第2章 信息系统安全的管理目标
信息系统的建立往往是一个机构为完成某项使命而进行信息化的一项建设工作。因此,整个信息系统的核心目标,就是完成机构所赋予的使命。
信息系统本身的应用功能和组织机构的使命是密切相关的,因此,整个组织机构的信息、管理和业务是相互融合的。组织机构是一个广泛的概念,比如,一个学校、一个政府机关或一个企业都是一个组织机构。从目前信息化的进程来讲,一个组织机构的发展优势与竞争力,在很大程度上取决于这个组织机构的信息化进程和信息化水平;而组织机构的可持续发展优势,则在很大程度上受到这个组织机构所拥有的信息系统的安全水平和安全程度的影响。
对于一个组织机构的信息系统,由于在技术上不存在万无一失的绝对安全,所以,在运行之中的安全信息系统也都要实施一定的管理手段,达到符合机构和业务要求的安全保护。一般来说,信息系统所追求的安全目标主要有四个方面。
(1)保护信息免受各种威胁的损害。一个机构所拥有的信息系统、所处理的各种信息,应该通过信息安全措施达到万无一失。但是完全的万无一失是不可能的,任何安全的技术都不可能保证信息的绝对安全,而且采用各种安全技术还需要考虑保护成本的问题,所以需要通过适当的管理手段来减少外部威胁对信息系统所产生的损害。
(2)确保业务连续性。业务连续性本身是一个很大的课题,它与信息系统的连续性存在一定的差别,但也受到信息系统连续性的影响。信息系统的连续性一般是从技术角度理解的,也就是要确保网络畅通、系统高效运转、业务系统正常处理等。比如,恶意攻击事故的发生,信息系统遭受损害,这对各个部门的信息系统都是严峻的考验。当信息系统的数据受到破坏或网络中断时,整个信息系统也可能因此而瘫痪。在信息系统受到恶意攻击的情况下,如何保证业务的连续性是一个重要课题。因此,信息系统安全管理的目标是确保不要因为安全事故而使机构的业务发生中断,这是信息安全管理中一个很重要的目标。
(3)业务风险最小化。机构在设计用以支撑业务的信息系统时,需要深入考虑信息系统安全事故可能导致的业务风险。例如,机构业务可能因为安全事故导致重要商业秘密(如生产成本、项目报价、产品设计参数等)的泄露而产生巨大风险。另外,类似的安全事故也可能导致机构面临违反相关法律的风险。因此,信息系统安全设计需要充分考虑这些管理层与业务部门的需要,这也是信息系统安全管理所考虑的问题之一。
(4)投资回报和商业机遇最大化。机构一般都会通过信息化建设来维持自身的长远利益,保持竞争优势。机构可以通过不同的业务信息系统来分析业务情况,并随时为业务发展的机会做好准备。但机构的管理决策往往需要考虑成本与回报的平衡。因此,在设计信息系统时,机构不仅要通过信息安全管理措施来控制业务风险,另外也要确保安全措施建设成本的合理性。也就是说,需要在业务回报、业务风险与建设成本之间做出平衡。
这四方面的目标是相辅相成的。从信息系统的信息保护,到业务的连续性的保障,到业务风险有效管理,直到最终达到组织机构的战略目标,从而实现投资回报和业务机遇最大化。任何一个机构在规划业务时,都必须考虑业务回报和目标规划回报。如果信息系统没有安全保障,整个机构的业务也就不可能得到有效的保障,整个机构的战略目标也就难以实现。当整个机构的业务目标不能实现时,这个机构就很难长期生存下去。因此,信息系统的安全对于一个机构的信息系统而言是至关重要的。
然而,信息系统不可能达到绝对安全,信息安全的问题也不能单纯依靠技术手段来解决。一个实际有效的做法是从风险的角度处理安全的问题。机构先从管理的角度分析信息系统的风险,通过综合手段控制风险,并建立有效机制处理系统的剩余风险。一般来说,综合手段都建立在技术的基础上,并通过管理手段(如人员管理、物理环境管理、操作过程管理等)来控制系统环境和系统可能面对的风险。
2.1 管理目标概述
在管理学中,管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,以期有效达成机构目标的过程。在《管理的体系认证ISO/IEC 9000:2000》的定义中,管理是指挥和控制机构的协调活动。机构的任何活动的协调,任何资源的调用,都属于管理的范畴。
