论文部分内容阅读
摘要:组织的信息安全管理必须以信息管理为基础、并为信息管理服务,脱离信息本身而谈论信息安全是没有意义的。GB/T22080—2008标准追求的目标只是资产安全、而不是信息安全。现行信息管理学的研究对象主要是信息技术管理,作为组织重要资源的信息本体的管理理论几乎是一片空白。笔者期望依据组织结构建立组织的信息结构,在信息整个生命周期的五个阶段全面规范组织的信息管理,通过对信息、信息资产、信息安全等概念的进一步分析,提出了信息域、信息交通图等概念,并对信息的保密性、完整性和可用性管理提出了全新的诠释。最后,依据GB/T22080—2008标准关于风险评估的思想,提出了一种较为适用的风险评估方法。
关键词:信息;信息域;信息安全;信息交通图;风险管理
随着以互联网技术为代表的现代信息技术(Information Technology,简称IT)前所未有的高速发展和巨大成就,从个人到组织、再到整个社会对于信息技术的依赖程度已经达到了不可或缺的地步,信息安全也因此引起了人们的高度重视,GB/T22080—2008/ ISO/IEC27001:2005《信息技术 安全技术 信息安全管理体系 要求》(以下简称GB/T22080—2008)标准的颁布和实施标志着信息安全管理正式成为我国组织管理的一个重要组成部分。虽然如此,我们对于“信息安全”的概念似乎并没有正确的认识,一个非常明显的现象是:GB/T22080—2008标准以资产安全管理代替信息安全管理,但是,正如笔者在《信息安全及其风险评估标准和实务再辨析》一文中所认证的那样:资产安全并不能代替信息安全,所以我们需要进一步寻求信息安全管理的真正解决之道。
一、有关信息管理的基本概念
人们对于信息安全的重视源于对于信息资源重要性的认识。信息,作为与物质、能量同等重要的战略性资源,今天已经占领了我们社会各行各业的制高点,成为影响我们社会个人、组织以及政府决策和成功的第一位决定性因素。人们关注信息安全的重要性,正是基于对信息本身高度重要性考量的结果。毫无疑问,信息安全管理属于信息管理的一项重要内容,二者相辅相成、不可分离:信息安全管理必须以信息管理为基础、服务于信息管理的需要,否则就是无源之水、无本之木;信息管理必须以信息安全管理为保障、满足信息安全要求,否则必定风险重重、危机四伏。然而,GB/T22080—2008作为组织信息安全管理的专业性标准,它不但丝毫没有关注组织的信息管理要求,而且以资产安全管理代替信息安全管理,不能不令人感到非常惊诧。
当我们将视线进一步转向更加宽广的领域去寻求有关信息管理的理论与实践知识的时候,我们更加惊讶地发现:我们现有的信息管理和信息安全管理基本上都是针对信息技术系统的管理,大量的专业书籍中只有少量的针对社会的信息管理知识,如科技情报管理等,针对组织的信息管理理论与实践知识基本上为空白。
如果没有适用于组织的信息管理,如何能够建立起适用于组织的信息安全管理?
长期以来,人们以信息技术管理代替信息管理,这种情况固然有其历史的原因,但是今天是我们改变这种观念的时候了。在以计算机和互联网为代表的信息技术发展的早期,由于社会的专业分工尚不够充分和完善,那时候比较重视信息技术的使用,将信息管理包含在组织信息技术的管理和使用之中,这是技术发展的一个过程,是可以理解的。然而,今天的计算机和互联网等信息技术已经非常专业和普及,而信息资源本身的重要性也已经非常突出,如果我们依然将信息技术管理和信息管理混淆在一起,就难以满足现实大型、复杂组织的管理要求了。计算机和互联网等信息技术之于其中的信息,就如同传统行业中的生产设备与其产品一样,如果在传统行业中不能将生产设备等基础设施的管理与生产管理混为一谈,我们今天又怎么能将信息技术管理和信息管理混淆在一起呢?一位从事个体运输的车辆驾驶员可能同时也是该车辆的日常维护人员,但是我们无法要求一架战斗机的驾驶员同时也负责该飞机的运行维护,同样道理:一个分工明确的现代企业也应该将其信息管理与其信息技术管理进行明确的专业分离,组织的信息技术管理必须服从于信息管理和信息安全管理的要求,否则我们不但不可能建立起现代的信息产业与信息技术产业,也不可能建立起现代的信息组织与信息技术组织。
什么是信息?人们对于“信息”这个概念有不同的理解,目前还没有公认准确的定义。笔者认为:所有的事物中均包含有各种信息,事物是信息的载体、是信息的表现形式,信息是对事物的自然属性与社会属性及其相互关系的反映,事物的自然属性与社会属性及其相互关系的总和就构成了该事物所含有的信息量。事物的自然属性提供给人们关于事物的自然信息,事物的社会属性提供给人们关于事物的社会信息,但是事物的自然属性可以转化为社会属性,从而提供给人们所需要的社会信息。例如:人的表情、动作本来属于自然属性,但是当人们用表情来表达其内心思想、情绪的时候,就赋予了其社会意义,因而就具有了社会属性。GB/T19000—208标准关于质量的定义“一组固有特性满足要求的程度”就是对物体自然属性和社会属性相互关系的描述,“固有特性”是物体先天固有的自然属性,“满足要求”就是物体被后天赋予的社会属性。
笔者认为:信息的唯一价值在于其目的性。在日常的生活和工作过程中,我们只需要关心与其目的相关的信息,对于那些与其目的无关、或者关联微小的信息,我们往往是忽略的,例如:一般人使用移动硬盘存储数据,主要关注硬盘的容量、转速、缓存、接口等信息,至于该硬盘的制造信息、一般人是不会关注的,虽然该硬盘从理论上包含有其全部的制造信息;对于硬盘的重量、尺寸、美观等属性信息,也会成为我们考虑的因素之一。因为离开信息的目的性谈论信息的价值是没有意义的,所以,信息的目的性才是我们从事信息管理和信息安全管理的唯一依据。
从是否存在信息的角度考察,组织中只有二类资产:信息资产和非信息资产,前者是包含信息的资产,后者是不包含信息的资产。在信息管理中,我们所说的“信息”指的是与组织业务相关的有效信息,这是由信息的目的性决定的。一块移动硬盘,如果其中存储有与组织业务相关的信息数据,它就属于信息资产;否则,如果它只是一块备用的空白硬盘、或者其中存储的信息数据与组织的业务无关,它就属于非信息资产。GB/T22081—2008/ ISO/IEC27001:2005《信息技术 安全技术 信息安全管理实用规则》(以下简称GB/T22081—2008)标准“7.1.1资产清单”条款没有给出“信息资产”的定义,它通过举例的方式主要将“文件”列举为信息资产,本人认为这种分类并不准确,因为它使我们无法区分以上二种硬盘的价值。 根据信息在组织中的存在方式,可以将信息分为二类:规范性信息和非规范性信息,前者是指文件等经过加工的正式信息,后者指消息、知识、经验等没有经过加工的非正式信息。由于消息、知识、经验等非规范性信息主要存在于人的意识中,所以,对于那些掌握有组织业务相关信息的员工属于组织的信息资产,那些不掌握组织业务相关信息的员工则属于组织的非信息资产。GB/T19000—2008/ISO9000:2005标准3.7.2条款将“文件”定义为“信息及其承载媒介”并不准确,因为在组织员工的大脑中也存在有业务信息,员工同样是信息的载体,但是我们不会将员工看作文件;同样道理,在计算机中存在有大量的信息,计算机也是信息的载体,但是我们并不会认为计算机是文件(个人认为可以将“文件”定义为“适用信息的表现形式”)。
根据信息对于组织业务的影响,可以将信息分为积极信息和消极信息。积极信息对于组织的目的和业务具有促进与帮助作用,是有益信息,也可以称之为正信息;反之则为消极信息、无益或有害信息、垃圾信息、负信息,正信息属于组织的正资产,负信息属于组织的负资产,这二类信息都是组织信息管理的内容,不可忽略。
从信息的目的性考察GB/T22080—2008标准关于“信息安全”的定义似乎并不准确。该标准“3.4信息安全”条款给出的定义是:“保持信息的保密性、完整性、可用性;另外也可包括例如真实性、可核查性、不可否认性和可靠性等”,这个术语令人不知所云。一方面,它似乎没有表述清楚,什么叫做“也可包括”?究竟“包括”还是“不包括”?另一方面,其中的很多意义非常模糊,例如:关于“完整性”,信息的“完整性”如何定义?信源(提供方信息)的完整性与信宿(接收方信息)的完整性是同样定义的吗?信息的完整性是否就是指文件的完整性?电子类信息与纸质类信息的完整性定义有什么区别?等等;信息的“真实性”是必须的吗?《孙子兵法》说“兵不厌诈”怎么解释?(虚假信息所涉及的道德与法律问题属于其它领域所研究的课题)笔者认为:信息安全指的是信息可能产生的实际效用与其主观目的之间的关系,“可能”表示的是一种可能性,只要存在某种损害信息安全的可能性、即使这种损害目前尚未发生,我们也认为它是不安全的。目的性才是信息安全的根本出发点,目的性决定了对于信息的保密性、真实性等属性的需求,如果信息发生的实际效用与其目的一致,我们就认为实现了信息安全;否则,就意味着失去了信息安全。
从信息的目的性考察,信息的可用性受到二方面因素的影响:一是信息内容的可用性,包括真实性、全面性等,我们称之为第一类可用性,需要在信息使用前加以确认;二是信息的使用条件如保密性、完整性等是否满足要求,我们称之为第二类可用性,不仅在信息使用前需要加以确认,在信息的使用过程中也需要加以保持,以防止发生可能的丢失。全面性指信息的内容是否片面、是否包含了有关各方面的全部事实或观点,完整性指信息在传递过程中是否存在缺失或失真的现象,二者不同。根据信息对于其目的的影响可以确定二种类型的信息安全:保持己方信息的保密性、可用性等,使得己方的目的不受伤害,这是知己、是消极的防守型信息安全管理;能够及时获取所需要的信息,以帮助己方目的的实现,这是知彼、是积极的进攻型信息安全管理。我们应该保障最低限度的消极的信息安全管理目标的实现,并努力追求积极的信息安全管理目标。组织从外部环境中获取信息与使用信息的能力代表了组织的信息安全管理水平,军事理论认为:进攻是最好的防守,在信息安全领域这一理论同样适用、不能例外。
以美国针对前伊拉克萨达姆政权发动的二次海湾战争为例,美国政府以前伊拉克萨达姆政权拥有“大规模杀伤性武器”这一理由成功地摧毁了萨达姆政权、实现了其战略目的,这是一个典型的积极进攻型信息安全管理的成功实例,虽然从今天看来其“理由”也许并不符合道义;与此形成鲜明对比的是:前伊拉克萨达姆政权面对是否存在“大规模杀伤性武器”这一信息安全问题始终不能取信于国际社会,完全采取消极防守型信息安全管理策略,最终导致了其彻底灭亡的命运。这一现实而残酷的事例告诉我们:完全的消极防守型信息安全管理策略也许并不能保障组织的安全!
