信息安全治理：創(chuàng)造新的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇之一

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

信息安全治理：創(chuàng)造新的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇之一
作者：孫 強(qiáng) 郝亞斌 發(fā)表：2004.04.07 來(lái)源：賽迪網(wǎng)
 
　　"沒(méi)有安全的工程就是豆腐渣工程"

　　　　　　－徐匡迪 中國(guó)工程院院長(zhǎng)

　　"技術(shù)本身實(shí)際上是信息安全體系里最不重要的部分了。不管一項(xiàng)技術(shù)有多先進(jìn)，都只不過(guò)是輔助實(shí)現(xiàn)信息安全的手段而已。我們并不是認(rèn)為技術(shù)不重要，但在信息安全的架構(gòu)里，它一定要在好的信息安全治理的基礎(chǔ)上。"

－ 作者題記

　　賽迪顧問(wèn)股份有限公司

　　賽迪培訓(xùn)中心

　　孫 強(qiáng) 郝亞斌

　　目錄

　　1. 信息安全治理的產(chǎn)生背景

　　2. 信息安全治理的定義

　　3. 為什么說(shuō)信息安全很重要？

　　4. 誰(shuí)應(yīng)該關(guān)注信息安全治理，關(guān)注什么？

　　5. 最高管理層（董事會(huì)）和管理執(zhí)行層應(yīng)該做些什么？

　　6. 怎樣全面理解信息安全治理？

　　7. 信息安全管理和信息安全治理

　　8．信息安全治理的內(nèi)容是什么？

　　9. 怎樣成功實(shí)現(xiàn)信息安全治理？

　　10. 怎樣尋找差距？

　　11. 監(jiān)管和標(biāo)準(zhǔn)制定部門采取什么行動(dòng)？

　　引言

　　在當(dāng)今科技時(shí)代中，信息是一個(gè)國(guó)家最重要的資源之一，信息與網(wǎng)絡(luò)的運(yùn)用亦是二十一世紀(jì)國(guó)力的象征，但無(wú)論是從國(guó)家競(jìng)爭(zhēng)力、組織再造或是國(guó)防戰(zhàn)備來(lái)說(shuō)，今日正面臨著層出不窮的事件的挑戰(zhàn)。在2002年的10月上旬到11月上旬，我們記錄了來(lái)自公開(kāi)媒體的典型安全事件。以下是新聞?wù)?

　　新浪科技新聞：從事網(wǎng)絡(luò)安全的美國(guó)因特網(wǎng)安全系統(tǒng)公司(ISS)于美國(guó)當(dāng)?shù)貢r(shí)間本周二宣布，在伯克利因特網(wǎng)域名(BIND)軟件發(fā)現(xiàn)了三個(gè)新漏洞，這三個(gè)漏洞容易引發(fā)針對(duì)大多數(shù)域名服務(wù)器(DNS)的拒絕服務(wù)(denial-of-service)進(jìn)攻。其中一個(gè)漏洞甚至允許進(jìn)攻者在易受攻擊的電腦上運(yùn)行程序，ISS漏洞研發(fā)組的領(lǐng)導(dǎo)人Dan Ingevaldson指出，該漏洞與引發(fā)紅色代碼病毒的漏洞處在相同嚴(yán)重的級(jí)別，因?yàn)楣粽呖梢岳眠@個(gè)漏洞散發(fā)蠕蟲病毒。

　　新華網(wǎng)倫敦11月13日電：英國(guó)警方13日宣布，國(guó)內(nèi)一名網(wǎng)頁(yè)設(shè)計(jì)師因在全球范圍內(nèi)傳播計(jì)算機(jī)病毒而被司法機(jī)關(guān)起訴。被告西蒙·瓦勒爾現(xiàn)年21歲，來(lái)自威爾士的蘭迪德諾。今年2月，英國(guó)警方根據(jù)美國(guó)聯(lián)邦調(diào)查局提供的情報(bào)將他逮捕。瓦勒爾被控非法襲擊網(wǎng)站和在全球范圍內(nèi)傳播兩種以電子郵件為載體的計(jì)算機(jī)病毒，其中一種名叫"GOKAR REDESI"的病毒影響了46個(gè)國(guó)家的計(jì)算機(jī)系統(tǒng)，是世界傳播范圍第三廣泛的計(jì)算機(jī)病毒。瓦勒爾還被控私藏兒童色情照片。

