论文部分内容阅读
【摘要】本文按照木桶理论,并遵循三分技术、七分管理的思路,从信息安全管理的组织及制度建设,到安全意识的提高,最后结合技术手段,建立较完备的信息安全体系,并结合盾安集团的实际情况,以较高的性价比,达到了非相关多元化跨区域企业的信息安全建设目标。
【关键词】信息安全;多元化集团;木桶理论
【中图分类号】TP309
【文献标识码】A
【文章编号】1672—5158(2012)10-0437-04
一、木桶理论和信息安全
(一)木桶理论的来源
上世纪40年代,美国通用汽车公司的汽车销量一度大幅下滑,当时的总裁阿佛雷特·小斯隆调查发现问题出现在销售上面,业务员们的个人销售状况有很大的差异,于是他决定对销售业绩最好的的那些业务员进行重点培训,有一位加拿大留学生也成为了被重点培养的其中一员。一天,这位加拿大留学生却对阿佛雷特·小斯隆说,培训那些业绩差的业务员要比培训这些成绩好的业务员效果更明显,并且搬来了一个木桶为其进行演示。受到这位年轻人的启发,阿佛雷特·小斯隆做出了一个新决定:让业绩最少的那一部分业务员接受最好的培训。两个月以后,公司的汽车销量不仅很快得到回升,甚至大大超过了原来的水平。
这位加拿大留学生,就是后来成为美国著名管理学家的劳伦斯·彼得,而当初他向通用汽车提出“加长最短的板”的建议,就是后来他最具代表性的管理学说之一的“木桶理论”。
“木桶理论”也称为木桶效应或短板理论,英文名称为Bucketseffect或者Cannikin Law。它的核心内容是指一只木桶想盛满水,必须每块木板都一样平齐且无破损,否则这只桶就无法盛满水。这也就是说一只水桶能盛多少水,并不取决于最长的那块木板,而是取决于最短的那块木板。自“木桶理论”诞生以来,它影响着无数人的思维方式。
(二)木桶理论的演化
在传统的木桶理论基础上,又有新的见解提出,比较典型的有:一个木桶能不能容水,容多少水,除了看最短木板之外,还要看一些关键信息:这个木桶是否有坚实的底板、木板之间是否有缝隙。
1)木桶底板是木桶能否容水的基础
一个完整的木桶,除了木桶中长板、短板,木桶还有底板。正是这谁也不太重视的底板,决定了这只木桶能不能容水,能容多大重量的水。
2)木桶是否有缝隙是木桶能否容水的关键。
木桶能否有效地容水,除了需要坚实的底板外,取决于各块板之间的配合程度,即板与板之间的缝隙大小。若有了缝隙,木桶中的水将会慢慢的渗出,直至不能容纳一滴水。
(三)信息安全的定义
什么是信息?信息可以理解为消息、情报、数据或知识,它可以以多种形式存在,可以是组织中信息设施中存储与处理的数据、程序,可以是打印出来的或写出来的论文、电子邮件、设计图纸、业务方案,也可以显示在胶片上或表达在会话中消息。
信息是一种重要的无形资产,像其他重要的业务资产一样,对组织具有很高价值,因此需要妥善保护。
信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。信息安全是指信息系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。信息安全的特征是为了保证信息的保密性、完整性和可用性。信息系统安全保障是以风险和策略为核心,在信息系统运行环境的整个生命周期中提供包括技术、管理、人员和工程过程在内的综合安全保障,在信息系统中保障信息的这些安全特征,并实现组织的使命。
从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真卖性和可控性的相关技术和理论都是信息安全的研究领域。
广义的计算机系统安全的范围很广,它不仅包括计算机系统本身,还包括自然灾害(如雷电、地震、火灾等),物理损坏(如硬盘损坏、设备使用寿命到期等),设备故障(如停电、电磁干扰等),意外事故等。
狭义的系统安全包括计算机主机系统和网络系统上的主机、网络设备和某些终端设备的安全问题,主要针对对这些系统的攻击、侦听、欺骗等非法手段的防护。
国际互联网络(Internet)是跨越时空的,所以安全问题也是跨越时空的。虽然我们国家的网络还不是很发达,但是我们遭到的安全危险却是同国外一样的,这是一个很严重的问题。
Internet的不安全因素,来自几个方面。一方面,Internet作为一种技术,是面向所有用户的,所有资源均通过网络共享;另一方面,Internet是开放和标准的。Internet过去主要用于科研和学术,现在已发展为商用阶段,但是它的技术基础是不安全的。
在不同的行业,所遭受的攻击因行业和网络服务的不同而不同。在电信或者ICP市场,进攻服务系统比较多;而在银行业,对数据系统的进攻相对更频繁。
(四)木桶理论在信息安全建设领域的应用
把企业的信息资产比喻为木桶的水,则信息安全保障建设就是木桶本身。
将木桶理论应用于企业信息安全领域的重要意义在于,使企业认识到了企业整体信息安全防御能力的强度取决于信息安全体系中最脆弱的环节。根据木桶理论,很多企业都在努力发掘、克服信息安全中的短板,针对信息安全体系中存在的盲区、潜在风险、薄弱点等纷纷部署了不同功能、应用、规模的信息安全产品,例如:针对网络病毒泛滥,在内网安装部署中央控管防病毒系统进行病毒防御;针对互联网非法入侵,在互联网出口安装防火墙、IPS、安全网关等工具进行安全防御。