采用消极防守型信息安全管理策略导致组织失败的事例在经济与商业领域也屡见不鲜。以当前竞争最激烈的手机市场为例,在苹果的iPhone手机诞生之前,诺基亚(Nokia)、摩托罗拉(Motorola)等品牌的手机垄断国际市场多年而不变,苹果iPhone的成功在于其采用积极进攻型的信息安全管理策略,诺基亚(Nokia)、摩托罗拉(Motorola)的失败则缘于他们采用的是消极防守型信息安全管理策略,与这一市场竞争相应的是韩国的三星公司及时改变其管理策略、紧盯iPhone积极应变,成功地保持了其市场地位。
近年来,日本的家电行业在全球市场上均遇到了前所未有的严重挑战,这也可以看作是他们固守成规、实施消极防守型信息安全管理策略的必然结果。
实施积极进攻型的信息安全管理策略要求组织不断提高其获取信息与使用信息的能力,组织实施积极进攻型的信息安全管理策略必须与其积极主动型的管理体系建设策略保持一致,关于积极主动型管理体系建设的有关设想详见拙作《积极主动型配置管理体系建设探析》。
依据GB/T22080—2008标准即使实现了组织的资产安全,最多也只能使我们实现消极防守型的信息安全目标,这能够使我们满意吗?
从信息的目的性出发,我们有必要进一步确立组织信息安全管理的二项原则:信源(即己方信息)的极小性原则(沉默原则)和信宿(即彼方信息)的极大性原则(雄辩原则)。为了实现信息的目的性、保障信息的可用性需求,作为信源的己方信息只应该在极小范围内、以极小量提供给需要的对象,这是作为信源、即关于己方信息的极小性原则,也可以形象地称之为沉默原则;作为信宿时,我们应该在极大范围内、以极大量收集彼方的相关信息,这是作为信宿、即关于彼方信息的极大性原则,与信源的沉默原则对应、这一原则可以形象地称之为雄辩原则。前者基于消极的防守型信息安全管理目标的需要,后者致力于追求积极的进攻型信息安全管理目标的实现。 GB/T22080—2008标准关于“信息安全事态”和“信息安全事件”概念的定义是基本恰当的,区别在于我们已经将组织的信息技术系统与信息管理系统进行了分离,信息技术系统的软硬件故障、供电中断等属于基础设施的管理范畴,不再纳入信息管理系统的信息安全管理范围。组织应该对于其内部的“信息安全事态”和“信息安全事件”建立起有效的监控与改进机制,以不断提高其信息安全管理水平,预防信息安全事件的发生。
二、组织内部的信息及其安全性管理
GB/T22080—2008标准3.4条款主要从信息的保密性、完整性和可用性三个方面定义“信息安全”的概念,下面就让我们以此为出发点、探讨组织信息安全管理的实用方法。
(一)信息的保密性管理:建立信息交通图
GB/T20984—2007《信息安全技术 信息安全风险评估规范》标准(以下简称GB/T20984—2007)将资产的保密性分为五个不同的等级、以此作为保密性管理的依据。就本人从事信息安全管理体系(ISMS)审核的经验而言,目前国内各组织在建立其ISMS时几乎无一例外都是这样实施的。我们暂且不论对于一般组织的软硬件等基础设施是否存在保密性的管理要求,即使对于组织的信息资产,是否仅仅进行简单的保密性分级就能够满足组织的信息安全管理要求了呢?让我们通过实例来进行一下简单的分析。
对于一般的企业而言,其财务数据与营销信息均是保密性要求较高的重要信息资产,而且二者有较高的关联性,如合同价格与营销利润的关系等等。假设某企业的财务报表与营销合同均属于保密性要求最高的5级信息资产,财务部经理可以查看保密性5级的财务报表,营销部经理可以查看保密性5级的营销合同,他们均具有查看保密性级别为5级的信息资产的权力,这是否说明财务部经理就可以查看营销合同、营销部经理就可以查看财务报表呢?一般单位对于这一问题的答案一定是否定的,虽然这二类资产的保密性级别相同,但是它们属于不同的类别,并不等同。这一事例告诉我们:仅仅依据保密性级别这一方法并不能满足我们对于信息资产的保密性管理要求,我们还必须进一步关注信息资产的类别。
那么,我们应该怎样管理组织中信息资产的类别呢?现行标准中并没有给出这一问题的答案,我们只能向实践中去寻求答案。
假设某小型公司C存在综合部G(承担行政Ad、人力资源Hr、财务Fi管理的职能)、营销部M(承担采购Pu、销售Se管理的职能)和生产部P(承担生产Ma、质量Qu、安全Sa、环保Ep、设备Eq管理的职能)三个业务部门,让我们一起来分析一下这样一个组织中的信息分布情况。考虑到组织中不同部门之间信息的交叉与共享性,例如:财务部门掌握着营销部和生产部的财务信息等等,从组织中信息结构的组成情况观察,组织的信息构成可能存在如下二种不同的信息模式:
模式一:G∩M∩P=Φ 模式二:G∩M∩P=GMP≠Φ
我们假设公司全部信息的集合为C,综合部的信息集合为G,营销部的信息集合为M,生产部的信息集合为P,我们将C、G、M、P均称作信息域,即C域信息的集合为C,G、M、P依此类推,则集合G、M、P均为集合C的子集,由于公司的高层领导还掌握部分信息、这些信息往往不属于G、M、P域,所以集合G∪M∪P为C的子集;集合G又有子集Ad、Hr和Fi,且G=Ad∪Hr∪Fi;集合M有子集Pu和Se,且M=Pu∪Se;集合P有子集Ma、Qu、Sa、Ep和Eq,且P=Ma∪Qu∪Sa∪Ep∪Eq。我们将信息域G和M的交集表示为G∩M=GM,信息域M和G的交集表示为M∩G=MG,显然GM=MG;信息域G和P的交集表示为G∩P=GP,GP=PG;信息域P和M的交集表示为P∩M=PM,PM=MP。在模式一中,信息域G、M、P没有共同的交集,G∩M∩P=Φ;在模式二中,信息域G、M、P有共同的交集,G∩M∩P=GMP≠Φ。
为了便于组织的信息管理,需要根据组织机构的特点及其信息的类别确定组织的信息结构。由于组织中的信息总是从属于某一个域,上层的信息域又可以分解为若干个下层的子信息域,我们将不再具有子域的最小信息域称为基础域,例如:信息域G含有三个二级子域Ad、Hr和Fi,其中财务域Fi又可以根据其中信息的类别分为二个三级子域会计域Acc和出纳域Cas,如果组织对其会计域Acc和出纳域Cas不再细分,则会计域Acc和出纳域Cas就称为基础域。
同一个信息域中的信息可以根据其重要性的不同分解为高、中、低等不同的等级。组织应对其内部信息的重要性分类方式加以规范,考虑到组织中始终存在一些无用的、或者是错误的、甚至是有害的负信息,这些负信息不但可能存在于组织的IT系统中,如木马、病毒等,也同样可能存在于现实环境中,如恶意的破坏信息、因人为失误导致的错误信息、组织废弃的文件等等,所有这些负信息的重要性同样应该引起我们的重视,可以被授予负价值。
由此可见:表征某信息I的特征是由其所属的基础信息域r(更准确的表述是“本域”,详见后述)及其重要性等级i二方面因素共同决定的,那种只考虑重要性等级而不考虑信息域的做法是片面的。考虑到信息的重要性往往是随时间t而变化的,所以我们可以用函数表征信息I=I(r,i,t)。
与信息的表征相应,岗位人员对于信息的访问权限R也是由其可以访问的信息域r及其能够访问的信息重要性等级i二方面因素决定的,即R=R(r,i)。
为了满足信息的保密性要求,理想的状况是所有的信息域相互之间均采用物理的、或逻辑的方式加以隔离,这在组织的IT系统中可以通过技术手段实现。
