安全管理实践

安全是一个广泛的主题，它涉及到许多不同的区域（物理设备、网络、系统平台、应用程序等），每个区域都有其相关的风险、威胁及解决方法。当我们讨论信息安全的时候，经常只关心黑客和操作系统的漏洞。尽管它们是安全的重要部分，但只是安全广义概念上的两个组件而已。

对于连网的企业组织来说风险与威胁是没有终止的。信息安全是一个动态发展的过程，不仅仅是纯粹的技术，仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息安全建设是一项复杂的系统工程，要从观念上进行转变，规划、管理、技术等多种因素相结合使之成为一个可持续的动态发展的过程。

绝对的信息安全是不存在的，每个网络环境都有一定程度的漏洞和风险。这种程度是可以接受的。信息安全问题的解决只能通过一系列的规划和措施，把风险降低到可被接受的程度，同时采取适当的机制使风险保持在此程度之内。当信息系统发生变化时应当重新规划和实施来适应新的安全需求。信息系统的安全往往取决于系统中最薄弱的环节 - 人。人是信息安全中最关键的因素，同时也应该清醒的认识到人也是信息安全中最薄弱的环节。 网管u家u.bitscn@com

我们经常听到这样令人感兴趣的信息：病毒、蠕虫造成了严重的破坏，黑客获取了信用卡的信息，大型网站主页被黑等等。可能人们普遍的认识是企业没有安装安全产品（如：防火墙、入侵检测系统、防病毒系统等）。这些问题很大程度上是安全管理没有有效实施造成的。安全管理是企业信息安全的核心。安全管理包括风险管理、安全策略和安全教育。这三个组件是企业安全规划的基础。风险管理识别企业的资产，评估威胁这些资产的风险，评估假定这些风险成为现实时企业所承受的灾难和损失。通过降低风险（如：安装防护措施）、避免风险、转嫁风险（如：买保险）、接受风险（基于投入/产出比考虑）等多种风险管理方式得到的结果来协助管理部门根据企业的业务目标和业务发展特点来制定企业安全策略。
网管bitscn_com
随着企业规模、业务发展、安全需求的不同，安全策略可能繁简不同。但是安全策略都应该简单明了、通俗易懂并直接反映主题，避免含糊不清的情况出现。信息安全策略是企业安全的最高方针，由高级管理部门支持，必须形成书面文档、广泛发布到企业所有员工手中，同时，要对所有相关人员进行安全策略的培训，对于有特殊责任人员要进行特殊的培训，使得安全策略能够真正在企业正常运营过程中得到贯彻、落实、实施。在安全规划中管理部门的支持是最重要的因素之一，仅仅是简单的点头同意是不够的。

安全管理通过适当的识别企业的信息资产，评估信息资产的价值，制定、实施安全策略、安全标准、安全方针、安全措施来保证企业信息资产的完整性、机密性、可用性。

网管网www.bitscn.com

一、风险管理
风险是指某种破坏或损失发生的可能性。风险管理是指识别、评估、降低风险到可以接受的程度并实施适当机制控制风险保持在此程度之内的过程。没有绝对安全的环境，每个环境都有一定程度的漏洞和风险。

1. 需要重视的风险
企业中潜在的风险有多种形式，不仅仅只与计算机相关。当考虑信息安全的时候，有几种风险必须重视，包括（但不局限于）：

1.物理破坏 -------- 火灾、水灾、电源损坏等
2.人为错误 -------- 偶然的或不经意的行为造成破坏
3.设备故障 -------- 系统及外围设备的故障
4.内、外部攻击 ---- 内部人员、外部黑客的有无目的的攻击
5.数据误用 -------- 共享机密数据，数据被窃
6.数据丢失 -------- 故意或非故意的以破坏方式丢失数据
7.程序错误 -------- 计算错误、输入错误、缓冲区溢出等


