信息安全保障步入“面向服務”的時代

申請免費試用、咨詢電話：400-8352-114

信息安全保障進入面向服務的階段，是針對業(yè)務服務的用戶，對用戶提供服務支持的保障，是企業(yè)業(yè)務支撐的保障，它與用戶業(yè)務從開發(fā)到運營的生命周期更加結合緊密，滲入到業(yè)務流程的每一個環(huán)節(jié)，伴隨著信息流動的全過程。很顯然，這個“服務”不同于安全技術人員的建議與咨詢服務。開篇先回顧信息安全發(fā)展歷程中的安全理念變化，然后詳細探討下從“服務”到“服務”，重點是面向服務的含義變化。

回顧信息安全發(fā)展歷程中的安全理念變化

信息安全的概念的出現遠遠早于計算機的誕生，但計算機的出現，尤其是網絡出現以后，信息安全變得更加復雜，更加“隱形”了?，F代信息安全區(qū)別于傳統意義上的信息介質安全，是專指電子信息的安全。

隨著IT技術的發(fā)展，各種信息電子化，更加方便地獲取、攜帶與傳輸，相對于傳統的信息安全保障，需要更加有力的技術保障，而不單單是對接觸信息的人和信息本身進行管理，介質本身的形態(tài)已經從“有形”到“無形”。在計算機支撐的業(yè)務系統中，正常業(yè)務處理的人員都有可能接觸、獲取這些信息，信息的流動是隱性的，對業(yè)務流程的控制就成了保障涉密信息的重要環(huán)節(jié)。

從信息安全的發(fā)展歷程來看，安全保障的理念分為下面幾個階段：

1、面對信息的安全保障

計算機網絡剛剛興起時，各種信息陸續(xù)電子化，各個業(yè)務系統相對比較獨立，需要交換信息時往往是通過構造特定格式的數據交換區(qū)或文件形式來實現，這個階段從計算機誕生一直延續(xù)到互聯網興起的九十年代末期。

面對信息的安全保障，體現在對信息的產生、傳輸、存儲、使用過程中的保障，主要的技術是信息加密，保障信息不外露在“光天化日”之下。因此，信息安全保障設計的理念是以風險分析為前提，如ISO13335風險分析模型，找到系統中的“漏洞”，分析漏洞能帶來的威脅，評估堵上漏洞的成本，再“合理”地堵上 “致命”漏洞，威脅也就消失了。

然而風險的大小，漏洞的危害程度是隨著攻擊技術的進步而變化的，在大刀長矛的冷兵器時代，敵人在幾十米外你就是安全的，到了大炮、機槍的火器年代，幾白米、幾十公里都可能成為攻擊的對象，而到了激光、導彈的現代，即使你在地球的另一端，也可能隨時成為被攻擊的對象。所以面向信息的安全，分析的漏洞往往是隨著攻擊技術發(fā)展、入侵技術進步而變化的，一句話，就是被動地跟著攻擊者的步調，建立自己的防御體系，是被動的防護。更為嚴酷的是：隨著攻擊技術的發(fā)展，你與敵人的“安全距離”越來越大，需要你的眼睛具有越發(fā)強大的目力---因為監(jiān)控不到敵人的動向，你就無從談起安全。

在信息安全的階段，安全技術一般采用防護技術，加上人員的安全管理，出現的最多的是防火墻、加密機等，但大多邊界上的防護技術都屬于識別攻擊特征的“后升級”防護方式，也就是說，你在攻擊者來之前升級自己了，就可能防止他的入侵，若沒有來得急升級，或者沒有可升級的“補丁”，你的系統就危險了。面對加密技術的暴力破解也隨著計算機的速度發(fā)展，讓加密系統的密鑰長度越來越長。

2、面向業(yè)務的安全保障

如果說對信息的保護，主要還是從傳統安全理念到信息化安全理念的轉變過程中，那么面對業(yè)務的安全，就完全是從信息化的角度考慮信息的安全。到了04、 05年，互聯網已經深入到社會的各個角落，網絡成了人們工作與生活的“信息神經”，人們發(fā)現各種工作已經脫離傳統的管理模式，進入到世紀初還是夢想的“無紙化”辦公時代，此時計算機的故障、網絡的中斷已經不再是IT管理部門的小事件，往往是整個企業(yè)的大故障，有些金融、物流、交通等企業(yè)，網絡的故障完全可以導致企業(yè)業(yè)務的中斷，企業(yè)的停業(yè)。

此時，需要保護的信息不再只是某些文件，或者某些特殊權限目錄的管理，而是用戶的訪問控制、系統服務的提供方式，此時要保障的不再只是信息，而是整個業(yè)務系統，以及業(yè)務的IT支撐環(huán)境，業(yè)務本身的安全需求，超過了信息的安全需求，安全保障自然也就從業(yè)務流程的控制角度考慮了，這個階段我們稱為面向業(yè)務的安全保障。