信息在组织内部的传递过程就是信息从一个域传向另一个域,组织应根据信息的属性特点确定信息传递的允许范围,在组织的IT系统中同样可以技术手段阻止超范围的、不被允许的信息传递活动。例如:如果财务部在其信息域中将营销部和生产部的财务信息分别设置为不同的信息子域,他们可以将营销部的财务信息传递给营销部、将生产部的财务信息传递给生产部,但是不可以将营销部的财务信息传递给生产部、也不可以将生产部的财务信息传递给营销部,如果发生人为误操作的情况将被系统自动禁止。 在组织的信息系统中,我们将信息I产生的基础域称为信息I的本域,如果信息I从域R1传递到域R2,域R1称为源域,R2称为宿域。根据工作需要,信息I允许从域R1传递到域R2、R3…Rk,R1、R2…Rk统称为信息I的工作域,工作域之外的区域统称为非工作域。正常情况下,信息只可以出现在其工作域中,不可以出现在非工作域中,所以信息从工作域向非工作域的传递必须被禁止。如果信息偏离其工作域、出现在非工作域中,这种情况我们称之为僭域。
信息系统是组织信息存在的范围,包括组织的IT系统和现实环境二个方面,IT系统是组织的逻辑信息系统,现实环境是组织的物理信息系统,它们彼此对应、共同构成组织的应用信息系统。
信息在其本域产生以后,可能会以文件的形式被发送到宿域进行审批,文件将会在宿域中被审阅、甚至被提出修改意见。从信息的安全性考虑,个人认为文件的修改只应该在其本域中进行,文件离开其本域以后只能被审阅、不可以被修改,这需要我们开发适用的应用软件加以实施。
如果二个信息域中的信息可以被共享,我们称这二个信息域为共域,反之则为不共域。共域之间的信息可以自由传递,不共域之间的信息传递则被禁止。反映到组织的人员使用与职务任命上,共域之间的人员可以兼职,不共域之间的职务则不可以兼任,例如:组织的会计与出纳属于不共域,所以他们相互之间不可以兼职。虽然共域中的信息内容相同,但是它们毕竟属于二个不同的信息域,例如:前面所介绍的信息域GM与MG互为共域,它们分别属于G域和M域的子域。
信息的保密性要求确定的是信息的保密范围及其保密方式,保密性越高,信息的保密范围就越小,在组织中的工作域级别越高,而保密方式越复杂、保密成本及其安全性要求越高。
GB/T22081—2008标准附录A.7.1.2条款提出了“资产责任人”的要求,这是一个非常好的概念。个人认为在可能的条件下,资产责任人相当于资产的保安:他们仅负责资产的安全、但是不可以接触资产本身。在组织的IT系统中,可以按照信息域确定其信息责任人,监控对信息域的访问,负责信息域及其信息资产的安全管理。通过建立恰当的应用软件,IT系统可以自动生成一份关于信息域及其信息的访问日志。
通过信息本域确定信息在组织中的诞生空间,通过赋予重要性等级确定信息的保密性等控制措施,通过以上二种方法的结合、再补充一个序列号就可以标识信息的唯一性身份,从而为每个信息建立一个信息身份证。外来信息则按照同样的方式依据信息的接收部门、信息类别确定其信息域及其重要性等级并进行标识。根据组织机构和信息类别,通过对组织中的信息域进行系统规划,这样就可以确定每个信息的工作域及其允许的传递路径。如此,从信息的角度观察,组织就相当于一个信息城市,信息就是这个城市的市民,信息流就是这个城市的人流,在组织的IT系统中,我们就可以根据组织机构在组织的高、中、低各个管理层级中建立起一个立体的信息交通图,信息责任人同时承担着信息交警的职能,从而保证组织的信息管理秩序和信息安全。
(二)信息的完整性管理
GB/T22080—2008标准3.8条款关于完整性的定义是“保护资产的准确和完整的特性”,这是以资产的完整性代替信息的完整性,对于信息资产而言,它也许有一定的合理性,但是信息资产并不代表信息,信息资产的完整性也不能代替信息的完整性。
笔者认为在组织的信息安全管理过程中主要存在如下三个方面的完整性要求:
一、以文件、记录等为代表的信息资产的完整性,这是GB/T22080—2008标准所包含的内容,但是我们认为应该赋予其更加深刻的含义。文件的完整性主要体现在二个方面:其一是文件的制定应该加以规范,几乎所有的管理体系标准均要求文件在发布前应该进行评审和批准,以确保文件对于其使用目的的完整和有效;其二是要保证文件在使用与执行过程中的完整性,获得文件等信息资产并不代表就完全获得了其中所表示的信息,它还与我们使用文件的能力有关;如果文件是加密的、我们还需要获得密码。记录的完整性主要体现在记录内容的完整性。组织可以通过定期的评审对其文件与记录的完整性进行确认与完善。
二、在信息传递过程中,信宿接收到的信息与信源提供的信息的一致性,关注的是信息传递过程中的损失与失真,这可以通过建立信息反馈等技术手段加以解决。
三、为了满足决策的需要,组织所收集到的、用于支持决策过程的信息的完整性。由于客观事物的复杂性,我们在决策过程中往往难以获得关于事物的全面、准确的信息,因此需要对相关信息的完整性进行风险控制,包括信息的准确性、真实性、全面性等方面的内容。
(三)信息的可用性管理
GB/T22080—2008标准3.2条款关于可用性的定义是“根据授权实体的要求可访问和利用的特性”,“可访问”意味着信息可以被获取,这是比较容易理解的;可“利用”则比较复杂,它包含了信息第一类可用性和第二类可用性的全部要求。GB/T22080—2008标准4.3.2g条款要求对外来文件进行识别,文件是信息的表现形式,这就是要确定这样的信息是否可利用、有怎样的使用价值,由于某些信息真伪混杂、泥沙俱下,所以对于信息的可用性风险需要加以有效控制。
信息的可用性与保密性、完整性是紧密关联的,信息的内容决定其是否具有可用性价值,保密性和完整性是保证信息可用性的必要条件,可用性则是信息管理的最终目的,可用性决定信息的价值。组织应根据信息的可用性要求确定其保密性、完整性的控制措施;根据信息的保密性、完整性控制水平确定信息的可用性价值,它们相辅相成,缺一不可。
三、信息安全的风险管理
风险管理是信息安全管理的一项重要内容。在《信息安全及其风险评估标准和实务再辨析》这篇文章中我曾经指出:GB/T20984—2007标准关于风险评估的方法并不符合GB/T22080—2008标准的思想,虽然GB/T22080—2008标准采用的是针对资产、包括信息资产的风险评估,它要求首先识别资产及其脆弱性、再识别可能的威胁及其对资产的影响、进一步识别其对组织可能的影响,这一思想无疑是正确的,但是这种风险评估方法的实用性如何呢? 由于本人始终认为资产安全并不等于信息安全、资产安全也不能保障信息安全,详见拙作《信息安全及其风险评估标准和实务再辨析》,因此,在本文后面的讨论中,我们只关注信息安全、包括信息资产的安全,暂不考虑其它类型资产的安全性问题。
GB/T22080—2008标准4.2.1d)条款告诉我们:风险评估的第一步是识别资产,GB/T20984—2007标准5.2.2条款进一步告诉我们怎样识别资产:通过对资产的保密性、完整性、可用性赋值并加权计算以确定资产的重要性,这种做法是否正确呢?
对于文件等信息资产的保密性和重要性而言,是因为文件的保密性要求高、所以该文件重要,还是因为这个文件重要、所以应给予较高的保密性控制措施呢?文件的重要性与保密性孰因孰果?很显然:我们是根据文件的重要性来确定其保密性要求的,在这个过程中,重要性为因、保密性为果。对于信息资产而言,保密性如此,完整性、可用性也同样如此,我们是根据信息资产的重要性来确定其完整性和可用性要求的,在这个过程中,重要性为因、完整性和可用性为果。这就如同我们对个人隐私进行保密的道理一样:因为个人隐私对于我们很重要,所以需要保密,并不是保密以后个人隐私才变得重要的。所以,GB/T20984—2007标准5.2.2条款所介绍的信息资产重要性评价方法是一种颠倒因果的行为,令人无法理解的不仅是标准的失误,更令人无法理解的是为什么这样的失误长时间不能得到纠正?
