【IT168信息化】
引言
随着信息技术的迅猛发展,信息系统被企业的广泛应用,信息及信息系统对汽车制造企业来说,不仅只意味着财富和实力,而且已经成为企业的重要战略资源及赖以生存的血液,对企业的生存、发展起着至关重要的作用。十七大胡总书记报告中提出:全面认识工业化、信息化、城镇化、市场化、国际化、深入发展新形势、新任务,要大力推进信息化和工业化的融合。信息化是当今世界制造业发展的趋势,更是中国汽车制造业实现跨越发展的重要机遇。同时,随着企业信息化广泛深入应用,信息安全问题也日益突出且越来越关系企业的命运,在信息安全领域,很多企业在内网安全方面虽然有信息安全相关产品的部署,但都缺乏统一的安全策略,上下级网络间也缺乏很好的联动管理与维护,客户端漏洞补丁的下载与执行无法统一,病毒库及补丁升级更新不及时、不准确、不共享,内网病毒及木马等威胁比较多,虽然有防病毒软件,但是无法定位,组织机构不合理,安全监管措施缺失,管理手段落后等,都成为制约企业信息化发展的重要问题。
大量的信息安全事件,已经使人们逐步明白:不是任何的信息安全问题都可以通过技术手段解决的。即便有了技术手段,如果没有管理,也不能真正发挥出技术手段应有的功效。信息安全保障包括技术和管理两个层面,就技术和管理所起的作用而言,管理的比重甚至要大于技术。再先进的技术手段,离开科学合理的管理也不能发挥全部的作用。信息管理就是把分散的信息安全技术因素、人的因素,通过政策规则协调整合成为一体,服务于企业信息化使命的安全目标。因此,参照国际先进的信息安全管理实践经验,结合企业的实际情况以及国家信息安全等级保护要求,以及风险评估等要求建立一套符合国际标准要求的信息安全保障管理体系(Information Security Assurance Management Systems,ISAMS),将有效地从管理、技术、运维等方面提高企业的总体信息安全水平,保障企业的业务持续运行,保护企业的核心竞争力。对于任何企业,采用ISAMS将是一项重要的战略性决策,企业信息化体系结构最重要是信息安全保障,如果没有信息安全保障,企业的信息化就很难健康地发展。
一 信息安全保障管理基础
企业信息安全保障管理指的是通过管理和保护企业所有的信息系统,包括制定信息安全方针策略、风险评估与管理、控制目标及控制手段的选择与实施、制定规范的操作流程、对员工进行安全培训等一系列工作,来维护企业信息系统的机密性、完整性及可用性等的一项体制。通过在信息安全策略(包含信息安全方针)、信息安全组织、信息资产分类与管控、核心人员信息安全、物理与环境包括边界安全、通信操作安全、信息安全访问控制、信息系统获取开发与维护、业务持续性管理、信息安全法律法规符合性等十几个领域内建立管理控制措施,来为企业建立起一张完备的信息安全“保护网”,保证企业信息资产的安全与业务的连续性。
企业信息安全保障管理是一个多层面、多因素的、综合的、动态的系统工程,它需要企业对信息系统的各个环节进行全面统一的考虑、规划、设计和架构,并要时时兼顾组织内外不断发生的业务情况,任何环节上的信息安全脆弱点都会对系统构成风险。企业的信息安全保障管理水平由与信息安全相关环节中的最薄弱环节决定。信息从产生到销毁的生命周期过程中还包括了收集、加工、交换、存储、检索、存档等多个事件,表现形式和载体会发生各种变化,这些环节中的任何一个环节出现问题都可能影响整体信息安全水平。另外,如果企业凭着一时的需要,想当然地去制定一些控制措施和引入几项技术产品,就难免使得信息安全这只“木桶” 出现若干“短板” ,从而无法整体提高信息安全保障管理水平。建立全面的信息安全保障管理体系是避免上述问题的有效手段。
