在前面三期中,国内著名信息安全专家,IP-guard(www.ip-guard.net)产品总监黄凯向我们阐述了他提出的IT人必须持有的四点安全观中的前三点“信息安全是一种生产要素”、“无安全事故不等于足够安全”以及“预防比补救更省成本”。那么本期IP-guard黄凯将继续分析安全观最后一点---安全无止境,防护要适度。
安全之茧
在我们谈到安全的时候,我们都很明白其目的是保障企业业务的持续发展,保护企业的利益,这也是企业做信息安全的意义。随着内部智力资产对企业愈加重要,加之信息泄露事件频发,企业逐渐意识到信息安全的重要性,大家纷纷加强安全预算,部署安全系统。企业对信息安全的重视度提高了,但是从采取的防护措施来看,大家对信息安全的理解显然还不够全面与深入。
“目前企业的信息安全有一种为安全为安全的倾向。不少企业将安全等同于“0”安全事故;还有些企业误以为只要部署了防护措施就可以高枕无忧,当出现新威胁却束手无策。这是大多数企业面临的困局”,IP-guard黄凯说道。
对于信息安全,IP-guard黄凯认为,安全无绝对,这包含两方面的含义。一方面,安全是一个相对的要求,企业不需要一味追求绝对的安全;另一方面,安全还是个动态过程,需要根据变化而不断改变。对此,黄凯结合ISO27001的内容进行深入阐述。
第一,安全必须考虑成本,如果防护成本比风险发生造成损失还要大,反而得不偿失。ISO 27001中提到,风险评估要考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下,评估安全失效可能造成的对组织的影响;要根据主要的威胁和脆弱性、对资产的影响以及当前所实验的控制措施,评价安全失效发生的现实可能性;要估计风险的级别,然后确定风险是否可接受。“要牢记一点,安全以企业发展为前提,切勿步入为安全而安全的误区。”。IP-guard黄凯强调道。
第二,企业所面临的内外部环境在不断变化,如新的安全威胁,企业规模增大、架构调整、人员变动等,因此,没有一劳永逸的安全解决方案,企业的信息安全管理需要根据变化不断调整。
为摆脱安全困局,现在企业需要转变对安全的思考模式,以一种更加积极的态度,更加长远的眼光来看待它,然后根据公司的发展战略以及业务的实际需求,制定合理的信息安全计划。
“被”安全到“要”安全
那么企业到底应以一种怎样的方式去建设信息安全?IP-guard黄凯说到,“企业必须从一个被动的接受者向一个主动出去者转变。”
首先要对公司的信息系统进行全面的风险评估,包括信息资产的脆弱性,可能面临的威胁,风险发生的后果等,然后根据评估结果,制定起码是中长期的信息安全计划,比如一至三年。在这个时间段中,也要定期进行安全评估,以随时调整控制策略,持续对防护的有效性进行改善。比如经过评估发现在近两月里面,职员跳槽频繁,并且有些人员有访问机密信息的权限,但并没有对这部分人员加强安全防护,那么接下来就应该调整公司的防护策略,有侧重性地针对敏感人群加强安全控制。
其次根据评估结果,根据资产价值与威胁等级针对性部署轻重有别的防护措施。如可以将信息资产按重要性划分为普通、秘密、机密三个级别,普通级别可只运用审计对所有文档操作进行记录,以确保外泄行为发生时可有迹可循;对秘密级别文档可能要加上权限控制,以降低文档被有意无意外发的机率;而对于机密文档就要对其进行强制加密,以最大程度地保证其安全,即使外泄也不能正常打开。又如将威胁按其不同性质进行分类,有些服务如FTP,如果存在风险,而对组织又不是不可或缺,则可直接规避;有些风险即使发生,造成的损失也很小,甚至比防护的成本还要低,则可选择接受;对于不可接受的风险,企业应该尽一切可能将其降至最低,防止其发生。在处理风险时,企业需要根据面临的安全风险及安全需求进行轻重有别的防护,选择平衡安全、效率与成本的解决方案。而这也是 IP-guard所提倡的信息防泄密理念。IP-guard综合运用审计、权限控制、加密等防泄密技术,帮助企业构建起防护力度轻重不一、立体化的信息防泄密体系。
近几年我国信息安全领域事故频发,给个人、企业和社会都造成了不小的影响,国家也高度重视,对信息犯罪进行严厉的打击,但对于企业来说,如何做好信息安全建设尚存在很多不足,安全之路长路漫漫。最后IP-guard黄凯建议道,“没有绝对的安全,只有绝对的评估。只有不断地进行安全检查,及时发现问题并解决,才是长久的安全之道”。