1.1.3.企業(yè)信息安全
1.凱撒密碼的傳說
在人類歷史上，保護信息的需求與信息本身一樣歷史久遠。第一個用于加密和解密消息的文擋化數(shù)字“密碼”是凱撒密碼，是凱撒本人創(chuàng)造的。古希臘歷史學(xué)家希羅多德于公元前479年記錄道：
“當(dāng)它在蘇薩獲悉薛西斯決定入侵希臘時，認為必須將這一消息傳遞給斯巴達。由于一旦被敵人發(fā)現(xiàn)，就會面臨巨大的危險，所以只有一種方法可以用來傳遞消息：刮去一對木制折疊板的封蠟，在木版上寫上薛西斯的企圖，然后再用蠟封住木版。
按這種方式處理的木版，看上去相當(dāng)光滑，不會引起路上哨兵的注意。當(dāng)消息抵達目的地時，沒有人能猜出這一秘密，只有Cleomenes的女兒Gorgo（Leonidas的妻子）發(fā)現(xiàn)了它并告訴給其他人……，這樣一來，人們得到了此消息并傳遞給其他希臘人。“
從這個故事可以透視出信息加密的歷史和他的重要性。
2.當(dāng)今企業(yè)所處的信息環(huán)境
以往的企業(yè)是在一個相對封閉的環(huán)境中運作，信息系統(tǒng)安全在企業(yè)的控制之下。今天，企業(yè)依賴于開發(fā)的、互聯(lián)的網(wǎng)絡(luò)環(huán)境，這些網(wǎng)絡(luò)將商業(yè)企業(yè)、醫(yī)療機構(gòu)、教育、政府部門、甚至個人聯(lián)結(jié)到了一起，帶來了豐富的資源，同時也帶來了潛在的風(fēng)險。

自從網(wǎng)絡(luò)和Internet出現(xiàn)依賴，隨著計算模式從大型機向分布式系統(tǒng)的轉(zhuǎn)移，企業(yè)受保護的信息資源被分散在控制不很嚴格的計算平臺中（例如UNIX/Linux和Windows平臺），應(yīng)用程序的部署（例如Web服務(wù)器、應(yīng)用程序服務(wù)器、數(shù)據(jù)庫服務(wù)器、內(nèi)容服務(wù)器和目錄服務(wù)器）變得越來越復(fù)雜，多線程的面向?qū)ο蠛蚃ava技術(shù)的運用，各種計算平臺的安裝，終端設(shè)備的接入（例如電話、筆記本電腦、掌上電腦和PDA等），有線/無線網(wǎng)絡(luò)的連接，尤其是通用的網(wǎng)絡(luò)傳輸協(xié)議（TCP/IP）的普及，企業(yè)業(yè)務(wù)向電子商務(wù)的轉(zhuǎn)移。信息安全問題越來越凸現(xiàn)出來，使得企業(yè)的信息安全性日趨緊迫。
3.并非危言聳聽的信息安全恐怖事件
1).蠕蟲王，互聯(lián)網(wǎng)的“911”
2003年1月25日，互聯(lián)網(wǎng)遭遇到全球性的病毒攻擊。突如其來的蠕蟲，不亞于讓人們不能忘懷的“911”事件。這個病毒名叫Win32.SQLExp.Worm，病毒體極其短小，卻具有極強的傳播性，它利用Microsoft SQL Server的漏洞進行傳播，由于Microsoft SQL Server在世界范圍內(nèi)都很普及，因此，此次病毒攻擊導(dǎo)致全球范圍內(nèi)的互聯(lián)網(wǎng)癱瘓。在中國80%以上網(wǎng)民受此次全球性病毒襲擊而不能上網(wǎng)，很多企業(yè)的服務(wù)器被此病毒感染引起網(wǎng)絡(luò)癱瘓。美國、泰國、日本、韓國、馬來西亞、菲律賓和印度等國家的互聯(lián)網(wǎng)也受到嚴重感染。直到26日晚，蠕蟲王才得到初步的控制。這是繼紅色代碼、尼姆達、求職信病毒后又一起極速病毒傳播案例。所以“蠕蟲王”蠕蟲的出現(xiàn)，應(yīng)該成為一個傳奇，全世界范圍內(nèi)損失額高達12億美圓。
2).美伊戰(zhàn)爭引發(fā)美國歷史上最大的黑客恐怖襲擊