二 企业信息安全保障管理目标与原则
企业在建立信息安全保障管理体系前首先要确定其目标与原则,企业信息安全管理通常强调所谓CIA三元组的目标,即保密性(Confidentiality)、完整性(Integrity)和可用性(Availability),这是信息安全的基本要素和安全建设所应遵循的基本原则。
对汽车制造企业来说,信息安全CIA的3个方面都应该是比较重要的,一方面,公司内部牵涉到核心技术、知识产权、隐私保护的信息资产,其保密性要求会比较高,另一方面,由于关系到各项应用和业务系统的持续有效运营,支持这些应用和业务系统的信息系统则必须保证可用性和完整性。对CIA的追求只是企业信息安全管理的直接目标,对于汽车制造企业,其实最终关心的是其关键业务活动的持续性和有效性,而各项关键业务活动的运转,又依赖于信息系统的支持,所以,企业业务持续性及企业的生存发展目标,才是企业信息安全保障管理的最终目标。
讲科学管理,常常提出若干管理原则,讲信息安全管理同样也不例外,但是,一旦执行起来,原则往往变成了“圆则” ,无处下手,难于考核,流于形式,成为口号。
如何将信息安全管理原则不变成“圆则” ,变成看得见,抓得住的现实,需要通过抓好如下几个方面来加以实现:
1)信息安全管理责任明确
管理是需要通过人来实施的。信息安全保障管理不是一个人的事情,要人人有事做,事事有人做,企业需要建立人与事的匹配关系,用角色和责任把这种关系明确起来,固定下来,以便备忘、查考、赏罚。同时,管理者还必须给予明确的支持和承诺。
2)信息安全保障管理“有规可依”
信息安全保障管理是一个动态的过程,需要通过建立符合规范的流程来体现这个过程。流程必须规范,使不同时间、不同的人在实施同类事物的管理时,步调一致、效果非常好的、可以比较。
3)信息安全保障管理流程“执规必严”
赋有管理责任的角色,在实施信息安全管理时,决不能信马游缰,随意乱来。相关的法律、规章、制度是实施管理的依据,必须与其保持一致。
4)信息安全保障管理整体的协调一致
信息安全保障管理的整体是通过不同部门、不同人员管理的各个分项综合来显现其效果的。它们之间为了整体的管理要求,必须协调。协调的要求应该是事先共识达成的一致。为了协调,相互之间必须沟通,同时也要与企业的文化保持一致。
5)信息安全管理执行应该有据可查
规定的管理行为必须执行,执行的管理活动应该有据可查。信息安全管理活动必须留有记录、证据,以便查考管理的效果,改进完善管理行为。
6)信息安全保障管理的常态性
向所有管理者、员工和其他方提供适当的意识、培训和教育,传达有效的信息安全知识以使他们具备安全意识和素质。
7)信息安全保障管理需求明确
企业信息安全保障管理需求,一是从考虑企业整体业务战略和目标的情况下,评估该组织的信息安全风险获得。通过风险评估,识别出资产受到的威胁,评价易受威胁利用的脆弱性和威胁发生的可能性,估计潜在的影响。二是企业开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。三是来源于组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、规章和合同要求,以及他们的企业文化环境。
${PageNumber}三 企业信息安全保障管理实施关键活动
在整个实施ISAMS的过程中,各阶段都有一些关键的活动,这些活动是否能够顺利实施并且生成有效成果,将直接决定着信息安全体系建设最终的成败。为此,本小节即对一些最关键的活动给予介绍,包括这些活动的意义、前后关联、成果、最终收益、对企业的影响等。了解这些内容,将对整体上把握体系建设过程以及制定各类规划大有帮助。
