第2章 信息系統安全的管理目標

信息系統的建立往往是一個機構為完成某項使命而進行信息化的一項建設工作。因此，整個信息系統的核心目標，就是完成機構所賦予的使命。

信息系統本身的應用功能和組織機構的使命是密切相關的，因此，整個組織機構的信息、管理和業務是相互融合的。組織機構是一個廣泛的概念，比如，一個學校、一個政府機關或一個企業都是一個組織機構。從目前信息化的進程來講，一個組織機構的發展優勢與競爭力，在很大程度上取決于這個組織機構的信息化進程和信息化水平；而組織機構的可持續發展優勢，則在很大程度上受到這個組織機構所擁有的信息系統的安全水平和安全程度的影響。

對于一個組織機構的信息系統，由于在技術上不存在萬無一失的絕對安全，所以，在運行之中的安全信息系統也都要實施一定的管理手段，達到符合機構和業務要求的安全保護。一般來說，信息系統所追求的安全目標主要有四個方面。

（1）保護信息免受各種威脅的損害。一個機構所擁有的信息系統、所處理的各種信息，應該通過信息安全措施達到萬無一失。但是完全的萬無一失是不可能的，任何安全的技術都不可能保證信息的絕對安全，而且采用各種安全技術還需要考慮保護成本的問題，所以需要通過適當的管理手段來減少外部威脅對信息系統所產生的損害。

（2）確保業務連續性。業務連續性本身是一個很大的課題，它與信息系統的連續性存在一定的差別，但也受到信息系統連續性的影響。信息系統的連續性一般是從技術角度理解的，也就是要確保網絡暢通、系統高效運轉、業務系統正常處理等。比如，惡意攻擊事故的發生，信息系統遭受損害，這對各個部門的信息系統都是嚴峻的考驗。當信息系統的數據受到破壞或網絡中斷時，整個信息系統也可能因此而癱瘓。在信息系統受到惡意攻擊的情況下，如何保證業務的連續性是一個重要課題。因此，信息系統安全管理的目標是確保不要因為安全事故而使機構的業務發生中斷，這是信息安全管理中一個很重要的目標。

（3）業務風險最小化。機構在設計用以支撐業務的信息系統時，需要深入考慮信息系統安全事故可能導致的業務風險。例如，機構業務可能因為安全事故導致重要商業秘密（如生產成本、項目報價、產品設計參數等）的泄露而產生巨大風險。另外，類似的安全事故也可能導致機構面臨違反相關法律的風險。因此，信息系統安全設計需要充分考慮這些管理層與業務部門的需要，這也是信息系統安全管理所考慮的問題之一。

（4）投資回報和商業機遇最大化。機構一般都會通過信息化建設來維持自身的長遠利益，保持競爭優勢。機構可以通過不同的業務信息系統來分析業務情況，并隨時為業務發展的機會做好準備。但機構的管理決策往往需要考慮成本與回報的平衡。因此，在設計信息系統時，機構不僅要通過信息安全管理措施來控制業務風險，另外也要確保安全措施建設成本的合理性。也就是說，需要在業務回報、業務風險與建設成本之間做出平衡。

這四方面的目標是相輔相成的。從信息系統的信息保護，到業務的連續性的保障，到業務風險有效管理，直到最終達到組織機構的戰略目標，從而實現投資回報和業務機遇最大化。任何一個機構在規劃業務時，都必須考慮業務回報和目標規劃回報。如果信息系統沒有安全保障，整個機構的業務也就不可能得到有效的保障，整個機構的戰略目標也就難以實現。當整個機構的業務目標不能實現時，這個機構就很難長期生存下去。因此，信息系統的安全對于一個機構的信息系統而言是至關重要的。

然而，信息系統不可能達到絕對安全，信息安全的問題也不能單純依靠技術手段來解決。一個實際有效的做法是從風險的角度處理安全的問題。機構先從管理的角度分析信息系統的風險，通過綜合手段控制風險，并建立有效機制處理系統的剩余風險。一般來說，綜合手段都建立在技術的基礎上，并通過管理手段（如人員管理、物理環境管理、操作過程管理等）來控制系統環境和系統可能面對的風險。

