论文部分内容阅读
传统的木桶理论已经远远不够;企业应根据新木桶理论的指导,在信息安全建设上突出重点、保障关键应用、统一规划、分级管理,构建一个可量化、可操控、可信任、可管理的信息安全体系。
木桶理论的缺陷
木桶理论可谓众所周知:一个由许多块长短不同的木板箍成的木桶,决定其容水量大小的,并非是其中最长的那块木板、或全部木板长度的平均值,而是取决于其中最短的那块木板。
将木桶理论应用于企业信息安全领域的重要意义在于,使企业认识到了企业整体信息安全防御能力的强度取决于信息安全体系中最脆弱的环节。根据木桶理论,很多企业都在努力发掘、克服信息安全中的短板,针对信息安全体系中存在的盲区、潜在风险、薄弱点等纷纷部署了不同功能、应用、规模的信息安全产品,例如:针对网络病毒泛滥,在内网安装部署中央控管防病毒系统进行病毒防御;针对互联网非法入侵,在互联网出口安装防火墙、IPS、安全网关等工具进行安全防御。
然而,实践已经证明,在企业信息安全领域应用木桶理论仍存在一定缺陷:缺乏系统、整体、科学的统筹规划,导致企业在信息安全措施的运用上存在“据病就医”的不合理现象,很难实现“标本兼治”。实际情况往往是随着信息安全工具、平台、系统越上越多,企业信息安全问题非但没有减少,安全事件发生率、安全隐患、安全风险反而趋于增大,这个问题亟待解决。
新木桶理论
新木桶理论是这样的:一个木桶能不能容水,能容多少水,除了看最短的那块木板以外,还要看另外一些关键信息——一是这个木桶是否有坚实的底板、二是木板之间是否存在缝隙。
一个完整的木桶除了长板、短板之外,还有底板。正是这块底板,构成了企业信息安全的基础架构(Information Security Architecture),其中包括信息安全工作相关的组织机构、管理策略、规章制度、操作流程、运维体系等。
木桶能否有效盛水,除了需要坚实的底板之外,木板之间的缝隙同样至关重要。对于一个信息安全体系而言,不同功能、厂家、规格的信息安全产品之间的协作、联动、集成有如木板之间的缝隙,很容易被忽视,这样所导致的安全风险和危害往往是最严重的。
坚实的底板
拥有坚实的底板,是一个木桶能够盛水的前提基础。企业信息安全基础架构就是信息安全体系的底板,它全面完整地反映了一个组织机构或系统对安全管理的要求,是对ISO17799安全管理体系的深刻诠释。企业信息安全基础架构由三要素(即资产管理、威胁管理、风险管理)和四个层次(即策略、组织、操作、技术)组成,现对四个层次的主要内容说明如下:
(1)策略层次:体现整个机构的信息安全方针、纲领、标准、制度、规范、参考文献、指南等。
(2)组织层次:建立有效的信息安全组织,并赋予组织成员明确的角色和职责,普及安全知识,实施安全教育,提高全员的安全意识。
(3)操作层次:用户管理、资产管理、环境安全管理,应用系统开发运维管理,业务操作规范等。
(4)技术层次:完整覆盖信息安全体系各个基础要素的技术标准、方案及其实现。
对部分企业而言,由于没有进行过系统的信息安全建设需求调研、分析评估、整体规划,在信息安全建设过程中存在一定的随意性,将安全视为软、硬件产品技术的简单叠加,忽略制度建设,缺乏执行力,其后果可想而知。
针对以上问题,企业应该在具备专业信息安全认证资质的服务商的支持、协助下,运用先进的理念方法,在企业内部自上而下地组织进行一次全面、彻底、深入的信息安全评估,通过认真调研企业的信息安全现状和安全需求,结合企业未来发展战略规划,制订信息安全整体解决方案,分轻重、分缓急、分步骤地逐步予以实施。这里有两个问题需要特别强调:一是执行力度,信息安全工程是典型的“一把手工程”、“全员参与工程”,没有领导的重视和支持,没有员工的普遍接受和参与,没有切实可行的制度保障和考核体系支撑,安全就是一句空话;二是动态需求,信息安全工作只有起点,没有终点,随着企业对信息安全需求的动态变化,木桶的盛水量需求逐渐增大,木桶底板必须不断提高坚实程度。
无缝是关键
