1、什么是信息安全
信息安全是一个广泛而抽象的概念,不同领域不同方面对其概念的阐述都会有所不同。建立在网络基础之上的现代信息系统,其安全定义较为明确,那就是:保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行。在商业和经济领域,信息安全主要强调的是消减并控制风险,保持业务运营的连续性,并将风险造成的损失和影响降低到最低程度。
信息作为一种资产,是企业或组织进行正常业务运作和管理不可或缺的资源。从最高层次来讲,信息安全关系到国家的安全;对组织机构来说,信息安全关系到业务正常运作和持续发展;对一个企业来说,生存发展是头等大事,而企业的生存和发展,有赖于企业所特有的各项业务活动的健康有序的进行,对现代企业来说,高度信息化是必然之道,是企业一切业务、管理和运作活动所依赖的基础之一;就个人而言,信息安全是保护个人隐私和财产的必然要求。无论是个人、组织还是国家,保持关键的信息资产的安全性都是非常重要的。信息安全的任务,就是要采取措施(技术手段及有效管理)让这些信息资产免遭威胁,或者将威胁带来的后果降到最低程度,以此维护组织的正常运作。
总的来说,凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论,都是信息安全所要研究的范畴,也是信息安全所要实现的目标。
2、什么是信息安全管理体系
信息安全管理体系(Information Security Management System,简称ISMS)是组织整体管理体系的一个部分,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的认识,ISMS 包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动,并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。
ISO/IEC27001:2005 就是建立和维护信息安全管理体系的标准,是国际最具权威的适用于各类组织的信息安全整体解决方案,它要求通过PDCA过程来建立ISMS 框架:确定体系范围,制定信息安全策略,明确管理职责,通过风险评估确定控制目标和控制方式。体系一旦建立,组织应该实施、维护和持续改进ISMS,保持体系运作的有效性。同时,ISO/IEC27001:2005也非常强调信息安全管理过程中文件化的工作,ISMS 的文件体系应该包括安全策略、适用性声明(选择与未选择的控制目标和控制措施)、实施安全控制所需的程序文件、ISMS 控制和操作程序,以及组织围绕ISMS 开展的所有活动的证明材料。除此之外,它还提供了国际上知名企业在信息安全方面的133个良好实践惯例,通过对组织中涉及信息安全的11大领域实施这133个控制措施来达到涵盖整个组织信息安全的39个控制目标,从而实现整个组织的业务持续发展战略。
3、为什么要建立信息安全管理体系
随着信息技术的高速发展,特别是Internet的迅速普及和电子政务、电子商务的兴起,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网络钓鱼、网页篡改、企业或机构资料与商业秘密泄露、核心技术被窃等等。这些信息安全问题给组织的经营管理、业务持续发展甚至生存都带来严重的影响。
去年6月,公安部对2006年度信息网络安全状况的调查结果显示,一些单位信息安全事件处置方法和手段单一,防范措施不完善,网络安全管理人员不足、专业素质有待提高,被调查单位信息安全管理水平整体上仍滞后于信息化发展要求,我国计算机病毒本土化制作、传播的趋势更加明显。
网络安全事件调查显示,2005年5月至2006年5月,54%的被调查单位发生过信息网络安全事件,其中发生过3次以上的占22%,比去年上升7%。感染计算机病毒、蠕虫和木马程序仍然是最突出的网络安全情况,占发生安全事件总数的84%;“遭到端口扫描或网络攻击”(36%)和“垃圾邮件”(35%)次之。金融证券行业发生网络安全事件的比例最低,商业贸易、制造业、广电和新闻、教育科研、互联网和信息技术等行业发生网络安全事件的比例较高。在发生的安全事件中,攻击或传播源来自外部的占50%;内外部均有的占34.5%,比去年上升10.5%。发现安全事件的途径主要是网络(系统)管理员通过技术监测发现,占54%;其次是通过安全产品报警发现,占46%;事后分析发现的占35%;未修补或防范软件漏洞仍然是导致安全事件发生的最主要原因(73%)。
信息安全管理方面的调查显示,83%的被调查单位设立了专职或兼职安全管理人员,11%的单位建立了安全组织。44%的被调查单位采购了信息安全服务,主要采购的服务有系统维护(79%)、安全检测(60%),其次是容灾备份与恢复(39%)、应急响应(31%)、信息安全咨询(25%)。在采取安全管理和技术措施方面,68%的单位进行存储备份,67%进行口令加密和访问控制,56%制定了安全管理规章制度;近八成的被调查单位使用了防火墙和计算机病毒防治产品,其中防火墙产品中,73%的是国内产品;计算机病毒防治产品中,79%的是国内产品。
计算机病毒调查显示,2006年计算机病毒感染率为74%;多次感染病毒的比率为52%,5、6月份出现了“敲诈者”木马等盗取网上用户密码的计算机病毒。计算机病毒制造、传播者利用病毒盗取QQ帐号、网络游戏帐号和网络游戏装备,网上贩卖计算机病毒,非法牟利的活动日益增多。计算机病毒发作造成损失的比例为62%。浏览器配置被修改、数据受损或丢失、系统使用受限、网络无法使用、密码被盗是计算机病毒造成的主要破坏后果;网络浏览或下载仍是感染计算机病毒最多的途径,通过优盘等移动存储介质传播病毒的比率明显增加。
据统计,各种安全威胁对企业信息安全的影响指数是:特洛伊木马、病毒、蠕虫以及恶意代码(无关源程序)占50%,间谍软件占45%,垃圾软件占44%,员工失误(无心的)占39%,应用程序漏洞占37%,数据被员工或商业合作伙伴窃取占27%,黑客占36%,内部人员蓄意损坏占30%,无线LANs占30%,新技术的部署(如无线LANs,远程访问) 占27%,商业合作伙伴的失误(无心的) 占24%,不属竞争对手和网络恐怖主义范畴的无意入侵者、员工或合作伙伴占20%,网络恐怖主义占19%,不能遵循政府调整命令占16%,竞争者派来的间谍占15%。
统计数据表明,在所有的信息安全事件中,人为因素占52%,自然灾害占 25% ,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。属于管理方面的原因比重高达70%以上, 而这些安全问题中的95%是可以通过科学的信息安全管理来避免。如果企业或机构有一套系统全面的信息安全管理制度,并在企业或机构内部得到宣贯,90%的信息安全威胁都是可以避免的。