如何建立有效的企业信息安全资产保护计划
来源:中国计算机用户 更新时间:2012-04-13

 
作者简介:贾文军先生是埃森哲全球技术咨询部门的高级安全顾问。他拥有CISSP和BS 7799认证,在安全风险评估和管理、数据安全、业务连续性管理、企业IT安全规划方面有着丰富的咨询服务经验。

随着信息通信越来越多地替代传统的业务模式,企业应该将信息保护集成到业务运作的管理层面。在传统的体系架构下,很多人认为安全对业务是有负面影响的,而不是能够推动核心业务活动效率的提高。如何建立有效的企业信息安全资产保护计划并得到有效实施,是每个企业管理层和信息安全决策者最关心的问题。

一、企业面临的信息安全风险趋势

企业越来越依靠信息资源,安全事件不断增长,而安全事件造成的损失以及用于事件处理的财力、人力以及IT资源的投入需要不断增长。这就需要进行IT规划和费用调整以保证适当的安全投入,部署有效的工具,来解决紧迫的安全问题。

安全威胁趋势

内部非授权访问和使用威胁仍然是企业面临的最大威胁,根据CSI/FBI的2005年计算机安全调查,内部威胁呈现不断增长的趋势,超过80%的数据损失来自于组织内部,主要是非授权访问和信息窃取。尽管多数情况下人们通常怀疑这些问题源于外部侵入,但是计算机系统与数据的大部分损失并非源于恶意的外部攻击,而是一些很简单的人为操作错误,或者是系统内部分合法用户的未授权或无意活动。

在CSI/FBI2005年计算机安全调查中,安全攻击形式中病毒(含蠕虫和木马)与间谍软件分别占83.7%和79.5%,远远高于其它攻击形式。此外还有三分之一的端口扫描和五分之一的数据或网络破坏。

随着应用系统复杂性的提高,应用的安全漏洞也在不断增加。安全威胁的对象正逐渐地从网络和操作系统转向应用系统以及更有价值的数据。然而企业对安全的关注仍然集中在病毒蠕虫以及操作系统层面的漏洞上。

Gartner预测有75%的安全漏洞是出在应用层面,到2009年有80%的企业将遭受应用安全事件,由于业务安全造成的财物损失将增加5倍以上,企业将不得不增加应用安全开发和测试方面的投入。

欺骗攻击(Phishing and Phraming)是新涌现的新的攻击方式,通过骗取用户信任来诱使用户访问非法的站点。Phishing是指通过电子邮件或者即时通信发送欺骗性的站点连接,诱使用户访问。

而Pharming是通过攻击DNS欺骗,将合法站点解析到非法地址。而一旦用户访问并信任该站点,就有可能泄露个人敏感信息或者遭受恶意代码的攻击。随着这种攻击技术的发展,攻击目标已不仅限于银行攻击,而是已经开始向所有的在线业务扩展。

新技术的不断应用也大大扩展了企业安全需求的领域,无线局域网、蓝牙、RFID、VoIP、即时通讯、移动终端等技术扩大了企业的安全边界。未来通过无线通信技术系统和移动应用的结合,都需要首先考虑安全问题。没有安全机制,攻击者可以很容易地对数据信息以及IT基础设施进行控制。

从信息安全到业务安全

业务安全需求不断变化,相关技术不断进步。企业不断扩展业务,员工、客户以及合作伙伴越来越多地与企业网络连接,进行移动办公和开展在线业务,这也就意味着对核心信息资产的威胁机会增加。信息安全已经从单独的保护计算机系统发展到保护业务安全。网络应用的攻击可以导致业务中断,影响经济收入和客户形象。

中国企业的安全形势

InformationWeek杂志和Accenture公司在2005年10月的联合安全调查显示,中国企业正在遭受越来越多的安全威胁和攻击破坏。这次调查的主要结论有:

* 缺少信息安全战略,安全基础设施落后,存在较多的安全隐患。

* 间谍软件、病毒和蠕虫带来了严重危害和经济损失。

* 组织都试图探测安全事件是否发生以及何时发生,但很少有组织使用预防性的安全软件,超过半数的组织在事件发生后才了解事件过程。

* 未来安全投资关注在应用防火墙和监控软件,安装入侵检测工具,集成安全系统和应用安全。

* 企业趋向实施安全外包。

基本的用户口令、网络防火墙和防病毒是中国企业主要的安全措施。病毒、蠕虫和Web攻击仍然是最常见的攻击方式。已知的操作系统和应用程序的漏洞也是黑客攻击的主要目标。

很多企业期望提高安全防护能力,但是多数企业表示没有信息安全战略指导,IT基础设施落后,员工缺少安全意识,缺乏安全运作流程。

二、企业信息安全的目标和安全需求

根据国际信息安全管理标准ISO 17799的描述,信息安全的目标是“通过防止和减小安全事故的影响,保证业务连续性,使业务损失最小化”。

保护企业的信息资产对于业务持续以及法律遵循都是关键的。由于这些原因,信息被看作业务资产的一部分,需要有效的管理。因此,企业必须保护信息资产的机密性、完整性和可用性。

业务安全

信息安全的目标是保护企业的信息资产,防范业务风险,保证业务连续性。因此,业务安全是企业信息安全的终极目标。

企业需要把安全作为业务战略目标的一部分,安全不再只是一种投入,而是能够促进和保障业务产出的手段。因此,企业需要有效地实施信息安全控制,保护有价值的资产,支持和达成企业业务目标。

业务安全需求包括业务连续性、业务流程安全、法律安全要求、隐私保护要求等。

IT安全

IT系统实现业务功能,是企业业务信息化的关键。IT能力的发展的驱动因素是业务发展方向,同时也驱动了安全的建设。IT系统的安全持续运行是实现企业业务价值的保障。

IT安全需求就是从IT的角度明确安全保护需求以及IT系统对安全的支持情况,包括两个层面的内容:一是IT系统自身的安全需求,包括业务安全需求的功能实现以及网络安全、系统安全、应用安全、数据安全、业务连续性等层次的需求;另一个层面是安全系统对IT系统功能的要求,例如对IT基础设施、服务管理方面的要求。

安全建设既保证了IT基础设施和服务的安全,又属于IT建设的一部分。因此,安全建设需要与IT战略相一致,并且适应未来IT基础设施和技术的变化。

法律和策略要求

各种法律法规的需求不断变化、层出不穷,企业需要很大的精力去保持与法律法规的符合性。企业需要识别相关的法律法规中提出的,需要遵守的安全要求及其对业务和IT的影响。例如萨班斯法案对上市公司的内部控制、报告、披露和归档要求,法律对个人隐私数据保护的要求,国家政策和标准提出的信息系统等级保护要求等。

企业安全建设还应该符合企业的安全战略和相关的安全策略、标准的要求。

三、企业信息安全之道

为了保证安全目标和安全需求的实现,企业需要进行安全规划和建设。企业信息安全建设的总体思路是:以业务资产为核心,以安全战略为指导,根据安全需求来建立安全能力发展计划和整体的安全框架,逐步建立安全基础设施,为业务提供安全能力支持。