2003年3月20日，美國對伊拉克發(fā)動戰(zhàn)爭。在炸彈持續(xù)向伊拉克傾斜之際，抗議者和擁護美英的愛國黑客在互聯(lián)網(wǎng)上的口水大戰(zhàn)也隨之升級，他們互相篡改對方公司與政府網(wǎng)站的內(nèi)容，黑客入侵網(wǎng)站事件激增。有三類黑客參與對網(wǎng)站的攻擊：以美國為基地的愛國主義黑客、伊斯蘭極端主義組織和反戰(zhàn)的和平主義人士。破壞的信息無所不包，既有支持美英軍隊的字眼，也有對軍事行動表示憤慨的言論。而受害的網(wǎng)站也各種各樣，從美國海軍的網(wǎng)站到英國工業(yè)產(chǎn)品配銷商的網(wǎng)站應(yīng)有盡有。黑客組織篡改美國和英國的網(wǎng)站事件每一分鐘就會有3～4起篡改發(fā)生，這次黑客攻擊在數(shù)量和速度上都有大幅度的提高。
3).全球黑客大聚會
2003年6月13日到14日，每年一屆的黑客大會在美國的匹斯堡召開，有大約200個代表參加。這項活動從1985年以來每年一度，中間只空缺過一年。2003年的參加人數(shù)不如2002年，2002年人數(shù)多達2000人。組織者2003年的目標是希望能說服公眾：黑客有“黑帽”和“白帽”之分。黑客大會上，內(nèi)容涉及從黑客技術(shù)到有關(guān)安全的現(xiàn)行法律，以及金盆洗手后黑客們的就業(yè)等問題，其中也有可怕的黑客入侵主題，這樣的主題是最受歡迎的。
4).“沖擊波”病毒肆虐全球
2003年8月11日，一種名為“沖擊波”（WORM_MSBlast.A）的新型蠕蟲病毒開始在國內(nèi)互聯(lián)網(wǎng)和部分專用信息網(wǎng)絡(luò)上傳播。該病毒傳播速度快、波及范圍廣，對計算機正常使用和網(wǎng)絡(luò)運行造成嚴重影響。該病毒能夠在短時間內(nèi)造成大面積的泛濫，是因為病毒運行時會掃描網(wǎng)絡(luò)，尋找操作系統(tǒng)為Windows 2000/XP的計算機，然后通過RPC漏洞進行感染，并且該病毒會操作135、4444、69端口，危害系統(tǒng)。受到感染的計算機機中Word、Excel、PowerPoint等文件無法正常運行，彈出找不到鏈接文件的對話框，“粘貼”等一些功能無法正常使用，計算機出現(xiàn)反復(fù)重新啟動等現(xiàn)象。
5).即時通訊說不出的痛
今年即時通訊工具也成為了黑客的攻擊對象。目前，已有一些蠕蟲病毒成功地感染了部分即時通訊傳送應(yīng)用客戶端，他們包括Aplore，通過AOL Instant Messenger（AIM）傳播；Goner，利用ICQ漏洞進行傳播；Cool Now，利用Message from Jerry傳播；Choke，通過MSN Messenger傳播。即時通訊和其他點對點通訊軟件能夠帶來嚴重的安全風(fēng)險。企業(yè)還擔(dān)心員工使用即時通訊工具非法下載受保護的版權(quán)內(nèi)容，運行這樣的軟件也可能使企業(yè)的網(wǎng)絡(luò)門戶洞開，受到病毒、特洛伊木馬以及其他各種威脅。隨著駕駛通訊服務(wù)不斷推出語音、視頻聊天等新功能，其危險性也大大增加了。

6).郵件蠕蟲病毒泛濫
2003年郵件病毒是一個接一個的爆發(fā)，從年初的“求職信”、“惡郵差”，中旬的“大無極”，到最近的“小郵差”新變種，一個比一個厲害。輕則感染幾十萬臺計算機，重則全球幾百萬。
7).垃圾郵件數(shù)量變本加厲
全球垃圾郵件數(shù)量的增長率已經(jīng)超過正常電子郵件的增長率，而且就每封垃圾郵件的平均容量來說，也比正常的電子郵件要大得多。中國互聯(lián)網(wǎng)信息中心2003年7月公布的《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示，中國網(wǎng)民平均每周收到16.1封電子郵件，其中垃圾郵件占據(jù)了8.9封，垃圾郵件數(shù)量超過了正常郵件數(shù)量，并有進一步增長的趨勢。