然而,实践已经证明,在企业信息安全领域应用传统木桶理论仍存在一定缺陷:缺乏系统、整体、科学的统筹规划,导致企业在信息安全措施的运用上存在“据病就医”的不合理现象,很难实现“标本兼治”。实际情况往往是随着信息安全工具、平台、系统越上越多,企业信息安全问题非但没有减少,安全事件发生率、安全隐患、安全风险反而趋于增大,这个问题亟待解决。 根据演化后的木桶理论,针对企业复杂的信息安全形势,提出了新的应用点。
新木桶理论是这样的:一个木桶能不能容水,能容多少水,除了看最短的那块木板以外,还要看另外一些关键信息——一是这个木桶是否有坚实的底板、二是木板之间是否存在缝隙。
1)坚实的底板
拥有坚实的底板,是一个木桶能够盛水的前提基础。企业信息安全基础架构(Information Security Architecture)就是信息安全体系的底板,它全面完整地反映了一个组织机构或系统对安全管理的要求,是对ISO17799(IS020007)安全管理体系的深刻诠释。企业信息安全基础架构由三要素(即资产管理、威胁管理、风险管理)和四个层次(即策略、组织、操作、技术)组成,现对四个层次的主要内容说明如下:
(1)策略层次:体现整个机构的信息安全方针、纲领、标准、制度、规范、参考文献、指南等。
(2)组织层次:建立有效的信息安全组织,并赋予组织成员明确的角色和职责,普及安全知识,实施安全教育,提高全员的安全意识。
(3)操作层次:用户管理、资产管理、环境安全管理,应用系统开发运维管理,业务操作规范等。
(4)技术层次:完整覆盖信息安全体系各个基础要素的技术标准、方案及其实现。
对部分企业而言,由于没有进行过系统的信息安全建设需求调研、分析评估、整体规划,在信息安全建设过程中存在一定的随意性,将安全视为软、硬件产品技术的简单叠加,忽略制度建设,缺乏执行力,其后果可想而知。
针对以上问题,企业应该在具备专业信息安全认证资质的服务商的支持、协助下,运用先进的理念方法,在企业内部自上而下地组织进行一次全面、彻底、深入的信息安全评估,通过认真调研企业的信息安全现状和安全需求,结合企业未来发展战略规划,制订信息安全整体解决方案,分轻重、分缓急、分步骤地逐步予以实施。这里有两个问题需要特别强调:一是执行力度,信息安全工程是典型的“一把手工程”、“全员参与工程”,没有领导的重视和支持,没有员工的普遍接受和参与,没有切实可行的制度保障和考核体系支撑,安全就是一句空话;二是动态需求,信息安全工作只有起点,没有终点,随着企业对信息安全需求的动态变化,木桶的盛水量需求逐渐增大,木桶底板必须不断提高坚实程度。储水量的多少是动态的,目标设定储多少水,决定于做多少长的木板,而不是越多越好。多了是浪费投资,少了是不求进取。并且到了某一个临界点后,提高一点信息安全等级,所投入的成本将会急剧上升,如下图所示。
2)无缝是关键
桶箍的作用在于将一堆独立的木条紧紧联合起来,使木桶成为一个封闭无缝的容器。试想一下,如果没有桶箍,或者箍得不紧,那么木桶仍然无法容水。企业信息安全体系的桶箍是企业信息安全技术、安全产品、安全策略、安全措施等各种对象的有机结合体,其中安全策略是最核心的,安全策略应该是系统的、长期的、整体的。企业应始终坚持应用系统建设与信息安全建设同步规划、同步建设、协调发展的原则,将信息安全体系建设融入到信息化规划、建设、管理和运维的全过程之中。
从信息安全技术的层面看,近年来,计算机网络病毒、攻击手段、破坏方式经常是融合多种技术的,这就需要企业各信息安全子系统之间密切配合、协同工作、联动整合、主动防御。例如:在2005年,防病毒软件提供的主要功能是病毒的检测、处置,功能相对单一;到了2010年,木马、间谍软件、灰色软件、黑客软件成为主流病毒,这些病毒很多都是利用了TCP/IP协议栈、网络系统、操作系统的各种漏洞,单一凭借防病毒软件很难彻底清除,所以防病毒软件都不同程度地集成整合了防火墙、漏洞扫描、补丁更新管理、主动防御等功能,以满足桌面安全管理的市场需要。企业在信息安全体系的构建上,应突出强调整体安全策略、全局安全措施、长期安全保障,各种安全措施和手段之间需要加强协作配合。
基于传统的木桶理论让企业在信息安全建设过程中意识到了要优先解决最严重的问题,但是一味强调克服“短板效应”,忽视木桶底板及桶箍的作用,势必导致信息安全体系不健壮、不成熟、不完善。企业应根据信息安全等级保护的要求,在信息安全建设上突出重点、保障关键应用、统一规划、分级管理,构建一个可量化、可操控、可信任、可管理的信息安全体系。
二、盾安集团信息安全建设实践
(一)盾安集团简介及信息化建设现状
盾安集团是一家跨区域发展的多元化产业集团,主要产业涵盖先进制造、民爆化工、科技房产、新材料开发、资源与能源开发、投资管理等领域。集团创建于1987年,位列“中国企业500强”第371位(2011年),中国民营企业500强第49位(2012年)、中国民营企业制造业500强第34位(2012年),是“中国大企业集团竞争力”百强单位,“中国企业社会责任优秀实践奖”单位。
盾安集团以创新为依托,以“产业+资本”为运营模式,以“绿色节能、低碳环保”为发展主旋律,在企业跨越式发展过程中迈出了坚实而有力的步伐,基本完成先进制造、民爆化工、新能源、新材料、房地产开发、资源开发以及投资管理七大事业板块的战略布局。在突破国外技术封锁,核心产品国产化;核心技术领先示范,推动行业技术标准化;引领行业产品绿色化,实现可持续发展等方面实现了系列突破。
目前,盾安集团拥有员工一万六千余人,下属骨干企业80余家,其中高新技术企业22家,且分布在全国大部分省市,在境外也有分支机构。有国家认定企业技术中心1个,省级技术中心3个,国家级博士后工作站1个,企业研究院3个。目前控股2家上市公司:盾安环境(002011)、江南化工(002226)。
