建立主動性信息安全體系

目前企業(yè)所遇到的安全問題并不少見。如何有效地進(jìn)行企業(yè)信息安全建設(shè)，并使安全投資最大化？我認(rèn)為應(yīng)對這一問題的有效方法是建立主動性信息安全體系，而不是被動式的安全防御手段。圖1是一個簡單的主動性安全風(fēng)險管理模型，主要由以下幾個方面組成：§主動性安全報(bào)警§主動性安全防護(hù)§主動性安全管理§主動性安全響應(yīng)防火墻漏洞評估入停檢測VPN問控制/攻擊悼復(fù)服務(wù)雷罐與誘引技術(shù)內(nèi)容更新與安全響應(yīng)24x7全球客戶和加密；防病毒主動性Z多層次/身份防火墻漏洞評估入停檢測VPN問控制/攻擊悼復(fù)服務(wù)雷罐與誘引技術(shù)內(nèi)容更新與安全響應(yīng)24x7全球客戶和加密；防病毒主動性Z多層次/身份■/j一管粵、直i*管哇通用r'm 痙制臺策略―致1匡1L 事故管果安仝服憲—威脅管理J—3*3=*圖1主動性安全風(fēng)險管理模型在這張圖中很多內(nèi)容都是為大家所熟悉的安全技術(shù)和安全管理手段。比如身份認(rèn)證、防火墻、訪問控制、緊急響應(yīng)、預(yù)警、安全策略等。但這里所強(qiáng)調(diào)的是一個主動性的機(jī)制和主動性的安全管理理念。有一個備受業(yè)界關(guān)注的問題：我們比較好理解從預(yù)警角度提高安全防護(hù)的主動性，但從管理、響應(yīng)、防護(hù)如何能夠體現(xiàn)出主動安全防護(hù)呢？不錯，確實(shí)很多主動防御手段都是通過預(yù)警機(jī)制推出來的，安全預(yù)警是主動性信息安全體系和安全保護(hù)體系的主要組成部分之一。但除了預(yù)警之外，在安全保護(hù)、安全管理、安全響應(yīng)方面都能體現(xiàn)出主動性安全機(jī)制的內(nèi)容。有些人甚至領(lǐng)導(dǎo)認(rèn)為現(xiàn)在我們單位還沒有發(fā)生嚴(yán)重的信息安全事件，因此和業(yè)務(wù)建設(shè)比起來，信息安全建設(shè)不是一個緊迫的和應(yīng)當(dāng)重點(diǎn)開展的項(xiàng)目。這里所反映出的就是一個觀念問題，安全管理的觀念沒有主動性。在個人觀念還沒有預(yù)料到問題將要發(fā)生的時候，去做安全工作，這就是我們認(rèn)為的主動性安全管理。此外，安全響應(yīng)似乎是一個被動的安全機(jī)制，但如果沒有主動性安全的基礎(chǔ)，安全響應(yīng)將難以有效地應(yīng)對將要出現(xiàn)的問題。主動性安全體系分析以下以早期預(yù)警系統(tǒng)為例，對主動性安全體系做一個進(jìn)一步的分析。大家都知道預(yù)警就是要盡早發(fā)現(xiàn)問題，從而能避免一些問題的發(fā)生和及時解決可能出現(xiàn)的問題，選擇和建立一套安全預(yù)警系統(tǒng)，有幾個因素是最重要的？一個是及時性，警報(bào)不管是對安全漏洞、安全威脅、還是是惡意代碼，信息發(fā)布要及時。第二是準(zhǔn)確性，現(xiàn)在安全報(bào)警的來源很多，有些還是免費(fèi)的，但有些信息的來源未必可靠，所以準(zhǔn)確性不是很高。準(zhǔn)確性不高的安全預(yù)警信息可能會起到與期望的效果相反的結(jié)果。第三是針對性，現(xiàn)在全球每天所發(fā)送的安全威脅信息是大量的，這些信息如果不經(jīng)過分析并針對企業(yè)的環(huán)境客戶化，就不能被用來防御所面臨的威

