2010.05专题研究doi:10.3969/j.issn.1671-1122.2010.05.007通过1信息安全的困境近年来,政府行业信息化的步伐加快,已经形成须臾不能离开的网络信息系统的局面,在网络信息系统中承载着大量的信信息安全服务控可险风统系实现信息如下几个信息安全管理测试问题,可以让我们进一步地监视机关组织中当前信息安全的状况。1)你能随时提出上个月有多少计算机遭感染、多少计算机因此无法运作、平均复原时间有多长……等安全管理报告吗?2)你知道哪些计算机系统中有这样或那样的漏洞和后门吗?3)你能在短时间内完成所有计算机的新增补丁程序的安装吗?4)你能确认机关内现行的防杀病毒与信息安全软件足以对抗任何形态的网络威胁吗?5)你能正确评估机关现行的网络安全基础架构、网络安全方案、组织的防毒能力吗?6)你能24小时全年无休止地监控网络异常活动、封锁内部安全缺口,实时解决网络威胁隐患吗?如果你无法回答以上问题,表示你目前完全依赖防毒产品以及被动的技术支持来解决信息安全问题。换言之,你仍然将信息安全当做技术问题来处理,忽略了管理的重要性。目前信息安全管理主要有以下几点难题:一是光靠防杀病毒及其它信息安全软硬件,并不足以对抗网络威胁。二是针对漏洞发出的攻击,无法及时响应。三是没有人能够全年一天24 小时无休工作。四是缺乏网络管理日志历史数据,无法拟定正确的防毒策略与管理计划。五是人们总是没有从每次的病毒灾难中吸取深刻的教训。这些信息安全管理上的难题,往往并非信息部门人员可以独立解决的。信息部门多样而繁杂的工作,以及有限的人力,使得信息安全管理的工作,成为其沉重而无法独立承担的责任。因此,寻求信息安全专家的协助,是切实有效解决信息安全管理问题的途径。 季辉 (江苏省人民检察院,江苏南京 210024)本文描述了信息产品、信息系统中存在的隐患以及信息安摘 要:全“内防”、“外防”的压力,提出通过信息安全专家服务达到对信息安全风险控制的目的,并对此类服务进行了介绍和分析。信息安全;专家服务;系统安全隐患;风险可控关键词:中图分类号:TP309 文献标识码: A 息流,在这汹涌的网络信息流中也夹杂了一些不和谐的危险暗流,如信息产品、技术中存在的漏洞、隐蔽通道或其他的质量问题,甚至有些网络安全设备中自身就存在严重的安全隐患,这些隐患会为病毒、木马等恶意程序的攻击提供通道,直接导致网络系统风险及失泄密情况的发生,在某种程度上严重扰乱了机关工作的正常运行。往往信息安全疫情爆发后的最大损失,并非有形的灾害,而是政府信誉、办事效率的下降。因此,信息安全的第一要务是将政府行业的网络系统安全危机可以控制到最低点。而传统安全技术手段难以完全规避系统自身缺陷带来的风险,也就无法克服恶意程序的暴增与诡谲多变,这些快速成长和不断演化的威胁,让信息系统的安全防护工作的难度大大提高。另一方面,信息安全问题越来越多地从外部转向内部。我们动辄投资数十、上百万的安全产品补漏、防毒、防黑,但信息安全防御失效的一个容易被忽略的问题是:来自内部职工或其它合法使用信息系统者的内部滥用。在漏洞攻击愈来愈快速的今日,有可能因为一个访客携入的计算机而瘫痪大量IT设备。2信息安全管理存在难题为何这么多的政府机关花费高昂的成本添购信息安全设备,但病毒爆发的烽火未曾在网络系统中销声匿迹?细究其原因,我们不难发现,太多的政府机关把信息安全当作技术问题来处理,而忽略了信息安全管理的重要。许多政府机关尽管拥有了先进而昂贵的信息安全设备,但制度或管理往往无法配合,产生了问题。比如网络系统缺乏妥善的监控与持续的警觉性、错误的设定等等,政府机关在信息设备上诸多的信息安全管理盲点,也为黑客及病毒开启了许多后门。因此,拥有最好的信息安全设备未必能够达到安全的效果,许多安全问题,也并不能完全依赖于产品和技术,同时也要靠有效的管理手段解决安全问题,避免不必要的损失。3 信息安全服务——未雨绸缪化解威胁信息安全专家所提供的服务方案,可针对信息系统软硬件中存在的隐患以及内外威胁周期的每个阶段,提供政府机关所需的服务。以人类的健康检查作为比喻,信息安全专家应不只是被动地拿着处方笺开药的药剂师,而应扮演政府机关的“全天候健康管理顾问”与“专属医生”的角色。为了让政府机关在网络运作中,不至于因系统自身的缺陷和病毒等安17专题研究2010.05全威胁事件而中断或瘫痪,专家服务方案应在网络世界扮演着类似世界卫生组织的角色,对于各种威胁网络健康的疫情,都能主动防护、密切地监控并提供解决方案。持续监控是信息安全专家服务方案的主要着眼点,在全天候中央管理的持续监控下,一有安全威胁的风吹草动,网络安全专家立即出动提供所需服务。24×7的实时且专人不间断监控,就好比在政府网络中植入隐形芯片追踪一般,随时掌握状况,化解未知威胁。