建立主动性信息安全体系

目前企业所遇到的安全问题并不少见。如何有效地进行企业信息安全建设，并使安全投资最大化？我认为应对这一问题的有效方法是建立主动性信息安全体系，而不是被动式的安全防御手段。图1是一个简单的主动性安全风险管理模型，主要由以下几个方面组成：§主动性安全报警§主动性安全防护§主动性安全管理§主动性安全响应防火墙漏洞评估入停检测VPN问控制/攻击悼复服务雷罐与诱引技术内容更新与安全响应24x7全球客户和加密；防病毒主动性Z多层次/身份防火墙漏洞评估入停检测VPN问控制/攻击悼复服务雷罐与诱引技术内容更新与安全响应24x7全球客户和加密；防病毒主动性Z多层次/身份■/j一管粤、直i*管哇通用r'm 痉制台策略―致1匡1L 事故管果安仝服宪—威胁管理J—3*3=*图1主动性安全风险管理模型在这张图中很多内容都是为大家所熟悉的安全技术和安全管理手段。比如身份认证、防火墙、访问控制、紧急响应、预警、安全策略等。但这里所强调的是一个主动性的机制和主动性的安全管理理念。有一个备受业界关注的问题：我们比较好理解从预警角度提高安全防护的主动性，但从管理、响应、防护如何能够体现出主动安全防护呢？不错，确实很多主动防御手段都是通过预警机制推出来的，安全预警是主动性信息安全体系和安全保护体系的主要组成部分之一。但除了预警之外，在安全保护、安全管理、安全响应方面都能体现出主动性安全机制的内容。有些人甚至领导认为现在我们单位还没有发生严重的信息安全事件，因此和业务建设比起来，信息安全建设不是一个紧迫的和应当重点开展的项目。这里所反映出的就是一个观念问题，安全管理的观念没有主动性。在个人观念还没有预料到问题将要发生的时候，去做安全工作，这就是我们认为的主动性安全管理。此外，安全响应似乎是一个被动的安全机制，但如果没有主动性安全的基础，安全响应将难以有效地应对将要出现的问题。主动性安全体系分析以下以早期预警系统为例，对主动性安全体系做一个进一步的分析。大家都知道预警就是要尽早发现问题，从而能避免一些问题的发生和及时解决可能出现的问题，选择和建立一套安全预警系统，有几个因素是最重要的？一个是及时性，警报不管是对安全漏洞、安全威胁、还是是恶意代码，信息发布要及时。第二是准确性，现在安全报警的来源很多，有些还是免费的，但有些信息的来源未必可靠，所以准确性不是很高。准确性不高的安全预警信息可能会起到与期望的效果相反的结果。第三是针对性，现在全球每天所发送的安全威胁信息是大量的，这些信息如果不经过分析并针对企业的环境客户化，就不能被用来防御所面临的威

胁，因此其可利用价值是很低的。值得指出的是，安全预警只是主动性安全风险管理的一部分，图2简单地描述了主动性安全风险管理周期:主动性安全凤,险管理安全事件管理.啊应和恢复安全威胁信息收集与分折安全现状与风险评估安全威助分级与预警安全措施选择、设计和安全措施制定主动性安全凤,险管理安全事件管理.啊应和恢复安全威胁信息收集与分折安全现状与风险评估安全威助分级与预警安全措施选择、设计和安全措施制定图2主动性安全风险管理周期企业建设主动性信息安全体系所要优先解决的问题综上所述，我认为我们中国的企业在建设主动性信息安全体系时所要优先解决的问题：第一，改变被动应付多于主动防御的局面。很多单位都面临这样的问题：花了很多的精力和资金在安全技术方面，但重大安全问题仍层出不穷。如果仔细分析的话，就是没有做好前期的预防，而是出现问题时都手忙脚乱地应付。第二，加强对安全建设过程的重视。我仔细比较过我在欧洲、美洲、日本和中国大陆地区做过的安全项目，我发现客户对安全的认识和想法各有不同。这其实很正常。但我发现中国客户和其它国家客户一个很明显的区别就是对于安全建设过程的认识。我在北美做项目的时候，发现客户和我们中国客户一样非常重视安全目标，有相应的安全需求，明确要实现的的结果和要达到的安全运营水平。但和国外安全管理比较成熟的大型企业相比，我们中国的客户明显不够重视安全建设的过程。国外大型企业做安全建设工作的时候，除了注重目标和结果外，他们会花很大的精力和服务商讨论从开始的目标，到实现结果，到最后的运营所需要走的过程和可能遇到的问题，他们会关心在这个过程里面企业需要注意哪些问题，在这些过程里面需要哪些手段、技术、管理、和人来帮助实现目标和结果。由于他们愿意仔细看过程，所以他也愿意跟服务商一起共同承担安全建设的风险。如果一个企业想做安全建设而不愿承担风险的话，这个企业就不愿意也不可能顺利走这个过程。建立安全系统本身就是非常严肃，非常困难的，真正注重安全建设过程的企业，是愿意承担风险的，也是最有可能实现安全管理的最佳境界的。第三，提高安全技术管理水平。国内很多企业愿意把钱花在防火墙上，而相应的管理水平、手段没有体现，包括管理的技术、流程和人的管理。第四，选择和制定适合企业的安全标准。现在安全标准无论是在全球还是中国并不缺少，但关键是选择和制定适合本企业的安全标准。这是整个业界都面临的问题。第五，改善用户管理的问题。这是大型企业所共同面临的问题。这也是实现主动性安全管理体系的前提，因为用户管理的问题是信息资产安全管理的核心和基础之一。第六，提高安全组织的作用和安全意识。安全威胁、安全故障、安全问题的出现，其实大多数都是由非恶意的行为造成的。真正恶意行为造成的威胁和破坏，从统计上来讲只占一小部分。那些非恶意的破坏和威胁可能是用户不知道如何做好安全保护，不知道如何遵守安全规定，不知道遵守哪些安全规定，无意之间造成了错误，无意之间给企业造成了破坏。概括地讲，主动性信息安全体系的核心是在预警、保护、管理、响应全方面的主动安全理念和安全技术手段。在主动性安全体系的建设的过程里