信息安全治理：创造新的战略竞争机遇之一

申请免费试用、咨询电话：400-8352-114

信息安全治理：创造新的战略竞争机遇之一
作者：孙 强 郝亚斌 发表：2004.04.07 来源：赛迪网
 
　　"没有安全的工程就是豆腐渣工程"

　　　　　　－徐匡迪 中国工程院院长

　　"技术本身实际上是信息安全体系里最不重要的部分了。不管一项技术有多先进，都只不过是辅助实现信息安全的手段而已。我们并不是认为技术不重要，但在信息安全的架构里，它一定要在好的信息安全治理的基础上。"

－ 作者题记

　　赛迪顾问股份有限公司

　　赛迪培训中心

　　孙 强 郝亚斌

　　目录

　　1. 信息安全治理的产生背景

　　2. 信息安全治理的定义

　　3. 为什么说信息安全很重要？

　　4. 谁应该关注信息安全治理，关注什么？

　　5. 最高管理层（董事会）和管理执行层应该做些什么？

　　6. 怎样全面理解信息安全治理？

　　7. 信息安全管理和信息安全治理

　　8．信息安全治理的内容是什么？

　　9. 怎样成功实现信息安全治理？

　　10. 怎样寻找差距？

　　11. 监管和标准制定部门采取什么行动？

　　引言

　　在当今科技时代中，信息是一个国家最重要的资源之一，信息与网络的运用亦是二十一世纪国力的象征，但无论是从国家竞争力、组织再造或是国防战备来说，今日正面临着层出不穷的事件的挑战。在2002年的10月上旬到11月上旬，我们记录了来自公开媒体的典型安全事件。以下是新闻摘要：

　　新浪科技新闻：从事网络安全的美国因特网安全系统公司(ISS)于美国当地时间本周二宣布，在伯克利因特网域名(BIND)软件发现了三个新漏洞，这三个漏洞容易引发针对大多数域名服务器(DNS)的拒绝服务(denial-of-service)进攻。其中一个漏洞甚至允许进攻者在易受攻击的电脑上运行程序，ISS漏洞研发组的领导人Dan Ingevaldson指出，该漏洞与引发红色代码病毒的漏洞处在相同严重的级别，因为攻击者可以利用这个漏洞散发蠕虫病毒。

　　新华网伦敦11月13日电：英国警方13日宣布，国内一名网页设计师因在全球范围内传播计算机病毒而被司法机关起诉。被告西蒙·瓦勒尔现年21岁，来自威尔士的兰迪德诺。今年2月，英国警方根据美国联邦调查局提供的情报将他逮捕。瓦勒尔被控非法袭击网站和在全球范围内传播两种以电子邮件为载体的计算机病毒，其中一种名叫"GOKAR REDESI"的病毒影响了46个国家的计算机系统，是世界传播范围第三广泛的计算机病毒。瓦勒尔还被控私藏儿童色情照片。

　　计算机世界网消息：微软公司称，要获得更高的安全性能，用户需要升级到最新版本的Windows。微软公司的技术总监克莱格·蒙代表示，广大客户继续使用以前版本的Windows，而不是Windows 2000和Windows XP，大大削弱了微软公司为确保全球计算基础设施安全所作的努力。他说，对以前版本的Windows进行改进，提高其安全性是不可能的。蒙代指出，微软公司的被称为"可信赖计算"的实现计算机安全的计划还需要较长一段时间才能实现。他说，他担心用户会因安全问题而会对计算机失去信心。

　　美国太平洋时间11月16日消息：日本政府将考虑用另外一种操作系统替代微软公司的Windows操作系统，以便加强计算机网络安全保护。保护计算机网络安全是日本首相小泉纯一郎建立"电子政府"计划的一个长期目标，这一"电子政府"计划允许公民通过互联网与政府各部门进行工作交流。目前，日本政府计算机网络中使用的服务器和个人电脑中，绝大多数都在使用Windows操作系统。但是，日本政府对于采用其它的操作系统却很感兴趣，特别是一些开放源文件程序，如Linux。

　　中国日报报道：美国联邦政府11月12日对一名英国计算机管理员提起起诉，指控他非法侵入了美军和美国航空航天局的92处计算机网络，其中在侵入新泽西州一处海军设施的网络时导致该设施系统陷入崩溃。