盾安集团信息化建设起步较早,至今为止,整个集团已上线50多个骨干信息系统,且陆续将有新的系统上线。应用系统涵盖业务管理系统,办公自动化系统、信息网站、ERP系统等。计算机网络以百兆主干网为依托,联网范围覆盖到所有二级单位的管理部门和生产车间,信息化已渗透到了集团公司及下属产业公司生产经营管理的各个层面。这些应用系统在集团公司内部、远程异地的各个下属企业中运行。随着信息化程度的提高,信息技术“双刃剑”效应使信息安全问题日益突出,信息安全需求已从原来的系统安全和网络安全逐渐深入到系统内部体系安全和数据安全上,并开始对管理体系造成一定的影响。 (二)盾安集团信息安全建设思路
盾安集团需要一个怎样的科学的信息安全保障体系结构呢?笔者认为,要提出一个信息安全保障体系结构,起码应该考虑以下几个问题:一是保障信息安全,必须有哪些环节;二是这些环节应该能够全面衡量信息安全的保障能力;三是应该能够从宏观上指导信息安全保障体系的建设,而且在微观上能够推动具体的技术、政策、管理、标准和人员素质的发展和提高,而且应该把握住相应的评测原则。
信息系统安全保障是关于组织保障其信息系统,从而保障组织的信息和资产,最终保障组织的使命,并为组织信息系统的所有相关方提供信心的复杂系统学科。我们可以从以下方面理解和思考信息系统安全保障。
(1)信息系统安全保障不仅仅是一门技术学科,而是综合技术、管理和人,是一门复杂的系统学科。在技术上讲,不应只考虑具体的产品和技术,而应进一步考虑信息系统整体的信息技术系统体系结构。在管理上,应考虑建立综合的信息系统安全保障、信息化的组织管理体系,明晰相应的岗位职责;信息系统安全保障应建立完善的规章制度并严格执行。在人员上,应加强所有使用信息系统人员的安全意识和能力,以及信息系统专业人员的专业技能和能力。
(2)信息系统安全保障不仅仅是一种项目性的暂时行为,而应融入信息系统生命周期的全过程,应考虑和覆盖信息系统计划组织、开发采购、实施交付、运行维护和废弃的整个生命周期,形成信息系统安全保障能力的长效机制。在具体实践中,信息系统安全保障工作应同信息化建设同步规划、同步建设,还应加强安全工程的建设和监理管理。
(3)信息系统安全保障的目的不仅仅是保障信息系统本身,其根本目的是通过保障信息系统从而保障信息系统所支持的业务系统、保障组织的使命。信息系统安全保障不仅仅涉及信息系统本身,信息系统安全保障应以业务为主导、以组织的使命、社会职责和社会服务性为出发点和根本。
(4)信息系统安全保障不仅仅是孤立的自身的问题,还需要考虑电信、电力等提供基础设施的支持、需要承担保密、公共安全和国家安全等社会职责,因此是一个社会化、需要各方参与的综合性工作。
下图是盾安集团按照IS027000提供的方法论,结合盾安集团的实际情况,开展的信息安全建设的步骤。
按照木桶理论,在“资产识别”阶段,首先要确定信息安全体系所要保护的信息资产有哪些,即确定木桶需要的储水量。然后结合第三方的信息安全专业提供商,针对现有的“信息资产”范围,进行脆弱性和威胁评估,并根据评估的结果制定对应的风险控制措施,分析现有信息系统、管理体系中的漏洞、短板,有针对的制定控制措施,即根据要保护的目标,制定合适的信息安全木桶,并充分考虑了自己的短板。最后分析还有哪些残余的分析,并评估的这些残余的风险,企业是否可以接受。因为信息安全没有绝对的“安全”,在综合考虑实施时间、投入成本等因素后,必须取得一个平衡点。
最后,以上的四个行动步骤还是不断迭代的过程,以两年为一个周期,根据企业的现状,重新识别“信息资产”,然后迭代重复以上的步骤。信息安全工作随着企业对信息安全需求的动态变化,木桶的盛水量需求将发生变化,甚至所储存的水本身也会发生变化,因此木桶本身必须跟着调整。并且在特定的阶段,目标设定储多少水,决定于做多少长的木板,而不是越多越好。多了是浪费投资,少了是达不到信息安全保障的目标要求。
(三)盾安集团信息安全建设的具体措施
盾安集团的信息安全建设主要从技术和管理两个层面入手:
1、管理要求之安全管理制度和安全管理机构
1)把信息安全纳入公司安全管理的范畴。从上到下,建立如下的组织体系:
◆安全领导小组(公司高层领导层);
2)、配合组织体制建设并落实信息安全规章制度
a)信息安全保密制度
完善现有的保密协议,增加信息安全的相关内容,并明确保密期限和泄密的处罚措施。
◆控股公司和所有下属公司的在职员工补签新的保密协议,新员工直接签订新的保密协议;
◆外协单位的员工在公司内工作,也需要签订对应的保密协议;
◆对信息系统管理员和一些接触到核心数据的人员,额外再签订保密协议
b)软件系统升级制度
c)中心机房管理制度
d)计算机用户管理制度
e)服务器定期巡检维护制度
2、建立信息安全培训体系
信息安全坚持“防内为主,内外兼防”的方针,通过内部力公平台、会议、媒介加大信息安全宣传力度,提高全员信息安全意识,尤其是加强组织或企业内部人员的信息安全知识培训与教育,提高员工的信息安全自律水平。信息安全培训针对公司中高层、信息技术人员、普通员工分别制定不同的培训策略。
信息安全的建设离不开公司高层的大力支持,对公司的高层领导的信息安全意识的宣贯尤其重要。对公司中高层培训的重点重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制定等。