风险应当被识别、分类。真实的风险是很难估量的，但是对潜在风险进行估量是可取的。

2. 风险分析
对于一个企业来说，搞清楚信息系统现有以及潜在的风险，充分评估这些风险可能带来的威胁和影响，将是企业实施安全建设必须首先解决的问题，也是制定安全策略的基础与依据。在风险分析过程中，最开始考虑的有两方面的内容：一个是对企业资产的识别，另一个是对威胁的识别。对于每一个明确要保护的资产，都应该考虑到可能面临的威胁，以及威胁可能造成的影响。还要考虑的因素是在风险影响和防护措施花费之间的经济权衡。 中国网管论坛bbs.bitsCN.com

要保护企业的信息系统安全，首先要知道企业中有哪些可识别的资产，哪些是最关键的、需要重点防护的，哪些是次要一些的但是也需要保护的，哪些是不需要专门关注的。从防御的角度来说，对于外来的威胁有时很难准确把握，但对"自己"，应该做到心中有数。当企业意识到资产的价值及可能面临的威胁时，才可以在保护这些资产的预算上作出明智的决定。如果信息没有任何价值，那么就没有意义保护这些无庸的信息。所以一个很重要的问题是企业应当评估如果不保护此信息的话损失有多大。

风险分析的成功执行需要高级管理部门的支持和指导。管理部门需要确定风险分析的目的和范围，指定小组进行评估，并给予时间、资金的支持。风险小组应该由企业中不同部门的人员组成，可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员等。

2.1 确定资产
表1中列出了一些企业可能具有的信息资产。

资产类型 说明
硬件 包括服务器、工作站、路由器、交换机、防火墙、入侵检测系统、终端、打印机等整件设备，也包括主版、CPU、硬盘、显示器等散件设备。
软件 包括源代码、应用程序、工具、分析测试软件、操作系统等 网管论坛bbs_bitsCN_com
数据 包括软硬件运行中的中间数据、备份资料、系统状态、审计日志、数据库资料等
人员 包括用户、管理员、维护人员等
文档 包括软件程序、硬件设备、系统状态、本地管理过程的资料
消耗品 包括纸张、软盘、磁带等

表1 - 企业的信息资产


仅仅确定资产是不够的，对资产进行分类也是非常重要的。对有形资产（设备、应用软件等）及人（有形资产的用户或操作者、管理者）分别归类，同时在两者之间建立起对应关系。

有形资产可以通过资产的价值进行分类。如：机密级、内部访问级、共享级、未保密级。对于人员的分类类似于有形资产的分类。

2.2 确定威胁
由于网络本身的诸多特性，如共享性、开放性、复杂性等，网络信息系统自身的脆弱性，如操作系统的漏洞、网络协议的缺陷、通信线路的不稳定、人为因素等，给网络信息系统的安全带来威胁。

具体的威胁来源可以分为：

1.外部网络黑客攻击及非法访问
2.内部人员故意或无意的非授权访问或操作
3."社会工程"带来的威胁，包括企业竞争对手或其他"间谍"行为
4.系统自身的脆弱性，包括系统结构设计上的缺陷、配置的疏忽等 网管u家u.bitsCN.com
5.软件漏洞，包括操作系统的安全漏洞、网络协议的设计缺陷、应用6.软件的设计漏洞、数据库系统的安全漏洞等
7.系统开放性带来的威胁，包括病毒、蠕虫等
8.技术故障带来的威胁
9.物理环境的威胁


可以看出，对威胁来源的定位综合了多种因素，最终还是人为因素起着决定性的作用。外部人员造成的威胁比较容易发现和控制，商业伙伴造成的威胁可以通过合同限制加以约束，但很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。所以在确定威胁的时候，不能只看到那些比较直接的容易分辨的外部威胁，来自内部的各种威胁也应该引起高度重视。

2.3 方法与途径
风险分析的方法与途径可以分为：定量分析和定性分析

1) 定量分析：试图从数字上对安全风险进行分析评估的方法。

定量分析过程有两个基本指标作为参考：事件发生的概率及事件造成的损失。具体的分析方式有两种：年预期损失（ALE，Annual Loss Expectancy），单一预期损失（SLE，Single Loss Expectancy）。

