沈昌祥论信息安全
来源:中国传媒科技 更新时间:2012-04-14

 
 
 
    2003年9月,中央颁布了《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文件),提出要在5年内建设中国信息安全保障体系。由于信息安全的复杂性和重大性, 2006年之前,各种政策制度均处于试点阶段,2007年,将进入普及推广阶段,各重点行业和企业的管理者及信息安全专家也越来越密切地关注信息安全领域,积极探讨如何构建信息安全保障体系,但究竟信息安全保障体系有哪些重要环节,如何把握信息安全保障体系中的重要环节,它们彼此之间又存在着何种关系,怎样才能为信息系统提供有效的安全保障手段呢……

    信息安全的四个重要环节

    近日,笔者在2007中国企业信息安全高层研讨会上,见到了一直在信息工程与计算机安全领域潜心研究的沈昌祥院士。他说,信息安全的等级保护、风险评估、应急处理和灾难恢复是信息安全保障体系中的重要环节,对确保信息安全有至关重要的意义。科学合理的实施全程的风险管理,将为信息系统提供有效的安全保障手段。

    所谓等级保护就是以制度的方式确定保护对象的重点程度和要求;所谓风险评估就是检测评估信息系统是否达到保护要求的度量工具;所谓应急处理就是将剩余风险因突发事件引起损失降低到可接受程度的对应手段;所谓灾难恢复是针对发生灾难性破坏时所采取的由备份进行恢复的措施。

    作为信息安全保障体系的四个重要环节,它们都是为使一个确定的保护对象的资产少受或免受损失所进行的各个保障环节,缺一不可,也不可单独进行,必须总体统一保障。

    沈昌祥强调,进行风险管理时,降低风险必须要在信息安全保障的全过程中贯穿,同时应了解、熟悉信息安全系统的工作环境,有机地把防护、检测评估、应急处理、灾难恢复,四个前后联接的重点环节融为一体,有效地进行设计、规划。

    风险管理的概念

    在客观分析了信息安全保障各环节之间的关系后,沈昌祥又对信息安全的风险管理进行重点介绍。

    对于很多企业来说,风险这个词并不陌生,它是指安全事件的概率及其可能造成影响下,脆弱性被利用后产生的实际负面影响。但有多少企业真正清楚什么是风险管理,如何进行风险管理呢?

    沈昌祥谈到,风险管理是识别风险,评估风险,采取步骤减缓风险并将它降到可接受的水平之内的过程。它就是保护组织机构的信息资产及业务,保护其完成使命的能力。不仅是其IT资产价值,而且是专业人员实施技术功能和组织机构管理功能的综合。即信息资产的保护和业务能力的保证。

    其中信息资产主要是由价值来表示的,包括经济价值和社会价值两方面。一般说来,经济价值,每年可以用人民币进行估算,可是社会价值呢?以国家的保密系统为例,一旦发生泄密,不仅造成了经济损失,更重要的对社会、对国家安全造成了严重的损失,所以要从资产的经济价值和社会价值进行综合考量。而信息资产的业务能力主要表现在信息服务上,分为服务范围和连续性依赖程度。资产的价值不能静态地进行估算,要动态地进行估算,发挥其作用,这样才能显示出它价值的存在,而只有信息系统连续、稳定地进行工作,才是有价值的,所以,还要考虑信息资产的服务范围与连续性。需要强调的是由于等级保护就是要采取各种措施保护信息系统的信息资产,所以等级保护应根据信息系统的综合价值和综合能力保障的要求不同来确定其相应的保护等级。

    风险管理的实施

    了解了什么是风险管理,就需要就进一步清楚风险管理的实施流程。它包括三个过程:

    首先是风险评估。在对资产价值客观定级之后,就需要对风险进行评估,对其影响进行识别和评价,提出建议,如何降低风险。

    其次是风险延缓。考虑系统中存在何种威胁,这种威胁从何而来,即漏洞是从何而来,因为存在漏洞就很可能遭到攻击,系统随之也会被破坏,这样就构成了威胁,就形成了风险度。如果资产大,漏洞又多,威胁又很严重,那么风险就会随之加大。因此,这一过程中,要对风险评估过程中所推荐的风险降低措施进行优先级排序,加以实现和维护。

    最后是评价确认。对风险评估结果进行判断,以明确在风险减缓措施实施后残余的风险是否可以接受。如果残余的风险接受不了,就需要再次采取措施,达到所能接受的程度。而降低残余风险主要是通过新增或强化安全措施,降低脆弱性、降低威胁能力,降低负面作用达到目的。

    当然,这其中不能忽视了成功实现风险管理的关键点:这需要高层管理者的决心,IT团队的全力支持和参与,风险评估小组的专业能力,用户的安全意识和合作精神,以及对使命风险进行持续地评价和评估。

    安全应急

    看到这里,很多人可能会在心中打个问号,当残余风险已经达到可以接受的风险度,是不是就不需要管理了?沈昌祥为我们支了一招--"留一手":也就是安全应急。

    当有突发事件发生的时候,就需要有相应的安全应急,而这都必须要预先进行规划,做好风险管理工作,使脆弱性和威胁最小化,但不可能完全消除,也有可能遭受系统被破坏。安全应急是一种协调的战略过程,涉及到计划、流程和技术措施,以使IT系统、运行和数据在被破坏后能够得到恢复。这涉及到法律、组织管理和技术支持等环节,尤其要首先做好应急规划。

    应急始终贯穿于信息系统整个生命周期。在启动阶段,就要对应急加以考虑,要进行风险的分析,同时,考虑剩余风险的问题。在开发、采办阶段,在建设系统之时,就要确定应急方案。流程系统实现阶段,要进行测试,还要考虑应急计划能否真正实施。在系统运行、维护阶段,应该有计划地进行培训,甚至是演习。由于信息系统是有生命周期的,所以在废弃阶段,还需随时准备,或者增加其功能,恢复其原来的能力,或停止运行。

    既然应急规划有其特殊的重要性,那么这个过程又是怎么样的呢?沈昌祥提到:这一过程中有七个环节:一是:制定应急规划的政策声明确定应急规划的法律和规章要求,制定IT应急规划的政策声明,获得对政策的批准,发布政策。二是实施业务影响分析,确定关键IT资源,确定停机影响和允许的中断事件,确定恢复优先级。三是确定预防性控制,主要集中在实施控制和维护控制方面。四是制定恢复战略,包括确定方法,集成到系统和体系结构中。五是制定应急计划,记录恢复战略。六是计划的测试、培训和演习,制定测试目标和成功标准,记录所吸取的教训,将人员培训纳入计划。七是计划维护,检查并更新计划,与内外机构保持协调,发布控制,记录变更。

    安全应急不仅是一项计划,一种管理,更重要的还要有可靠的技术支持。在实施技术支持的时候,需要把握好以下关键事项:数据、应用和操作系统的备份与异地存储;关键系统组建或能力的冗余;系统配置和要求文档;在系统组件间以及主备点互操作,以加快系统恢复及适当规模的电源管理系统、环境系统。