3.1 风险评估
风险评估 是实施信息安全管理保障体系重要的先决条件,是ISAMS建设准备阶段最关键的一步。基于风险评估,企业可以对当前的信息安全现状有一个系统全面的分析,找出真正的不足,以此来确定自己在信息安全管理建设方面的需求。在实施风险评估活动时,企业应该在确定范围内组建风险评估小组,并且由安全项目主管担任组长,负责协调风险评估事宜。风险评估成员要参加必要的技能培训,包括信息安全管理概要、风险评估方法等。
实施风险评估时,在管理评估的基础上还要考虑借助专业人员的经验和各种技术手段,探测并发掘客户网络信息系统中存在的各种安全威胁和漏洞,全面了解网络信息系统的安全现状,杜绝外部和内部违规利用网络资源而引发安全事件的可能。内网信息安全已经被证明是在高度信息化的情况下所有汽车制造企业必须面对的问题。
技术评估可以针对以下系统:
1)典型的Windows、Unix操作系统服务器。
2)典型的数据库应用系统。
3)典型的Web应用系统。
4)典型的网络设备。
5)防火墙、IDS等典型的安全设备。
6)网络拓扑及基础设施。
企业专业人员采用强大的安全评估工具对客户的网络和主机系统进行安全漏洞评估。漏洞评估分阶段按步骤进行,实施过程中采集到的大量信息,由专业技术人员进行分析甄别,最终给出评估报告,针对每一项发现的漏洞问题,按照不同的严重程度进行分级,并结合实际需求提出相应的漏洞修补建议。专业人员通过以下途径实施安全评估:
1)通过研读网络拓扑图、进行现场调查和人员访谈等途径,对网络整体架构的安全性进行分析和评估。
2)借助专用的自动化扫描工具,对网络设备、主机系统、应用系统等进行漏洞扫描。
3)利用渗透测试技术,对值得关注的目标系统进行模拟入侵测试。
4)登录到受测试主机本地,通过本地日志系统、配置文件、命令操作过程的审查,更深入细致地了解目标系统的安全状况。
5)针对关键系统和设施,考察BCP框架的有效性和完备性。
3.2 基于TDA深度威胁发现与分析
威胁是构成安全风险不可缺少的要素之一,它是指可能导致对系统或组织损害的不期望事件发生的潜在原因,在信息安全领域可以将会潜在妨害安全并对信息系统造成破坏的环境或事件定义为系统的危险。威胁的起因可能是蓄意的,也可能是偶然或自然的。据国际权威调查,85%以上的安全事件出自内网,企业时刻面临着诸如:APT和针对性攻击、零日恶意软件和文档漏洞、Web威胁(漏洞、隐蔽强迫下载)、电子邮件威胁(网络钓鱼、鱼叉式网络钓鱼)、特洛伊木马、蠕虫病毒、按键记录软件和犯罪软件、破坏性应用程序等各种威胁。内网信息安全是一个广泛的概念,包括了桌面管理、监控审计、威胁发现与分析、授权管理和信息保密等内容,一个完整的内网信息安全体系,需要考虑计算机终端、用户身份、计算机外设、应用系统、网络、存储和服务器等各方面的因素。高级持续性威胁和针对性攻击已清楚地表明其抵御传统安全防御、保持长期不被检测到,以及隐蔽泄露公司数据和知识产权的能力。随着新型IT技术的应用(例如云计算技术等),进一步加剧了这些攻击的严重性,削弱了外围安保的作用,从而使网络更容易遭到攻击。企业分析人员和专家已清楚地认识到这些问题,并建议企业加强其安全监测及防御,采用专业的针对高级持续性威胁的检测技术和前瞻性的实时威胁管理流程来进行威胁分析。
