2017-02-27 11:01
信息安全治理(一)
——创造新的战略竞争机遇
孙强 左天祖 孟秀转
“技术本身实际上是信息安全体系里最不重要的部分了。不管一项技术有多先进,都只不过是辅助实现信息安全的手段而已。我们并不是认为技术不重要,但在信息安全的架构里,它一定要在好的信息安全治理的基础上。”
--作者题记
引言
各种各样的资料都显示着:安全缺陷、侵犯,信誉受损,以及灾难性事件的数量正随着时间的推移而增加。我们学会有关安全的东西越多——如何设计系统安全架构、如何建立安全的操作系统、采用先进的安全技术和设备、增加在系统安全上的投资等,可是我们建立的系统越无法面对急剧变化的环境。Gartner Group最新的一份安全报告告诉我们:"各类令企业损失惨重的安全违规事件追究到最后是人所造成的,并且发展成为物理安全和人员的问题。IT安全部门试图用技术方法来解决这些安全问题,但这是行不通的。"
当年的爱虫病毒,曾导致了120亿美元的损失。大多数受害组织吸取了教训。他们更新病毒库、在未安装扫描工具的邮件服务器上安装扫描工具。但是在此事件发生不足十个月的时间之后,全球再次遭受了同一类型病毒Anna Kournikova的袭击。直接从技术的角度去寻求安全问题解决方案,只是解决了问题的一半。
一项研究表明,15年来,每年在信息安全方面的预算上涨了17倍,但实际花费却增长了120倍。但是有多少花费起到了作用?可以说直到现在,对于任何一个花费了大量资金在信息安全方面的管理者来说,其收效甚微。
为什么会这样,组织的最高管理层和管理执行层应该怎么办,这正是本文的主题。
组织的最高管理层和管理执行层有责任思考并对以下问题做出答复:
什么是信息安全?
信息安全的重要性在哪里?
信息安全应由谁负责?
如何发现潜在的系统安全弱点?
信息安全治理的内容;
怎样进行信息安全治理;
怎样设计一个明确的安全体系结构图和计划蓝图来实施信息安全方案?
怎样评估企业信息安全治理的成熟度级别;
信息安全如何为企业创造新的战略竞争机遇?
1. 信息安全治理的产生背景
目前,信息系统已在商业和政府组织中得到了真正的广泛的应用,IT治理成为企业治理越来越关键的一部分。最高管理层(董事会)和执行管理层同样需要确保IT适应企业战略,企业战略也恰当利用IT的优势。
但不安全因素总是存在。没有一个系统是完美的,没有一项技术是灵丹妙药。
事实上针对系统安全的攻击越来越普遍。早在1996年,美国会计总署(GAO)报告指出,美国国防部一年有15,000个系统遭到高达250,000次攻击,其中65%攻击成功,防范和弥补损失的费用高达数亿美元。更值得注意的是,这些攻击中只有400个被查明,20个被报告。如果说1996年很大程度上是一种系统的弱点,5年以后的今天,它已成为一种威胁,正如美国联邦调查局对100个针对电子商务网站的敲诈案件调查表明,攻击者不仅威胁公开客户信息,并且实际上在要求得不到满足时实现这种威胁。
许多国家的政府已经认识到安全的重要性,并积极采取措施提高信息安全。以美国政府为例,“9.11事件”后美国信息基础设施保护委员会(PCIPB)列出了53个信息安全重点问题,把信息安全列入国家战略。在这个战略中,信息安全被分成5个等级;第一级是家庭用户和小型商业机构,第二级是大型企业,第三级是高等教育、联邦政府、州与地方政府等关键部门,第四级是国家优先任务,第五级是全球性合作网络。
但是,在今年Gartner举办的研讨会上,与会人士普遍认为9.11后企业依然没有提高警惕。Gartner 研究主管Donna Scott的调查报告显示全球2000强企业中只有不到25%在全面的业务连续性计划上进行了投资,而就在这些进行了投资的企业当中,只有50%对自己的恢复计划进行了全面的测试。 针对严峻的现状,Scott警告说:“随着实时企业观念的推进,即使是最小的中断——关键业务系统几分钟或是几小时的储运损耗、关键供应商或是外部服务供应商服务的中断、整个经济形势可能引发的潜在业务冲击及其对客户/供应商所产生的影响——都可能带来极为严重的商业后果。”
美国政府将在2003年投资五百多亿美元,用于改造IT基础设施及其性能。其中政府机构用于网络安全的支出将增长64%,达到约30亿美元。看到上面的数字,你一定会认为,随着网络安全支出的增长,政府部门的计算机安全环境将会得到极大的改善,能够抵御任何形式的网络威胁。然而事实可能并非如此。Gartner的副总裁John Pescatore预言,政府网络安全的显著改善至少需要花费三年的时间。他认为,与个人网络安全相比,政府网络安全现在还处于远远落后的状态,要想解决一些比较大的问题,必须先要建立网络安全的基础和机制。
目前业界普遍认为,信息安全是政府和企业必须携手面对的问题。政府和企业管理执行层(董事会)有责任确保为所有使用者提供一个安全的信息系统环境,而且,政府部门和企业在认识到安全的信息系统好处的同时,应该自我保护以避免使用信息系统时的固有风险。
近期我国接连不断地出现程度不同的信息系统安全事故,首都机场因电脑系统故障,6000多人滞留机场,150多驾飞机延误;南京火车站电脑售票系统突然发生死机故障,整个车站售票处于瘫痪状态;广东省工行因系统故障,全线停业一个半小时;深交所证券交易系统宕机事件等等。这些事故不仅仅是简单的信息系统瘫痪的问题,其直接后果是导致巨大的经济损失,还造成了不良的社会影响。如果说经济损失还能弥补,那么由于信息网络的脆弱性而引起的公众对网络社会的诚信危机则不是短时期内可能恢复的。
我国政府主管部门以及各行各业已经认识到了信息安全的重要性。政府部门开始出台一系列相关政策,直接牵引、推进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业,也开始出台对信息安全技术产品的应用标准和规范。国务院信息化领导小组最近颁布的《关于我国电子政务建设指导意见》也强调指出了电子政务建设中信息系统安全的重要性;中国人民银行正在加紧制定网上银行系统安全性评估指引,并明确提出对信息安全的投资要达到IT总投资的10%以上,而在其他一些关键行业,信息安全的投资甚至已经超过了总IT预算的30-50%。
到底需要什么样的方法或机制来管理或治理信息安全呢?经过近一年对国内外信息安全和最佳实务的研究,我们认为关键是要建立一套能够涵盖组织信息安全的制度安排机制,它包括治理机制和治理结构,这种制度安排通过建立和维护一个框架来保证信息安全战略和组织的业务目标精确校准,并且和相关的法律和规范一致。
未完待续
浏览:信息安全治理(二)