管理的过程,首先需要确定目标,使机构能够完成特定的使命。比如,对于一个企业,其目标是赢利。要达到这个目标,就必须有相应的资源,包括各方面的人力、物力、财力等资源。这些资源如何来组织,如何来使用,就需要通过领导、组织、控制等环节来组织、利用、协调这些资源。只有管理好整个机构目前所拥有的和将来会拥有的内部资源,以及可以依靠的各种外部资源,才能达到这个机构所期望的目的,即其业务战略目标。这个过程就是管理。
信息安全管理也是管理的一种,具备管理的一般概念、一般内涵、一般外延,其管理的对象就是信息安全。因此,信息安全管理,就是指通过计划、组织、领导、控制等各个环节来协调各方面的人力、物力、财力等资源,以期有效地达到机构信息安全目标的活动,最大限度地保证信息系统的安全。
2.1.1 政策需要
信息安全的管理对于国家来说是一件非常重要的事情。因此,国家的最高领导明确提出,信息安全与政治安全、经济安全、文化安全一起构成了国家安全的重要组成部分。
在安全技术上,我们国家与西方发达国家的差距越来越小;但是,在安全管理和安全意识上,我们与西方发达国家的差距有越来越大的趋势。从多年的信息安全实践上看,我们国家在信息安全上的落后,很多情况下都是信息安全管理上的落后。盲目地追求最新的安全技术并不能对信息系统的安全保障带来显著的效果,必须通过正确的安全管理和安全意识上的学习和进步,才能最大限度地保证信息系统的安全。
2.1.2 业务需要
信息安全的管理对于一个组织机构来说也具有重要意义。例如,一个企业为了信息安全,购买了许多防火墙、入侵检测系统、防病毒及密码产品,但仅仅这几个产品远远不能保证这个机构的安全。如果这个机构不能通过信息安全管理系统,把安全管理的手段有效地利用起来,这机构将永远不能达到安全的目标。
一个最简单的例子是用“户名”和“口令”的管理。很多机构在制定安全策略时,要求口令的设置至少8位,要求字母和数字都要有,但是这样的要求却常常导致很多公务繁忙或年纪较大的人员记不住复杂的口令。由于设置密码以后记不住,他们很可能会把口令写在纸条上并贴在计算机显示屏上,这时攻击者根本就不需要什么高深的手段,只通过利用张贴在屏幕上的信息就能轻易地进入机构的业务信息系统。这样一件简单的小事,就导致整个机构的信息安全保护受到严重的破坏。因此,即使有再好的安全策略、再好的技术手段,但是没有一个良好的管理手段,机构也则很难达到信息安全的目标。俗话说“三分技术,七分管理”,虽然这不是一个绝对的量化,但也确实说明了管理因素对于信息安全的重要性。
2.2 信息系统安全需求的依据
信息系统的安全需求,通常可以分为国家层次、机构层次及业务相关层次需求等。不同的层次有着不同的特点。例如,信息安全的国家宏观层次,需要有政府制定的相应的信息安全的战略方针,需要有依据战略方针制定的各项政策,如等级保护、风险评估、灾难恢复和应急响应等。
信息安全的国家宏观层次,也需要有体现客观规律、社会利益和国家意志的法律和规范,例如,等级保护规范需要把等级保护作为法律层面工作的信息安全条例和信息安全法规等。同时,国家也需要在宏观层次制定各种标准来指导技术和管理行为。
而落实到一个组织机构上,按照国家的有关标准,对应国家的信息安全战略,机构需要制定自己的信息安全策略。然后,根据信息安全策略信息安全的整个活动服务于机构的目标。机构的信息安全策略中将会有很多对应的规章制度,例如,如果企业的总体策略里有一条规定“接入网络的终端需要定期查杀病毒”,那么,企业就需要有相应的《企业病毒防治办法管理规定》。
2.2.1 国家法律
从宏观的角度,信息化有不断网络化、国际化、社会化的特点。由于信息化有通过网络互连、互通、互操作的特点,因此,如果没有强力度的全局安全意识,仅依靠局部的安全措施是难以发挥信息化应有的效率和效益的。而国际化的特点,就更需要有效处理网络全球化、威胁无国界和攻击者不分国籍等问题所需要的应对措施。社会化的特点需要有政府行为来导向与约束。宏观信息安全是信息化社会有序健康运作的保证,它推动了技术的不断发展,促进了人才培养,并且提高了有效整合信息的能力。
信息系统安全有一个“木桶原理”,即整个信息系统安全的能力取决于系统中安全防护能力最弱的一块。因此,局部安全的保证并不代表全局安全的保证。这问题在网络化的信息系统里尤其突出,所以需要依靠国家层面和宏观层面上的推动。
