网络技术的发展加速了信息的传输和处理,缩短了人们之间的时空距离,方便了交流,同时对信息安全提出了新的挑战。据统计,全球平均每20秒就发生一次计算机病毒入侵;互联网上的防火墙大约25%被攻破;窃取商业信息的时间平均以每月26%的速度增加。信息安全已扩展到了信息的可靠性,可用性,可控性,完整性及不可抵赖性等更新,更深层次的领域。这些领域内的相关技术和理论都是信息安全所要研究的领域。国际标准化组织(ISO)对信息安全的定义是:“在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件,软件和数据不因偶然和恶意的原因而遭到破坏,更改和泄露。”
11.2.1信息安全管理与信息安全技术
在信息社会,无论对于个人,企业还是国家,信息安全都是前所未有的重要,既是行使和保障合法权益的手段,也是整个信息社会正常运行的先决条件。信息安全保障能力既是个人素质,企业实力的重要体现,也是国家主权和社会健康的重要标志。
在当今数字化、网络化的环境中,如果没有信息安全,国家的经济体制与秩序安全、金融与货币安全、产业与市场安全、战略物资与能源安全、对外贸易与投资安全就不能得到有效保障。
信息时代,组织的正常运作离不开信息安全,组织商业机密的泄露会使组织失去核心竞争力,失去市场,失去客户;组织信息系统的故障会造成组织业务的中断,造成资产与声誉的损失,组织要保持可持续发展,信息安全是重要保证之一。
信息安全包括信息系统的安全和信息安全,并以信息安全为最终目标。实现信息安全必须从管理和技术两方面着手。技术层面和管理层面的良好配合,是组织实现网络与信息安全的有效途径。其中,信息安全技术通过采用建立安全的主机系统和安全的网络系统,并配备适当的安全产品的方法来实现;在管理层面,则通过构架信息安全管理体系来实现。
目前,管理与技术的脱节仍是信息安全的通病。信息安全不仅仅是一个技术问题,在很大程度上已经表现为管理问题,能不能对网络实现有效的管理与控制是信息安全的根本问题之一。但是长久以来,信息安全却一直被人们视为单纯的技术问题,归于信息技术部门独立处理,由此产生三个方面的问题:首先,信息安全策略与管理战略脱节;其次,在“业务持续性计划”与“信息技术灾难恢复计划”之间划等号;最后,各类机构的信息安全意识培训和教育不够。
在整个系统安全工作中,管理(包括管理和法律法规方面)所占比重应该达到70%,而技术(包括技术和实体)应占30%。信息管理相对于信息安全技术来说是“软技术”,与信息安全管理相比,信息安全技术是“硬技术”。但实际上在信息安全领域,人们的注意力通常集中在计算机及其技术的使用、安装、配置以及预防工具滥用等方面,忽视了使用工具的人的因素,例如安全风险较高的“社交工程”就经常被人们忽略,社交工程是通过诱导,欺骗,伪装等非技术的,传统的犯罪方式而导致人们实施各种不安全的行为,造成信息系统,网络或数据的非授权访问,使用和暴露,对社交工程的防范措施并没有有效的技术手段,只能由信息安全管理措施来应对。
中国国家信息安全测评认证中心提供的调查结果显示,现实的威胁主要为信息泄露和内部人员犯罪,而非病毒和外来“黑客”引起。据公安部最新统计,70%的泄密犯罪来自于内部;电脑应用单位80%未设立相应的安全管理体系;58%无严格的管理制度。如果相关技术人员违规操作(如管理员泄露密码),即便组织有最好的安全技术的支持,也保证不了信息安全。由此可见进行信息安全管理对于保证信息安全的重要性。要全面实现信息安全,应该从有可能出现风险的各个层面来考虑问题。除了采取一定的安全技术以外,还要有完善的安全策略和良好的内部管理。
依据“七分管理,三分技术”的信息安全原则,建立正规的信息安全管理体系以实现系统的,全面的信息安全。建立好的信息安全策略必须包括制定操作人员行为规则和培训用户安全意识这两个信息安全管理方面的措施。当然,在强调信息安全管理重要性的同时也不能忽视信息安全技术的作用。信息安全管理各项措施的执行要以信息安全技术为基础。
11.2.2信息安全管理体系