SLE表示某一资产在遭受风险后的预期损失，公式如下： 网管bitscn_com

SLE = 资产价值 × 暴露系数 （暴露系数：特定威胁引起资产损失的百分比）

ALE表示一年内资产遭受的预期损失，公式如下：

ALE = SLE × 年发生概率

表2表示了定量风险分析的结果：

资产 风险 资产价值 SLE 年发生概率 ALE
设备 火灾 560000 230000 0.25 57500
商业机密 被窃 43500 40000 0.75 30000
文件服务器 异常 11500 11500 0.5 5750
数据 病毒 8900 6500 0.8 5200

表2 - 定量风险分析结果


通过以上数据，企业可以根据每个风险的严重程度、发生的可能性、实际发生时造成的损失作出明智的决定。

理论上讲，通过定量分析可以对安全风险进行准确的分级，但实际上，定量分析所依靠的数据往往都是不可靠的，这就给分析带来了很大的困难。

2) 定性分析：

定性分析是被广泛采用的方法。通过列出各种威胁的清单，并对威胁的严重程度及资产的敏感程度进行分级。定性分析技术包括判断、直觉和经验。可能由于直觉、经验的偏差而造成分析结果不准确。

风险分析小组、管理者、风险分析工具、企业文化等决定了在进行风险分析时采用哪种方式或是两者的结合。

网管u家u.bitsCN.com

2.4 保护机制
现在，我们知道了我们处于风险之中，也知道了风险发生的可能性，下一步的工作就是识别当前的安全机制并评估它们的有效性。由于企业面临的威胁不仅仅是病毒和攻击，对于每一种威胁类型要分别对待。在采取防护措施的时候要如下一些方面：

1.产品费用
2.设计/计划费用
3.实施费用
4.环境的改变
5.与其他防护措施的兼容性
6.维护需求
7.测试需求
8.修复、替换、更新费用
9.操作/支持费用


举例说明。企业为了保护信息资源和网络流量决定采用入侵检测系统，此时软件费用并不是总共的费用。软件应该首先在测试机上使用来发现是不是工作正常，然后在生产机上部署。路由器需要重新配置。防止非授权用户接触控制台。配置数据库用来存放攻击特征等等。这些费用的和才是总共的费用。软件费用只是其中的一小部分。

在进行风险评估时，企业需要决定要保护的资产及要保护的程度。风险评估中主要的三个步骤是：

1.资产和信息价值的评估
2.风险分析评估，根据需求采取定量分析或定性分析或两者的组合
3.选择及部署防护措施


二、 安全策略

中国网管联盟bitsCN.com

安全策略是对访问规则的正式陈述，任何获准访问某个机构的技术和信息资产的人员，都必须遵守这些规则。安全策略由高级管理部门制定，确保企业的网络系统运行在一种合理的安全状态下，同时，也不妨碍企业员工和用户从事他们正常的工作。安全策略对于企业的网络安全建设，起着举足轻重的作用，所有安全建设的后续工作都是围绕安全策略展开的。安全策略的制定是比较繁琐和复杂的工作，根据企业的具体需求，可能会包含不同的内容。

安全策略从宏观的角度反映企业整体的安全思想和观念，作为制定具体策略规划的基础，为所有其他安全策略标明应该遵循的指导方针。具体的策略可以通过安全标准、安全方针、安全措施来实现。安全策略是基础，安全标准、安全方针、安全措施是安全框架，在安全框架中使用必要的安全组件、安全机制等提供全面的安全规划和安全架构。

网管联盟bitsCN@com

安全标准是强制性执行的，指出了硬件、软件产品应当如何使用。它提供了一种手段来保证企业中应用程序、特定技术等以规定的方式执行。安全方针指出了当安全标准中未对不可预料的情形定义时的补充规定。安全措施指出了在操作环境中安全策略、安全标准、安全方针的具体一步步实现步骤。安全标准、安全方针不应该是一个文档，使它们组件化有助于分发和必要时候的更新。表3表示了它们之间的关系。

+==============+
| 安全策略 | 安全策略建立战略计划
+======+=======+
|
+------v-------+
|强制的安全标准|
+------+-------+ 网管bitscn_com
|
+------v-------+
|建议的安全方针|
+------+-------+
|
+------v-------+
|具体的安全措施| 安全标准、安全方针、安全措施提供战术支持
+--------------+


