信息安全治理（二）——?jiǎng)?chuàng)造新的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

信息安全治理（二）

——?jiǎng)?chuàng)造新的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇

孫強(qiáng) 左天祖 孟秀轉(zhuǎn)

2. 信息安全治理的定義

安全涉及保護(hù)有價(jià)值的資產(chǎn)不被遺失、濫用、泄露或者損害。我們此處的“有價(jià)值的資產(chǎn)”特指從電子媒介上記錄、處理、存儲(chǔ)、共享、傳送和接受的信息。信息必須保護(hù)不被導(dǎo)致不同類型的弱點(diǎn)如損失、不能訪問、改變和故意泄露的威脅的損害，這些威脅包括錯(cuò)誤、遺漏、欺詐、意外和故意損害。相應(yīng)的保護(hù)是一系列分級(jí)的技術(shù)和非技術(shù)的安全措施，如物理安全措施、背景審查、用戶識(shí)別、密碼保護(hù)、智能卡、生物測(cè)定和防火墻。這些措施將確定信息系統(tǒng)的弱點(diǎn)和面臨的威脅。

在不斷變化的技術(shù)環(huán)境中，今天最好的安全措施在明天可能過時(shí)。安全措施必須緊跟這些變化，必須被作為系統(tǒng)開發(fā)生命周期過程整體的一部分加以考慮，并在過程的每一階段明確定位。有效的安全需要主動(dòng)及時(shí)的制度安排。

信息安全的目標(biāo)是“保護(hù)依靠信息的人、系統(tǒng)和傳輸信息的通訊系統(tǒng)不受損害，這種損害來源于信息可用性、機(jī)密性和完整性的失效”。目前新出現(xiàn)的定義又增加信息有效性和占有性之類的概念－后者與偷竊、欺詐和舞弊相對(duì)應(yīng)－網(wǎng)絡(luò)經(jīng)濟(jì)當(dāng)然增加了電子交易信用和責(zé)任的需要。依據(jù)國(guó)際上一般公認(rèn)的準(zhǔn)則，對(duì)大部分組織來說，滿足安全目標(biāo)必須做到：

可用性：信息在需要時(shí)可用和有用，提供信息的系統(tǒng)能適當(dāng)?shù)爻惺芄舨⒃谑r(shí)恢復(fù)；

保密性：信息只能被有相應(yīng)權(quán)限的人看到，或透露給他們；

完整性：未經(jīng)授權(quán)，信息不能被修改；

真實(shí)性和不可否認(rèn)性：組織之間或組織與合作伙伴間的商業(yè)交易和信息交換是可信賴的。

可用性、保密性、完整性、真實(shí)性和不可否認(rèn)性之間的相對(duì)優(yōu)先級(jí)和重要性根據(jù)信息系統(tǒng)中的信息和使用信息的商業(yè)環(huán)境的不同而不同，例如，當(dāng)信息影響與戰(zhàn)略相關(guān)的關(guān)鍵決策時(shí)，管理信息的完整性就特別重要。

根據(jù)國(guó)際會(huì)計(jì)師聯(lián)合會(huì)發(fā)布的管理信息和通訊系統(tǒng)風(fēng)險(xiǎn)國(guó)際指南第一號(hào)報(bào)告《管理信息安全》，與信息安全相關(guān)的6個(gè)主要活動(dòng)是：

政策制定——使用安全目標(biāo)和核心原理作為框架，圍繞這個(gè)框架制定安全政策；

角色和責(zé)任——確保每個(gè)人清楚知道和理解各自的角色、責(zé)任和權(quán)力；

設(shè)計(jì)——開發(fā)由標(biāo)準(zhǔn)、評(píng)測(cè)措施、實(shí)務(wù)和規(guī)程組成的安全與控制框架；

實(shí)施——適時(shí)應(yīng)用方案，并且維護(hù)實(shí)施的方案；

控制——建立控制措施，查明安全隱患，并確保其得到改正；

安全意識(shí)，培訓(xùn)和教育——安全意識(shí)的養(yǎng)成，宣貫保護(hù)信息的必要性，提供安全運(yùn)作信息系統(tǒng)所需技巧的培訓(xùn)，提供安全評(píng)估和實(shí)務(wù)教育。

