作者簡介：賈文軍先生是埃森哲全球技術咨詢部門的高級安全顧問。他擁有CISSP和BS 7799認證，在安全風險評估和管理、數據安全、業務連續性管理、企業IT安全規劃方面有著豐富的咨詢服務經驗。

隨著信息通信越來越多地替代傳統的業務模式，企業應該將信息保護集成到業務運作的管理層面。在傳統的體系架構下，很多人認為安全對業務是有負面影響的，而不是能夠推動核心業務活動效率的提高。如何建立有效的企業信息安全資產保護計劃并得到有效實施，是每個企業管理層和信息安全決策者最關心的問題。

一、企業面臨的信息安全風險趨勢

企業越來越依靠信息資源，安全事件不斷增長，而安全事件造成的損失以及用于事件處理的財力、人力以及IT資源的投入需要不斷增長。這就需要進行IT規劃和費用調整以保證適當的安全投入，部署有效的工具，來解決緊迫的安全問題。

安全威脅趨勢

內部非授權訪問和使用威脅仍然是企業面臨的最大威脅，根據CSI/FBI的2005年計算機安全調查，內部威脅呈現不斷增長的趨勢，超過80%的數據損失來自于組織內部，主要是非授權訪問和信息竊取。盡管多數情況下人們通常懷疑這些問題源于外部侵入，但是計算機系統與數據的大部分損失并非源于惡意的外部攻擊，而是一些很簡單的人為操作錯誤，或者是系統內部分合法用戶的未授權或無意活動。

在CSI/FBI2005年計算機安全調查中，安全攻擊形式中病毒（含蠕蟲和木馬）與間諜軟件分別占83.7％和79.5％，遠遠高于其它攻擊形式。此外還有三分之一的端口掃描和五分之一的數據或網絡破壞。

隨著應用系統復雜性的提高，應用的安全漏洞也在不斷增加。安全威脅的對象正逐漸地從網絡和操作系統轉向應用系統以及更有價值的數據。然而企業對安全的關注仍然集中在病毒蠕蟲以及操作系統層面的漏洞上。

Gartner預測有75%的安全漏洞是出在應用層面，到2009年有80%的企業將遭受應用安全事件，由于業務安全造成的財物損失將增加5倍以上，企業將不得不增加應用安全開發和測試方面的投入。

欺騙攻擊（Phishing and Phraming）是新涌現的新的攻擊方式，通過騙取用戶信任來誘使用戶訪問非法的站點。Phishing是指通過電子郵件或者即時通信發送欺騙性的站點連接，誘使用戶訪問。

而Pharming是通過攻擊DNS欺騙，將合法站點解析到非法地址。而一旦用戶訪問并信任該站點，就有可能泄露個人敏感信息或者遭受惡意代碼的攻擊。隨著這種攻擊技術的發展，攻擊目標已不僅限于銀行攻擊，而是已經開始向所有的在線業務擴展。

新技術的不斷應用也大大擴展了企業安全需求的領域，無線局域網、藍牙、RFID、VoIP、即時通訊、移動終端等技術擴大了企業的安全邊界。未來通過無線通信技術系統和移動應用的結合，都需要首先考慮安全問題。沒有安全機制，攻擊者可以很容易地對數據信息以及IT基礎設施進行控制。

從信息安全到業務安全

業務安全需求不斷變化，相關技術不斷進步。企業不斷擴展業務，員工、客戶以及合作伙伴越來越多地與企業網絡連接，進行移動辦公和開展在線業務，這也就意味著對核心信息資產的威脅機會增加。信息安全已經從單獨的保護計算機系統發展到保護業務安全。網絡應用的攻擊可以導致業務中斷，影響經濟收入和客戶形象。

中國企業的安全形勢

InformationWeek雜志和Accenture公司在2005年10月的聯合安全調查顯示，中國企業正在遭受越來越多的安全威脅和攻擊破壞。這次調查的主要結論有：

* 缺少信息安全戰略，安全基礎設施落后，存在較多的安全隱患。

* 間諜軟件、病毒和蠕蟲帶來了嚴重危害和經濟損失。

* 組織都試圖探測安全事件是否發生以及何時發生，但很少有組織使用預防性的安全軟件，超過半數的組織在事件發生后才了解事件過程。

* 未來安全投資關注在應用防火墻和監控軟件，安裝入侵檢測工具，集成安全系統和應用安全。

* 企業趨向實施安全外包。

基本的用戶口令、網絡防火墻和防病毒是中國企業主要的安全措施。病毒、蠕蟲和Web攻擊仍然是最常見的攻擊方式。已知的操作系統和應用程序的漏洞也是黑客攻擊的主要目標。

很多企業期望提高安全防護能力，但是多數企業表示沒有信息安全戰略指導，IT基礎設施落后，員工缺少安全意識，缺乏安全運作流程。

二、企業信息安全的目標和安全需求

根據國際信息安全管理標準ISO 17799的描述，信息安全的目標是“通過防止和減小安全事故的影響，保證業務連續性，使業務損失最小化”。

保護企業的信息資產對于業務持續以及法律遵循都是關鍵的。由于這些原因，信息被看作業務資產的一部分，需要有效的管理。因此，企業必須保護信息資產的機密性、完整性和可用性。

業務安全

信息安全的目標是保護企業的信息資產，防范業務風險，保證業務連續性。因此，業務安全是企業信息安全的終極目標。

企業需要把安全作為業務戰略目標的一部分，安全不再只是一種投入，而是能夠促進和保障業務產出的手段。因此，企業需要有效地實施信息安全控制，保護有價值的資產，支持和達成企業業務目標。

業務安全需求包括業務連續性、業務流程安全、法律安全要求、隱私保護要求等。

IT安全

IT系統實現業務功能，是企業業務信息化的關鍵。IT能力的發展的驅動因素是業務發展方向，同時也驅動了安全的建設。IT系統的安全持續運行是實現企業業務價值的保障。

IT安全需求就是從IT的角度明確安全保護需求以及IT系統對安全的支持情況，包括兩個層面的內容：一是IT系統自身的安全需求，包括業務安全需求的功能實現以及網絡安全、系統安全、應用安全、數據安全、業務連續性等層次的需求；另一個層面是安全系統對IT系統功能的要求，例如對IT基礎設施、服務管理方面的要求。

安全建設既保證了IT基礎設施和服務的安全，又屬于IT建設的一部分。因此，安全建設需要與IT戰略相一致，并且適應未來IT基礎設施和技術的變化。

法律和策略要求

各種法律法規的需求不斷變化、層出不窮，企業需要很大的精力去保持與法律法規的符合性。企業需要識別相關的法律法規中提出的，需要遵守的安全要求及其對業務和IT的影響。例如薩班斯法案對上市公司的內部控制、報告、披露和歸檔要求，法律對個人隱私數據保護的要求，國家政策和標準提出的信息系統等級保護要求等。

企業安全建設還應該符合企業的安全戰略和相關的安全策略、標準的要求。

三、企業信息安全之道

為了保證安全目標和安全需求的實現，企業需要進行安全規劃和建設。企業信息安全建設的總體思路是：以業務資產為核心，以安全戰略為指導，根據安全需求來建立安全能力發展計劃和整體的安全框架，逐步建立安全基礎設施，為業務提供安全能力支持。