重要性并非是决定信息保密性的唯一要素,例如:法律法规很重要,然而法律法规不但不需要保密,而且希望被大家尽可能地了解与接受,这是因为决定信息的要素除了重要性i以外,还受信息所属的本域r影响,从前面我们讨论的表征信息的函数I=I(r,i,t)可以很容易地明白这点。一般而言,法律法规等属于组织信息的公共域管理范畴。
另一方面,无论是GB/T20984—2007标准、还是GB/T22080—2008标准,它们寻求的均是针对信息资产的安全管理,但是在信息形成信息资产之前我们应该怎么办?标准似乎并不关心。以信息的保密性管理为例,假设公司总经理有一个重要设想,与有关主管进行沟通交流、征求意见,然而召开会议,形成会议报告,做出决策,这是一个比较常见的决策过程,最终形成的会议报告是信息资产,如果按照前面二个标准的管理思想,我们只能在会议报告形成之后对其进行保密性管理,但是在会议报告形成之前的相当长的一段时间中,如果该信息已经泄密了,这个报告还有怎样的使用价值呢?这一事例也告诉我们:在组织中从信息形成信息资产是有一个过程的,仅仅关注信息资产的安全是不够的,我们应该关注的是信息安全、而不仅仅是信息资产的安全。
那么,信息的重要性应该如何确定呢?根据本文前面关于信息域的分析可知:信息的重要性是由其所诞生的本域的重要性及其在域中的重要性等级二方面因素共同决定的,组织应对其信息域及其信息的重要性等级进行规划。信息资产的重要性等同于其中信息的重要性。一般情况下,信息在传递过程中其重要性等级不发生变化;特殊情况下,如果需要提升信息的重要性等级,则应该对信息以前的状况进行风险评估,必要时采取补救措施。
GB/T20984—2007标准5.2.2.4条款介绍说“主要围绕重要资产”进行风险评估,但是在GB/T22080—2008标准中并没有相应的内容。一片废纸就有可能引发一场严重的火灾事故,然而谁也不会认为一片废纸是重要资产。
GB/T22080—2008标准所介绍的风险评估方法本质上是一种因果判断的过程。它以资产的脆弱性为因、外部的威胁为缘、可能产生的不良影响为果,这是一种从原因推论结果的因果分析方法。它从可能的事件原因入手,要求穷尽原因以分析结果,理论上虽然正确、事实上却是无法实现的,因为事件的原因千变万化,不可能被穷尽、我们也完全没有必要穷尽所有的事件原因。经验告诉我们:能够导致严重后果的事件毕竟是少数,在日常生活中的绝大多数事件往往危害并不大、是可以接受的。长期的工作实践也告诉我们:没有哪个单位能够识别所有资产的脆弱性及其所面临的威胁,GB/T22080—2008标准所介绍的风险评估方法只会让我们将大量的时间和精力浪费在不必要的微小方面、甚至有可能导致对重大风险的忽略。虽说千里长堤、溃于蚁穴,但是我们不可能要求千里长堤上没有一个蚁穴,也不可能对千里长堤上的每一个蚁穴都加以同等的关注,因为千里长堤上可能还有更加严重的老鼠的洞穴、野兔的洞穴等等,绝大多数蚁穴并不会导致长堤的崩溃,所以,我们只需要关注那些有可能造成长堤崩溃的重大洞穴就可以了。这一思想告诉我们:我们应该关注那些重大的、有可能导致不可接受风险的事件,消除或降低此类事件发生的原因,也就是从可能的严重结果反溯其原因、并进行有针对性的有效处置。
信息安全的风险管理应该贯穿于信息的整个生命周期,它包括信息的获取和生产、信息的保持与使用、信息的变更、异常情况处理及作废信息的处置五个阶段,各个阶段所面临的信息安全风险及其控制措施是不同的。GB/T22080—2008标准所介绍的首先识别资产的威胁和脆弱性的风险评估方法仅适用于信息作为信息资产的正常使用过程,所以并不完善。
在信息的获取阶段,我们需要根据工作内容对信息源的第一类和第二类可用性进行全面评审,由于我们所获得的原始信息往往存在碎片化的倾向,所以此时的信息源存在较大的不确定性,有时还需要进行进一步的取证以去伪存真,必要时应进行风险评估,以最终确定信息源的可用程度。
在信息的生产阶段,我们需要依据获取的有效信息、根据目的需要对信息进行加工,以生产出适合组织目标要求的有用信息和信息资产如文件等。组织需要对生产的信息进行评审、必要时进行风险评估,以确保其有效性。
在信息的保持和使用阶段,主要是保持信息的第二类可用性。信息的第二类可用性是由其保密性和完整性决定的,组织应通过有效的技术手段和管理措施保证信息的保密性和完整性。那些因为网络中断等IT系统故障导致的信息不可用,属于信息技术安全问题,责任不在信息本身。 信息使用过程的保密性、完整性风险与其工作域及其所采用的信息技术有关。组织应识别信息在其工作域中正常工作过程的风险,并监视信息是否存在僭域、或完整性破坏的异常现象;如果发现信息僭域、或完整性破坏的现象,应及时查找原因、通过风险评估确认信息的可用性,并采取必要的补救措施。信息僭域以后并非一定失去其可用性,僭域的信息固然在一定程度上失去了保密性,只要风险没有超出允许的范围,信息的可用性就不会完全丧失,但是这说明了组织的信息安全存在隐患,需要治理。
信息变更等同于信息的再生产,其风险管理与信息生产阶段相同。
作废信息的处置也不能被忽略,在信息没有彻底解密之前,其保密性就必须被保持。
考虑到风险评估对于信息安全的重要性及其适用性需求,依据GB/T22080—2008标准的风险管理思想,我们介绍一种适合于信息保持阶段、针对第二类可用性的风险评估方法:
1、假设信息受到破坏失去保密性或完整性等第二类可用性因素,评估其对组织的影响A及其发生的概率P。需要注意的是:这种影响一般并不是固定的,往往是一个范围,所以需要分别考虑最大影响、最小影响、最可能发生的影响及其概率;
我们将保密性、完整性等影响信息第二类可用性的因素称为信息的可用性因子D,一般情况下,可用性因子D的破坏程度与其对组织的影响A正相关,假设发生某种影响的概率为P1,那么可以建立函数F=F(D,A,P1)
2、计算以上影响对组织的风险;风险值R可以表示为对组织的影响A及其发生概率P1的函数,即R=R(A,P1);
3、根据预设的风险接受准则评估以上风险是否可接受。风险接受准则要求可接受的风险值R不能大于设定值R0,因此可以据此确定什么程度的信息可用性因子破坏是不可接受的,即确定可接受的可用性因子破坏阀值D0;
只要不对组织的目的性产生影响的信息可用性因子破坏基本上都是可以接受的,因此从安全的角度考虑,我们不妨将风险接受准则确定为:在任何情况下,不论P1如何取值,信息可用性因子的破坏对组织的影响A恒为零,即A=0,此时的风险值R=0。
以保密性管理为例:某公司供应部制定的物资招标采购计划虽然在公司内部有所泄漏,只要没有被公司外部的投标方所获取,就不会对公司的招标活动产生影响,这样的招标信息就不会丧失其可用性,这样的风险就属于可接受风险;但是,公司内部的人事变更方案如果在正式确定前就已经被公司有关员工所了解,这个方案的可用性就有可能会受到严重影响,这样的风险就属于不可接受风险。
虽然供应部的物资招标采购计划在公司内部有所泄漏属于可接受风险,但是这并不表示这样的风险就不需要加以治理,这事件恰恰说明供应部的信息安全管理存在漏洞,因此供应部应该将其作为重大的信息安全风险并制定有效的控制措施。
4、针对以上分析的不可接受风险,利用因果图等分析工具寻求可能产生以上信息可用性因子破坏的原因(信息的脆弱性V及其外部的威胁T)及其产生的概率P2,可用性因子D可能的破坏程度可以表述为以上三者的函数D=D(V,T,P2);
5、由于信息可用性因子D的破坏程度与其对组织的影响A正相关,所以,针对D>D0的脆弱性和威胁制定控制措施。消除脆弱性或消除威胁都可以实现这一目标。
针对以上招标信息的保密性泄密现象而言,虽然泄密范围仅仅是公司内部的少数人群,然而,如果其中有人与投标方存在利益关系,这就存在使泄密范围进一步广大到投标方的威胁,从而产生对公司的利益造成影响的可能,这样的风险就是不可接受的,必须加以消除。
二年前,笔者刚从事信息安全管理体系审核员工作不久,曾有幸参加一次关于信息安全管理标准的培训,与会者基本上都是国内从事信息安全管理的专业人员。会议过程中大家对于信息安全管理体系需要识别哪些“信息资产”进行了热烈的讨论,然而,一直到今天为止,国内各单位在建立其信息安全管理体系时依然将硬件、软件等组织的各类资产统称为信息资产,这种概念的混乱令人惊讶。
毫无疑问:信息安全的核心理应是、也只能是信息本身的安全,包括作为信息表现形式的信息资产的安全;组织的信息安全管理必须以信息管理为基础,并为组织的信息管理服务,这是组织信息安全管理的唯一目的。信息技术安全对于信息安全具有重要的支持与保护作用,属于广义的信息安全范畴,也应该受到应有的重视,不可缺失,但是不可以信息技术安全代替信息安全,那是本末倒置的。
信息安全对于组织安全的重要性毋需笔者赘言,三年多来,笔者从学习标准、思考标准起步,到今天怀疑标准、并试图建立实用的信息安全管理理论,我始终孑然独行在信息安全管理这条孤寂的小道上,只为了一名职业工作者良心的安宁。我不敢奢望已经掌握了真理,甚至不敢幻想能获得多少共鸣,只希望能起到抛砖引玉的作用,让更多的人来思考组织的信息安全管理这个重要课题,以便为组织真正建立起实用而有效的信息安全长城!