2.1 管理目標概述

在管理學中，管理是指通過計劃、組織、領導、控制等環節來協調人力、物力、財力等資源，以期有效達成機構目標的過程。在《管理的體系認證ISO/IEC 9000:2000》的定義中，管理是指揮和控制機構的協調活動。機構的任何活動的協調，任何資源的調用，都屬于管理的范疇。

管理的過程，首先需要確定目標，使機構能夠完成特定的使命。比如，對于一個企業，其目標是贏利。要達到這個目標，就必須有相應的資源，包括各方面的人力、物力、財力等資源。這些資源如何來組織，如何來使用，就需要通過領導、組織、控制等環節來組織、利用、協調這些資源。只有管理好整個機構目前所擁有的和將來會擁有的內部資源，以及可以依靠的各種外部資源，才能達到這個機構所期望的目的，即其業務戰略目標。這個過程就是管理。

信息安全管理也是管理的一種，具備管理的一般概念、一般內涵、一般外延，其管理的對象就是信息安全。因此，信息安全管理，就是指通過計劃、組織、領導、控制等各個環節來協調各方面的人力、物力、財力等資源，以期有效地達到機構信息安全目標的活動，最大限度地保證信息系統的安全。

2.1.1 政策需要

信息安全的管理對于國家來說是一件非常重要的事情。因此，國家的最高領導明確提出，信息安全與政治安全、經濟安全、文化安全一起構成了國家安全的重要組成部分。

在安全技術上，我們國家與西方發達國家的差距越來越小；但是，在安全管理和安全意識上，我們與西方發達國家的差距有越來越大的趨勢。從多年的信息安全實踐上看，我們國家在信息安全上的落后，很多情況下都是信息安全管理上的落后。盲目地追求最新的安全技術并不能對信息系統的安全保障帶來顯著的效果，必須通過正確的安全管理和安全意識上的學習和進步，才能最大限度地保證信息系統的安全。

2.1.2 業務需要

信息安全的管理對于一個組織機構來說也具有重要意義。例如，一個企業為了信息安全，購買了許多防火墻、入侵檢測系統、防病毒及密碼產品，但僅僅這幾個產品遠遠不能保證這個機構的安全。如果這個機構不能通過信息安全管理系統，把安全管理的手段有效地利用起來，這機構將永遠不能達到安全的目標。

一個最簡單的例子是用“戶名”和“口令”的管理。很多機構在制定安全策略時，要求口令的設置至少8位，要求字母和數字都要有，但是這樣的要求卻常常導致很多公務繁忙或年紀較大的人員記不住復雜的口令。由于設置密碼以后記不住，他們很可能會把口令寫在紙條上并貼在計算機顯示屏上，這時攻擊者根本就不需要什么高深的手段，只通過利用張貼在屏幕上的信息就能輕易地進入機構的業務信息系統。這樣一件簡單的小事，就導致整個機構的信息安全保護受到嚴重的破壞。因此，即使有再好的安全策略、再好的技術手段，但是沒有一個良好的管理手段，機構也則很難達到信息安全的目標。俗話說“三分技術，七分管理”，雖然這不是一個絕對的量化，但也確實說明了管理因素對于信息安全的重要性。

2.2 信息系統安全需求的依據

信息系統的安全需求，通常可以分為國家層次、機構層次及業務相關層次需求等。不同的層次有著不同的特點。例如，信息安全的國家宏觀層次，需要有政府制定的相應的信息安全的戰略方針，需要有依據戰略方針制定的各項政策，如等級保護、風險評估、災難恢復和應急響應等。

信息安全的國家宏觀層次，也需要有體現客觀規律、社會利益和國家意志的法律和規范，例如，等級保護規范需要把等級保護作為法律層面工作的信息安全條例和信息安全法規等。同時，國家也需要在宏觀層次制定各種標準來指導技術和管理行為。

而落實到一個組織機構上，按照國家的有關標準，對應國家的信息安全戰略，機構需要制定自己的信息安全策略。然后，根據信息安全策略信息安全的整個活動服務于機構的目標。機構的信息安全策略中將會有很多對應的規章制度，例如，如果企業的總體策略里有一條規定“接入網絡的終端需要定期查殺病毒”，那么，企業就需要有相應的《企業病毒防治辦法管理規定》。