桶箍的作用在于将一堆独立的木条紧紧联合起来,使木桶成为一个封闭无缝的容器。试想一下,如果没有桶箍,或者箍得不紧,那么木桶仍然无法容水。企业信息安全体系的桶箍是企业信息安全技术、安全产品、安全策略、安全措施等各种对象的有机结合体,其中安全策略是最核心的,安全策略应该是系统的、长期的、整体的。企业应始终坚持应用系统建设与信息安全建设同步规划、同步建设、协调发展的原则,将信息安全体系建设融入到信息化规划、建设、管理和运维的全过程之中。
信息安全策略也叫信息安全方针,是企业对信息化相关全部资源(人、财、物、信息)进行管理、保护和分配的原则,是有关信息安全的行为规范。信息安全策略主要解决两大问题:一是明确企业员工的信息资源访问权限及流程(重点),告诉员工在日常的工作中什么是可以做的、什么是必须做的、什么是允许做的、什么是禁止做的;二是清晰阐述针对各类信息资源的防御措施及流程(难点),说明什么信息资源是需要保护的、安全保护等级是什么、保护措施是什么、保护措施的优先次序、保护措施之间的关联关系等。企业应根据信息安全等级保护的原则,识别出各类潜在的信息安全风险,并制订出详尽的信息安全风险应对策略(包括风险避免、风险转移、风险减轻、风险接受)。
近年来,计算机网络病毒、攻击手段、破坏方式经常是融合多种技术的,这就需要企业各信息安全子系统之间密切配合、协同工作、联动整合、主动防御。例如:在2005年,防病毒软件提供的主要功能是病毒的检测、处置,功能相对单一;到了2010年,木马、间谍软件、灰色软件、黑客软件成为主流病毒,这些病毒很多都是利用了TCP/IP协议栈、网络系统、操作系统的各种漏洞,单一凭借防病毒软件很难彻底清除,所以防病毒软件都不同程度地集成整合了防火墙、漏洞扫描、补丁更新管理、主动防御等功能,以满足桌面安全管理的市场需要。企业在信息安全体系的构建上,应突出强调整体安全策略、全局安全措施、长期安全保障,各种安全措施和手段之间需要加强协作配合。
传统的木桶理论让企业在信息安全建设过程中意识到了要优先解决最严重的问题,但是一味强调克服“短板效应”,忽视木桶底板及桶箍的作用,势必导致信息安全体系不健壮、不成熟、不完善。企业应根据信息安全等级保护的要求,在信息安全建设上突出重点、保障关键应用、统一规划、分级管理,构建一个可量化、可操控、可信任、可管理的信息安全体系。
木桶理论的缺陷
木桶理论可谓众所周知:一个由许多块长短不同的木板箍成的木桶,决定其容水量大小的,并非是其中最长的那块木板、或全部木板长度的平均值,而是取决于其中最短的那块木板。
将木桶理论应用于企业信息安全领域的重要意义在于,使企业认识到了企业整体信息安全防御能力的强度取决于信息安全体系中最脆弱的环节。根据木桶理论,很多企业都在努力发掘、克服信息安全中的短板,针对信息安全体系中存在的盲区、潜在风险、薄弱点等纷纷部署了不同功能、应用、规模的信息安全产品,例如:针对网络病毒泛滥,在内网安装部署中央控管防病毒系统进行病毒防御;针对互联网非法入侵,在互联网出口安装防火墙、IPS、安全网关等工具进行安全防御。
然而,实践已经证明,在企业信息安全领域应用木桶理论仍存在一定缺陷:缺乏系统、整体、科学的统筹规划,导致企业在信息安全措施的运用上存在“据病就医”的不合理现象,很难实现“标本兼治”。实际情况往往是随着信息安全工具、平台、系统越上越多,企业信息安全问题非但没有减少,安全事件发生率、安全隐患、安全风险反而趋于增大,这个问题亟待解决。
新木桶理论
新木桶理论是这样的:一个木桶能不能容水,能容多少水,除了看最短的那块木板以外,还要看另外一些关键信息——一是这个木桶是否有坚实的底板、二是木板之间是否存在缝隙。
一个完整的木桶除了长板、短板之外,还有底板。正是这块底板,构成了企业信息安全的基础架构(Information Security Architecture),其中包括信息安全工作相关的组织机构、管理策略、规章制度、操作流程、运维体系等。
木桶能否有效盛水,除了需要坚实的底板之外,木板之间的缝隙同样至关重要。对于一个信息安全体系而言,不同功能、厂家、规格的信息安全产品之间的协作、联动、集成有如木板之间的缝隙,很容易被忽视,这样所导致的安全风险和危害往往是最严重的。
坚实的底板