目前,各政府单位与企业机构都在根据业务需要推动信息化和电子政务或电子商务建设。这本来是组织机构内部的事情,但是如果一个国家机构内部的信息系统一旦发生安全问题,导致信息泄露和国家秘密被窃取,这个行为就上升到国家安全的层次。因此,虽然信息化是企业内部的事情,但是信息化过程中出现的安全问题,就是国家层面的问题。所以在宏观层面上,信息安全体现了社会、国家的利益和意志。
例如,电子银行系统的问题,如果没有足够的控制措施,电子银行系统一旦受到恶意攻击时,其影响很可能导致整个银行的资产素量(asset quality)变坏和业务运营陷入瘫痪。如果国家级的银行或多家银行同时受到影响,那么电子银行系统的安全问题就变成一个国家的银行体系的问题,也就是所谓的金融安全的问题。因此,国家需要制定相应的监管措施,以确保银行为提升业务水平而建设的电子银行系统在其设计与开发过程中充分了解信息系统的风险,并有足够的安全管理措施。
2.2.2 机构政策
作为拥有和使用信息系统的各类机构,首先,需要根据机构信息化的安全保障需求来制定相应的安全策略,并把这些安全策略具体地描述为详尽的管理规章;同时,也要制定管理规章的制度要求,从而严格规范地贯彻执行策略、规章、制度。
没有对人员和技术的有效安全管理,系统的效率和效益就难以发挥出来。由于各个行业和机构都有反映其行业和业务特色的安全需求,因此,每个机构都需要针对其信息安全需要,制定相关的机构政策。一般来说,机构的信息安全政策的特点如下:
· 人操作技术的规范尺度;
· 发挥人的因素和技术因素的桥梁;
· 把单薄的零星技术和人的因素结合起来的强力黏合剂。
机构的安全政策作为一个体系,把各方面的因素有效地衔接起来,以发挥集体的作用、团队的作用、协同作业的作用,才能最大限度地发挥整个信息安全的优势。
2.2.3 业务策略
业务策略,是指组织机构根据自身的特点及安全需求,结合特定业务的行业领域知识而制定的信息安全实施规范。下面通过一个实际案例来理解这一点。
例如,一个税务信息系统的策略制定过程具体如下:
(1)一个税务部门根据税收业务的发展需要,制定整个税务系统的总体策略和信息安全保障的总体框架。
(2)根据这个框架,建立信息安全的管理体系。
(3)根据这个管理体系,分步骤实施多个信息安全管理的项目,如边界防护、数据安全防护、桌面防护等。
(4)根据这个防护体系,有计划地对人员进行培训,即对从事信息安全管理的专业人员和从事信息化管理的IT运营人员(业务人员及个别领导干部),都进行相应的、符合部门要求的信息安全培训,提升部门人员的信息安全意识。
完成这个整个过程,可以逐步达到整个税务系统信息安全管理的目标,做到在信息安全管理工作中有法可依,有章可循,有制度可以规范人的行为。
2.2.4 责任追究
责任追究的目的,是为在相关事件或者行为发生后证明谁为该事件或行为负责。因此,需要对该事件或行为进行的证据进行收集、维护,收集的证据的特点是不可辩驳且可以被证实的,从而在后续需要认定该事件或行为的责任方时有效地使用该证据。
责任追究中一个非常重要的因素就是证据。责任追究包括证据的生成、证据的记录,以及在需要进行判别责任方的时候对于证据进行恢复与验证。例如,在一个分布式交易系统里,责任追究主要强调两点:一是交易发送方的不可否认机制,该机制主要解决发送方是否生成了特定消息及生成的时间等问题;二是交易指令传递的不可否认机制,主要解决接收方是否收到了特定的数据消息和收到的时间等问题。责任追究也依赖于可信第三方,这是由于裁定结果的人员需要认定纠纷双方所提交的证据。一般来说,可信第三方需要提供密钥证明、身份证明等功能。可信第三方一般是中立并且是被各方信任的机构,在应用环境中,政府及其代理机构是担任可信第三方的最合适的机构,在某些特定环境中,私人机构也可以承担可信第三方的角色。
任何完善的系统都需要人的操作,而很多系统安全问题的发生都是由人员的错误造成的。针对内部作弊问题的责任追究就是为了约束人的行为,对造成系统安全威胁的人员进行责任的认定与追究,从而将安全问题对系统的危害降到最低。正是因为如此,当前电子政务和企业系统对责任追究都有非常迫切的需求。
2.3 小结
本章介绍了信息系统安全的管理目标,指出了信息系统所追求的安全目标的四个主要方面:保护信息免受各种威胁的损害;确保业务连续性;保证业务风险的最小化,以及投资回报和商业机遇的最大化。基于信息系统所追求的安全目标,本章首先分别从政策需要和业务需要的角度对管理目标做了概述,然后从机构政策、业务策略、责任追究方面简述了管理目标相关安全需求的依据。