4.數(shù)據(jù)丟失
由于硬件的損壞、人為誤操作和災(zāi)難事件等造成的數(shù)據(jù)丟失是每個企業(yè)所需要避免的，其中最常用的方法是進行數(shù)據(jù)備份。數(shù)據(jù)備份的重要性是如何強調(diào)都不過分的，如果企業(yè)認為數(shù)據(jù)的丟失是不可接受的，那么請備份這些數(shù)據(jù)，并對備份數(shù)據(jù)和出現(xiàn)數(shù)據(jù)丟失后進行恢復(fù)工作需要的時間，以及花費的成本進行綜合評估。
5.數(shù)據(jù)被怯
Internet的普及給人們帶來方便的同時，也帶來了潛在的隱患。由于Internet的互聯(lián)性，使數(shù)據(jù)遠程盜竊成為可能，與其他資產(chǎn)不同的是，信息進行復(fù)制的成本是非常小的，而且可以在沒有丟失的情況下被別人盜走。數(shù)據(jù)盜竊可以發(fā)生在數(shù)據(jù)存儲在介質(zhì)上，也可以發(fā)生在數(shù)據(jù)傳輸?shù)倪^程中。因此，數(shù)據(jù)加密技術(shù)、數(shù)據(jù)訪問控制技術(shù)和防入侵技術(shù)是防止數(shù)據(jù)被竊的重要手段。
6.病毒
使用反病毒軟件已經(jīng)一種很基本的防范行為了，IT經(jīng)理們應(yīng)該確保反病毒工具已經(jīng)被正確地安裝了、并定期進行升級。 記住，雖然你的公司對手也許正在喪失生產(chǎn)效率，但是病毒卻沒有，這意味著病毒惡作劇幾乎可以與現(xiàn)實中的競爭一樣產(chǎn)生嚴重的問題，權(quán)威的惡作劇列表可以有效地消除用戶的擔(dān)心，并保持對真實威脅警告的可信性。
IT經(jīng)理們也應(yīng)該監(jiān)控電子郵件活動性突然爆發(fā)，這可能暗示不是真正的蠕蟲攻擊就是對病毒惡作劇警告信息的驚慌。
當(dāng)前信息安全問題已經(jīng)成為一個非常嚴重的問題，美國聯(lián)邦調(diào)查局于2001年調(diào)查了538位系統(tǒng)安全經(jīng)理，其中有85%經(jīng)歷過安全問題，其中絕大多數(shù)安全問題帶來了財產(chǎn)的損失，平均每個安全問題帶來兩百萬美金的損失。政府部門也存在著同樣的安全問題，據(jù)有關(guān)調(diào)查顯示，美國32個政府部門的155臺計算機系統(tǒng)曾經(jīng)遭受過超過2000次入侵。
但這僅僅反映出安全問題的一小部分，大多數(shù)企業(yè)由于受到股東和客戶的壓力在出現(xiàn)安全問題時并沒有對外公布，美國聯(lián)邦調(diào)查局稱，只有36%的企業(yè)在出現(xiàn)安全問題的時候向有關(guān)部門進行的報告。
針對信息安全建設(shè)，IBM提出這樣包含五個環(huán)節(jié)的周期概念：安全評估、安全計劃、安全設(shè)計、安全實施和安全運行。以上五個階段是周而復(fù)始的循環(huán)關(guān)系，在每一個周期結(jié)束自然進入下一個周期。
實際上，IBM提供給企業(yè)的將是一套完整的安全保障機制而并非一勞永逸的大結(jié)局。越來越多的信息安全專家的觀點發(fā)生了轉(zhuǎn)變。從最初對攻擊的完全防守到目前確保損失最小化，人們意識到同現(xiàn)實生活中其他安全問題一樣，信息安全同樣需要耐心和毅力。正是基于對安全任務(wù)長期性的認識，有目的、有計劃的安全計劃將取代隨機的應(yīng)付。
