扫一扫
关注微信公众号

IT系统安全白皮书----第一章 企业与信息安全
2007-07-29   IBM中国技术支持中心

1.1.企业风险与安全
“911”事件以来,安全问题成为一个热门的话题,刚刚结束的雅典奥运会在安全方面的投入超过20亿美圆。对于企业来说,在进行商务活动的时候始终面临风险,这些风险是固有的,其存在于企业与客户和合作伙伴的日常接触之中。了解这些风险与相应的安全解决方案是降低这些风险的前提。企业通过提供产品与服务创造价值,在提供产品与服务的过程中不可避免的要跨越一些物理或逻辑上的边界。这些边界是应该被安全保护的,然而有效地保护这些边界并不是一件容易的事情。大多数企业并不是一张白纸,他们已经存在了一些人员、流程和资源。一个全面安全计划的实施回破坏当前企业的运作。因此绝大多数企业在这些年一直为“如何实施安全解决方案以降低风险?”的问题所捆扰。
1.1.1.企业风险
安全不仅仅是产品,也不仅仅是服务。它是企业创造价值过程中的一个必要条件,安全包含了物理的安全:如警卫、枪支、门禁卡,和安全产品:如防火墙、入侵检测系统、安全管理工具、安全管理服务等。
安全不是绝对的,世界上不存在绝对的安全。企业始终面临着风险,有些风险可以避免,有些风险可以降低,而有些是可以接受的。一个企业如果了解了这些风险,并且处理好这些风险,那么它就是安全的。降低奉贤的成本与取得的回报总是相称的,因此,企业需要平衡在安全上的投资与回报。
1.1.2.了解风险
商业风险是企业所设法避免的,通常这些商业风险的发生会对企业带来经济上的损失,如销售额下降或企业的声誉受损。那么企业面临哪些风险呢?以及有哪些降低这些风险的手段呢?
1).财产风险:企业的固定财产被破坏或盗窃所带来的财产损失;
2).人员风险:非法人员假冒合法人员所带来的损失;
3).保管风险:不能有效保护第三方的财产和西西所带来的赔偿责任;
4).信息风险:不能有效的保护无形的信息资源。
1.风险管理的手段
1).转换:企业可将风险转换给其他企业,如保险公司等;
2).减轻:企业可通过一些手段减小风险发生的可能性或所产生的后果;
3).避免:通过技术或管理来避免风险的发生;
4).接受:企业可以接受某些风险所产生的后果。

""

风险管理流程示意图

1.1.3.企业信息安全
1.凯撒密码的传说
在人类历史上,保护信息的需求与信息本身一样历史久远。第一个用于加密和解密消息的文挡化数字“密码”是凯撒密码,是凯撒本人创造的。古希腊历史学家希罗多德于公元前479年记录道:
“当它在苏萨获悉薛西斯决定入侵希腊时,认为必须将这一消息传递给斯巴达。由于一旦被敌人发现,就会面临巨大的危险,所以只有一种方法可以用来传递消息:刮去一对木制折叠板的封蜡,在木版上写上薛西斯的企图,然后再用蜡封住木版。
按这种方式处理的木版,看上去相当光滑,不会引起路上哨兵的注意。当消息抵达目的地时,没有人能猜出这一秘密,只有Cleomenes的女儿Gorgo(Leonidas的妻子)发现了它并告诉给其他人……,这样一来,人们得到了此消息并传递给其他希腊人。“
从这个故事可以透视出信息加密的历史和他的重要性。
2.当今企业所处的信息环境
以往的企业是在一个相对封闭的环境中运作,信息系统安全在企业的控制之下。今天,企业依赖于开发的、互联的网络环境,这些网络将商业企业、医疗机构、教育、政府部门、甚至个人联结到了一起,带来了丰富的资源,同时也带来了潜在的风险。