　　計(jì)算機(jī)世界網(wǎng)消息：微軟公司稱，要獲得更高的安全性能，用戶需要升級(jí)到最新版本的Windows。微軟公司的技術(shù)總監(jiān)克萊格·蒙代表示，廣大客戶繼續(xù)使用以前版本的Windows，而不是Windows 2000和Windows XP，大大削弱了微軟公司為確保全球計(jì)算基礎(chǔ)設(shè)施安全所作的努力。他說(shuō)，對(duì)以前版本的Windows進(jìn)行改進(jìn)，提高其安全性是不可能的。蒙代指出，微軟公司的被稱為"可信賴計(jì)算"的實(shí)現(xiàn)計(jì)算機(jī)安全的計(jì)劃還需要較長(zhǎng)一段時(shí)間才能實(shí)現(xiàn)。他說(shuō)，他擔(dān)心用戶會(huì)因安全問(wèn)題而會(huì)對(duì)計(jì)算機(jī)失去信心。

　　美國(guó)太平洋時(shí)間11月16日消息：日本政府將考慮用另外一種操作系統(tǒng)替代微軟公司的Windows操作系統(tǒng)，以便加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)。保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全是日本首相小泉純一郎建立"電子政府"計(jì)劃的一個(gè)長(zhǎng)期目標(biāo)，這一"電子政府"計(jì)劃允許公民通過(guò)互聯(lián)網(wǎng)與政府各部門進(jìn)行工作交流。目前，日本政府計(jì)算機(jī)網(wǎng)絡(luò)中使用的服務(wù)器和個(gè)人電腦中，絕大多數(shù)都在使用Windows操作系統(tǒng)。但是，日本政府對(duì)于采用其它的操作系統(tǒng)卻很感興趣，特別是一些開(kāi)放源文件程序，如Linux。

　　中國(guó)日?qǐng)?bào)報(bào)道：美國(guó)聯(lián)邦政府11月12日對(duì)一名英國(guó)計(jì)算機(jī)管理員提起起訴，指控他非法侵入了美軍和美國(guó)航空航天局的92處計(jì)算機(jī)網(wǎng)絡(luò)，其中在侵入新澤西州一處海軍設(shè)施的網(wǎng)絡(luò)時(shí)導(dǎo)致該設(shè)施系統(tǒng)陷入崩潰。

　　人民日?qǐng)?bào)華東新聞：江蘇省普通高中信息技術(shù)等級(jí)考試，近萬(wàn)考生答卷被刪，"黑客"破壞網(wǎng)上考試被判刑6個(gè)月。

　　美國(guó)當(dāng)?shù)貢r(shí)間10月21日，全世界13臺(tái)路由DNS服務(wù)器（Route Server）同時(shí)受到了DDoS（分布式拒絕服務(wù)）攻擊。值得慶幸的是并沒(méi)有釀成嚴(yán)重事故。但此事再次表明，在因特網(wǎng)上目前仍舊存在很多充當(dāng)DDoS攻擊幫兇的機(jī)器。每臺(tái)機(jī)器的預(yù)防策略的不完善就有可能威脅到因特網(wǎng)賴以存在的基礎(chǔ)。

　　以上的新聞使我們回想起了以往與之相關(guān)的安全事件，正是人與技術(shù)的結(jié)合制造了各類信息安全事件。愛(ài)蟲病毒導(dǎo)致了120億美元的損失，但是在此事件發(fā)生不足十個(gè)月的時(shí)間之后，全球依然遭受同一類型病毒Anna Kournikova的襲擊，難道我們沒(méi)有從愛(ài)蟲病毒的襲擊事件中吸取教訓(xùn)嗎？事實(shí)上，大多數(shù)受害組織當(dāng)然吸取了教訓(xùn)。他們更新了病毒庫(kù)、在未安裝掃描工具的郵件服務(wù)器上安裝掃描工具?？墒侵苯訌募夹g(shù)的角度去尋求解決方案，只是解決了問(wèn)題的一半。有多少組織會(huì)花費(fèi)時(shí)間去更新郵件策略、向所有的員工解釋更新策略的原因并在策略方面教育員工呢？答案是少數(shù)的。無(wú)數(shù)次的慘痛教訓(xùn)使我們得出一個(gè)教訓(xùn)：即使有安全策略，但沒(méi)有對(duì)用戶進(jìn)行安全意識(shí)教育等的機(jī)制，那同沒(méi)有安全策略是沒(méi)有多大區(qū)別的。