　　人民日报华东新闻：江苏省普通高中信息技术等级考试，近万考生答卷被删，"黑客"破坏网上考试被判刑6个月。

　　美国当地时间10月21日，全世界13台路由DNS服务器（Route Server）同时受到了DDoS（分布式拒绝服务）攻击。值得庆幸的是并没有酿成严重事故。但此事再次表明，在因特网上目前仍旧存在很多充当DDoS攻击帮凶的机器。每台机器的预防策略的不完善就有可能威胁到因特网赖以存在的基础。

　　以上的新闻使我们回想起了以往与之相关的安全事件，正是人与技术的结合制造了各类信息安全事件。爱虫病毒导致了120亿美元的损失，但是在此事件发生不足十个月的时间之后，全球依然遭受同一类型病毒Anna Kournikova的袭击，难道我们没有从爱虫病毒的袭击事件中吸取教训吗？事实上，大多数受害组织当然吸取了教训。他们更新了病毒库、在未安装扫描工具的邮件服务器上安装扫描工具。可是直接从技术的角度去寻求解决方案，只是解决了问题的一半。有多少组织会花费时间去更新邮件策略、向所有的员工解释更新策略的原因并在策略方面教育员工呢？答案是少数的。无数次的惨痛教训使我们得出一个教训：即使有安全策略，但没有对用户进行安全意识教育等的机制，那同没有安全策略是没有多大区别的。

　　从10月到11月的这段时间并非特例，其他时间也有类似的记录，有些记录则更糟。实际上，资料显示情况正变得更加糟糕：安全缺陷、侵犯，信誉受损，以及灾难性事件的数量正随着时间的推移而增加。我们学会有关安全的东西越多--如何设计系统安全架构、如何建立安全的操作系统、采用先进的安全技术和设备、增加在系统安全上的投资等，可是我们建立的系统越无法面对急剧变化的环境。Gartner Group最新的一份安全报告告诉我们："各类令企业损失惨重的安全违规事件追究到最后是人所造成的，并且发展成为物理安全和人员的问题。IT安全部门试图用技术方法来解决这些安全问题，但这是行不通的。"

　　国外的一项研究表明，15年来，每年在信息安全方面的预算上涨了17倍，但实际花费却增长了120倍。但是有多少花费起到了作用？可以说直到现在,对于任何一个花费了大量资金在信息安全方面的管理者来说,其收效甚微。

　　为什么会这样，组织的最高管理层和管理执行层应该怎么办，这正是本文的主题。

　　组织的最高管理层和管理执行层有责任思考并对以下问题做出答复：

·什么是信息安全？

·信息安全的重要性在哪里？

·信息安全应由谁负责？

·如何发现潜在的系统安全弱点？

·信息安全治理的内容；

·怎样进行信息安全治理；

·怎样设计一个明确的安全体系结构图和计划蓝图来实施信息安全方案？

·怎样评估企业信息安全治理的成熟度级别；

·信息安全如何为企业创造新的战略竞争机遇？

　　1. 信息安全治理的产生背景

　　在当今的全球商业环境中，信息的重要性被广泛接受，信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会，使IT治理成为企业治理越来越关键的一部分。最高管理层（董事会）和执行管理层同样需要确保IT适应企业战略，企业战略也恰当利用IT的优势。

　　但现实世界的任何系统都是一串复杂的环节，安全措施必须渗透到系统的所有地方，其中一些甚至连系统的设计者、实现者和使用者都不知道。因此，不安全因素总是存在。没有一个系统是完美的，没有一项技术是灵丹妙药。

　　事实上针对系统安全的攻击越来越普遍。早在1996年，美国会计总署（GAO）报告指出，美国国防部一年有15，000个系统遭到高达250，000次攻击，其中65%攻击成功，防范和弥补损失的费用高达数亿美元。更只得注意的是，这些攻击中只有400个被查明，20个被报告。如果说1996年很大程度上是一种系统的弱点，5年以后得今天，它已成为一种威胁，正如美国联邦调查局对100个针对电子商务网站的敲诈案件调查表明，攻击者不仅威胁公开客户信息，并且实际上在要求得不到满足时实现这种威胁。许多国家的政府已经认识到安全的重要性，并积极采取措施提高信息安全，如根据敏感度隔开信息基础设施，投资于更好的认证方法，以及使信息基础设施使用者对其行为负责等。以美国政府为例，"9.11事件"后美国信息基础设施保护委员会（PCIPB）列出了53个信息安全重点问题，把信息安全列入国家战略。在这个战略中，信息安全被分成5个等级；第一级是家庭用户和小型商业机构，第二级是大型企业，第三级是高等教育、联邦政府、州与地方政府等关键部门，第四级是国家优先任务，第五级是全球性合作网络。但是，在今年Gartner举办的研讨会上，与会人士普遍认为9.11后企业依然没有提高警惕，这一点从Gartner 研究主管Donna Scott进行的调查中就可以明显的反映出来，这次调查是Scott今年关于保持业务发展的连续性问题的陈述报告的一部分。该报告显示全球2000强企业中只有不到25%在全面的业务连续性计划上进行了投资，而就在这些进行了投资的企业当中，只有50%对自己的恢复计划进行了全面的测试。 针对严峻的现状，Scott警告说："随着实时企业观念的推进，即使是最小的中断--关键业务系统几分钟或是几小时的储运损耗、关键供应商或是外部服务供应商服务的中断、整个经济形势可能引发的潜在业务冲击及其对客户/供应商所产生的影响--都可能带来极为严重的商业后果。"