同時人們也認識到，僅憑任何單方面的努力并不足以保證信息安全，而包括網(wǎng)絡(luò)、計算機、軟硬件、管理等各方面咨詢的方案制定才有更好的保證。IBM為了幫助客戶實施信息安全，和業(yè)界最優(yōu)秀的方案供應(yīng)商成為合作伙伴，保證用戶按照自己的需求選擇最適合自己的供應(yīng)商，實現(xiàn)用戶利益的最大化。

1.2.信息安全的重要性及價值分析
在當(dāng)今的信息時代，必須保護對其發(fā)展壯大至關(guān)重要的信息資產(chǎn)，另一方面，這些資產(chǎn)也暴露在越來越多的威脅中，毫無疑問，保護信息的私密性、完整性、真實性和可靠性的需求已經(jīng)成為企業(yè)和消費者的最優(yōu)先的需求之一。由于入侵、破壞企業(yè)IT系統(tǒng)的事件每天都在發(fā)生，加上Internet危險地帶的認知不斷加強，對信息安全的需求前所未有地高漲起來。對于大多數(shù)高級企業(yè)主管而言，安全問題不再遙不可及了，而是已經(jīng)開始在自己身旁發(fā)生。安全漏洞會大大降低公司的市場價值，甚至威脅企業(yè)的生存。即使最小的漏洞也能將公司的名譽、客戶的隱私信息和知識產(chǎn)權(quán)置于危險之中。還有成功的攻擊對于企業(yè)官員將造成嚴重個人損害。
通過以上討論可以看出，在當(dāng)前的商業(yè)和信息環(huán)境下，企業(yè)面臨著各種各樣的安全問題，而解決這些安全問題對企業(yè)而言是至關(guān)重要的。從某種程度上說，安全的信息系統(tǒng)是現(xiàn)代企業(yè)賴以生存的基礎(chǔ)，是企業(yè)的業(yè)務(wù)驅(qū)動，而不僅僅是信息技術(shù)的發(fā)展。在這樣的環(huán)境中，企業(yè)如何才能有效地解決這些問題呢?
1.2.1.企業(yè)安全之痛
● 保護企業(yè)的員工和客戶的私有信息
● 關(guān)鍵商務(wù)信息交換的安全性
● 企業(yè)級的統(tǒng)一身份管理
● 確保越來越復(fù)雜的系統(tǒng)環(huán)境的一致完整性
● 安全管理策略，降低企業(yè)風(fēng)險
安全需求來自于業(yè)務(wù)本身，而非IT技術(shù)驅(qū)動。通過下面的圖示可以清楚地告訴我們安全問題貫穿于整個企業(yè)的運作。

1.2.2.商業(yè)機密信息的安全交換
電子商務(wù)是當(dāng)今世界商務(wù)活動運作發(fā)展的主流方向。在信息化的過程中，越來越多的企業(yè)在大規(guī)模地用電子商務(wù)來取代傳統(tǒng)的商務(wù)活動方式，以達到全面提高其市場競爭力的目的。然而，電子商務(wù)目前主要是以電子數(shù)據(jù)交換和Internet方式來實現(xiàn)的。企業(yè)必須防止電子商務(wù)中的欺詐行為，合同爭議和信息泄露或篡改的現(xiàn)象發(fā)生。在網(wǎng)上進行商務(wù)活動會涉及許多企業(yè)的商業(yè)秘密與個人隱私，這需要保護;另一方面，任何商務(wù)活動是建立在交易雙方相互信任的基礎(chǔ)上，如何確定要進行交易的交易方正式所期望的交易方，并防止抵賴情況發(fā)生是保證電子商務(wù)順利進行的關(guān)鍵，企業(yè)開展電子商務(wù)活動必須建立在安全交易的基礎(chǔ)上。
1.2.3.保障業(yè)務(wù)持續(xù)運轉(zhuǎn)