自从网络和Internet出现依赖,随着计算模式从大型机向分布式系统的转移,企业受保护的信息资源被分散在控制不很严格的计算平台中(例如UNIX/Linux和Windows平台),应用程序的部署(例如Web服务器、应用程序服务器、数据库服务器、内容服务器和目录服务器)变得越来越复杂,多线程的面向对象和Java技术的运用,各种计算平台的安装,终端设备的接入(例如电话、笔记本电脑、掌上电脑和PDA等),有线/无线网络的连接,尤其是通用的网络传输协议(TCP/IP)的普及,企业业务向电子商务的转移。信息安全问题越来越凸现出来,使得企业的信息安全性日趋紧迫。
3.并非危言耸听的信息安全恐怖事件
1).蠕虫王,互联网的“911”
2003年1月25日,互联网遭遇到全球性的病毒攻击。突如其来的蠕虫,不亚于让人们不能忘怀的“911”事件。这个病毒名叫Win32.SQLExp.Worm,病毒体极其短小,却具有极强的传播性,它利用Microsoft SQL Server的漏洞进行传播,由于Microsoft SQL Server在世界范围内都很普及,因此,此次病毒攻击导致全球范围内的互联网瘫痪。在中国80%以上网民受此次全球性病毒袭击而不能上网,很多企业的服务器被此病毒感染引起网络瘫痪。美国、泰国、日本、韩国、马来西亚、菲律宾和印度等国家的互联网也受到严重感染。直到26日晚,蠕虫王才得到初步的控制。这是继红色代码、尼姆达、求职信病毒后又一起极速病毒传播案例。所以“蠕虫王”蠕虫的出现,应该成为一个传奇,全世界范围内损失额高达12亿美圆。
2).美伊战争引发美国历史上最大的黑客恐怖袭击
2003年3月20日,美国对伊拉克发动战争。在炸弹持续向伊拉克倾斜之际,抗议者和拥护美英的爱国黑客在互联网上的口水大战也随之升级,他们互相篡改对方公司与政府网站的内容,黑客入侵网站事件激增。有三类黑客参与对网站的攻击:以美国为基地的爱国主义黑客、伊斯兰极端主义组织和反战的和平主义人士。破坏的信息无所不包,既有支持美英军队的字眼,也有对军事行动表示愤慨的言论。而受害的网站也各种各样,从美国海军的网站到英国工业产品配销商的网站应有尽有。黑客组织篡改美国和英国的网站事件每一分钟就会有3~4起篡改发生,这次黑客攻击在数量和速度上都有大幅度的提高。
3).全球黑客大聚会
2003年6月13日到14日,每年一届的黑客大会在美国的匹斯堡召开,有大约200个代表参加。这项活动从1985年以来每年一度,中间只空缺过一年。2003年的参加人数不如2002年,2002年人数多达2000人。组织者2003年的目标是希望能说服公众:黑客有“黑帽”和“白帽”之分。黑客大会上,内容涉及从黑客技术到有关安全的现行法律,以及金盆洗手后黑客们的就业等问题,其中也有可怕的黑客入侵主题,这样的主题是最受欢迎的。
4).“冲击波”病毒肆虐全球
2003年8月11日,一种名为“冲击波”(WORM_MSBlast.A)的新型蠕虫病毒开始在国内互联网和部分专用信息网络上传播。该病毒传播速度快、波及范围广,对计算机正常使用和网络运行造成严重影响。该病毒能够在短时间内造成大面积的泛滥,是因为病毒运行时会扫描网络,寻找操作系统为Windows 2000/XP的计算机,然后通过RPC漏洞进行感染,并且该病毒会操作135、4444、69端口,危害系统。受到感染的计算机机中Word、Excel、PowerPoint等文件无法正常运行,弹出找不到链接文件的对话框,“粘贴”等一些功能无法正常使用,计算机出现反复重新启动等现象。
5).即时通讯说不出的痛
今年即时通讯工具也成为了黑客的攻击对象。目前,已有一些蠕虫病毒成功地感染了部分即时通讯传送应用客户端,他们包括Aplore,通过AOL Instant Messenger(AIM)传播;Goner,利用ICQ漏洞进行传播;Cool Now,利用Message from Jerry传播;Choke,通过MSN Messenger传播。即时通讯和其他点对点通讯软件能够带来严重的安全风险。企业还担心员工使用即时通讯工具非法下载受保护的版权内容,运行这样的软件也可能使企业的网络门户洞开,受到病毒、特洛伊木马以及其他各种威胁。随着驾驶通讯服务不断推出语音、视频聊天等新功能,其危险性也大大增加了。