　　從10月到11月的這段時(shí)間并非特例，其他時(shí)間也有類似的記錄，有些記錄則更糟。實(shí)際上，資料顯示情況正變得更加糟糕：安全缺陷、侵犯，信譽(yù)受損，以及災(zāi)難性事件的數(shù)量正隨著時(shí)間的推移而增加。我們學(xué)會(huì)有關(guān)安全的東西越多--如何設(shè)計(jì)系統(tǒng)安全架構(gòu)、如何建立安全的操作系統(tǒng)、采用先進(jìn)的安全技術(shù)和設(shè)備、增加在系統(tǒng)安全上的投資等，可是我們建立的系統(tǒng)越無(wú)法面對(duì)急劇變化的環(huán)境。Gartner Group最新的一份安全報(bào)告告訴我們："各類令企業(yè)損失慘重的安全違規(guī)事件追究到最后是人所造成的，并且發(fā)展成為物理安全和人員的問(wèn)題。IT安全部門試圖用技術(shù)方法來(lái)解決這些安全問(wèn)題，但這是行不通的。"

　　國(guó)外的一項(xiàng)研究表明，15年來(lái)，每年在信息安全方面的預(yù)算上漲了17倍，但實(shí)際花費(fèi)卻增長(zhǎng)了120倍。但是有多少花費(fèi)起到了作用？可以說(shuō)直到現(xiàn)在,對(duì)于任何一個(gè)花費(fèi)了大量資金在信息安全方面的管理者來(lái)說(shuō),其收效甚微。

　　為什么會(huì)這樣，組織的最高管理層和管理執(zhí)行層應(yīng)該怎么辦，這正是本文的主題。

　　組織的最高管理層和管理執(zhí)行層有責(zé)任思考并對(duì)以下問(wèn)題做出答復(fù)：

·什么是信息安全？

·信息安全的重要性在哪里？

·信息安全應(yīng)由誰(shuí)負(fù)責(zé)？

·如何發(fā)現(xiàn)潛在的系統(tǒng)安全弱點(diǎn)？

·信息安全治理的內(nèi)容；

·怎樣進(jìn)行信息安全治理；

·怎樣設(shè)計(jì)一個(gè)明確的安全體系結(jié)構(gòu)圖和計(jì)劃藍(lán)圖來(lái)實(shí)施信息安全方案？

·怎樣評(píng)估企業(yè)信息安全治理的成熟度級(jí)別；

·信息安全如何為企業(yè)創(chuàng)造新的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇？

　　1. 信息安全治理的產(chǎn)生背景

　　在當(dāng)今的全球商業(yè)環(huán)境中，信息的重要性被廣泛接受，信息系統(tǒng)在商業(yè)和政府組織中得到了真正的廣泛的應(yīng)用。許多組織對(duì)其信息系統(tǒng)不斷增長(zhǎng)的依賴性，加上在信息系統(tǒng)上運(yùn)作業(yè)務(wù)的風(fēng)險(xiǎn)、收益和機(jī)會(huì)，使IT治理成為企業(yè)治理越來(lái)越關(guān)鍵的一部分。最高管理層（董事會(huì)）和執(zhí)行管理層同樣需要確保IT適應(yīng)企業(yè)戰(zhàn)略，企業(yè)戰(zhàn)略也恰當(dāng)利用IT的優(yōu)勢(shì)。

　　但現(xiàn)實(shí)世界的任何系統(tǒng)都是一串復(fù)雜的環(huán)節(jié)，安全措施必須滲透到系統(tǒng)的所有地方，其中一些甚至連系統(tǒng)的設(shè)計(jì)者、實(shí)現(xiàn)者和使用者都不知道。因此，不安全因素總是存在。沒(méi)有一個(gè)系統(tǒng)是完美的，沒(méi)有一項(xiàng)技術(shù)是靈丹妙藥。