“天又不測風(fēng)云，人由旦夕禍福”。像地震，火災(zāi)，爆炸，洪水等自然災(zāi)害，系統(tǒng)軟件與硬件故障，網(wǎng)絡(luò)病毒，人員欺詐與惡意行為等威脅，都會造成企業(yè)商務(wù)活動的中斷，甚至企業(yè)的破產(chǎn)，例如，如果通信網(wǎng)絡(luò)因為故障造成用戶數(shù)據(jù)丟失且沒有用戶數(shù)據(jù)備份，短時間內(nèi)無法恢復(fù)，這將給通信運營商造成很大的經(jīng)濟與信譽損失。俗話說“不怕一萬，就怕萬一”。如美國的“9.11”恐怖事件的發(fā)生，因為企業(yè)數(shù)據(jù)的毀滅，造成很多公司業(yè)務(wù)長時間的中斷，甚至公司的滅頂之災(zāi)。為防止企業(yè)經(jīng)營或商務(wù)活動的中斷，保護關(guān)鍵商務(wù)過程免受重大故障或災(zāi)難的影響，建立安全強壯的信息系統(tǒng)及其管理必不可少。
1.2.4.信息安全是企業(yè)持續(xù)發(fā)展的需要
現(xiàn)代企業(yè)的正常運作離不開信息資源的支持，這包括組織的知識產(chǎn)權(quán)，各種重要數(shù)據(jù)，信息處理設(shè)施，關(guān)鍵人員等。企業(yè)的商業(yè)秘密被泄露回使企業(yè)喪失競爭優(yōu)勢，失去市場;系統(tǒng)故障會造成正常的業(yè)務(wù)運作中斷。因此，企業(yè)要保持可持續(xù)性發(fā)展，信息安全是基本的保證之一。
1.2.5.降低風(fēng)險，防患于未然
企業(yè)在商業(yè)活動中面臨著各種各樣的風(fēng)險，這些風(fēng)險是在企業(yè)內(nèi)部運作，以及與客戶和業(yè)務(wù)伙伴操作中與生俱來的，不可避免的，正確識別理解風(fēng)險和安全解決方案的關(guān)系是降低企業(yè)運行中風(fēng)險的基本要求。根據(jù)商業(yè)安全范式建立有力的方法論，將信息安全植入到企業(yè)創(chuàng)造商業(yè)價值的流程和風(fēng)險管理過程中，并且使企業(yè)的安全投資最大化，使企業(yè)能夠有效利用安全資源來管理商業(yè)風(fēng)險。

1.2.6.安全管理通用五步法:
1). 風(fēng)險分析:研究潛在的安全漏洞，決定可接受的安全控制，實施成本，以及不能被顧及的并且可接受的風(fēng)險因素。其主要活動包括:確定安全漏洞或風(fēng)險，例如自然災(zāi)害、外部黑客攻擊、員工錯誤等；識別有商業(yè)價值的數(shù)據(jù)資產(chǎn)，例如客戶數(shù)據(jù)庫、研究信息、新產(chǎn)品計劃、財務(wù)數(shù)據(jù)；量化損失風(fēng)險，資產(chǎn)價值及其控制成本。
2). 制定安全策略：制定資產(chǎn)分類計劃、應(yīng)用安全支持、信息服務(wù)供應(yīng)商安全支持計劃、高級別的管理目標承諾和責(zé)任、安全違規(guī)處理程序、用戶培訓(xùn)和安全告知程序。
3). 實施執(zhí)行：安裝初始化適當(dāng)?shù)陌踩a(chǎn)品和系統(tǒng)控制，主要活動包括:為制定的安全策略選擇安全機制、安裝安全軟硬件產(chǎn)品、定義系統(tǒng)安全控制方法、用戶和資源分組，以便與管理。
4). 管理：應(yīng)用安全策略和實踐，例如:用戶身份和口令管理、特殊系統(tǒng)和用戶特權(quán)管理、數(shù)據(jù)庫、應(yīng)用程序、交易和設(shè)備等資源、安全日志。
5). 審計：安全審計是指對安全控制和事件的審查評價，審計的結(jié)果定時的報告給管理層，并被用來更新完善安全策略和實行程序。
為了實現(xiàn)有效的安全策略，架構(gòu)企業(yè)及安全平臺，企業(yè)必須建立一個基于風(fēng)險分析，策略定義，方案實施，管理和審計的循環(huán)往復(fù)的流程周期。安全審計主要包括:自我和獨立測試、穿透測試、內(nèi)部遵守情況、外部認證。

安全管理策略五步法