系统管理员是直接和系统打交道的高级计算机工作者,在整个网络维护中的地位非常重要。国内系统安全面临的最大问题是有着丰富系统安全经验尤其是主动发现黑客的系统管理员非常少。由于和黑客的战斗是一场智力的斗争,也是计算机网络知识的交锋,所以需要迫切地给各种系统管理员进行有效地的系统安全培训,掌握计算机安全的高级知识,了解黑客使用的流行手段,并能采取必要的防范措施,从管理制度的层面看,负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。
在企业各部门工作的普通员工是能够接触主要服务系统的工作人员,这部分使用者的人数最多,在整个信息安全体系中也是最薄弱的环节。为了确保安全,建议对所有的职工,都要加强信息安全意识的培训,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责;且要按周期重复的培训,以形成良好的信息安全习惯。针对新员工,在入职教育中,要增加信息安全的培训内容。 对与弥补信息安全这个“木桶”各块木板之间的缝隙,信息安全的培训是比较好的方式。
3、技术要求之物理安全
物理安全保护的目的主要是使存放计算机、网络设备的机房以及信息系统的设备和存储数据的介质等免受物理环境、自然灾难以及人为操作失误和恶意操作等各种威胁所产生的攻击。物理安全是防护信息系统安全的最底层,缺乏物理安全,其他任何安全措施都是毫无意义的。
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等。
针对物理安全的需要,盾安集团在2011上半年把原先在盾安发展大厦的主机房中的服务器,迁移到中国电信的IDC机房中,并租用了10个机柜,建立了一个专门的VIP区域。
4、技术要求之网络安全
网络安全为信息系统在网络环境的安全运行提供支持,确保网络设备的安全运行,提供有效的网络服务,确保在网上传输数据的保密性、完整性和可用性等。
由于网络环境是抵御外部攻击的第一道防线,因此必须进行各方面的防护。对网络安全的保护,主要关注两个方面:共享和安全。
开放的网络环境便利了各种资源之间的流动、共享,但同时也带来各种安全问题,必须在二者之间寻找恰当的平衡点,使得在尽可能安全的情况下实现最大程度的资源共享,这是实现网络安全的理想目标。
由于整个盾安集团下属的企业在全国各地分部区域较广,在2011年初,我们邀请的第三方的外部专家,评审盾安集团网络总体架构规划。各地的分支机构访问总部的信息系统,全部通过SSLVPN通信隧道加密的方式,并在几个规模较大的产业集团与总部之间,采用光纤或数据专线的方式连接,确保网络通讯的顺畅,在几个子网的对外接口处部署防火墙,在数据流量较大的关键系统部署了负载均衡和集群的方案。
5、技术要求之主机安全
主机安全是包括服务器、终端/工作站等在内的计算机设备以及在操作系统/数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机,服务器则包括应用程序、网络、web、文件与通信等服务器。
主机系统是构成信息系统的主要部分,其上承载着各种应用。因此,主机系统安全是保护信息系统安全的中坚力量。主机系统安全包括:身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等。
在服务器系统采用了服务虚拟化的技术。在终端设备上统一配备的企业级杀毒软件,并且在部分终端上安装了上网行为规范管理的软件。
6、技术要求之应用安全
在应用层面运行着信息系统的基于网络的基本应用以及特定业务应用。基于网络的基本应用是形成其他应用的基础,包括消息发送、web浏览等。业务应用采纳基本应用的功能以满足特定业务的要求,如电子商务、电子政务等。应用安全是保护应用程序的安全运行。
我们在现有的系统,按照信息资产对企业重要程度,对系统进行分类,并按照公安部等级保护的思路,根据信息资产不同的重要等级,采取不同的措施进行防护。它的出发点就是要突出重点,要突出重点要害部位,分级负责,分层实施。如我们重要的核心系统,采用双重认证的方式,如密码口令加指纹识别认证的方式。在一些关键系统的核心流程,采用双人指纹认证的方式等。
7、技术要求之数据安全
信息系统处理的各种数据(用户数据、系统数据、业务数据等)在维持系统正常运行上起着至关重要的作用。一旦数据遭到破坏(泄漏、修改、毁坏),都会在不同程度上造成影响,从而危害到系统的正常运行。数据安全就是要保证数据的完整性、保密性和可用性;另外,数据备份是防止数据被破坏后无法恢复的重要手段。数据备份顾名思义,就是将数据以某种方式加以保留,以便在系统遭受破坏或其他特定情况下,重新加以利用的一个过程。数据备份作为存储领域的一个重要组成部分,其在存储系统中的地位和作用都是不容忽视的。对一个完整的rr系统而言,备份工作是其中必不可少的组成部分。其意义不仅在于防范意外事件的破坏,而且还是历史数据保存归档的最佳方式。换言之,即便系统正常工作,没有任何数据丢失或破坏发生,备份工作仍然具有非常大的意义,为我们进行历史数据查询、统计和分析,以及重要信息归档保存提供了可能。
并且数据备份容灾作为系统出现灾难性事故后的最后防线,也是不可缺少的一环。
三、结束语
按照传统和演化后的木桶理论,并遵循三分技术、七分管理的思路,从信息安全管理的组织、管理制度建设,到安全意识的提高,最后结合技术手段,建立完备的信息安全体系,盾安集团正在打造一个相对完整的信息安全保障的木桶。并且随着企业的发展,定期审视现有的信息安全保障方案,结合企业的实际情况做调整和补充。盾安集团在非相关多元化的跨区域民营企业中做了一定的尝试,并且愿意分享我们的信息安全建设的经验和心得。
