作者簡介：賈文軍先生是埃森哲全球技術(shù)咨詢部門的高級安全顧問。他擁有CISSP和BS 7799認(rèn)證，在安全風(fēng)險評估和管理、數(shù)據(jù)安全、業(yè)務(wù)連續(xù)性管理、企業(yè)IT安全規(guī)劃方面有著豐富的咨詢服務(wù)經(jīng)驗(yàn)。

隨著信息通信越來越多地替代傳統(tǒng)的業(yè)務(wù)模式，企業(yè)應(yīng)該將信息保護(hù)集成到業(yè)務(wù)運(yùn)作的管理層面。在傳統(tǒng)的體系架構(gòu)下，很多人認(rèn)為安全對業(yè)務(wù)是有負(fù)面影響的，而不是能夠推動核心業(yè)務(wù)活動效率的提高。如何建立有效的企業(yè)信息安全資產(chǎn)保護(hù)計劃并得到有效實(shí)施，是每個企業(yè)管理層和信息安全決策者最關(guān)心的問題。

一、企業(yè)面臨的信息安全風(fēng)險趨勢

企業(yè)越來越依靠信息資源，安全事件不斷增長，而安全事件造成的損失以及用于事件處理的財力、人力以及IT資源的投入需要不斷增長。這就需要進(jìn)行IT規(guī)劃和費(fèi)用調(diào)整以保證適當(dāng)?shù)陌踩度耄渴鹩行У墓ぞ撸瑏斫鉀Q緊迫的安全問題。

安全威脅趨勢

內(nèi)部非授權(quán)訪問和使用威脅仍然是企業(yè)面臨的最大威脅，根據(jù)CSI/FBI的2005年計算機(jī)安全調(diào)查，內(nèi)部威脅呈現(xiàn)不斷增長的趨勢，超過80%的數(shù)據(jù)損失來自于組織內(nèi)部，主要是非授權(quán)訪問和信息竊取。盡管多數(shù)情況下人們通常懷疑這些問題源于外部侵入，但是計算機(jī)系統(tǒng)與數(shù)據(jù)的大部分損失并非源于惡意的外部攻擊，而是一些很簡單的人為操作錯誤，或者是系統(tǒng)內(nèi)部分合法用戶的未授權(quán)或無意活動。

在CSI/FBI2005年計算機(jī)安全調(diào)查中，安全攻擊形式中病毒（含蠕蟲和木馬）與間諜軟件分別占83.7％和79.5％，遠(yuǎn)遠(yuǎn)高于其它攻擊形式。此外還有三分之一的端口掃描和五分之一的數(shù)據(jù)或網(wǎng)絡(luò)破壞。

隨著應(yīng)用系統(tǒng)復(fù)雜性的提高，應(yīng)用的安全漏洞也在不斷增加。安全威脅的對象正逐漸地從網(wǎng)絡(luò)和操作系統(tǒng)轉(zhuǎn)向應(yīng)用系統(tǒng)以及更有價值的數(shù)據(jù)。然而企業(yè)對安全的關(guān)注仍然集中在病毒蠕蟲以及操作系統(tǒng)層面的漏洞上。

Gartner預(yù)測有75%的安全漏洞是出在應(yīng)用層面，到2009年有80%的企業(yè)將遭受應(yīng)用安全事件，由于業(yè)務(wù)安全造成的財物損失將增加5倍以上，企業(yè)將不得不增加應(yīng)用安全開發(fā)和測試方面的投入。

欺騙攻擊（Phishing and Phraming）是新涌現(xiàn)的新的攻擊方式，通過騙取用戶信任來誘使用戶訪問非法的站點(diǎn)。Phishing是指通過電子郵件或者即時通信發(fā)送欺騙性的站點(diǎn)連接，誘使用戶訪問。

而Pharming是通過攻擊DNS欺騙，將合法站點(diǎn)解析到非法地址。而一旦用戶訪問并信任該站點(diǎn)，就有可能泄露個人敏感信息或者遭受惡意代碼的攻擊。隨著這種攻擊技術(shù)的發(fā)展，攻擊目標(biāo)已不僅限于銀行攻擊，而是已經(jīng)開始向所有的在線業(yè)務(wù)擴(kuò)展。

新技術(shù)的不斷應(yīng)用也大大擴(kuò)展了企業(yè)安全需求的領(lǐng)域，無線局域網(wǎng)、藍(lán)牙、RFID、VoIP、即時通訊、移動終端等技術(shù)擴(kuò)大了企業(yè)的安全邊界。未來通過無線通信技術(shù)系統(tǒng)和移動應(yīng)用的結(jié)合，都需要首先考慮安全問題。沒有安全機(jī)制，攻擊者可以很容易地對數(shù)據(jù)信息以及IT基礎(chǔ)設(shè)施進(jìn)行控制。

從信息安全到業(yè)務(wù)安全

業(yè)務(wù)安全需求不斷變化，相關(guān)技術(shù)不斷進(jìn)步。企業(yè)不斷擴(kuò)展業(yè)務(wù)，員工、客戶以及合作伙伴越來越多地與企業(yè)網(wǎng)絡(luò)連接，進(jìn)行移動辦公和開展在線業(yè)務(wù)，這也就意味著對核心信息資產(chǎn)的威脅機(jī)會增加。信息安全已經(jīng)從單獨(dú)的保護(hù)計算機(jī)系統(tǒng)發(fā)展到保護(hù)業(yè)務(wù)安全。網(wǎng)絡(luò)應(yīng)用的攻擊可以導(dǎo)致業(yè)務(wù)中斷，影響經(jīng)濟(jì)收入和客戶形象。

中國企業(yè)的安全形勢

InformationWeek雜志和Accenture公司在2005年10月的聯(lián)合安全調(diào)查顯示，中國企業(yè)正在遭受越來越多的安全威脅和攻擊破壞。這次調(diào)查的主要結(jié)論有：

* 缺少信息安全戰(zhàn)略，安全基礎(chǔ)設(shè)施落后，存在較多的安全隱患。

* 間諜軟件、病毒和蠕蟲帶來了嚴(yán)重危害和經(jīng)濟(jì)損失。

* 組織都試圖探測安全事件是否發(fā)生以及何時發(fā)生，但很少有組織使用預(yù)防性的安全軟件，超過半數(shù)的組織在事件發(fā)生后才了解事件過程。

* 未來安全投資關(guān)注在應(yīng)用防火墻和監(jiān)控軟件，安裝入侵檢測工具，集成安全系統(tǒng)和應(yīng)用安全。

* 企業(yè)趨向?qū)嵤┌踩獍?