6).邮件蠕虫病毒泛滥
2003年邮件病毒是一个接一个的爆发,从年初的“求职信”、“恶邮差”,中旬的“大无极”,到最近的“小邮差”新变种,一个比一个厉害。轻则感染几十万台计算机,重则全球几百万。
7).垃圾邮件数量变本加厉
全球垃圾邮件数量的增长率已经超过正常电子邮件的增长率,而且就每封垃圾邮件的平均容量来说,也比正常的电子邮件要大得多。中国互联网信息中心2003年7月公布的《中国互联网络发展状况统计报告》显示,中国网民平均每周收到16.1封电子邮件,其中垃圾邮件占据了8.9封,垃圾邮件数量超过了正常邮件数量,并有进一步增长的趋势。
4.数据丢失
由于硬件的损坏、人为误操作和灾难事件等造成的数据丢失是每个企业所需要避免的,其中最常用的方法是进行数据备份。数据备份的重要性是如何强调都不过分的,如果企业认为数据的丢失是不可接受的,那么请备份这些数据,并对备份数据和出现数据丢失后进行恢复工作需要的时间,以及花费的成本进行综合评估。
5.数据被怯
Internet的普及给人们带来方便的同时,也带来了潜在的隐患。由于Internet的互联性,使数据远程盗窃成为可能,与其他资产不同的是,信息进行复制的成本是非常小的,而且可以在没有丢失的情况下被别人盗走。数据盗窃可以发生在数据存储在介质上,也可以发生在数据传输的过程中。因此,数据加密技术、数据访问控制技术和防入侵技术是防止数据被窃的重要手段。
6.病毒
使用反病毒软件已经一种很基本的防范行为了,IT经理们应该确保反病毒工具已经被正确地安装了、并定期进行升级。 记住,虽然你的公司对手也许正在丧失生产效率,但是病毒却没有,这意味着病毒恶作剧几乎可以与现实中的竞争一样产生严重的问题,权威的恶作剧列表可以有效地消除用户的担心,并保持对真实威胁警告的可信性。
IT经理们也应该监控电子邮件活动性突然爆发,这可能暗示不是真正的蠕虫攻击就是对病毒恶作剧警告信息的惊慌。
当前信息安全问题已经成为一个非常严重的问题,美国联邦调查局于2001年调查了538位系统安全经理,其中有85%经历过安全问题,其中绝大多数安全问题带来了财产的损失,平均每个安全问题带来两百万美金的损失。政府部门也存在着同样的安全问题,据有关调查显示,美国32个政府部门的155台计算机系统曾经遭受过超过2000次入侵。
但这仅仅反映出安全问题的一小部分,大多数企业由于受到股东和客户的压力在出现安全问题时并没有对外公布,美国联邦调查局称,只有36%的企业在出现安全问题的时候向有关部门进行的报告。
针对信息安全建设,IBM提出这样包含五个环节的周期概念:安全评估、安全计划、安全设计、安全实施和安全运行。以上五个阶段是周而复始的循环关系,在每一个周期结束自然进入下一个周期。
实际上,IBM提供给企业的将是一套完整的安全保障机制而并非一劳永逸的大结局。越来越多的信息安全专家的观点发生了转变。从最初对攻击的完全防守到目前确保损失最小化,人们意识到同现实生活中其他安全问题一样,信息安全同样需要耐心和毅力。正是基于对安全任务长期性的认识,有目的、有计划的安全计划将取代随机的应付。
同时人们也认识到,仅凭任何单方面的努力并不足以保证信息安全,而包括网络、计算机、软硬件、管理等各方面咨询的方案制定才有更好的保证。IBM为了帮助客户实施信息安全,和业界最优秀的方案供应商成为合作伙伴,保证用户按照自己的需求选择最适合自己的供应商,实现用户利益的最大化。

1.2.信息安全的重要性及价值分析
在当今的信息时代,必须保护对其发展壮大至关重要的信息资产,另一方面,这些资产也暴露在越来越多的威胁中,毫无疑问,保护信息的私密性、完整性、真实性和可靠性的需求已经成为企业和消费者的最优先的需求之一。由于入侵、破坏企业IT系统的事件每天都在发生,加上Internet危险地带的认知不断加强,对信息安全的需求前所未有地高涨起来。对于大多数高级企业主管而言,安全问题不再遥不可及了,而是已经开始在自己身旁发生。安全漏洞会大大降低公司的市场价值,甚至威胁企业的生存。即使最小的漏洞也能将公司的名誉、客户的隐私信息和知识产权置于危险之中。还有成功的攻击对于企业官员将造成严重个人损害。
通过以上讨论可以看出,在当前的商业和信息环境下,企业面临着各种各样的安全问题,而解决这些安全问题对企业而言是至关重要的。从某种程度上说,安全的信息系统是现代企业赖以生存的基础,是企业的业务驱动,而不仅仅是信息技术的发展。在这样的环境中,企业如何才能有效地解决这些问题呢?
1.2.1.企业安全之痛
● 保护企业的员工和客户的私有信息
● 关键商务信息交换的安全性
● 企业级的统一身份管理
● 确保越来越复杂的系统环境的一致完整性
● 安全管理策略,降低企业风险
安全需求来自于业务本身,而非IT技术驱动。通过下面的图示可以清楚地告诉我们安全问题贯穿于整个企业的运作。