　　美国政府将在2003年投资五百多亿美元，用于改造IT基础设施及其性能。其中政府机构用于网络安全的支出将增长64%，达到约30亿美元。看到上面的数字，你一定会认为，随着网络安全支出的增长，政府部门的计算机安全环境将会得到极大的改善，能够抵御任何形式的网络威胁。然而事实可能并非如此。Gartner的副总裁John Pescatore预言，政府网络安全的显著改善至少需要花费三年的时间。他认为，与个人网络安全相比，政府网络安全现在还处于远远落后的状态，要想解决一些比较大的问题，必须先要建立网络安全的基础和机制。

　　目前业界普遍认为，信息安全是政府和企业必须携手面对的问题。政府和企业管理执行层（董事会）有责任确保为所有使用者提供一个安全的信息系统环境，而且，政府部门和企业在认识到安全的信息系统好处的同时，应该自我保护以避免使用信息系统时的固有风险。

　　中国工程院院长徐匡迪最近指出："没有安全的工程就是豆腐渣工程"。近期我国接连不断地出现程度不同的信息系统安全事故，首都机场因电脑系统故障，6000多人滞留机场，150多驾飞机延误；南京火车站电脑售票系统突然发生死机故障，整个车站售票处于瘫痪状态；广东省工行因系统故障，全线停业一个半小时；深交所证券交易系统宕机事件等等。这些事故不仅仅是简单的信息系统瘫痪的问题，其直接后果是导致巨大的经济损失，还造成了不良的社会影响。如果说经济损失还能弥补，那么由于信息网络的脆弱性而引起的公众对网络社会的诚信危机则不是短时期内可能恢复的。

　　我国政府主管部门以及各行各业已经认识到了信息安全的重要性。政府部门开始出台一系列相关政策，直接牵引、推进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业，也开始出台对信息安全技术产品的应用标准和规范。国务院信息化领导小组最近颁布的《关于我国电子政务建设指导意见》也强调指出了电子政务建设中信息系统安全的重要性；中国人民银行正在加紧制定网上银行系统安全性评估指引，并明确提出对信息安全的投资要达到IT总投资的10%以上，而在其他一些关键行业，信息安全的投资甚至已经超过了总IT预算的30-50%。

　　我们回头来看，政府和各行各业对信息安全的重要性有了认识，相关的标准规范正在形成，投资力度在加大，安全技术、产品、市场在发展，多数企业机构正在制定符合不同业务信息系统和网络安全等级需要的综合性安全策略和计划。那么，我们为什么依然没有安全感呢？！到底需要什么样的方法或机制来管理或治理信息安全呢？经过近一年对国内外信息安全和最佳实务的研究，我们认为关键是要建立一套能够涵盖组织信息安全的制度安排机制，它包括治理机制和治理结构，这种制度安排通过建立和维护一个框架来保证信息安全战略和组织的业务目标精确校准，并且和相关的法律和规范一致。从后面的分析阐述中，我们可以看到有效的信息安全治理是非常必要的。

　　2. 信息安全治理的定义

　　安全涉及保护有价值的资产不被遗失、滥用、泄露或者损害。我们此处的"有价值的资产"特指从电子媒介上记录、处理、存储、共享、传送和接受的信息。信息必须保护不被导致不同类型的弱点如损失、不能访问、改变和故意泄露的威胁的损害，这些威胁包括错误、遗漏、欺诈、意外和故意损害。相应的保护是一系列分级的技术和非技术的安全措施，如物理安全措施、背景审查、用户识别、密码保护、智能卡、生物测定和防火墙。这些措施将确定信息系统的弱点和面临的威胁。