关键词:信息;信息域;信息安全;信息交通图;风险管理
随着以互联网技术为代表的现代信息技术(Information Technology,简称IT)前所未有的高速发展和巨大成就,从个人到组织、再到整个社会对于信息技术的依赖程度已经达到了不可或缺的地步,信息安全也因此引起了人们的高度重视,GB/T22080—2008/ ISO/IEC27001:2005《信息技术 安全技术 信息安全管理体系 要求》(以下简称GB/T22080—2008)标准的颁布和实施标志着信息安全管理正式成为我国组织管理的一个重要组成部分。虽然如此,我们对于“信息安全”的概念似乎并没有正确的认识,一个非常明显的现象是:GB/T22080—2008标准以资产安全管理代替信息安全管理,但是,正如笔者在《信息安全及其风险评估标准和实务再辨析》一文中所认证的那样:资产安全并不能代替信息安全,所以我们需要进一步寻求信息安全管理的真正解决之道。
一、有关信息管理的基本概念
人们对于信息安全的重视源于对于信息资源重要性的认识。信息,作为与物质、能量同等重要的战略性资源,今天已经占领了我们社会各行各业的制高点,成为影响我们社会个人、组织以及政府决策和成功的第一位决定性因素。人们关注信息安全的重要性,正是基于对信息本身高度重要性考量的结果。毫无疑问,信息安全管理属于信息管理的一项重要内容,二者相辅相成、不可分离:信息安全管理必须以信息管理为基础、服务于信息管理的需要,否则就是无源之水、无本之木;信息管理必须以信息安全管理为保障、满足信息安全要求,否则必定风险重重、危机四伏。然而,GB/T22080—2008作为组织信息安全管理的专业性标准,它不但丝毫没有关注组织的信息管理要求,而且以资产安全管理代替信息安全管理,不能不令人感到非常惊诧。
当我们将视线进一步转向更加宽广的领域去寻求有关信息管理的理论与实践知识的时候,我们更加惊讶地发现:我们现有的信息管理和信息安全管理基本上都是针对信息技术系统的管理,大量的专业书籍中只有少量的针对社会的信息管理知识,如科技情报管理等,针对组织的信息管理理论与实践知识基本上为空白。
如果没有适用于组织的信息管理,如何能够建立起适用于组织的信息安全管理?
长期以来,人们以信息技术管理代替信息管理,这种情况固然有其历史的原因,但是今天是我们改变这种观念的时候了。在以计算机和互联网为代表的信息技术发展的早期,由于社会的专业分工尚不够充分和完善,那时候比较重视信息技术的使用,将信息管理包含在组织信息技术的管理和使用之中,这是技术发展的一个过程,是可以理解的。然而,今天的计算机和互联网等信息技术已经非常专业和普及,而信息资源本身的重要性也已经非常突出,如果我们依然将信息技术管理和信息管理混淆在一起,就难以满足现实大型、复杂组织的管理要求了。计算机和互联网等信息技术之于其中的信息,就如同传统行业中的生产设备与其产品一样,如果在传统行业中不能将生产设备等基础设施的管理与生产管理混为一谈,我们今天又怎么能将信息技术管理和信息管理混淆在一起呢?一位从事个体运输的车辆驾驶员可能同时也是该车辆的日常维护人员,但是我们无法要求一架战斗机的驾驶员同时也负责该飞机的运行维护,同样道理:一个分工明确的现代企业也应该将其信息管理与其信息技术管理进行明确的专业分离,组织的信息技术管理必须服从于信息管理和信息安全管理的要求,否则我们不但不可能建立起现代的信息产业与信息技术产业,也不可能建立起现代的信息组织与信息技术组织。
什么是信息?人们对于“信息”这个概念有不同的理解,目前还没有公认准确的定义。笔者认为:所有的事物中均包含有各种信息,事物是信息的载体、是信息的表现形式,信息是对事物的自然属性与社会属性及其相互关系的反映,事物的自然属性与社会属性及其相互关系的总和就构成了该事物所含有的信息量。事物的自然属性提供给人们关于事物的自然信息,事物的社会属性提供给人们关于事物的社会信息,但是事物的自然属性可以转化为社会属性,从而提供给人们所需要的社会信息。例如:人的表情、动作本来属于自然属性,但是当人们用表情来表达其内心思想、情绪的时候,就赋予了其社会意义,因而就具有了社会属性。GB/T19000—208标准关于质量的定义“一组固有特性满足要求的程度”就是对物体自然属性和社会属性相互关系的描述,“固有特性”是物体先天固有的自然属性,“满足要求”就是物体被后天赋予的社会属性。
笔者认为:信息的唯一价值在于其目的性。在日常的生活和工作过程中,我们只需要关心与其目的相关的信息,对于那些与其目的无关、或者关联微小的信息,我们往往是忽略的,例如:一般人使用移动硬盘存储数据,主要关注硬盘的容量、转速、缓存、接口等信息,至于该硬盘的制造信息、一般人是不会关注的,虽然该硬盘从理论上包含有其全部的制造信息;对于硬盘的重量、尺寸、美观等属性信息,也会成为我们考虑的因素之一。因为离开信息的目的性谈论信息的价值是没有意义的,所以,信息的目的性才是我们从事信息管理和信息安全管理的唯一依据。
从是否存在信息的角度考察,组织中只有二类资产:信息资产和非信息资产,前者是包含信息的资产,后者是不包含信息的资产。在信息管理中,我们所说的“信息”指的是与组织业务相关的有效信息,这是由信息的目的性决定的。一块移动硬盘,如果其中存储有与组织业务相关的信息数据,它就属于信息资产;否则,如果它只是一块备用的空白硬盘、或者其中存储的信息数据与组织的业务无关,它就属于非信息资产。GB/T22081—2008/ ISO/IEC27001:2005《信息技术 安全技术 信息安全管理实用规则》(以下简称GB/T22081—2008)标准“7.1.1资产清单”条款没有给出“信息资产”的定义,它通过举例的方式主要将“文件”列举为信息资产,本人认为这种分类并不准确,因为它使我们无法区分以上二种硬盘的价值。 根据信息在组织中的存在方式,可以将信息分为二类:规范性信息和非规范性信息,前者是指文件等经过加工的正式信息,后者指消息、知识、经验等没有经过加工的非正式信息。由于消息、知识、经验等非规范性信息主要存在于人的意识中,所以,对于那些掌握有组织业务相关信息的员工属于组织的信息资产,那些不掌握组织业务相关信息的员工则属于组织的非信息资产。GB/T19000—2008/ISO9000:2005标准3.7.2条款将“文件”定义为“信息及其承载媒介”并不准确,因为在组织员工的大脑中也存在有业务信息,员工同样是信息的载体,但是我们不会将员工看作文件;同样道理,在计算机中存在有大量的信息,计算机也是信息的载体,但是我们并不会认为计算机是文件(个人认为可以将“文件”定义为“适用信息的表现形式”)。
根据信息对于组织业务的影响,可以将信息分为积极信息和消极信息。积极信息对于组织的目的和业务具有促进与帮助作用,是有益信息,也可以称之为正信息;反之则为消极信息、无益或有害信息、垃圾信息、负信息,正信息属于组织的正资产,负信息属于组织的负资产,这二类信息都是组织信息管理的内容,不可忽略。
从信息的目的性考察GB/T22080—2008标准关于“信息安全”的定义似乎并不准确。该标准“3.4信息安全”条款给出的定义是:“保持信息的保密性、完整性、可用性;另外也可包括例如真实性、可核查性、不可否认性和可靠性等”,这个术语令人不知所云。一方面,它似乎没有表述清楚,什么叫做“也可包括”?究竟“包括”还是“不包括”?另一方面,其中的很多意义非常模糊,例如:关于“完整性”,信息的“完整性”如何定义?信源(提供方信息)的完整性与信宿(接收方信息)的完整性是同样定义的吗?信息的完整性是否就是指文件的完整性?电子类信息与纸质类信息的完整性定义有什么区别?等等;信息的“真实性”是必须的吗?《孙子兵法》说“兵不厌诈”怎么解释?(虚假信息所涉及的道德与法律问题属于其它领域所研究的课题)笔者认为:信息安全指的是信息可能产生的实际效用与其主观目的之间的关系,“可能”表示的是一种可能性,只要存在某种损害信息安全的可能性、即使这种损害目前尚未发生,我们也认为它是不安全的。目的性才是信息安全的根本出发点,目的性决定了对于信息的保密性、真实性等属性的需求,如果信息发生的实际效用与其目的一致,我们就认为实现了信息安全;否则,就意味着失去了信息安全。
从信息的目的性考察,信息的可用性受到二方面因素的影响:一是信息内容的可用性,包括真实性、全面性等,我们称之为第一类可用性,需要在信息使用前加以确认;二是信息的使用条件如保密性、完整性等是否满足要求,我们称之为第二类可用性,不仅在信息使用前需要加以确认,在信息的使用过程中也需要加以保持,以防止发生可能的丢失。全面性指信息的内容是否片面、是否包含了有关各方面的全部事实或观点,完整性指信息在传递过程中是否存在缺失或失真的现象,二者不同。根据信息对于其目的的影响可以确定二种类型的信息安全:保持己方信息的保密性、可用性等,使得己方的目的不受伤害,这是知己、是消极的防守型信息安全管理;能够及时获取所需要的信息,以帮助己方目的的实现,这是知彼、是积极的进攻型信息安全管理。我们应该保障最低限度的消极的信息安全管理目标的实现,并努力追求积极的信息安全管理目标。组织从外部环境中获取信息与使用信息的能力代表了组织的信息安全管理水平,军事理论认为:进攻是最好的防守,在信息安全领域这一理论同样适用、不能例外。
以美国针对前伊拉克萨达姆政权发动的二次海湾战争为例,美国政府以前伊拉克萨达姆政权拥有“大规模杀伤性武器”这一理由成功地摧毁了萨达姆政权、实现了其战略目的,这是一个典型的积极进攻型信息安全管理的成功实例,虽然从今天看来其“理由”也许并不符合道义;与此形成鲜明对比的是:前伊拉克萨达姆政权面对是否存在“大规模杀伤性武器”这一信息安全问题始终不能取信于国际社会,完全采取消极防守型信息安全管理策略,最终导致了其彻底灭亡的命运。这一现实而残酷的事例告诉我们:完全的消极防守型信息安全管理策略也许并不能保障组织的安全!