""

1.2.2.商业机密信息的安全交换
电子商务是当今世界商务活动运作发展的主流方向。在信息化的过程中,越来越多的企业在大规模地用电子商务来取代传统的商务活动方式,以达到全面提高其市场竞争力的目的。然而,电子商务目前主要是以电子数据交换和Internet方式来实现的。企业必须防止电子商务中的欺诈行为,合同争议和信息泄露或篡改的现象发生。在网上进行商务活动会涉及许多企业的商业秘密与个人隐私,这需要保护;另一方面,任何商务活动是建立在交易双方相互信任的基础上,如何确定要进行交易的交易方正式所期望的交易方,并防止抵赖情况发生是保证电子商务顺利进行的关键,企业开展电子商务活动必须建立在安全交易的基础上。
1.2.3.保障业务持续运转
“天又不测风云,人由旦夕祸福”。像地震,火灾,爆炸,洪水等自然灾害,系统软件与硬件故障,网络病毒,人员欺诈与恶意行为等威胁,都会造成企业商务活动的中断,甚至企业的破产,例如,如果通信网络因为故障造成用户数据丢失且没有用户数据备份,短时间内无法恢复,这将给通信运营商造成很大的经济与信誉损失。俗话说“不怕一万,就怕万一”。如美国的“9.11”恐怖事件的发生,因为企业数据的毁灭,造成很多公司业务长时间的中断,甚至公司的灭顶之灾。为防止企业经营或商务活动的中断,保护关键商务过程免受重大故障或灾难的影响,建立安全强壮的信息系统及其管理必不可少。
1.2.4.信息安全是企业持续发展的需要
现代企业的正常运作离不开信息资源的支持,这包括组织的知识产权,各种重要数据,信息处理设施,关键人员等。企业的商业秘密被泄露回使企业丧失竞争优势,失去市场;系统故障会造成正常的业务运作中断。因此,企业要保持可持续性发展,信息安全是基本的保证之一。
1.2.5.降低风险,防患于未然
企业在商业活动中面临着各种各样的风险,这些风险是在企业内部运作,以及与客户和业务伙伴操作中与生俱来的,不可避免的,正确识别理解风险和安全解决方案的关系是降低企业运行中风险的基本要求。根据商业安全范式建立有力的方法论,将信息安全植入到企业创造商业价值的流程和风险管理过程中,并且使企业的安全投资最大化,使企业能够有效利用安全资源来管理商业风险。

1.2.6.安全管理通用五步法:
1). 风险分析:研究潜在的安全漏洞,决定可接受的安全控制,实施成本,以及不能被顾及的并且可接受的风险因素。其主要活动包括:确定安全漏洞或风险,例如自然灾害、外部黑客攻击、员工错误等;识别有商业价值的数据资产,例如客户数据库、研究信息、新产品计划、财务数据;量化损失风险,资产价值及其控制成本。
2). 制定安全策略:制定资产分类计划、应用安全支持、信息服务供应商安全支持计划、高级别的管理目标承诺和责任、安全违规处理程序、用户培训和安全告知程序。
3). 实施执行:安装初始化适当的安全产品和系统控制,主要活动包括:为制定的安全策略选择安全机制、安装安全软硬件产品、定义系统安全控制方法、用户和资源分组,以便与管理。
4). 管理:应用安全策略和实践,例如:用户身份和口令管理、特殊系统和用户特权管理、数据库、应用程序、交易和设备等资源、安全日志。
5). 审计:安全审计是指对安全控制和事件的审查评价,审计的结果定时的报告给管理层,并被用来更新完善安全策略和实行程序。
为了实现有效的安全策略,架构企业及安全平台,企业必须建立一个基于风险分析,策略定义,方案实施,管理和审计的循环往复的流程周期。安全审计主要包括:自我和独立测试、穿透测试、内部遵守情况、外部认证。

""

安全管理策略五步法

热词搜索:

上一篇:中国信息安全产业发展白皮书
下一篇:暴光木马在系统中的藏身处

分享到: 收藏