　　事實(shí)上針對(duì)系統(tǒng)安全的攻擊越來(lái)越普遍。早在1996年，美國(guó)會(huì)計(jì)總署（GAO）報(bào)告指出，美國(guó)國(guó)防部一年有15，000個(gè)系統(tǒng)遭到高達(dá)250，000次攻擊，其中65%攻擊成功，防范和彌補(bǔ)損失的費(fèi)用高達(dá)數(shù)億美元。更只得注意的是，這些攻擊中只有400個(gè)被查明，20個(gè)被報(bào)告。如果說(shuō)1996年很大程度上是一種系統(tǒng)的弱點(diǎn)，5年以后得今天，它已成為一種威脅，正如美國(guó)聯(lián)邦調(diào)查局對(duì)100個(gè)針對(duì)電子商務(wù)網(wǎng)站的敲詐案件調(diào)查表明，攻擊者不僅威脅公開(kāi)客戶信息，并且實(shí)際上在要求得不到滿足時(shí)實(shí)現(xiàn)這種威脅。許多國(guó)家的政府已經(jīng)認(rèn)識(shí)到安全的重要性，并積極采取措施提高信息安全，如根據(jù)敏感度隔開(kāi)信息基礎(chǔ)設(shè)施，投資于更好的認(rèn)證方法，以及使信息基礎(chǔ)設(shè)施使用者對(duì)其行為負(fù)責(zé)等。以美國(guó)政府為例，"9.11事件"后美國(guó)信息基礎(chǔ)設(shè)施保護(hù)委員會(huì)（PCIPB）列出了53個(gè)信息安全重點(diǎn)問(wèn)題，把信息安全列入國(guó)家戰(zhàn)略。在這個(gè)戰(zhàn)略中，信息安全被分成5個(gè)等級(jí)；第一級(jí)是家庭用戶和小型商業(yè)機(jī)構(gòu)，第二級(jí)是大型企業(yè)，第三級(jí)是高等教育、聯(lián)邦政府、州與地方政府等關(guān)鍵部門，第四級(jí)是國(guó)家優(yōu)先任務(wù)，第五級(jí)是全球性合作網(wǎng)絡(luò)。但是，在今年Gartner舉辦的研討會(huì)上，與會(huì)人士普遍認(rèn)為9.11后企業(yè)依然沒(méi)有提高警惕，這一點(diǎn)從Gartner 研究主管Donna Scott進(jìn)行的調(diào)查中就可以明顯的反映出來(lái)，這次調(diào)查是Scott今年關(guān)于保持業(yè)務(wù)發(fā)展的連續(xù)性問(wèn)題的陳述報(bào)告的一部分。該報(bào)告顯示全球2000強(qiáng)企業(yè)中只有不到25%在全面的業(yè)務(wù)連續(xù)性計(jì)劃上進(jìn)行了投資，而就在這些進(jìn)行了投資的企業(yè)當(dāng)中，只有50%對(duì)自己的恢復(fù)計(jì)劃進(jìn)行了全面的測(cè)試。 針對(duì)嚴(yán)峻的現(xiàn)狀，Scott警告說(shuō)："隨著實(shí)時(shí)企業(yè)觀念的推進(jìn)，即使是最小的中斷--關(guān)鍵業(yè)務(wù)系統(tǒng)幾分鐘或是幾小時(shí)的儲(chǔ)運(yùn)損耗、關(guān)鍵供應(yīng)商或是外部服務(wù)供應(yīng)商服務(wù)的中斷、整個(gè)經(jīng)濟(jì)形勢(shì)可能引發(fā)的潛在業(yè)務(wù)沖擊及其對(duì)客戶/供應(yīng)商所產(chǎn)生的影響--都可能帶來(lái)極為嚴(yán)重的商業(yè)后果。"

　　美國(guó)政府將在2003年投資五百多億美元，用于改造IT基礎(chǔ)設(shè)施及其性能。其中政府機(jī)構(gòu)用于網(wǎng)絡(luò)安全的支出將增長(zhǎng)64%，達(dá)到約30億美元。看到上面的數(shù)字，你一定會(huì)認(rèn)為，隨著網(wǎng)絡(luò)安全支出的增長(zhǎng)，政府部門的計(jì)算機(jī)安全環(huán)境將會(huì)得到極大的改善，能夠抵御任何形式的網(wǎng)絡(luò)威脅。然而事實(shí)可能并非如此。Gartner的副總裁John Pescatore預(yù)言，政府網(wǎng)絡(luò)安全的顯著改善至少需要花費(fèi)三年的時(shí)間。他認(rèn)為，與個(gè)人網(wǎng)絡(luò)安全相比，政府網(wǎng)絡(luò)安全現(xiàn)在還處于遠(yuǎn)遠(yuǎn)落后的狀態(tài)，要想解決一些比較大的問(wèn)題，必須先要建立網(wǎng)絡(luò)安全的基礎(chǔ)和機(jī)制。