　　在不断变化的技术环境中，今天最好的安全措施在明天可能过时。安全措施必须紧跟这些变化，必须被作为系统开发生命周期过程整体的一部分加以考虑，并在过程的每一阶段明确定位。有效的安全需要主动及时的制度安排。

　　信息安全的目标是"保护依靠信息的人、系统和传输信息的通讯系统不受损害，这种损害来源于信息可用性、机密性和完整性的失效"。目前新出现的定义又增加信息有效性和占有性之类的概念－后者与偷窃、欺诈和舞弊相对应－网络经济当然增加了电子交易信用和责任的需要。依据国际上一般公认的准则，对大部分组织来说，满足安全目标必须做到：

·可用性：信息在需要时可用和有用，提供信息的系统能适当地承受攻击并在失败时恢复；

·保密性：信息只能被有相应权限的人看到，或透露给他们；

·完整性：未经授权，信息不能被修改；

·真实性和不可否认性：组织之间或组织与合作伙伴间的商业交易和信息交换是可信赖的。

　　可用性、保密性、完整性、真实性和不可否认性之间的相对优先级和重要性根据信息系统中的信息和使用信息的商业环境的不同而不同，例如，当信息影响与战略相关的关键决策时，管理信息的完整性就特别重要。

　　根据国际会计师联合会发布的管理信息和通讯系统风险国际指南第一号报告《管理信息安全》，与信息安全相关的6个主要活动是：

　　政策制定--使用安全目标和核心原理作为框架，围绕这个框架制定安全政策；

　　角色和责任--确保每个人清楚知道和理解各自的角色、责任和权力；

　　设计--开发由标准、评测措施、实务和规程组成的安全与控制框架；

　　实施--适时应用方案，并且维护实施的方案；

　　控制--建立控制措施，查明安全隐患，并确保其得到改正；

　　安全意识，培训和教育--安全意识的养成，宣贯保护信息的必要性，提供安全运作信息系统所需技巧的培训，提供安全评估和实务教育。

　　最后一点还要加上激励，因为人们可能有这种有意识，但需要激发其行动。

　　然而，制定一项政策，使人们接受它，然后希望每个人遵守这项政策的日子已一去不复返了。风险出现的速度和变化的速度需要一种不同于以前的、连贯的方法，我们称之为"测试和修补"。它通过执行安全管理职能，提高防卫能力和完善政策建立安全机制，来连续地监控和测试基础设施和环境的隐患和响应速度，如下图所示：

　　新兴的信息安全方法就像门卫在晚上穿行走廊，检查门把柄来了解房间的安全状况。如果有人认为技术能够解决安全性问题，那么他就不理解安全性问题，也不理解技术。

　　3. 为什么说信息安全很重要？

　　美国明尼苏达大学Bush-Kugel的研究报告中指出，企业在没有信息资料可用的情况下，金融业至多只能运作2天，商业则为3.3天，工业则为5天，保险业约为5.6天。而以经济情况来看，有25%的企业，因为数据的损毁可能立即破产，40%会在两年内宣布破产，只有7%不到的企业在五年内后能够继续存活。

　　信息系统可能产生许多直接或间接的好处，但也有可能产生许多直接或间接的风险。这些风险已使系统所需要受到的保护与已受到的保护之间产生差距，这种差距是由下列因素形成：

·技术的广泛使用；

·系统的互连互通；

·距离、时间和空间限制的消失；

·技术变革的不均衡；

·管理和控制权的下放；

·对进行反传统的电子攻击的吸引力；

·外部因素如立法机关、法规的要求或技术的发展。

　　这意味着存在一个新的对重要的商业运作有重大影响的风险区，如：

·要求更高的系统可用性和强壮性；

·更可能的误用或滥用信息系统而影响隐私和道德；

·来自黑客的外部危险，导致拒绝服务、病毒攻击、盗用和泄漏公司信息。

　　新的技术提供了显著加强经营业绩的潜力，提高和宣传信息安全能够为组织带来实在的价值，包括促进与商业伙伴之间的交互，更紧密的客户关系，提高竞争优势和保护企业声誉，还能使新的和更方便的电子交易方式成为可能并得到信任。可见，信息安全问题并不总是一个需要我们规避的风险，事实上，安全可以为我们创造新的战略机遇。以招商银行一卡通为例，正是因为招行的安全防护体系足以保护自己的利益，所以才能无所顾忌地放手实施网上银行计划，创造出可以和四大国有银行竞争的战略机遇。