【关键词】信息安全;多元化集团;木桶理论
【中图分类号】TP309
【文献标识码】A
【文章编号】1672—5158(2012)10-0437-04
一、木桶理论和信息安全
(一)木桶理论的来源
上世纪40年代,美国通用汽车公司的汽车销量一度大幅下滑,当时的总裁阿佛雷特·小斯隆调查发现问题出现在销售上面,业务员们的个人销售状况有很大的差异,于是他决定对销售业绩最好的的那些业务员进行重点培训,有一位加拿大留学生也成为了被重点培养的其中一员。一天,这位加拿大留学生却对阿佛雷特·小斯隆说,培训那些业绩差的业务员要比培训这些成绩好的业务员效果更明显,并且搬来了一个木桶为其进行演示。受到这位年轻人的启发,阿佛雷特·小斯隆做出了一个新决定:让业绩最少的那一部分业务员接受最好的培训。两个月以后,公司的汽车销量不仅很快得到回升,甚至大大超过了原来的水平。
这位加拿大留学生,就是后来成为美国著名管理学家的劳伦斯·彼得,而当初他向通用汽车提出“加长最短的板”的建议,就是后来他最具代表性的管理学说之一的“木桶理论”。
“木桶理论”也称为木桶效应或短板理论,英文名称为Bucketseffect或者Cannikin Law。它的核心内容是指一只木桶想盛满水,必须每块木板都一样平齐且无破损,否则这只桶就无法盛满水。这也就是说一只水桶能盛多少水,并不取决于最长的那块木板,而是取决于最短的那块木板。自“木桶理论”诞生以来,它影响着无数人的思维方式。
(二)木桶理论的演化
在传统的木桶理论基础上,又有新的见解提出,比较典型的有:一个木桶能不能容水,容多少水,除了看最短木板之外,还要看一些关键信息:这个木桶是否有坚实的底板、木板之间是否有缝隙。
1)木桶底板是木桶能否容水的基础
一个完整的木桶,除了木桶中长板、短板,木桶还有底板。正是这谁也不太重视的底板,决定了这只木桶能不能容水,能容多大重量的水。
2)木桶是否有缝隙是木桶能否容水的关键。
木桶能否有效地容水,除了需要坚实的底板外,取决于各块板之间的配合程度,即板与板之间的缝隙大小。若有了缝隙,木桶中的水将会慢慢的渗出,直至不能容纳一滴水。
(三)信息安全的定义
什么是信息?信息可以理解为消息、情报、数据或知识,它可以以多种形式存在,可以是组织中信息设施中存储与处理的数据、程序,可以是打印出来的或写出来的论文、电子邮件、设计图纸、业务方案,也可以显示在胶片上或表达在会话中消息。
信息是一种重要的无形资产,像其他重要的业务资产一样,对组织具有很高价值,因此需要妥善保护。
信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。信息安全是指信息系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。信息安全的特征是为了保证信息的保密性、完整性和可用性。信息系统安全保障是以风险和策略为核心,在信息系统运行环境的整个生命周期中提供包括技术、管理、人员和工程过程在内的综合安全保障,在信息系统中保障信息的这些安全特征,并实现组织的使命。
从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真卖性和可控性的相关技术和理论都是信息安全的研究领域。
广义的计算机系统安全的范围很广,它不仅包括计算机系统本身,还包括自然灾害(如雷电、地震、火灾等),物理损坏(如硬盘损坏、设备使用寿命到期等),设备故障(如停电、电磁干扰等),意外事故等。
狭义的系统安全包括计算机主机系统和网络系统上的主机、网络设备和某些终端设备的安全问题,主要针对对这些系统的攻击、侦听、欺骗等非法手段的防护。
国际互联网络(Internet)是跨越时空的,所以安全问题也是跨越时空的。虽然我们国家的网络还不是很发达,但是我们遭到的安全危险却是同国外一样的,这是一个很严重的问题。
Internet的不安全因素,来自几个方面。一方面,Internet作为一种技术,是面向所有用户的,所有资源均通过网络共享;另一方面,Internet是开放和标准的。Internet过去主要用于科研和学术,现在已发展为商用阶段,但是它的技术基础是不安全的。
在不同的行业,所遭受的攻击因行业和网络服务的不同而不同。在电信或者ICP市场,进攻服务系统比较多;而在银行业,对数据系统的进攻相对更频繁。
(四)木桶理论在信息安全建设领域的应用
把企业的信息资产比喻为木桶的水,则信息安全保障建设就是木桶本身。
将木桶理论应用于企业信息安全领域的重要意义在于,使企业认识到了企业整体信息安全防御能力的强度取决于信息安全体系中最脆弱的环节。根据木桶理论,很多企业都在努力发掘、克服信息安全中的短板,针对信息安全体系中存在的盲区、潜在风险、薄弱点等纷纷部署了不同功能、应用、规模的信息安全产品,例如:针对网络病毒泛滥,在内网安装部署中央控管防病毒系统进行病毒防御;针对互联网非法入侵,在互联网出口安装防火墙、IPS、安全网关等工具进行安全防御。
然而,实践已经证明,在企业信息安全领域应用传统木桶理论仍存在一定缺陷:缺乏系统、整体、科学的统筹规划,导致企业在信息安全措施的运用上存在“据病就医”的不合理现象,很难实现“标本兼治”。实际情况往往是随着信息安全工具、平台、系统越上越多,企业信息安全问题非但没有减少,安全事件发生率、安全隐患、安全风险反而趋于增大,这个问题亟待解决。 根据演化后的木桶理论,针对企业复杂的信息安全形势,提出了新的应用点。