如今,高级持续性攻击使用多阶段方式来窃取重要数据:获取入口点,下载其他恶意软件,打开后门程序访问,找到并危害目标系统,然后上传数据。尽管笔记本电脑数据危害可快速发生,但从初始入侵到目标数据受到危害通常需要几天或几周的时间,实际发现并完全抑制危害所用的时间可能为几个月。在此期间,企业网络中潜伏着入侵者,其目的是持续危害重要数据。趋势科技深度威胁发现设备TDA使用3个层面的检测方案来执行初始检测,然后进行模拟和关联,最后通过最终的交叉关联发现隐蔽的高级持续性威胁活动,以及其他只有通过长期观察才能发现的隐蔽活动,为企业和政府组织提供了降低高级持续性威胁攻击(APT)和针对性攻击风险所需的全网范围的可见性、洞察力和控制。TDA以独特方式实时检测和虚拟模拟分析技术,提供防止、发现和抑制针对公司数据的攻击所需的深入分析和行动情报。TDA通过对高级持续性威胁恶意软件和隐蔽式攻击者行为的检测和深入分析,为企业和政府组织提供在不断发展的网络环境中检测APT和针对性攻击所需的可见性和情报。
3.3 风险处理
风险评估之后,明确了企业自身真正的安全需求,在制定并落实各项风险处理计划时,首先要考虑的,是在整个公司范围内建立有效的安全管理和执行组织,落实人员的责任。具体来说,最终企业建立的信息安全管理组织应该设置以下关键角色,如图1所示。
企业还应该根据风险评估的结果制定一系列风险处置计划。计划可以是分阶段分层次的,从阶段来讲,通常分为短期、中期和长期计划,或者从层次来讲,通常分为事务实施计划、策略计划和战略计划。企业在制定信息安全计划时应该优先考虑与关键业务最紧密相关的信息系统环境,至于先做什么后做什么,只有根据风险评估得出风险等级之后,由决策者最终确定。不过,无论优先顺序如何考虑,企业都应该有计划地实施以下事务:
1)编写并完善企业信息安全策略文件,这是统领企业信息安全管理各项事务的总体纲领、指导方针和行动指南。务必做到信息安全管理“有法可依”和“有法必依”,并且尽量实现“执法必严”和“违法必究”。
2)在人员组织方面应该做到:
①组建信息安全管理组织架构,设定人员责任;
②实施层次化和全方位的人员意识培训,使每一个员工能够自觉履行安全责任,使每一个系统管理和维护人员掌握应有的安全技能,使信息安全管理者有能力去行使信息安全管理职权。
3)在流程建设方面应该做到:
①加强内部审核。这要求企业建立内部审核流程和制度,明确责任人,制定审核计划,定期对公司信息安全管理体系的运行情况进行审核,审核结果应该和人员考核挂钩,发现问题及时改进,使遵守信息安全策略真正成为每一个员工的意识和习惯;
②建立BCP/DRP机制,包括应急响应,完善企业业务连续性管理框架;
③将安全管理流程与IT服务管理流程结合,在变更管理、配置管理、问题管理等方面进行规范化。
4)在信息安全技术运用方面应该考虑:
①对IT基础设施实施安全加固,从系统一级消减因为配置或者操作不当而造成的安全风险;
②加强应用系统的安全性,采取应用审计和分析等手段,对架构于基础设施之上的各种应用系统进行安全加强;
③对适合于采用技术措施来予以消减的风险,应该制定可行的解决方案(包括产品解决方案),或者委托专业技术公司来提供并实施解决方案,方案的实施应该在相应的策略或程序指导下进行。
有了安全计划,为了落实既定的目标,必须有针对性地设计解决方案,其中技术或产品解决方案就是很典型的例子。当然,这里需要澄清的是,信息安全体系建设并不能简单地认为就是信息安全集成(产品集成),因为信息安全管理更多牵涉到的可能还是非技术的东西,有时候,用管理手段去解决风险问题,往往比花费大的代价购买产品去应对要更加经济有效。说到底,设计怎样的解决方案,直接取决于企业真正的安全需求和管理决策。有了计划,有了方案,剩下的事情就比较简单了,只要管理层充分重视和支持,项目管理操作完善,及时总结和调整,实现既定的目标是很自然的事情。
3.4 文件编写