采用消极防守型信息安全管理策略导致组织失败的事例在经济与商业领域也屡见不鲜。以当前竞争最激烈的手机市场为例,在苹果的iPhone手机诞生之前,诺基亚(Nokia)、摩托罗拉(Motorola)等品牌的手机垄断国际市场多年而不变,苹果iPhone的成功在于其采用积极进攻型的信息安全管理策略,诺基亚(Nokia)、摩托罗拉(Motorola)的失败则缘于他们采用的是消极防守型信息安全管理策略,与这一市场竞争相应的是韩国的三星公司及时改变其管理策略、紧盯iPhone积极应变,成功地保持了其市场地位。
近年来,日本的家电行业在全球市场上均遇到了前所未有的严重挑战,这也可以看作是他们固守成规、实施消极防守型信息安全管理策略的必然结果。
实施积极进攻型的信息安全管理策略要求组织不断提高其获取信息与使用信息的能力,组织实施积极进攻型的信息安全管理策略必须与其积极主动型的管理体系建设策略保持一致,关于积极主动型管理体系建设的有关设想详见拙作《积极主动型配置管理体系建设探析》。
依据GB/T22080—2008标准即使实现了组织的资产安全,最多也只能使我们实现消极防守型的信息安全目标,这能够使我们满意吗?
从信息的目的性出发,我们有必要进一步确立组织信息安全管理的二项原则:信源(即己方信息)的极小性原则(沉默原则)和信宿(即彼方信息)的极大性原则(雄辩原则)。为了实现信息的目的性、保障信息的可用性需求,作为信源的己方信息只应该在极小范围内、以极小量提供给需要的对象,这是作为信源、即关于己方信息的极小性原则,也可以形象地称之为沉默原则;作为信宿时,我们应该在极大范围内、以极大量收集彼方的相关信息,这是作为信宿、即关于彼方信息的极大性原则,与信源的沉默原则对应、这一原则可以形象地称之为雄辩原则。前者基于消极的防守型信息安全管理目标的需要,后者致力于追求积极的进攻型信息安全管理目标的实现。 GB/T22080—2008标准关于“信息安全事态”和“信息安全事件”概念的定义是基本恰当的,区别在于我们已经将组织的信息技术系统与信息管理系统进行了分离,信息技术系统的软硬件故障、供电中断等属于基础设施的管理范畴,不再纳入信息管理系统的信息安全管理范围。组织应该对于其内部的“信息安全事态”和“信息安全事件”建立起有效的监控与改进机制,以不断提高其信息安全管理水平,预防信息安全事件的发生。
二、组织内部的信息及其安全性管理
GB/T22080—2008标准3.4条款主要从信息的保密性、完整性和可用性三个方面定义“信息安全”的概念,下面就让我们以此为出发点、探讨组织信息安全管理的实用方法。
(一)信息的保密性管理:建立信息交通图
GB/T20984—2007《信息安全技术 信息安全风险评估规范》标准(以下简称GB/T20984—2007)将资产的保密性分为五个不同的等级、以此作为保密性管理的依据。就本人从事信息安全管理体系(ISMS)审核的经验而言,目前国内各组织在建立其ISMS时几乎无一例外都是这样实施的。我们暂且不论对于一般组织的软硬件等基础设施是否存在保密性的管理要求,即使对于组织的信息资产,是否仅仅进行简单的保密性分级就能够满足组织的信息安全管理要求了呢?让我们通过实例来进行一下简单的分析。
对于一般的企业而言,其财务数据与营销信息均是保密性要求较高的重要信息资产,而且二者有较高的关联性,如合同价格与营销利润的关系等等。假设某企业的财务报表与营销合同均属于保密性要求最高的5级信息资产,财务部经理可以查看保密性5级的财务报表,营销部经理可以查看保密性5级的营销合同,他们均具有查看保密性级别为5级的信息资产的权力,这是否说明财务部经理就可以查看营销合同、营销部经理就可以查看财务报表呢?一般单位对于这一问题的答案一定是否定的,虽然这二类资产的保密性级别相同,但是它们属于不同的类别,并不等同。这一事例告诉我们:仅仅依据保密性级别这一方法并不能满足我们对于信息资产的保密性管理要求,我们还必须进一步关注信息资产的类别。
那么,我们应该怎样管理组织中信息资产的类别呢?现行标准中并没有给出这一问题的答案,我们只能向实践中去寻求答案。
假设某小型公司C存在综合部G(承担行政Ad、人力资源Hr、财务Fi管理的职能)、营销部M(承担采购Pu、销售Se管理的职能)和生产部P(承担生产Ma、质量Qu、安全Sa、环保Ep、设备Eq管理的职能)三个业务部门,让我们一起来分析一下这样一个组织中的信息分布情况。考虑到组织中不同部门之间信息的交叉与共享性,例如:财务部门掌握着营销部和生产部的财务信息等等,从组织中信息结构的组成情况观察,组织的信息构成可能存在如下二种不同的信息模式:
模式一:G∩M∩P=Φ 模式二:G∩M∩P=GMP≠Φ
我们假设公司全部信息的集合为C,综合部的信息集合为G,营销部的信息集合为M,生产部的信息集合为P,我们将C、G、M、P均称作信息域,即C域信息的集合为C,G、M、P依此类推,则集合G、M、P均为集合C的子集,由于公司的高层领导还掌握部分信息、这些信息往往不属于G、M、P域,所以集合G∪M∪P为C的子集;集合G又有子集Ad、Hr和Fi,且G=Ad∪Hr∪Fi;集合M有子集Pu和Se,且M=Pu∪Se;集合P有子集Ma、Qu、Sa、Ep和Eq,且P=Ma∪Qu∪Sa∪Ep∪Eq。我们将信息域G和M的交集表示为G∩M=GM,信息域M和G的交集表示为M∩G=MG,显然GM=MG;信息域G和P的交集表示为G∩P=GP,GP=PG;信息域P和M的交集表示为P∩M=PM,PM=MP。在模式一中,信息域G、M、P没有共同的交集,G∩M∩P=Φ;在模式二中,信息域G、M、P有共同的交集,G∩M∩P=GMP≠Φ。
为了便于组织的信息管理,需要根据组织机构的特点及其信息的类别确定组织的信息结构。由于组织中的信息总是从属于某一个域,上层的信息域又可以分解为若干个下层的子信息域,我们将不再具有子域的最小信息域称为基础域,例如:信息域G含有三个二级子域Ad、Hr和Fi,其中财务域Fi又可以根据其中信息的类别分为二个三级子域会计域Acc和出纳域Cas,如果组织对其会计域Acc和出纳域Cas不再细分,则会计域Acc和出纳域Cas就称为基础域。
同一个信息域中的信息可以根据其重要性的不同分解为高、中、低等不同的等级。组织应对其内部信息的重要性分类方式加以规范,考虑到组织中始终存在一些无用的、或者是错误的、甚至是有害的负信息,这些负信息不但可能存在于组织的IT系统中,如木马、病毒等,也同样可能存在于现实环境中,如恶意的破坏信息、因人为失误导致的错误信息、组织废弃的文件等等,所有这些负信息的重要性同样应该引起我们的重视,可以被授予负价值。
由此可见:表征某信息I的特征是由其所属的基础信息域r(更准确的表述是“本域”,详见后述)及其重要性等级i二方面因素共同决定的,那种只考虑重要性等级而不考虑信息域的做法是片面的。考虑到信息的重要性往往是随时间t而变化的,所以我们可以用函数表征信息I=I(r,i,t)。
与信息的表征相应,岗位人员对于信息的访问权限R也是由其可以访问的信息域r及其能够访问的信息重要性等级i二方面因素决定的,即R=R(r,i)。
为了满足信息的保密性要求,理想的状况是所有的信息域相互之间均采用物理的、或逻辑的方式加以隔离,这在组织的IT系统中可以通过技术手段实现。