基本的用戶口令、網(wǎng)絡(luò)防火墻和防病毒是中國企業(yè)主要的安全措施。病毒、蠕蟲和Web攻擊仍然是最常見的攻擊方式。已知的操作系統(tǒng)和應(yīng)用程序的漏洞也是黑客攻擊的主要目標(biāo)。

很多企業(yè)期望提高安全防護(hù)能力，但是多數(shù)企業(yè)表示沒有信息安全戰(zhàn)略指導(dǎo)，IT基礎(chǔ)設(shè)施落后，員工缺少安全意識，缺乏安全運(yùn)作流程。

二、企業(yè)信息安全的目標(biāo)和安全需求

根據(jù)國際信息安全管理標(biāo)準(zhǔn)ISO 17799的描述，信息安全的目標(biāo)是“通過防止和減小安全事故的影響，保證業(yè)務(wù)連續(xù)性，使業(yè)務(wù)損失最小化”。

保護(hù)企業(yè)的信息資產(chǎn)對于業(yè)務(wù)持續(xù)以及法律遵循都是關(guān)鍵的。由于這些原因，信息被看作業(yè)務(wù)資產(chǎn)的一部分，需要有效的管理。因此，企業(yè)必須保護(hù)信息資產(chǎn)的機(jī)密性、完整性和可用性。

業(yè)務(wù)安全

信息安全的目標(biāo)是保護(hù)企業(yè)的信息資產(chǎn)，防范業(yè)務(wù)風(fēng)險，保證業(yè)務(wù)連續(xù)性。因此，業(yè)務(wù)安全是企業(yè)信息安全的終極目標(biāo)。

企業(yè)需要把安全作為業(yè)務(wù)戰(zhàn)略目標(biāo)的一部分，安全不再只是一種投入，而是能夠促進(jìn)和保障業(yè)務(wù)產(chǎn)出的手段。因此，企業(yè)需要有效地實(shí)施信息安全控制，保護(hù)有價值的資產(chǎn)，支持和達(dá)成企業(yè)業(yè)務(wù)目標(biāo)。

業(yè)務(wù)安全需求包括業(yè)務(wù)連續(xù)性、業(yè)務(wù)流程安全、法律安全要求、隱私保護(hù)要求等。

IT安全

IT系統(tǒng)實(shí)現(xiàn)業(yè)務(wù)功能，是企業(yè)業(yè)務(wù)信息化的關(guān)鍵。IT能力的發(fā)展的驅(qū)動因素是業(yè)務(wù)發(fā)展方向，同時也驅(qū)動了安全的建設(shè)。IT系統(tǒng)的安全持續(xù)運(yùn)行是實(shí)現(xiàn)企業(yè)業(yè)務(wù)價值的保障。

IT安全需求就是從IT的角度明確安全保護(hù)需求以及IT系統(tǒng)對安全的支持情況，包括兩個層面的內(nèi)容：一是IT系統(tǒng)自身的安全需求，包括業(yè)務(wù)安全需求的功能實(shí)現(xiàn)以及網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全、業(yè)務(wù)連續(xù)性等層次的需求；另一個層面是安全系統(tǒng)對IT系統(tǒng)功能的要求，例如對IT基礎(chǔ)設(shè)施、服務(wù)管理方面的要求。

安全建設(shè)既保證了IT基礎(chǔ)設(shè)施和服務(wù)的安全，又屬于IT建設(shè)的一部分。因此，安全建設(shè)需要與IT戰(zhàn)略相一致，并且適應(yīng)未來IT基礎(chǔ)設(shè)施和技術(shù)的變化。

法律和策略要求

各種法律法規(guī)的需求不斷變化、層出不窮，企業(yè)需要很大的精力去保持與法律法規(guī)的符合性。企業(yè)需要識別相關(guān)的法律法規(guī)中提出的，需要遵守的安全要求及其對業(yè)務(wù)和IT的影響。例如薩班斯法案對上市公司的內(nèi)部控制、報告、披露和歸檔要求，法律對個人隱私數(shù)據(jù)保護(hù)的要求，國家政策和標(biāo)準(zhǔn)提出的信息系統(tǒng)等級保護(hù)要求等。

企業(yè)安全建設(shè)還應(yīng)該符合企業(yè)的安全戰(zhàn)略和相關(guān)的安全策略、標(biāo)準(zhǔn)的要求。

三、企業(yè)信息安全之道

為了保證安全目標(biāo)和安全需求的實(shí)現(xiàn)，企業(yè)需要進(jìn)行安全規(guī)劃和建設(shè)。企業(yè)信息安全建設(shè)的總體思路是：以業(yè)務(wù)資產(chǎn)為核心，以安全戰(zhàn)略為指導(dǎo)，根據(jù)安全需求來建立安全能力發(fā)展計劃和整體的安全框架，逐步建立安全基礎(chǔ)設(shè)施，為業(yè)務(wù)提供安全能力支持。