有效的信息安全保障管理体系包括一套体系化的文件,这里讲的文件,并非简单的几个电子文件或者纸质文件,它要充分体现信息安全保障管理有法可依、有据可查的状态。信息安全保障管理文件,是指导并且追踪所有信息安全保障管理事务所必备的工具。所以,风险评估之后,解决方案中包含的很重要的一项任务,就是制定并有针对性地完善信息安全管理文件体系。在文件编写方面,企业应首先组建两个编写小组,一个是负责制定全公司范围的安全策略(方针)文件,另一个是负责制定具体实施的策略文件。从层次上来看,企业要建立完整的文档体系,通常由四级文件构成。
(1)纲领性文件
信息安全方针类文件,需要从公司整体角度来考虑制定,它应该能够反映最高管理者对信息安全工作下达的旨意,应该能为所有下级文件的编写指引方向。包含信息安全方针的信息安全管理手册,由信息安全委员会负责制定、修改和审批,是对信息安全管理体系框架的整体描述,以此表明确定范围内信息安全保障管理是按照既定目标要求建立并运行的。
(2)规章、程序性文件
程序文件应该是针对信息安全保障管理某方面工作的,是对信息安全方针内容的进一步落实,应该是不同部门都能适用的,通常包括(可能不限于此):风险管理与风险评估程序、内部审核程序、管理评审程序、文件记录控制管理程序、纠正预防控制管理程序、信息安全事件管理程序、信息设备管理程序、信息安全组织建设规定、第三方和外包管理规定、信息资产分类管理规定、人力资源管理程序、工作环境安全管理规定、介质处理与安全规定、系统开发与维护程序、变更管理程序、防病毒管理程序、信息交换管理程序、业务连续性管理程序、法律符合性管理规定。
(3)指南、操作性文件
具体的操作指导书涉及与具体部门特定工作或系统相关的具体作业规范(操作步骤和方法),可以由各个单位自行制定,是对各个程序文件所规定的领域内工作的细化描述。
(4)记录、证据性文件
各种记录文件,包括实施各项流程的记录和表格,应该成为信息安全保障管理执行情况的有力证据,由各个相关部门自行维护。
3.5 汽车制造业信息安全保障管理审核
信息安全保障管理审核包含信息安全内部审核(通过所说的内审)与信息安全保障管理测量,其本质就是看其是否符合标准规范以及既定的策略要求,是否符合企业真实的安全需求,以及验证企业信息安全保障管理体系控制措施的实施情况与实施有效性。参照信息安全管理标准的要求,在信息安全保障管理体系初步建立之后,企业应该借助安全审计等途径,对ISMS的效力进行定期评审,以确定其是否符合既定的安全方针和目标,确定安全控制是否依然有效。安全审计可以由企业内部来完成(内部审核),也可以由第三方机构来实施(外部审核)。内部审核通常包括管理和技术两个方面:一方面,企业可以依据相关国际通行标准(如IS027001标准)或自身规范、既定的方针和程序等管理文件,对当前ISMS所有相关活动和内容进行符合性检查;另一方面,可以借助一些技术手段,对信息系统进行检查以确保其符合安全实施标准。内部审核可以作为提请真正认证审核的一项模拟活动来进行。
四 结语
中国有一句老话,叫做“居安思危”。何况在信息安全问题上,企业所面对的客观形势还根本谈不上“居安”。当前,信息安全保障的管理正成为世界上的热点、重点和难点在加以研究中。然而,信息安全终究是高技术的对抗,企业要解决信息安全,不发展和应用信息安全技术是不行的。所以。正确的方法是坚持管理和技术并重,积极发展和采用信息安全技术,加强信息安全管理。信息安全保障能力已经成为衡量企业竞争力的重要依据,对于一个企业而言,如何保证其整体信息安全,保障信息系统的可用性、完整性、保密性以及信息与信息系统的可控性,防止企业核心信息泄密,保护企业的知识产权,维护企业核心利益,在当前形式下显得尤为重要。