信息在组织内部的传递过程就是信息从一个域传向另一个域,组织应根据信息的属性特点确定信息传递的允许范围,在组织的IT系统中同样可以技术手段阻止超范围的、不被允许的信息传递活动。例如:如果财务部在其信息域中将营销部和生产部的财务信息分别设置为不同的信息子域,他们可以将营销部的财务信息传递给营销部、将生产部的财务信息传递给生产部,但是不可以将营销部的财务信息传递给生产部、也不可以将生产部的财务信息传递给营销部,如果发生人为误操作的情况将被系统自动禁止。 在组织的信息系统中,我们将信息I产生的基础域称为信息I的本域,如果信息I从域R1传递到域R2,域R1称为源域,R2称为宿域。根据工作需要,信息I允许从域R1传递到域R2、R3…Rk,R1、R2…Rk统称为信息I的工作域,工作域之外的区域统称为非工作域。正常情况下,信息只可以出现在其工作域中,不可以出现在非工作域中,所以信息从工作域向非工作域的传递必须被禁止。如果信息偏离其工作域、出现在非工作域中,这种情况我们称之为僭域。
信息系统是组织信息存在的范围,包括组织的IT系统和现实环境二个方面,IT系统是组织的逻辑信息系统,现实环境是组织的物理信息系统,它们彼此对应、共同构成组织的应用信息系统。
信息在其本域产生以后,可能会以文件的形式被发送到宿域进行审批,文件将会在宿域中被审阅、甚至被提出修改意见。从信息的安全性考虑,个人认为文件的修改只应该在其本域中进行,文件离开其本域以后只能被审阅、不可以被修改,这需要我们开发适用的应用软件加以实施。
如果二个信息域中的信息可以被共享,我们称这二个信息域为共域,反之则为不共域。共域之间的信息可以自由传递,不共域之间的信息传递则被禁止。反映到组织的人员使用与职务任命上,共域之间的人员可以兼职,不共域之间的职务则不可以兼任,例如:组织的会计与出纳属于不共域,所以他们相互之间不可以兼职。虽然共域中的信息内容相同,但是它们毕竟属于二个不同的信息域,例如:前面所介绍的信息域GM与MG互为共域,它们分别属于G域和M域的子域。
信息的保密性要求确定的是信息的保密范围及其保密方式,保密性越高,信息的保密范围就越小,在组织中的工作域级别越高,而保密方式越复杂、保密成本及其安全性要求越高。
GB/T22081—2008标准附录A.7.1.2条款提出了“资产责任人”的要求,这是一个非常好的概念。个人认为在可能的条件下,资产责任人相当于资产的保安:他们仅负责资产的安全、但是不可以接触资产本身。在组织的IT系统中,可以按照信息域确定其信息责任人,监控对信息域的访问,负责信息域及其信息资产的安全管理。通过建立恰当的应用软件,IT系统可以自动生成一份关于信息域及其信息的访问日志。
通过信息本域确定信息在组织中的诞生空间,通过赋予重要性等级确定信息的保密性等控制措施,通过以上二种方法的结合、再补充一个序列号就可以标识信息的唯一性身份,从而为每个信息建立一个信息身份证。外来信息则按照同样的方式依据信息的接收部门、信息类别确定其信息域及其重要性等级并进行标识。根据组织机构和信息类别,通过对组织中的信息域进行系统规划,这样就可以确定每个信息的工作域及其允许的传递路径。如此,从信息的角度观察,组织就相当于一个信息城市,信息就是这个城市的市民,信息流就是这个城市的人流,在组织的IT系统中,我们就可以根据组织机构在组织的高、中、低各个管理层级中建立起一个立体的信息交通图,信息责任人同时承担着信息交警的职能,从而保证组织的信息管理秩序和信息安全。
(二)信息的完整性管理
GB/T22080—2008标准3.8条款关于完整性的定义是“保护资产的准确和完整的特性”,这是以资产的完整性代替信息的完整性,对于信息资产而言,它也许有一定的合理性,但是信息资产并不代表信息,信息资产的完整性也不能代替信息的完整性。
笔者认为在组织的信息安全管理过程中主要存在如下三个方面的完整性要求:
一、以文件、记录等为代表的信息资产的完整性,这是GB/T22080—2008标准所包含的内容,但是我们认为应该赋予其更加深刻的含义。文件的完整性主要体现在二个方面:其一是文件的制定应该加以规范,几乎所有的管理体系标准均要求文件在发布前应该进行评审和批准,以确保文件对于其使用目的的完整和有效;其二是要保证文件在使用与执行过程中的完整性,获得文件等信息资产并不代表就完全获得了其中所表示的信息,它还与我们使用文件的能力有关;如果文件是加密的、我们还需要获得密码。记录的完整性主要体现在记录内容的完整性。组织可以通过定期的评审对其文件与记录的完整性进行确认与完善。
二、在信息传递过程中,信宿接收到的信息与信源提供的信息的一致性,关注的是信息传递过程中的损失与失真,这可以通过建立信息反馈等技术手段加以解决。
三、为了满足决策的需要,组织所收集到的、用于支持决策过程的信息的完整性。由于客观事物的复杂性,我们在决策过程中往往难以获得关于事物的全面、准确的信息,因此需要对相关信息的完整性进行风险控制,包括信息的准确性、真实性、全面性等方面的内容。
(三)信息的可用性管理
GB/T22080—2008标准3.2条款关于可用性的定义是“根据授权实体的要求可访问和利用的特性”,“可访问”意味着信息可以被获取,这是比较容易理解的;可“利用”则比较复杂,它包含了信息第一类可用性和第二类可用性的全部要求。GB/T22080—2008标准4.3.2g条款要求对外来文件进行识别,文件是信息的表现形式,这就是要确定这样的信息是否可利用、有怎样的使用价值,由于某些信息真伪混杂、泥沙俱下,所以对于信息的可用性风险需要加以有效控制。
信息的可用性与保密性、完整性是紧密关联的,信息的内容决定其是否具有可用性价值,保密性和完整性是保证信息可用性的必要条件,可用性则是信息管理的最终目的,可用性决定信息的价值。组织应根据信息的可用性要求确定其保密性、完整性的控制措施;根据信息的保密性、完整性控制水平确定信息的可用性价值,它们相辅相成,缺一不可。
三、信息安全的风险管理
风险管理是信息安全管理的一项重要内容。在《信息安全及其风险评估标准和实务再辨析》这篇文章中我曾经指出:GB/T20984—2007标准关于风险评估的方法并不符合GB/T22080—2008标准的思想,虽然GB/T22080—2008标准采用的是针对资产、包括信息资产的风险评估,它要求首先识别资产及其脆弱性、再识别可能的威胁及其对资产的影响、进一步识别其对组织可能的影响,这一思想无疑是正确的,但是这种风险评估方法的实用性如何呢? 由于本人始终认为资产安全并不等于信息安全、资产安全也不能保障信息安全,详见拙作《信息安全及其风险评估标准和实务再辨析》,因此,在本文后面的讨论中,我们只关注信息安全、包括信息资产的安全,暂不考虑其它类型资产的安全性问题。
GB/T22080—2008标准4.2.1d)条款告诉我们:风险评估的第一步是识别资产,GB/T20984—2007标准5.2.2条款进一步告诉我们怎样识别资产:通过对资产的保密性、完整性、可用性赋值并加权计算以确定资产的重要性,这种做法是否正确呢?
对于文件等信息资产的保密性和重要性而言,是因为文件的保密性要求高、所以该文件重要,还是因为这个文件重要、所以应给予较高的保密性控制措施呢?文件的重要性与保密性孰因孰果?很显然:我们是根据文件的重要性来确定其保密性要求的,在这个过程中,重要性为因、保密性为果。对于信息资产而言,保密性如此,完整性、可用性也同样如此,我们是根据信息资产的重要性来确定其完整性和可用性要求的,在这个过程中,重要性为因、完整性和可用性为果。这就如同我们对个人隐私进行保密的道理一样:因为个人隐私对于我们很重要,所以需要保密,并不是保密以后个人隐私才变得重要的。所以,GB/T20984—2007标准5.2.2条款所介绍的信息资产重要性评价方法是一种颠倒因果的行为,令人无法理解的不仅是标准的失误,更令人无法理解的是为什么这样的失误长时间不能得到纠正?
