影響隱私和道德；

·來自黑客的外部危險，導致拒絕服務、病毒攻擊、盜用和泄漏公司信息。

　　新的技術提供了顯著加強經(jīng)營業(yè)績的潛力，提高和宣傳信息安全能夠為組織帶來實在的價值，包括促進與商業(yè)伙伴之間的交互，更緊密的客戶關系，提高競爭優(yōu)勢和保護企業(yè)聲譽，還能使新的和更方便的電子交易方式成為可能并得到信任?？梢?，信息安全問題并不總是一個需要我們規(guī)避的風險，事實上，安全可以為我們創(chuàng)造新的戰(zhàn)略機遇。以招商銀行一卡通為例，正是因為招行的安全防護體系足以保護自己的利益，所以才能無所顧忌地放手實施網(wǎng)上銀行計劃，創(chuàng)造出可以和四大國有銀行競爭的戰(zhàn)略機遇。