新木桶理论是这样的:一个木桶能不能容水,能容多少水,除了看最短的那块木板以外,还要看另外一些关键信息——一是这个木桶是否有坚实的底板、二是木板之间是否存在缝隙。
1)坚实的底板
拥有坚实的底板,是一个木桶能够盛水的前提基础。企业信息安全基础架构(Information Security Architecture)就是信息安全体系的底板,它全面完整地反映了一个组织机构或系统对安全管理的要求,是对ISO17799(IS020007)安全管理体系的深刻诠释。企业信息安全基础架构由三要素(即资产管理、威胁管理、风险管理)和四个层次(即策略、组织、操作、技术)组成,现对四个层次的主要内容说明如下:
(1)策略层次:体现整个机构的信息安全方针、纲领、标准、制度、规范、参考文献、指南等。
(2)组织层次:建立有效的信息安全组织,并赋予组织成员明确的角色和职责,普及安全知识,实施安全教育,提高全员的安全意识。
(3)操作层次:用户管理、资产管理、环境安全管理,应用系统开发运维管理,业务操作规范等。
(4)技术层次:完整覆盖信息安全体系各个基础要素的技术标准、方案及其实现。
对部分企业而言,由于没有进行过系统的信息安全建设需求调研、分析评估、整体规划,在信息安全建设过程中存在一定的随意性,将安全视为软、硬件产品技术的简单叠加,忽略制度建设,缺乏执行力,其后果可想而知。
针对以上问题,企业应该在具备专业信息安全认证资质的服务商的支持、协助下,运用先进的理念方法,在企业内部自上而下地组织进行一次全面、彻底、深入的信息安全评估,通过认真调研企业的信息安全现状和安全需求,结合企业未来发展战略规划,制订信息安全整体解决方案,分轻重、分缓急、分步骤地逐步予以实施。这里有两个问题需要特别强调:一是执行力度,信息安全工程是典型的“一把手工程”、“全员参与工程”,没有领导的重视和支持,没有员工的普遍接受和参与,没有切实可行的制度保障和考核体系支撑,安全就是一句空话;二是动态需求,信息安全工作只有起点,没有终点,随着企业对信息安全需求的动态变化,木桶的盛水量需求逐渐增大,木桶底板必须不断提高坚实程度。储水量的多少是动态的,目标设定储多少水,决定于做多少长的木板,而不是越多越好。多了是浪费投资,少了是不求进取。并且到了某一个临界点后,提高一点信息安全等级,所投入的成本将会急剧上升,如下图所示。
2)无缝是关键
桶箍的作用在于将一堆独立的木条紧紧联合起来,使木桶成为一个封闭无缝的容器。试想一下,如果没有桶箍,或者箍得不紧,那么木桶仍然无法容水。企业信息安全体系的桶箍是企业信息安全技术、安全产品、安全策略、安全措施等各种对象的有机结合体,其中安全策略是最核心的,安全策略应该是系统的、长期的、整体的。企业应始终坚持应用系统建设与信息安全建设同步规划、同步建设、协调发展的原则,将信息安全体系建设融入到信息化规划、建设、管理和运维的全过程之中。
从信息安全技术的层面看,近年来,计算机网络病毒、攻击手段、破坏方式经常是融合多种技术的,这就需要企业各信息安全子系统之间密切配合、协同工作、联动整合、主动防御。例如:在2005年,防病毒软件提供的主要功能是病毒的检测、处置,功能相对单一;到了2010年,木马、间谍软件、灰色软件、黑客软件成为主流病毒,这些病毒很多都是利用了TCP/IP协议栈、网络系统、操作系统的各种漏洞,单一凭借防病毒软件很难彻底清除,所以防病毒软件都不同程度地集成整合了防火墙、漏洞扫描、补丁更新管理、主动防御等功能,以满足桌面安全管理的市场需要。企业在信息安全体系的构建上,应突出强调整体安全策略、全局安全措施、长期安全保障,各种安全措施和手段之间需要加强协作配合。
基于传统的木桶理论让企业在信息安全建设过程中意识到了要优先解决最严重的问题,但是一味强调克服“短板效应”,忽视木桶底板及桶箍的作用,势必导致信息安全体系不健壮、不成熟、不完善。企业应根据信息安全等级保护的要求,在信息安全建设上突出重点、保障关键应用、统一规划、分级管理,构建一个可量化、可操控、可信任、可管理的信息安全体系。
二、盾安集团信息安全建设实践
(一)盾安集团简介及信息化建设现状
盾安集团是一家跨区域发展的多元化产业集团,主要产业涵盖先进制造、民爆化工、科技房产、新材料开发、资源与能源开发、投资管理等领域。集团创建于1987年,位列“中国企业500强”第371位(2011年),中国民营企业500强第49位(2012年)、中国民营企业制造业500强第34位(2012年),是“中国大企业集团竞争力”百强单位,“中国企业社会责任优秀实践奖”单位。
盾安集团以创新为依托,以“产业+资本”为运营模式,以“绿色节能、低碳环保”为发展主旋律,在企业跨越式发展过程中迈出了坚实而有力的步伐,基本完成先进制造、民爆化工、新能源、新材料、房地产开发、资源开发以及投资管理七大事业板块的战略布局。在突破国外技术封锁,核心产品国产化;核心技术领先示范,推动行业技术标准化;引领行业产品绿色化,实现可持续发展等方面实现了系列突破。
目前,盾安集团拥有员工一万六千余人,下属骨干企业80余家,其中高新技术企业22家,且分布在全国大部分省市,在境外也有分支机构。有国家认定企业技术中心1个,省级技术中心3个,国家级博士后工作站1个,企业研究院3个。目前控股2家上市公司:盾安环境(002011)、江南化工(002226)。