重要性并非是决定信息保密性的唯一要素,例如:法律法规很重要,然而法律法规不但不需要保密,而且希望被大家尽可能地了解与接受,这是因为决定信息的要素除了重要性i以外,还受信息所属的本域r影响,从前面我们讨论的表征信息的函数I=I(r,i,t)可以很容易地明白这点。一般而言,法律法规等属于组织信息的公共域管理范畴。
另一方面,无论是GB/T20984—2007标准、还是GB/T22080—2008标准,它们寻求的均是针对信息资产的安全管理,但是在信息形成信息资产之前我们应该怎么办?标准似乎并不关心。以信息的保密性管理为例,假设公司总经理有一个重要设想,与有关主管进行沟通交流、征求意见,然而召开会议,形成会议报告,做出决策,这是一个比较常见的决策过程,最终形成的会议报告是信息资产,如果按照前面二个标准的管理思想,我们只能在会议报告形成之后对其进行保密性管理,但是在会议报告形成之前的相当长的一段时间中,如果该信息已经泄密了,这个报告还有怎样的使用价值呢?这一事例也告诉我们:在组织中从信息形成信息资产是有一个过程的,仅仅关注信息资产的安全是不够的,我们应该关注的是信息安全、而不仅仅是信息资产的安全。
那么,信息的重要性应该如何确定呢?根据本文前面关于信息域的分析可知:信息的重要性是由其所诞生的本域的重要性及其在域中的重要性等级二方面因素共同决定的,组织应对其信息域及其信息的重要性等级进行规划。信息资产的重要性等同于其中信息的重要性。一般情况下,信息在传递过程中其重要性等级不发生变化;特殊情况下,如果需要提升信息的重要性等级,则应该对信息以前的状况进行风险评估,必要时采取补救措施。
GB/T20984—2007标准5.2.2.4条款介绍说“主要围绕重要资产”进行风险评估,但是在GB/T22080—2008标准中并没有相应的内容。一片废纸就有可能引发一场严重的火灾事故,然而谁也不会认为一片废纸是重要资产。
GB/T22080—2008标准所介绍的风险评估方法本质上是一种因果判断的过程。它以资产的脆弱性为因、外部的威胁为缘、可能产生的不良影响为果,这是一种从原因推论结果的因果分析方法。它从可能的事件原因入手,要求穷尽原因以分析结果,理论上虽然正确、事实上却是无法实现的,因为事件的原因千变万化,不可能被穷尽、我们也完全没有必要穷尽所有的事件原因。经验告诉我们:能够导致严重后果的事件毕竟是少数,在日常生活中的绝大多数事件往往危害并不大、是可以接受的。长期的工作实践也告诉我们:没有哪个单位能够识别所有资产的脆弱性及其所面临的威胁,GB/T22080—2008标准所介绍的风险评估方法只会让我们将大量的时间和精力浪费在不必要的微小方面、甚至有可能导致对重大风险的忽略。虽说千里长堤、溃于蚁穴,但是我们不可能要求千里长堤上没有一个蚁穴,也不可能对千里长堤上的每一个蚁穴都加以同等的关注,因为千里长堤上可能还有更加严重的老鼠的洞穴、野兔的洞穴等等,绝大多数蚁穴并不会导致长堤的崩溃,所以,我们只需要关注那些有可能造成长堤崩溃的重大洞穴就可以了。这一思想告诉我们:我们应该关注那些重大的、有可能导致不可接受风险的事件,消除或降低此类事件发生的原因,也就是从可能的严重结果反溯其原因、并进行有针对性的有效处置。
信息安全的风险管理应该贯穿于信息的整个生命周期,它包括信息的获取和生产、信息的保持与使用、信息的变更、异常情况处理及作废信息的处置五个阶段,各个阶段所面临的信息安全风险及其控制措施是不同的。GB/T22080—2008标准所介绍的首先识别资产的威胁和脆弱性的风险评估方法仅适用于信息作为信息资产的正常使用过程,所以并不完善。
在信息的获取阶段,我们需要根据工作内容对信息源的第一类和第二类可用性进行全面评审,由于我们所获得的原始信息往往存在碎片化的倾向,所以此时的信息源存在较大的不确定性,有时还需要进行进一步的取证以去伪存真,必要时应进行风险评估,以最终确定信息源的可用程度。
在信息的生产阶段,我们需要依据获取的有效信息、根据目的需要对信息进行加工,以生产出适合组织目标要求的有用信息和信息资产如文件等。组织需要对生产的信息进行评审、必要时进行风险评估,以确保其有效性。
在信息的保持和使用阶段,主要是保持信息的第二类可用性。信息的第二类可用性是由其保密性和完整性决定的,组织应通过有效的技术手段和管理措施保证信息的保密性和完整性。那些因为网络中断等IT系统故障导致的信息不可用,属于信息技术安全问题,责任不在信息本身。 信息使用过程的保密性、完整性风险与其工作域及其所采用的信息技术有关。组织应识别信息在其工作域中正常工作过程的风险,并监视信息是否存在僭域、或完整性破坏的异常现象;如果发现信息僭域、或完整性破坏的现象,应及时查找原因、通过风险评估确认信息的可用性,并采取必要的补救措施。信息僭域以后并非一定失去其可用性,僭域的信息固然在一定程度上失去了保密性,只要风险没有超出允许的范围,信息的可用性就不会完全丧失,但是这说明了组织的信息安全存在隐患,需要治理。
信息变更等同于信息的再生产,其风险管理与信息生产阶段相同。
作废信息的处置也不能被忽略,在信息没有彻底解密之前,其保密性就必须被保持。
考虑到风险评估对于信息安全的重要性及其适用性需求,依据GB/T22080—2008标准的风险管理思想,我们介绍一种适合于信息保持阶段、针对第二类可用性的风险评估方法:
1、假设信息受到破坏失去保密性或完整性等第二类可用性因素,评估其对组织的影响A及其发生的概率P。需要注意的是:这种影响一般并不是固定的,往往是一个范围,所以需要分别考虑最大影响、最小影响、最可能发生的影响及其概率;
我们将保密性、完整性等影响信息第二类可用性的因素称为信息的可用性因子D,一般情况下,可用性因子D的破坏程度与其对组织的影响A正相关,假设发生某种影响的概率为P1,那么可以建立函数F=F(D,A,P1)
2、计算以上影响对组织的风险;风险值R可以表示为对组织的影响A及其发生概率P1的函数,即R=R(A,P1);
3、根据预设的风险接受准则评估以上风险是否可接受。风险接受准则要求可接受的风险值R不能大于设定值R0,因此可以据此确定什么程度的信息可用性因子破坏是不可接受的,即确定可接受的可用性因子破坏阀值D0;
只要不对组织的目的性产生影响的信息可用性因子破坏基本上都是可以接受的,因此从安全的角度考虑,我们不妨将风险接受准则确定为:在任何情况下,不论P1如何取值,信息可用性因子的破坏对组织的影响A恒为零,即A=0,此时的风险值R=0。
以保密性管理为例:某公司供应部制定的物资招标采购计划虽然在公司内部有所泄漏,只要没有被公司外部的投标方所获取,就不会对公司的招标活动产生影响,这样的招标信息就不会丧失其可用性,这样的风险就属于可接受风险;但是,公司内部的人事变更方案如果在正式确定前就已经被公司有关员工所了解,这个方案的可用性就有可能会受到严重影响,这样的风险就属于不可接受风险。
虽然供应部的物资招标采购计划在公司内部有所泄漏属于可接受风险,但是这并不表示这样的风险就不需要加以治理,这事件恰恰说明供应部的信息安全管理存在漏洞,因此供应部应该将其作为重大的信息安全风险并制定有效的控制措施。
4、针对以上分析的不可接受风险,利用因果图等分析工具寻求可能产生以上信息可用性因子破坏的原因(信息的脆弱性V及其外部的威胁T)及其产生的概率P2,可用性因子D可能的破坏程度可以表述为以上三者的函数D=D(V,T,P2);
5、由于信息可用性因子D的破坏程度与其对组织的影响A正相关,所以,针对D>D0的脆弱性和威胁制定控制措施。消除脆弱性或消除威胁都可以实现这一目标。
针对以上招标信息的保密性泄密现象而言,虽然泄密范围仅仅是公司内部的少数人群,然而,如果其中有人与投标方存在利益关系,这就存在使泄密范围进一步广大到投标方的威胁,从而产生对公司的利益造成影响的可能,这样的风险就是不可接受的,必须加以消除。
二年前,笔者刚从事信息安全管理体系审核员工作不久,曾有幸参加一次关于信息安全管理标准的培训,与会者基本上都是国内从事信息安全管理的专业人员。会议过程中大家对于信息安全管理体系需要识别哪些“信息资产”进行了热烈的讨论,然而,一直到今天为止,国内各单位在建立其信息安全管理体系时依然将硬件、软件等组织的各类资产统称为信息资产,这种概念的混乱令人惊讶。
毫无疑问:信息安全的核心理应是、也只能是信息本身的安全,包括作为信息表现形式的信息资产的安全;组织的信息安全管理必须以信息管理为基础,并为组织的信息管理服务,这是组织信息安全管理的唯一目的。信息技术安全对于信息安全具有重要的支持与保护作用,属于广义的信息安全范畴,也应该受到应有的重视,不可缺失,但是不可以信息技术安全代替信息安全,那是本末倒置的。
信息安全对于组织安全的重要性毋需笔者赘言,三年多来,笔者从学习标准、思考标准起步,到今天怀疑标准、并试图建立实用的信息安全管理理论,我始终孑然独行在信息安全管理这条孤寂的小道上,只为了一名职业工作者良心的安宁。我不敢奢望已经掌握了真理,甚至不敢幻想能获得多少共鸣,只希望能起到抛砖引玉的作用,让更多的人来思考组织的信息安全管理这个重要课题,以便为组织真正建立起实用而有效的信息安全长城!