拥有坚实的底板,是一个木桶能够盛水的前提基础。企业信息安全基础架构就是信息安全体系的底板,它全面完整地反映了一个组织机构或系统对安全管理的要求,是对ISO17799安全管理体系的深刻诠释。企业信息安全基础架构由三要素(即资产管理、威胁管理、风险管理)和四个层次(即策略、组织、操作、技术)组成,现对四个层次的主要内容说明如下:
(1)策略层次:体现整个机构的信息安全方针、纲领、标准、制度、规范、参考文献、指南等。
(2)组织层次:建立有效的信息安全组织,并赋予组织成员明确的角色和职责,普及安全知识,实施安全教育,提高全员的安全意识。
(3)操作层次:用户管理、资产管理、环境安全管理,应用系统开发运维管理,业务操作规范等。
(4)技术层次:完整覆盖信息安全体系各个基础要素的技术标准、方案及其实现。
对部分企业而言,由于没有进行过系统的信息安全建设需求调研、分析评估、整体规划,在信息安全建设过程中存在一定的随意性,将安全视为软、硬件产品技术的简单叠加,忽略制度建设,缺乏执行力,其后果可想而知。
针对以上问题,企业应该在具备专业信息安全认证资质的服务商的支持、协助下,运用先进的理念方法,在企业内部自上而下地组织进行一次全面、彻底、深入的信息安全评估,通过认真调研企业的信息安全现状和安全需求,结合企业未来发展战略规划,制订信息安全整体解决方案,分轻重、分缓急、分步骤地逐步予以实施。这里有两个问题需要特别强调:一是执行力度,信息安全工程是典型的“一把手工程”、“全员参与工程”,没有领导的重视和支持,没有员工的普遍接受和参与,没有切实可行的制度保障和考核体系支撑,安全就是一句空话;二是动态需求,信息安全工作只有起点,没有终点,随着企业对信息安全需求的动态变化,木桶的盛水量需求逐渐增大,木桶底板必须不断提高坚实程度。
无缝是关键
桶箍的作用在于将一堆独立的木条紧紧联合起来,使木桶成为一个封闭无缝的容器。试想一下,如果没有桶箍,或者箍得不紧,那么木桶仍然无法容水。企业信息安全体系的桶箍是企业信息安全技术、安全产品、安全策略、安全措施等各种对象的有机结合体,其中安全策略是最核心的,安全策略应该是系统的、长期的、整体的。企业应始终坚持应用系统建设与信息安全建设同步规划、同步建设、协调发展的原则,将信息安全体系建设融入到信息化规划、建设、管理和运维的全过程之中。
信息安全策略也叫信息安全方针,是企业对信息化相关全部资源(人、财、物、信息)进行管理、保护和分配的原则,是有关信息安全的行为规范。信息安全策略主要解决两大问题:一是明确企业员工的信息资源访问权限及流程(重点),告诉员工在日常的工作中什么是可以做的、什么是必须做的、什么是允许做的、什么是禁止做的;二是清晰阐述针对各类信息资源的防御措施及流程(难点),说明什么信息资源是需要保护的、安全保护等级是什么、保护措施是什么、保护措施的优先次序、保护措施之间的关联关系等。企业应根据信息安全等级保护的原则,识别出各类潜在的信息安全风险,并制订出详尽的信息安全风险应对策略(包括风险避免、风险转移、风险减轻、风险接受)。
近年来,计算机网络病毒、攻击手段、破坏方式经常是融合多种技术的,这就需要企业各信息安全子系统之间密切配合、协同工作、联动整合、主动防御。例如:在2005年,防病毒软件提供的主要功能是病毒的检测、处置,功能相对单一;到了2010年,木马、间谍软件、灰色软件、黑客软件成为主流病毒,这些病毒很多都是利用了TCP/IP协议栈、网络系统、操作系统的各种漏洞,单一凭借防病毒软件很难彻底清除,所以防病毒软件都不同程度地集成整合了防火墙、漏洞扫描、补丁更新管理、主动防御等功能,以满足桌面安全管理的市场需要。企业在信息安全体系的构建上,应突出强调整体安全策略、全局安全措施、长期安全保障,各种安全措施和手段之间需要加强协作配合。
传统的木桶理论让企业在信息安全建设过程中意识到了要优先解决最严重的问题,但是一味强调克服“短板效应”,忽视木桶底板及桶箍的作用,势必导致信息安全体系不健壮、不成熟、不完善。企业应根据信息安全等级保护的要求,在信息安全建设上突出重点、保障关键应用、统一规划、分级管理,构建一个可量化、可操控、可信任、可管理的信息安全体系。