　　目前業(yè)界普遍認(rèn)為，信息安全是政府和企業(yè)必須攜手面對(duì)的問(wèn)題。政府和企業(yè)管理執(zhí)行層（董事會(huì)）有責(zé)任確保為所有使用者提供一個(gè)安全的信息系統(tǒng)環(huán)境，而且，政府部門和企業(yè)在認(rèn)識(shí)到安全的信息系統(tǒng)好處的同時(shí)，應(yīng)該自我保護(hù)以避免使用信息系統(tǒng)時(shí)的固有風(fēng)險(xiǎn)。

　　中國(guó)工程院院長(zhǎng)徐匡迪最近指出："沒(méi)有安全的工程就是豆腐渣工程"。近期我國(guó)接連不斷地出現(xiàn)程度不同的信息系統(tǒng)安全事故，首都機(jī)場(chǎng)因電腦系統(tǒng)故障，6000多人滯留機(jī)場(chǎng)，150多駕飛機(jī)延誤；南京火車站電腦售票系統(tǒng)突然發(fā)生死機(jī)故障，整個(gè)車站售票處于癱瘓狀態(tài)；廣東省工行因系統(tǒng)故障，全線停業(yè)一個(gè)半小時(shí)；深交所證券交易系統(tǒng)宕機(jī)事件等等。這些事故不僅僅是簡(jiǎn)單的信息系統(tǒng)癱瘓的問(wèn)題，其直接后果是導(dǎo)致巨大的經(jīng)濟(jì)損失，還造成了不良的社會(huì)影響。如果說(shuō)經(jīng)濟(jì)損失還能彌補(bǔ)，那么由于信息網(wǎng)絡(luò)的脆弱性而引起的公眾對(duì)網(wǎng)絡(luò)社會(huì)的誠(chéng)信危機(jī)則不是短時(shí)期內(nèi)可能恢復(fù)的。

　　我國(guó)政府主管部門以及各行各業(yè)已經(jīng)認(rèn)識(shí)到了信息安全的重要性。政府部門開(kāi)始出臺(tái)一系列相關(guān)政策，直接牽引、推進(jìn)信息安全的應(yīng)用和發(fā)展。由政府主導(dǎo)的各大信息系統(tǒng)工程和信息化程度要求非常高的相關(guān)行業(yè)，也開(kāi)始出臺(tái)對(duì)信息安全技術(shù)產(chǎn)品的應(yīng)用標(biāo)準(zhǔn)和規(guī)范。國(guó)務(wù)院信息化領(lǐng)導(dǎo)小組最近頒布的《關(guān)于我國(guó)電子政務(wù)建設(shè)指導(dǎo)意見(jiàn)》也強(qiáng)調(diào)指出了電子政務(wù)建設(shè)中信息系統(tǒng)安全的重要性；中國(guó)人民銀行正在加緊制定網(wǎng)上銀行系統(tǒng)安全性評(píng)估指引，并明確提出對(duì)信息安全的投資要達(dá)到IT總投資的10%以上，而在其他一些關(guān)鍵行業(yè)，信息安全的投資甚至已經(jīng)超過(guò)了總IT預(yù)算的30-50%。

　　我們回頭來(lái)看，政府和各行各業(yè)對(duì)信息安全的重要性有了認(rèn)識(shí)，相關(guān)的標(biāo)準(zhǔn)規(guī)范正在形成，投資力度在加大，安全技術(shù)、產(chǎn)品、市場(chǎng)在發(fā)展，多數(shù)企業(yè)機(jī)構(gòu)正在制定符合不同業(yè)務(wù)信息系統(tǒng)和網(wǎng)絡(luò)安全等級(jí)需要的綜合性安全策略和計(jì)劃。那么，我們?yōu)槭裁匆廊粵](méi)有安全感呢？！到底需要什么樣的方法或機(jī)制來(lái)管理或治理信息安全呢？經(jīng)過(guò)近一年對(duì)國(guó)內(nèi)外信息安全和最佳實(shí)務(wù)的研究，我們認(rèn)為關(guān)鍵是要建立一套能夠涵蓋組織信息安全的制度安排機(jī)制，它包括治理機(jī)制和治理結(jié)構(gòu)，這種制度安排通過(guò)建立和維護(hù)一個(gè)框架來(lái)保證信息安全戰(zhàn)略和組織的業(yè)務(wù)目標(biāo)精確校準(zhǔn)，并且和相關(guān)的法律和規(guī)范一致。從后面的分析闡述中，我們可以看到有效的信息安全治理是非常必要的。