信息安全管理体系是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
BS7999《信息安全管理体系标准》是目前应用最广泛的信息安全管理标准,由英国标准协会(BSI)于1993年最早提出。BS7799基本内容包括:安全策略,组织的安全,资产分类管理,人员安全,物理和环境安全,通信和操作管理,系统访问控制,系统开发和维护,业务持续性管理,符合性等十个方面。具体分为两个部分,BS7799-1:信息安全管理实施细则,BS7799-2:信息安全管理体系规范。第一部分主要是给开发人员作为参考文档使用,从而在他们的机构内部实施和维护信息安全;第二部分详细说明了建立,实施和维护信息安全管理体系的要求,指出实施组织需要通过风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。
BS7799经过1995年、1998年、1999年、2002年的不断修改和修正,现在已经成为信息安全管理领域的一个权威标准,是全球一致公认的辅助信息安全管理要项,一套与技术负责人或组织高层进行沟通的共同语言,以及保护信息资产的制度框架,这正是管理层能够接受并理解的。下面介绍信息安全管理体系(ISMS)的具体内容。
1.ISMS的范围
ISMS的范围可以根据整个组织或者组织的一部分进行定义,包括相关资产,系统,应用,服务,网络和用于过程中的技术,存储以及通信的信息等,ISMS的范围可以包括几个方面:组织所有的信息系统,组织的部分信息系统和特定的信息系统。
此外,为了保证不同的业务利益,组织需要为业务的不同方面定义不同的ISMS。例如,可以为组织和其他公司之间特定的贸易关系定义ISMS,也可以为组织结构定义ISMS,不同的情境可以由一个或者多个ISMS表述。
2.成功实施信息安全管理体系的关键因素
组织内部成功实施信息安全管理体系的关键因素主要有8个:①反映业务目标的安全方针,目标和活动;②与组织文化一致的实施安全的方法;③来自管理层的有形支持与承诺;④对安全要求,风险评估和风险管理的良好理解;⑤向所有管理者及雇员推行安全意识;⑥向所有雇员和承包商分发有关信息安全方针和标准的导则;⑦提供适当的培训与教育;⑧用于评价信息安全管理绩效及反馈改进建议,并有利于综合平衡的测量系统。
3.建立ISMS的步骤
不同的组织在建立与完善信息安全管理体系时,可以根据自己的特点和具体的情况,采取不同的步骤和方法。总体来说,建立信息安全管理体系一般要经过如下四个基本步骤:信息安全管理体系的策划与准备,信息安全体系文件的编制,信息安全管理体系的运行,信息安全管理体系的审核与评审。它们是ISMS的核心内容,我们会在后面章节进行详细的介绍。
4.ISMS的特点
信息安全管理体系是一个系统化,程序化和文件化的管理体系。该体系具有以下特点:
(1)体系的建立基于系统,全面,科学的安全风险评估,体现以预防控制为主的思想,强调遵守国家有关信息安全的法律法规及其合同要求;
(2)强调过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式;
(3)强调保护组织拥有的关键性信息资产,而不是全部信息资产,确保信息的机密性,完整性和可用性,保持组织的竞争优势和商务运作持续性。
5.实施ISMS的作用
组织建立,实施与保持信息安全管理体系将会产生如下作用:
(1)强化员工的信息安全意识,规范组织信息安全行为;
(2)对组织的关键信息资产进行全面系统的保护,维持竞争优势;
(3)在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;
(4)使组织的合作伙伴和客户对组织充满信心;
(5)如果通过体系认证,表明体系符合标准,证明组织有能力保障重要信息,提高组织的知名度与信任度;
(6)促使管理层贯彻信息安全保障体系。
组织可以参照信息安全管理模型,按照先进的信息安全管理标准(如BS7799)建立组织完整的信息安全管理体系并实施与保持,达到动态的,系统的,全员参与,制度化的,以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性。