盾安集团信息化建设起步较早,至今为止,整个集团已上线50多个骨干信息系统,且陆续将有新的系统上线。应用系统涵盖业务管理系统,办公自动化系统、信息网站、ERP系统等。计算机网络以百兆主干网为依托,联网范围覆盖到所有二级单位的管理部门和生产车间,信息化已渗透到了集团公司及下属产业公司生产经营管理的各个层面。这些应用系统在集团公司内部、远程异地的各个下属企业中运行。随着信息化程度的提高,信息技术“双刃剑”效应使信息安全问题日益突出,信息安全需求已从原来的系统安全和网络安全逐渐深入到系统内部体系安全和数据安全上,并开始对管理体系造成一定的影响。 (二)盾安集团信息安全建设思路
盾安集团需要一个怎样的科学的信息安全保障体系结构呢?笔者认为,要提出一个信息安全保障体系结构,起码应该考虑以下几个问题:一是保障信息安全,必须有哪些环节;二是这些环节应该能够全面衡量信息安全的保障能力;三是应该能够从宏观上指导信息安全保障体系的建设,而且在微观上能够推动具体的技术、政策、管理、标准和人员素质的发展和提高,而且应该把握住相应的评测原则。
信息系统安全保障是关于组织保障其信息系统,从而保障组织的信息和资产,最终保障组织的使命,并为组织信息系统的所有相关方提供信心的复杂系统学科。我们可以从以下方面理解和思考信息系统安全保障。
(1)信息系统安全保障不仅仅是一门技术学科,而是综合技术、管理和人,是一门复杂的系统学科。在技术上讲,不应只考虑具体的产品和技术,而应进一步考虑信息系统整体的信息技术系统体系结构。在管理上,应考虑建立综合的信息系统安全保障、信息化的组织管理体系,明晰相应的岗位职责;信息系统安全保障应建立完善的规章制度并严格执行。在人员上,应加强所有使用信息系统人员的安全意识和能力,以及信息系统专业人员的专业技能和能力。
(2)信息系统安全保障不仅仅是一种项目性的暂时行为,而应融入信息系统生命周期的全过程,应考虑和覆盖信息系统计划组织、开发采购、实施交付、运行维护和废弃的整个生命周期,形成信息系统安全保障能力的长效机制。在具体实践中,信息系统安全保障工作应同信息化建设同步规划、同步建设,还应加强安全工程的建设和监理管理。
(3)信息系统安全保障的目的不仅仅是保障信息系统本身,其根本目的是通过保障信息系统从而保障信息系统所支持的业务系统、保障组织的使命。信息系统安全保障不仅仅涉及信息系统本身,信息系统安全保障应以业务为主导、以组织的使命、社会职责和社会服务性为出发点和根本。
(4)信息系统安全保障不仅仅是孤立的自身的问题,还需要考虑电信、电力等提供基础设施的支持、需要承担保密、公共安全和国家安全等社会职责,因此是一个社会化、需要各方参与的综合性工作。
下图是盾安集团按照IS027000提供的方法论,结合盾安集团的实际情况,开展的信息安全建设的步骤。
按照木桶理论,在“资产识别”阶段,首先要确定信息安全体系所要保护的信息资产有哪些,即确定木桶需要的储水量。然后结合第三方的信息安全专业提供商,针对现有的“信息资产”范围,进行脆弱性和威胁评估,并根据评估的结果制定对应的风险控制措施,分析现有信息系统、管理体系中的漏洞、短板,有针对的制定控制措施,即根据要保护的目标,制定合适的信息安全木桶,并充分考虑了自己的短板。最后分析还有哪些残余的分析,并评估的这些残余的风险,企业是否可以接受。因为信息安全没有绝对的“安全”,在综合考虑实施时间、投入成本等因素后,必须取得一个平衡点。
最后,以上的四个行动步骤还是不断迭代的过程,以两年为一个周期,根据企业的现状,重新识别“信息资产”,然后迭代重复以上的步骤。信息安全工作随着企业对信息安全需求的动态变化,木桶的盛水量需求将发生变化,甚至所储存的水本身也会发生变化,因此木桶本身必须跟着调整。并且在特定的阶段,目标设定储多少水,决定于做多少长的木板,而不是越多越好。多了是浪费投资,少了是达不到信息安全保障的目标要求。
(三)盾安集团信息安全建设的具体措施
盾安集团的信息安全建设主要从技术和管理两个层面入手:
1、管理要求之安全管理制度和安全管理机构
1)把信息安全纳入公司安全管理的范畴。从上到下,建立如下的组织体系:
◆安全领导小组(公司高层领导层);
2)、配合组织体制建设并落实信息安全规章制度
a)信息安全保密制度
完善现有的保密协议,增加信息安全的相关内容,并明确保密期限和泄密的处罚措施。
◆控股公司和所有下属公司的在职员工补签新的保密协议,新员工直接签订新的保密协议;
◆外协单位的员工在公司内工作,也需要签订对应的保密协议;
◆对信息系统管理员和一些接触到核心数据的人员,额外再签订保密协议
b)软件系统升级制度
c)中心机房管理制度
d)计算机用户管理制度
e)服务器定期巡检维护制度
2、建立信息安全培训体系
信息安全坚持“防内为主,内外兼防”的方针,通过内部力公平台、会议、媒介加大信息安全宣传力度,提高全员信息安全意识,尤其是加强组织或企业内部人员的信息安全知识培训与教育,提高员工的信息安全自律水平。信息安全培训针对公司中高层、信息技术人员、普通员工分别制定不同的培训策略。
信息安全的建设离不开公司高层的大力支持,对公司的高层领导的信息安全意识的宣贯尤其重要。对公司中高层培训的重点重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制定等。