表3 - 安全策略、安全标准、安全方针、安全措施之间的层次


现在举例说明一下各个方面之间的关系。企业的安全策略描述了敏感信息应当采取适当的方法进行保护。可以看出安全策略是宏观上的说明。安全标准描述了数据库中的客户信息应当采用DES算法进行加密，在数据传输中使用IPSec加密技术。安全方针描述了当数据被偶然解密、损坏时应当如何处理。安全措施详细描述了如何实施DES加密算法、如何实施IPSec技术。 网管u家u.bitscn@com

企业安全需求的各个方面是由一系列安全策略文件所涵盖的。策略文件的繁简程度与企业的规模有关。不过，有些策略文件是多数企业都应该制定并执行的。

1.物理安全策略
包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等。
2.网络安全策略
包括网络拓扑结构、网络设备的管理、网络安全访问措施（防火墙、入侵检测系统、VPN等）、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。
3.数据加密策略
包括加密算法、适用范围、密钥交换和管理等。
4.数据备份策略
包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。 中国网管联盟bitsCN.com
5.病毒防护策略
包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定等。
6.系统安全策略
包括WWW访问策略、数据库系统安全策略、邮件系统安全策略、应用服务器系统安全策略、个人桌面系统安全策略、其他业务相关系统安全策略等。
7.身份认证及授权策略
包括认证及授权机制、方式、审计记录等。
8.灾难恢复策略
包括负责人员、恢复机制、方式、归档管理、硬件、软件等。
9.事故处理、紧急响应策略
包括响应小组、联系方式、事故处理计划、控制过程等。
10.安全教育策略
包括安全策略的发布宣传、执行效果的监督、安全技能的培训、安全意识教育等。
11.口令管理策略
包括口令管理方式、口令设置规则、口令适应规则等。 中国网管联盟bitsCN.com
12.补丁管理策略
包括系统补丁的更新、测试、安装等。
13.系统变更控制策略
包括设备、软件配置、控制措施、数据变更管理、一致性管理等。
14.商业伙伴、客户关系策略
包括合同条款安全策略、客户服务安全建议等。
15.复查审计策略
包括对安全策略的定期复查、对安全控制及过程的重新评估、对系统日志记录的审计、对安全技术发展的跟踪等。


企业制定的安全策略应当遵守相关的法律条令，有时安全策略的内容和员工的个人隐私相关联，在考虑对信息资产保护的同时，也应该对这方面的内容有一个明确的说明。

三、 安全教育
安全意识和相关技能的教育是企业安全管理中重要的内容，其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证安全的成功和有效，高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训。所有的企业人员必须了解并严格执行企业安全策略。

网管bitscn_com

在安全教育具体实施过程中应该有一定的层次性：

1.主管信息安全工作的高级负责人或各级管理人员，重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制定等。
2.负责信息安全运行管理及维护的技术人员，重点是充分理解信息安全管理策略，掌握安全评估的基本方法，对安全操作和维护技术的合理运用等。
3.用户，重点是学习各种安全操作流程，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责等。


当然，对于特定的人员要进行特定的安全培训。安全教育应当定期的、持续的进行。在企业中建立安全文化并容纳到整个企业文化体系中才是最根本的解决办法。

小结：
解决信息安全问题不能仅仅只从技术上考虑，但也不是说不考虑技术，技术是安全的主体，管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中，网络安全的长期性和稳定性才能有所保证。

要进行有效的安全管理，必须建立起一套系统全面的信息安全管理体系，这可以参照国际上通行的一些标准来实现，如：BS7799、ISO17799、ISO15408、RFC1296、SSE-CMM、ISO11131、ISO13569等。

关于作者
王红阳: 从事网络（安全）方面的安全评估、安全服务工作或研发工作。在《信息安全与通信保密》杂志（2001年第11期）发表文章《防火墙技术概述》；在 AKA Security Salon 做《防火墙设计与实现》报告。；作为 CISSP_BJ 小组核心成员做《CISSP domain1 - Access Control Systems & Methodology》报告。您可访问 http://Sec.COMisMy.COM 获得以上报告。