论文部分内容阅读
随着互联网的发展,信息安全越来越受到人们的重视,但如何做到真正的信息安全——这个问题一直困扰着企业的领导者。从本期开始,我们将开设“电子商务与安全”栏目,为读者一步一步揭开信息安全工作的面纱。本期首先向您推荐中国工程院院士沈昌祥的“规范信息安全建设”;之后是中软信息安全博士后科研工作站马东平博士的“企业信息安全系统实施”,本文具体全面的介绍了企业在建立与实施信息与网络系统安全体系时应注意的方方面面,我们将分三期刊登这篇文章,相信您会从中受益匪浅。
沈昌祥,中国工程院院士,博士生导师。目前主要从事信息与网络系统安全模型、安全体系结构、安全策略研究,首次提出了信息安全工程概念。
在不足一代人的时间里,信息革命和计算机在社会各个层面的引入已经改变了经济的运作方式、国家安全的保障方式以及日常生活的组织方式。
作为信息时代的先导和主角, 互联网绝不仅仅是一个由计算机连结起来的简单组合体。在互联网上,每一台主机都在为了贯彻人类的意志而工作,可以说互联网是人类社会在数字空间的投影。这样一种事实使得互联网的某些行为异常复杂,难以捉摸,也反映出网络安全问题是互联网社会性的显著标志之一。
信息时代带给我们无限商机与方便,也充斥着隐患与危险。黑客攻击已经渗入到政府机关、军事部门、商业、企业等各个角落,不仅干扰着人们的日常生活,而且造成巨大的经济损失,甚至威胁到国家安全。迄今为止,在安全对抗中,黑客阵营占据绝对上风,我们总是遭受攻击之后自发地防护,而后茫然地等待下一次攻击的到来。黑客们的骄人战绩并非绝对依赖高明的技术手段,攻击得逞的真正原因往往是黑客对于网络使用者行为的细心揣测,以及用户自身在安全策略、安全管理机制、安全防范意识等方面存在缺陷或不足。网络信息安全不单单是技术问题,而是策略、管理和技术的有机结合。
就网络安全的现状来看,我们的网络是十分脆弱的,我们在安全体制、安全管理等各个方面都存在十分严重而突出的问题,不容乐观。
从20世纪90年代中期到21世纪初,网络风起云涌,六次著名的黑客大战给人们敲醒了网络安全的警钟,无论是政府部门、企业、还是个人用户安全意识明显增强。在互联网发展的短短几年中,人们对安全的理解在一步一步地加深,从早期的安全就是杀毒防毒,到后来的安全就是安装防火墙,到现在的购买系列安全产品。但是应该注意到,这些理解依然存在着“头痛医头,脚痛医脚”的片面性,没有将网络安全问题作为一个系统工程来考虑、来对待。
信息安全既不是纯粹的技术,也不是简单的安全产品的堆砌,而是一项复杂的系统工程——这就是信息安全工程,是采用工程的概念、原理、技术和方法来研究、开发、实施与维护企业级信息与网络系统安全的过程,它将经过时间考验并证明是正确的工程实施流程、管理技术和当前能够得到的最好的技术方法相结合。信息安全工程生命周期模型ISE-LCM是信息安全工程学的落脚点和支撑点,也是信息安全工程学研究的基础。
信息安全工程的复杂特点
首先,信息安全具有全面性。信息安全问题需要全面考虑,而系统安全程度取决于系统最薄弱环节;
其次,信息安全具有过程性或称生命周期性。一个完整的安全过程至少包括安全目标与原则的确定、风险分析、需求分析、安全策略研究、安全体系结构的研究、安全实施领域的确定、安全技术与产品的测试与选型、安全工程的实施、安全工程的实施监理、安全工程的测试与运行、安全意识的教育与技术培训、安全稽核与检查,应急响应等,这一个过程的结束标志着信息安全工程这一轮生命的终止,经过安全稽核与检查后,又形成新一轮的生命周期,是一个不断往复、不断上升的螺旋式安全模型。
信息安全还具有动态性。信息技术在发展,黑客水平在提高,安全策略、安全体系、安全技术也必须动态的调整,在最大程度上使安全系统能够跟上实际情况的变化发挥效用,使整个安全系统处于不断更新不断完善不断进步的动态过程中。
而且,信息安全具有层次性。需要用多层次的安全技术、方法与手段,层次地化解安全风险。
最后,信息安全具有相对性。安全是相对的,没有绝对的安全可言。安全应该与保护的信息与网络系统的价值相称。因此,实施信息安全工程要充分权衡风险威胁与防御措施的利弊得失,在安全级别与投资代价之间取得一个企业能够接受的平衡点。这样实施的安全才是真正的安全。
信息安全工程既然是系统工程,就要用系统工程的观点,方法来对待、处理信息安全问题。安全体系结构的设计、安全解决方案的提出必须是基于信息安全工程理论,因此,对企业来说,在建立与实施企业级的信息与网络系统安全体系时,必须考虑信息安全的方方面面,必须兼顾信息网络的风险评估与分析,信息网络安全需求分析,信息网络整体安全策略、安全模型、安全体系结构的开发,信息网络安全的技术标准规范的制定,信息网络安全工程的实施与实施监理,信息网络安全意识的教育与技术的培训等各个方面。对工程实施单位来说,必须严格按照信息安全工程的过程、规范进行实施。对管理部门来说,建议采用信息安全工程能力成熟度(SSE-SSM)对企业安全工程的质量,安全工程实施单位的实施能力进行评估。只有这样才能实现真正意义的信息系统的安全。
随着全球信息化的飞速发展,信息革命和计算机在社会各个层面的引入使人类生活发生了翻天覆地的变化。信息已成为代表综合国力的战略资源,信息安全已成为保证国民经济信息化进程健康有序发展的基础,直接关系到国家的安全,影响重大。站在信息安全工程的高度上来全面构建和规范我国的信息安全,将大大地稳固我国的信息安全系统,保障国家信息资源的安全。其意义不言而喻。
注:本文及相关研究得到国家973“信息与网络安全体系结构研究”项目G19990358-1的资助,在此表示感谢。