这样的做法,能够比客户更早掌握状况,且可在第一时间内主动防御,在灾害未发生或规模不大时,就将问题解决,而不是等到灾害大量扩散至整个行业时,再来收拾残局。也许有人会说,政府机关可以自行进行监控,来达到及早预防的目的。但问题是,机关可能拥有各项信息安全管理工具,却不见得知道如何着手建立信息安全架构。就像网络生病了,却不知道买回的成药是否适合机关体质一样。而通过信息安全专家的监控中心,持续分析机关内部的安全事件,建立机关内部防毒效能的安全指标,找出机关内部的安全隐患,并提供专业的解决方案和建议来改善机关内部的防毒效果,应该是一个更妥善的方式。 成功的信息安全专家服务方案,应该要针对机关内部的隐性威胁,诊疗把脉,量身订作,提供未雨绸缪的预防性维护,以防止安全风险的爆发,并确保网络不中断。尤其重要的是,这些信息安全专家服务方案,应该提供全天候戒备的安全产品威胁生命周期管理,再加上通过独特的评量方法,来评估机关的安全防护效果。改善。评估之后,再决定是否需要更改处方。又比如每年流感的抗药性可能增强,或人们的免疫力可能减弱,流感疫苗需要不断改良,重新研发,而人们也必须从事运动或其它保健活动以增强免疫力一样,信息安全专家服务也必须依据新发现的系统自身缺陷以及新的病毒型态、客户组织现状重新分析评估。防毒顾问服务应扮演着公正客观的中立分析者角色,通过防毒效能指标的评估,检查并修改目前的效能指标,以确保或增进防毒效能。另外,防毒安全专家也必须提供系统化的防毒分析报告让客户监视防毒的效能,并定期提出防毒建议。这样可以随时根据情况调整、更新网络健康服务,是购买软件包的“成品药”式方案所无法比拟的。采用上述的信息安全专家服务将会产生明显的效益,例如:机关工作人员的网络安全意识普遍增强,会对自身的信息设备安全负责,计算机中毒时不但不再冲动地怪罪信息技术部门,反而会为自己违反机关安全政策、影响机关网络安全而自责。从“千错万错都是信息技术部门的错”转变到“安全政策,不再只是信息技术部门的事”。当然,这只是信息安全专家服务方案在提升组织安全意识的环节所应达到的效果之一。同时连向来难以计算的信息安全投资及回报,也变得看得见、摸得着,使信息技术部门开始从“花钱的部门”变成“省钱的部门”。从短期来看,信息安全专家服务方案的效益将直接反映在网络疫情爆发事件数量、使用者工作停顿时间以及网络损害严重程度的大幅缩减。根据防病毒厂商安全公司的估计,采用这样的防毒专家服务方案之后,组织整体损害将能降低 90%以上,病毒爆发次数和损害影响范围可减少一半以上。从长期来看,效益将来自于机关整体安全性的提升。当机关的认知程度、应变程序与安全环境因采用信息安全服务而有所改善之后,恶意程序所造成的损害将迅速减少,而且通过全程的网络威胁生命周期管理,让安全防范的总体成本不会因网络疫情爆发而突如其来地攀升。4 信息安全服务工作——提升组织整体安全性以下几项工作,是信息安全服务中所不可或缺的:一是提升组织整体安全意识。信息安全政策,不应再单单是信息部门的责任,政府机关对于组织安全的认知,应通过整体安全分析与定期健康检查获得提升;二是强化执行作业程序。使系统自身存在的威胁和“内部弱点”威胁不再有机可乘。提倡强制实施安全事件的应急作业流程,以降低并控制病毒爆发事件的损害;三是提升处理应变能力。将危机处理程序标准化,不再手忙脚乱。信息技术人员能在最短的时间内取得专家们所提供的系统自身缺陷信息、病毒码、清除工具以及病毒信息,能针对安全事件爆发拟定一套顺畅且有效的应变措施。四是建构安全环境。与全球安全专家、防毒安全厂商并肩抗毒,不再孤军奋战,并在他们的帮助下,进行防毒架构设计与防毒解决方案部署等工作,协助政府机关强化信息环境的安全性。五是量化管理报告,确认评估机关网络安全的投资效益。除了以上提到的信息安全管理工作之外,一般机关通常难以评估安全方案的效益。因此,提供专家服务的厂商,也有义务提供创量化式的风险管理,在评估阶段,依照持续观察追踪,提出改进之道。就如同医生在病人服药后的某段时间,可依据公认的各项健康指数,追踪病人的健康状况是否确实185结束语在当今的政府行业中,信息安全的问题已由技术层面,扩大到管理层面。正视信息安全的管理问题,寻求信息安全的专业服务及帮助,能够有效解决政府行业的信息安全问题。本文提出的信息安全专家服务,如果方法得宜,不仅能够使相关部门避免因信息安全问题带来各种不良影响,还能够节约政府开销,并让信息部门的资源不再损耗于信息安全灾害的善后处理上。但是,政府部门在采用此类服务的同时,依然要考虑到安全风险,依据针对信息安全服务的安全标准对可能存在的安全风险进行评估,并实现对信息安全服务的安(责编 杨晨)全风险可控。 作者简介:季辉(1956-),男,高级工程师,大学本科,主要研究方向:网络信息安全。