　　2. 信息安全治理的定義

　　安全涉及保護(hù)有價(jià)值的資產(chǎn)不被遺失、濫用、泄露或者損害。我們此處的"有價(jià)值的資產(chǎn)"特指從電子媒介上記錄、處理、存儲(chǔ)、共享、傳送和接受的信息。信息必須保護(hù)不被導(dǎo)致不同類型的弱點(diǎn)如損失、不能訪問(wèn)、改變和故意泄露的威脅的損害，這些威脅包括錯(cuò)誤、遺漏、欺詐、意外和故意損害。相應(yīng)的保護(hù)是一系列分級(jí)的技術(shù)和非技術(shù)的安全措施，如物理安全措施、背景審查、用戶識(shí)別、密碼保護(hù)、智能卡、生物測(cè)定和防火墻。這些措施將確定信息系統(tǒng)的弱點(diǎn)和面臨的威脅。

　　在不斷變化的技術(shù)環(huán)境中，今天最好的安全措施在明天可能過(guò)時(shí)。安全措施必須緊跟這些變化，必須被作為系統(tǒng)開(kāi)發(fā)生命周期過(guò)程整體的一部分加以考慮，并在過(guò)程的每一階段明確定位。有效的安全需要主動(dòng)及時(shí)的制度安排。

　　信息安全的目標(biāo)是"保護(hù)依靠信息的人、系統(tǒng)和傳輸信息的通訊系統(tǒng)不受損害，這種損害來(lái)源于信息可用性、機(jī)密性和完整性的失效"。目前新出現(xiàn)的定義又增加信息有效性和占有性之類的概念－后者與偷竊、欺詐和舞弊相對(duì)應(yīng)－網(wǎng)絡(luò)經(jīng)濟(jì)當(dāng)然增加了電子交易信用和責(zé)任的需要。依據(jù)國(guó)際上一般公認(rèn)的準(zhǔn)則，對(duì)大部分組織來(lái)說(shuō)，滿足安全目標(biāo)必須做到：

·可用性：信息在需要時(shí)可用和有用，提供信息的系統(tǒng)能適當(dāng)?shù)爻惺芄舨⒃谑r(shí)恢復(fù)；

·保密性：信息只能被有相應(yīng)權(quán)限的人看到，或透露給他們；

·完整性：未經(jīng)授權(quán)，信息不能被修改；

·真實(shí)性和不可否認(rèn)性：組織之間或組織與合作伙伴間的商業(yè)交易和信息交換是可信賴的。

　　可用性、保密性、完整性、真實(shí)性和不可否認(rèn)性之間的相對(duì)優(yōu)先級(jí)和重要性根據(jù)信息系統(tǒng)中的信息和使用信息的商業(yè)環(huán)境的不同而不同，例如，當(dāng)信息影響與戰(zhàn)略相關(guān)的關(guān)鍵決策時(shí)，管理信息的完整性就特別重要。

　　根據(jù)國(guó)際會(huì)計(jì)師聯(lián)合會(huì)發(fā)布的管理信息和通訊系統(tǒng)風(fēng)險(xiǎn)國(guó)際指南第一號(hào)報(bào)告《管理信息安全》，與信息安全相關(guān)的6個(gè)主要活動(dòng)是：

　　政策制定--使用安全目標(biāo)和核心原理作為框架，圍繞這個(gè)框架制定安全政策；

　　角色和責(zé)任--確保每個(gè)人清楚知道和理解各自的角色、責(zé)任和權(quán)力；

　　設(shè)計(jì)--開(kāi)發(fā)由標(biāo)準(zhǔn)、評(píng)測(cè)措施、實(shí)務(wù)和規(guī)程組成的安全與控制框架；

　　實(shí)施--適時(shí)應(yīng)用方案，并且維護(hù)實(shí)施的方案；

　　控制--建立控制措施，查明安全隱患，并確保其得到改正；

　　安全意識(shí)，培訓(xùn)和教育--安全意識(shí)的養(yǎng)成，宣貫保護(hù)信息的必要性，提供安全運(yùn)作信息系統(tǒng)所需技巧的培訓(xùn)，提供安全評(píng)估和實(shí)務(wù)教育。