最后一點(diǎn)還要加上激勵(lì)，因?yàn)槿藗兛赡苡羞@種有意識(shí)，但需要激發(fā)其行動(dòng)。

然而，制定一項(xiàng)政策，使人們接受它，然后希望每個(gè)人遵守這項(xiàng)政策的日子已一去不復(fù)返了。風(fēng)險(xiǎn)出現(xiàn)的速度和變化的速度需要一種不同于以前的、連貫的方法，我們稱之為“測(cè)試和修補(bǔ)”。它通過執(zhí)行安全管理職能，提高防衛(wèi)能力和完善政策建立安全機(jī)制，來連續(xù)地監(jiān)控和測(cè)試基礎(chǔ)設(shè)施和環(huán)境的隱患和響應(yīng)速度，如下圖所示：

新興的信息安全方法就像門衛(wèi)在晚上穿行走廊，檢查門把柄來了解房間的安全狀況。如果有人認(rèn)為技術(shù)能夠解決安全性問題，那么他就不理解安全性問題，也不理解技術(shù)。

美國(guó)明尼蘇達(dá)大學(xué)Bush-Kugel的研究報(bào)告中指出，企業(yè)在沒有信息資料可用的情況下，金融業(yè)至多只能運(yùn)作2天，商業(yè)則為3.3天，工業(yè)則為5天，保險(xiǎn)業(yè)約為5.6天。而以經(jīng)濟(jì)情況來看，有25%的企業(yè)，因?yàn)閿?shù)據(jù)的損毀可能立即破產(chǎn)，40%會(huì)在兩年內(nèi)宣布破產(chǎn)，只有7%不到的企業(yè)在五年內(nèi)后能夠繼續(xù)存活。

信息系統(tǒng)可能產(chǎn)生許多直接或間接的好處，但也有可能產(chǎn)生許多直接或間接的風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)已使系統(tǒng)所需要受到的保護(hù)與已受到的保護(hù)之間產(chǎn)生差距，這種差距是由下列因素形成：

技術(shù)的廣泛使用；

系統(tǒng)的互連互通；

距離、時(shí)間和空間限制的消失；

技術(shù)變革的不均衡；

管理和控制權(quán)的下放；

對(duì)進(jìn)行反傳統(tǒng)的電子攻擊的吸引力；

外部因素如立法機(jī)關(guān)、法規(guī)的要求或技術(shù)的發(fā)展。

這意味著存在一個(gè)新的對(duì)重要的商業(yè)運(yùn)作有重大影響的風(fēng)險(xiǎn)區(qū)，如：

要求更高的系統(tǒng)可用性和強(qiáng)壯性；

更可能的誤用或?yàn)E用信息系統(tǒng)而影響隱私和道德；

來自黑客的外部危險(xiǎn)，導(dǎo)致拒絕服務(wù)、病毒攻擊、盜用和泄漏公司信息。

新的技術(shù)提供了顯著加強(qiáng)經(jīng)營(yíng)業(yè)績(jī)的潛力，提高和宣傳信息安全能夠?yàn)榻M織帶來實(shí)在的價(jià)值，包括促進(jìn)與商業(yè)伙伴之間的交互，更緊密的客戶關(guān)系，提高競(jìng)爭(zhēng)優(yōu)勢(shì)和保護(hù)企業(yè)聲譽(yù)，還能使新的和更方便的電子交易方式成為可能并得到信任?？梢姡畔踩珕栴}并不總是一個(gè)需要我們規(guī)避的風(fēng)險(xiǎn)，事實(shí)上，安全可以為我們創(chuàng)造新的戰(zhàn)略機(jī)遇。以招商銀行一卡通為例，正是因?yàn)檎行械陌踩雷o(hù)體系足以保護(hù)自己的利益，所以才能無(wú)所顧忌地放手實(shí)施網(wǎng)上銀行計(jì)劃，創(chuàng)造出可以和四大國(guó)有銀行競(jìng)爭(zhēng)的戰(zhàn)略機(jī)遇。

未完待續(xù)