系统管理员是直接和系统打交道的高级计算机工作者,在整个网络维护中的地位非常重要。国内系统安全面临的最大问题是有着丰富系统安全经验尤其是主动发现黑客的系统管理员非常少。由于和黑客的战斗是一场智力的斗争,也是计算机网络知识的交锋,所以需要迫切地给各种系统管理员进行有效地的系统安全培训,掌握计算机安全的高级知识,了解黑客使用的流行手段,并能采取必要的防范措施,从管理制度的层面看,负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。
在企业各部门工作的普通员工是能够接触主要服务系统的工作人员,这部分使用者的人数最多,在整个信息安全体系中也是最薄弱的环节。为了确保安全,建议对所有的职工,都要加强信息安全意识的培训,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责;且要按周期重复的培训,以形成良好的信息安全习惯。针对新员工,在入职教育中,要增加信息安全的培训内容。 对与弥补信息安全这个“木桶”各块木板之间的缝隙,信息安全的培训是比较好的方式。
3、技术要求之物理安全
物理安全保护的目的主要是使存放计算机、网络设备的机房以及信息系统的设备和存储数据的介质等免受物理环境、自然灾难以及人为操作失误和恶意操作等各种威胁所产生的攻击。物理安全是防护信息系统安全的最底层,缺乏物理安全,其他任何安全措施都是毫无意义的。
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等。
针对物理安全的需要,盾安集团在2011上半年把原先在盾安发展大厦的主机房中的服务器,迁移到中国电信的IDC机房中,并租用了10个机柜,建立了一个专门的VIP区域。
4、技术要求之网络安全
网络安全为信息系统在网络环境的安全运行提供支持,确保网络设备的安全运行,提供有效的网络服务,确保在网上传输数据的保密性、完整性和可用性等。
由于网络环境是抵御外部攻击的第一道防线,因此必须进行各方面的防护。对网络安全的保护,主要关注两个方面:共享和安全。
开放的网络环境便利了各种资源之间的流动、共享,但同时也带来各种安全问题,必须在二者之间寻找恰当的平衡点,使得在尽可能安全的情况下实现最大程度的资源共享,这是实现网络安全的理想目标。
由于整个盾安集团下属的企业在全国各地分部区域较广,在2011年初,我们邀请的第三方的外部专家,评审盾安集团网络总体架构规划。各地的分支机构访问总部的信息系统,全部通过SSLVPN通信隧道加密的方式,并在几个规模较大的产业集团与总部之间,采用光纤或数据专线的方式连接,确保网络通讯的顺畅,在几个子网的对外接口处部署防火墙,在数据流量较大的关键系统部署了负载均衡和集群的方案。
5、技术要求之主机安全
主机安全是包括服务器、终端/工作站等在内的计算机设备以及在操作系统/数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机,服务器则包括应用程序、网络、web、文件与通信等服务器。
主机系统是构成信息系统的主要部分,其上承载着各种应用。因此,主机系统安全是保护信息系统安全的中坚力量。主机系统安全包括:身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等。
在服务器系统采用了服务虚拟化的技术。在终端设备上统一配备的企业级杀毒软件,并且在部分终端上安装了上网行为规范管理的软件。
6、技术要求之应用安全
在应用层面运行着信息系统的基于网络的基本应用以及特定业务应用。基于网络的基本应用是形成其他应用的基础,包括消息发送、web浏览等。业务应用采纳基本应用的功能以满足特定业务的要求,如电子商务、电子政务等。应用安全是保护应用程序的安全运行。
我们在现有的系统,按照信息资产对企业重要程度,对系统进行分类,并按照公安部等级保护的思路,根据信息资产不同的重要等级,采取不同的措施进行防护。它的出发点就是要突出重点,要突出重点要害部位,分级负责,分层实施。如我们重要的核心系统,采用双重认证的方式,如密码口令加指纹识别认证的方式。在一些关键系统的核心流程,采用双人指纹认证的方式等。
7、技术要求之数据安全
信息系统处理的各种数据(用户数据、系统数据、业务数据等)在维持系统正常运行上起着至关重要的作用。一旦数据遭到破坏(泄漏、修改、毁坏),都会在不同程度上造成影响,从而危害到系统的正常运行。数据安全就是要保证数据的完整性、保密性和可用性;另外,数据备份是防止数据被破坏后无法恢复的重要手段。数据备份顾名思义,就是将数据以某种方式加以保留,以便在系统遭受破坏或其他特定情况下,重新加以利用的一个过程。数据备份作为存储领域的一个重要组成部分,其在存储系统中的地位和作用都是不容忽视的。对一个完整的rr系统而言,备份工作是其中必不可少的组成部分。其意义不仅在于防范意外事件的破坏,而且还是历史数据保存归档的最佳方式。换言之,即便系统正常工作,没有任何数据丢失或破坏发生,备份工作仍然具有非常大的意义,为我们进行历史数据查询、统计和分析,以及重要信息归档保存提供了可能。
并且数据备份容灾作为系统出现灾难性事故后的最后防线,也是不可缺少的一环。
三、结束语
按照传统和演化后的木桶理论,并遵循三分技术、七分管理的思路,从信息安全管理的组织、管理制度建设,到安全意识的提高,最后结合技术手段,建立完备的信息安全体系,盾安集团正在打造一个相对完整的信息安全保障的木桶。并且随着企业的发展,定期审视现有的信息安全保障方案,结合企业的实际情况做调整和补充。盾安集团在非相关多元化的跨区域民营企业中做了一定的尝试,并且愿意分享我们的信息安全建设的经验和心得。