11.2.3安全管理的PDCA模型构成
PDCA循环的概念最早是由美国质量管理专家戴明提出来的,所以又称为“戴明环”,在质量管理中应用广泛。PDCA四个英文字母及其在PDCA循环中所代表的含义如下:
P(PLAN)——计划,确定方针和目标,确定活动计划;
D(DO)——实施,实际去做,实现计划中的内容;
C(CHECK)——检查,总结执行计划的结果,注意效果,找出问题;
A(ACTION)——行动,对总结检查的结果进行处理,成功的经验加以肯定并适当推广,标准化,失败的教训加以总结,以免重现,未解决的问题放到下一个PDCA循环。
组织应通过使用安全方针,安全目标,审核结果,对监控事件的分析,纠正和预防行动以及管理评审的信息来持续改进ISMS的有效性。
PDCA循环实际上是有效进行任何一项工作的合乎逻辑的工作程序。在质量管理中,PDCA循环得到了广泛的应用,并取得了很好的效果,因此有T人称PDCA循环是质量管理的基本方法。之所以将其称为PDCA循环,是因为这四个过程不是运行一次就完结的,而是周而复始的进行。其特点是:“大环套小环,一环扣一环,小环保大环,推动大循环”;每个循环系统包括PDCA四个阶段,都要周而复始的运动;PDCA循环是螺旋式上升和发展的,每循环一次要求提高一步。
实际上建立和管理信息安全管理体系和其他管理体系一样(如质量管理体系),需要采用过程的方法开发,实施和改进一个组织的ISMS的有效性。
ISMS的PDCA具有以下内容:
1.计划阶段
本阶段的主要任务是根据风险评估,法律法规要求,组织业务运营自身要求来确定控制目标和控制方式。目的是保证正确地建立ISMS的内容和范围,识别和评估所有的信息安全风险,并开发合适的处理风险的计划。注意:计划活动及所有工作必须文件化,以作为管理变化的追溯。在计划阶段组织需要完成的任务主要包括:
(1)确定信息安全方针。
在计划阶段要求组织和其管理层确定信息安全方针,包括组织的目标和目标的框架,总的方向的建立和信息安全行动原则。
(2)确定信息安全管理体系的范围。
如果信息安全管理体系的范围只包括组织的某些部分时,要清楚地识别系统的从属关系,与其他系统的接口、系统的边界,确定信息安全管理体系范围的文件应包括:
建立范围的过程和信息安全管理体系的环境;
组织战略及业务环境;
组织使用的信息安全风险管理的方法;
信息安全风险评价标准和所需的保护程度;
在信息安全管理体系的范围内信息资产的识别。
(3)制定风险识别和评估计划。
风险评估文件应解释组织选择了哪一种识别,评估风险的方法,为什么选择此方法,组织所处的业务环境,组织业务的大小和面临的风险等文件也应包括组织选择的工具和技术,解释为什么他们适用于本组织信息安全管理体系的范围和风险,怎样正确地使用这些工具和技术以产生有效的结果。以下风险评估的详细内容记录在文件内:
信息安全管理体系范围内的资产的评估;
识别威胁和脆弱点;
对威胁利用脆弱点的评估,及当此类事故发生时的影响;
在评估的结果的基础上计算风险,识别残余风险。
(4)制定风险控制计划。
组织应建立一个有详细的日程安排的风险控制计划,对于识别的每一个风险都确定以下四点:选择处理风险的方法;已有的控制措施;建立新添的控制措施;实施新建议的控制措施的时间期限。
应识别出组织可接受的风险水平,对于不在可接受水平的风险应从以下方面选择合适的措施:决定接受风险,如因为不能采取其他措施或代价太昂贵;转移风险;降低风险到可接受的风险。
2.实施阶段
本阶段的主要任务是实施组织所选择的控制目标与控制措施,具体包括两个方面的工作:
(1)保证资源,提供培训,提高安全意识。
应该为信息安全管理体系的运行和所有安全控制措施的实施提供充足的资源,提供实施所有控制措施的相关文件,并对信息安全管理体系文件进行维护。另外,还应该进行信息安全教育活动,以提高员工安全意识,在组织中产生良好的风险管理和安全的文化;并对员工进行有关信息安全技能和技术的培训,使员工掌握信息安全的实现手段。