脅，因此其可利用價值是很低的。值得指出的是，安全預(yù)警只是主動性安全風(fēng)險管理的一部分，圖2簡單地描述了主動性安全風(fēng)險管理周期:主動性安全鳳,險管理安全事件管理.啊應(yīng)和恢復(fù)安全威脅信息收集與分折安全現(xiàn)狀與風(fēng)險評估安全威助分級與預(yù)警安全措施選擇、設(shè)計(jì)和安全措施制定主動性安全鳳,險管理安全事件管理.啊應(yīng)和恢復(fù)安全威脅信息收集與分折安全現(xiàn)狀與風(fēng)險評估安全威助分級與預(yù)警安全措施選擇、設(shè)計(jì)和安全措施制定圖2主動性安全風(fēng)險管理周期企業(yè)建設(shè)主動性信息安全體系所要優(yōu)先解決的問題綜上所述，我認(rèn)為我們中國的企業(yè)在建設(shè)主動性信息安全體系時所要優(yōu)先解決的問題：第一，改變被動應(yīng)付多于主動防御的局面。很多單位都面臨這樣的問題：花了很多的精力和資金在安全技術(shù)方面，但重大安全問題仍層出不窮。如果仔細(xì)分析的話，就是沒有做好前期的預(yù)防，而是出現(xiàn)問題時都手忙腳亂地應(yīng)付。第二，加強(qiáng)對安全建設(shè)過程的重視。我仔細(xì)比較過我在歐洲、美洲、日本和中國大陸地區(qū)做過的安全項(xiàng)目，我發(fā)現(xiàn)客戶對安全的認(rèn)識和想法各有不同。這其實(shí)很正常。但我發(fā)現(xiàn)中國客戶和其它國家客戶一個很明顯的區(qū)別就是對于安全建設(shè)過程的認(rèn)識。我在北美做項(xiàng)目的時候，發(fā)現(xiàn)客戶和我們中國客戶一樣非常重視安全目標(biāo)，有相應(yīng)的安全需求，明確要實(shí)現(xiàn)的的結(jié)果和要達(dá)到的安全運(yùn)營水平。但和國外安全管理比較成熟的大型企業(yè)相比，我們中國的客戶明顯不夠重視安全建設(shè)的過程。國外大型企業(yè)做安全建設(shè)工作的時候，除了注重目標(biāo)和結(jié)果外，他們會花很大的精力和服務(wù)商討論從開始的目標(biāo)，到實(shí)現(xiàn)結(jié)果，到最后的運(yùn)營所需要走的過程和可能遇到的問題，他們會關(guān)心在這個過程里面企業(yè)需要注意哪些問題，在這些過程里面需要哪些手段、技術(shù)、管理、和人來幫助實(shí)現(xiàn)目標(biāo)和結(jié)果。由于他們愿意仔細(xì)看過程，所以他也愿意跟服務(wù)商一起共同承擔(dān)安全建設(shè)的風(fēng)險。如果一個企業(yè)想做安全建設(shè)而不愿承擔(dān)風(fēng)險的話，這個企業(yè)就不愿意也不可能順利走這個過程。建立安全系統(tǒng)本身就是非常嚴(yán)肅，非常困難的，真正注重安全建設(shè)過程的企業(yè)，是愿意承擔(dān)風(fēng)險的，也是最有可能實(shí)現(xiàn)安全管理的最佳境界的。第三，提高安全技術(shù)管理水平。國內(nèi)很多企業(yè)愿意把錢花在防火墻上，而相應(yīng)的管理水平、手段沒有體現(xiàn)，包括管理的技術(shù)、流程和人的管理。第四，選擇和制定適合企業(yè)的安全標(biāo)準(zhǔn)。現(xiàn)在安全標(biāo)準(zhǔn)無論是在全球還是中國并不缺少，但關(guān)鍵是選擇和制定適合本企業(yè)的安全標(biāo)準(zhǔn)。這是整個業(yè)界都面臨的問題。第五，改善用戶管理的問題。這是大型企業(yè)所共同面臨的問題。這也是實(shí)現(xiàn)主動性安全管理體系的前提，因?yàn)橛脩艄芾淼膯栴}是信息資產(chǎn)安全管理的核心和基礎(chǔ)之一。第六，提高安全組織的作用和安全意識。安全威脅、安全故障、安全問題的出現(xiàn)，其實(shí)大多數(shù)都是由非惡意的行為造成的。真正惡意行為造成的威脅和破壞，從統(tǒng)計(jì)上來講只占一小部分。那些非惡意的破壞和威脅可能是用戶不知道如何做好安全保護(hù)，不知道如何遵守安全規(guī)定，不知道遵守哪些安全規(guī)定，無意之間造成了錯誤，無意之間給企業(yè)造成了破壞。概括地講，主動性信息安全體系的核心是在預(yù)警、保護(hù)、管理、響應(yīng)全方面的主動安全理念和安全技術(shù)手段。在主動性安全體系的建設(shè)的過程里