　　最后一點(diǎn)還要加上激勵(lì)，因?yàn)槿藗兛赡苡羞@種有意識(shí)，但需要激發(fā)其行動(dòng)。

　　然而，制定一項(xiàng)政策，使人們接受它，然后希望每個(gè)人遵守這項(xiàng)政策的日子已一去不復(fù)返了。風(fēng)險(xiǎn)出現(xiàn)的速度和變化的速度需要一種不同于以前的、連貫的方法，我們稱之為"測(cè)試和修補(bǔ)"。它通過(guò)執(zhí)行安全管理職能，提高防衛(wèi)能力和完善政策建立安全機(jī)制，來(lái)連續(xù)地監(jiān)控和測(cè)試基礎(chǔ)設(shè)施和環(huán)境的隱患和響應(yīng)速度，如下圖所示：

　　新興的信息安全方法就像門衛(wèi)在晚上穿行走廊，檢查門把柄來(lái)了解房間的安全狀況。如果有人認(rèn)為技術(shù)能夠解決安全性問(wèn)題，那么他就不理解安全性問(wèn)題，也不理解技術(shù)。

　　3. 為什么說(shuō)信息安全很重要？

　　美國(guó)明尼蘇達(dá)大學(xué)Bush-Kugel的研究報(bào)告中指出，企業(yè)在沒(méi)有信息資料可用的情況下，金融業(yè)至多只能運(yùn)作2天，商業(yè)則為3.3天，工業(yè)則為5天，保險(xiǎn)業(yè)約為5.6天。而以經(jīng)濟(jì)情況來(lái)看，有25%的企業(yè)，因?yàn)閿?shù)據(jù)的損毀可能立即破產(chǎn)，40%會(huì)在兩年內(nèi)宣布破產(chǎn)，只有7%不到的企業(yè)在五年內(nèi)后能夠繼續(xù)存活。

　　信息系統(tǒng)可能產(chǎn)生許多直接或間接的好處，但也有可能產(chǎn)生許多直接或間接的風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)已使系統(tǒng)所需要受到的保護(hù)與已受到的保護(hù)之間產(chǎn)生差距，這種差距是由下列因素形成：

·技術(shù)的廣泛使用；

·系統(tǒng)的互連互通；

·距離、時(shí)間和空間限制的消失；

·技術(shù)變革的不均衡；

·管理和控制權(quán)的下放；

·對(duì)進(jìn)行反傳統(tǒng)的電子攻擊的吸引力；

·外部因素如立法機(jī)關(guān)、法規(guī)的要求或技術(shù)的發(fā)展。

　　這意味著存在一個(gè)新的對(duì)重要的商業(yè)運(yùn)作有重大影響的風(fēng)險(xiǎn)區(qū)，如：

·要求更高的系統(tǒng)可用性和強(qiáng)壯性；

·更可能的誤用或?yàn)E用信息系統(tǒng)而影響隱私和道德；

·來(lái)自黑客的外部危險(xiǎn)，導(dǎo)致拒絕服務(wù)、病毒攻擊、盜用和泄漏公司信息。

　　新的技術(shù)提供了顯著加強(qiáng)經(jīng)營(yíng)業(yè)績(jī)的潛力，提高和宣傳信息安全能夠?yàn)榻M織帶來(lái)實(shí)在的價(jià)值，包括促進(jìn)與商業(yè)伙伴之間的交互，更緊密的客戶關(guān)系，提高競(jìng)爭(zhēng)優(yōu)勢(shì)和保護(hù)企業(yè)聲譽(yù)，還能使新的和更方便的電子交易方式成為可能并得到信任?？梢?jiàn)，信息安全問(wèn)題并不總是一個(gè)需要我們規(guī)避的風(fēng)險(xiǎn)，事實(shí)上，安全可以為我們創(chuàng)造新的戰(zhàn)略機(jī)遇。以招商銀行一卡通為例，正是因?yàn)檎行械陌踩雷o(hù)體系足以保護(hù)自己的利益，所以才能無(wú)所顧忌地放手實(shí)施網(wǎng)上銀行計(jì)劃，創(chuàng)造出可以和四大國(guó)有銀行競(jìng)爭(zhēng)的戰(zhàn)略機(jī)遇。