(2)风险治理。
对于经过评估可接受的风险,不需要进一步的措施。对于经过评估不可接受的风险,可以采取降低风险或风险转移的方法进行风险处理。如果决定转移风险,应该采取签订合同,参加保险的方式,或采取灵活组织结构(如找合作、合资伙伴)等进一步行动,无论哪一种情况,都必须保证风险转移到的组织能理解风险的性质,并且能够有效地管理这些风险。如果组织决定降低风险,就要在ISMS范围内实施已选择的降低风险的措施。这些措施应与在计划活动中准备的风险控制计划相一致。
成功实施该计划要求有效的管理体系,管理体系定义了选择的控制目标与控制措施,落实责任和控制的过程,以及监控这些控制的过程。当一个组织决定接受高于可接受的风险时,应获得管理层的批准,在不可接受风险被降低或转移之后,还会有残余风险,控制措施应保证残余风险所产生的影响或破坏能及时被识别并适当管理。
3.检查阶段
本阶段的主要任务是进行有关方针、程序、标准与法律法规的符合性检查,对存在的问题采取措施予以改进。检查阶段的目的是保证控制措施有效运行。另外,应该考虑风险评估的对象及范围的变化情况,如果发现风险控制措施不够充分,就必须决定采取必要的纠正措施,此类活动的实行应在PDCA循环的行动阶段。需要注意的是,纠正措施不能滥用,只有在必要时才可用。
检查活动应该对采用的控制措施与实施过程进行描述,内容包括:对风险的不间断评审,在技术,威胁或功能不断变化的情况下,应注意技术的变化,业务的需求与新威胁和脆弱点的出现,尽量预测信息安全管理体系将来的变化,并采取有效措施确保其在将来持续有效的运转。
在检查阶段采集的信息应该可以用来测量信息安全管理体系,判断是否符合组织的安全方针和控制目标的有效性,常用的检查措施有以下几项:
(1)日常检查:这些程序应作为正式的业务过程经常进行,并设计用来侦察处理结果的错误。
(2)自治程序:自治程序是一种为了保证任何错误或失败在发生时能够被及时发现而建立的控制措施。例如,网络的设备发生故障或错误,监控程序或监控设备可以自动报警。
(3)从其他组织学习;通过向其他组织学习,发现本身组织的程序所存在的不足。这种学习适用于技术和管理活动。
(4)内部信息安全管理体系审核;通过在一个特定的常规审核时间段内检查(时间不应该超过一年)信息安全管理体系所有的方面是否达到预想的效果。
(5)管理评审:管理评审的目的是检查信息安全管理体系的有效性,以识别需要改进的领域,并建立一个持续改进和循环提高的基础。
4.改进阶段
本阶段的主要任务是对信息安全管理体系进行评价,寻求改进的机会,采取相应的措施。为使信息安全管理体系持续有效,应以检查阶段采集的不符合项信息为基础,经常进行调整与改进。对信息安全管理体系所作的改变或下一步行动计划,要及时告知所有的相关方,并提供相应的培训。
(1)不符合项。一个不符合项有两种情况,第一缺少或缺乏有效地实施和维护一个或多个信息安全管理体系的要求,第二在有客观证据的基础上,引起对信息安全管理体系完成信息安全方针和组织安全目标的能力的重大怀疑。
在检查阶段的评审强调对于不符合项应采取进一步的调查,以识别事故的原因,采取的措施不仅要解决问题,而且要养活和防止此类问题的再次发生。
(2)纠正和预防措施。应采取纠正措施以消除不符合项和其他违反标准要求的情况;应采取预防措施消除潜在不符合项的原因或其他可能的潜在违反标准要求的情况,以防止再次发生。
永远不能全部消除孤立的不符合项,同时,孤立的事件可能事实上是一个安全弱点的征兆,如果不加以处理可能会对整个组织产生影响。当识别和实施任何纠正措施时,应从这种角度来考虑孤立事件。确保补救工作能预防和减少类似事件的再次发生。
5.循环的过程
信息安全管理体系的实施,维护是一个持续改进的过程。系统的改进活动是周而复始的不断循环的持续过程,每一次数循环包括计划(PLAN),实施(DO),检查(CHECK),行动(ACTION)四个阶段,每完成一个循环,ISMS的有效性就上一个台阶。组织通过持续的执行PDCA过程而使自身的信息安全水平得到不断的提高。