2.2.1 國家法律

從宏觀的角度，信息化有不斷網絡化、國際化、社會化的特點。由于信息化有通過網絡互連、互通、互操作的特點，因此，如果沒有強力度的全局安全意識，僅依靠局部的安全措施是難以發揮信息化應有的效率和效益的。而國際化的特點，就更需要有效處理網絡全球化、威脅無國界和攻擊者不分國籍等問題所需要的應對措施。社會化的特點需要有政府行為來導向與約束。宏觀信息安全是信息化社會有序健康運作的保證，它推動了技術的不斷發展，促進了人才培養，并且提高了有效整合信息的能力。

信息系統安全有一個“木桶原理”，即整個信息系統安全的能力取決于系統中安全防護能力最弱的一塊。因此，局部安全的保證并不代表全局安全的保證。這問題在網絡化的信息系統里尤其突出，所以需要依靠國家層面和宏觀層面上的推動。

目前，各政府單位與企業機構都在根據業務需要推動信息化和電子政務或電子商務建設。這本來是組織機構內部的事情，但是如果一個國家機構內部的信息系統一旦發生安全問題，導致信息泄露和國家秘密被竊取，這個行為就上升到國家安全的層次。因此，雖然信息化是企業內部的事情，但是信息化過程中出現的安全問題，就是國家層面的問題。所以在宏觀層面上，信息安全體現了社會、國家的利益和意志。

例如，電子銀行系統的問題，如果沒有足夠的控制措施，電子銀行系統一旦受到惡意攻擊時，其影響很可能導致整個銀行的資產素量（asset quality）變壞和業務運營陷入癱瘓。如果國家級的銀行或多家銀行同時受到影響，那么電子銀行系統的安全問題就變成一個國家的銀行體系的問題，也就是所謂的金融安全的問題。因此，國家需要制定相應的監管措施，以確保銀行為提升業務水平而建設的電子銀行系統在其設計與開發過程中充分了解信息系統的風險，并有足夠的安全管理措施。

2.2.2 機構政策

作為擁有和使用信息系統的各類機構，首先，需要根據機構信息化的安全保障需求來制定相應的安全策略，并把這些安全策略具體地描述為詳盡的管理規章；同時，也要制定管理規章的制度要求，從而嚴格規范地貫徹執行策略、規章、制度。

沒有對人員和技術的有效安全管理，系統的效率和效益就難以發揮出來。由于各個行業和機構都有反映其行業和業務特色的安全需求，因此，每個機構都需要針對其信息安全需要，制定相關的機構政策。一般來說，機構的信息安全政策的特點如下：

· 人操作技術的規范尺度；

· 發揮人的因素和技術因素的橋梁；

· 把單薄的零星技術和人的因素結合起來的強力黏合劑。

機構的安全政策作為一個體系，把各方面的因素有效地銜接起來，以發揮集體的作用、團隊的作用、協同作業的作用，才能最大限度地發揮整個信息安全的優勢。

2.2.3 業務策略

業務策略，是指組織機構根據自身的特點及安全需求，結合特定業務的行業領域知識而制定的信息安全實施規范。下面通過一個實際案例來理解這一點。

例如，一個稅務信息系統的策略制定過程具體如下：

（1）一個稅務部門根據稅收業務的發展需要，制定整個稅務系統的總體策略和信息安全保障的總體框架。

（2）根據這個框架，建立信息安全的管理體系。

（3）根據這個管理體系，分步驟實施多個信息安全管理的項目，如邊界防護、數據安全防護、桌面防護等。

（4）根據這個防護體系，有計劃地對人員進行培訓，即對從事信息安全管理的專業人員和從事信息化管理的IT運營人員（業務人員及個別領導干部），都進行相應的、符合部門要求的信息安全培訓，提升部門人員的信息安全意識。

完成這個整個過程，可以逐步達到整個稅務系統信息安全管理的目標，做到在信息安全管理工作中有法可依，有章可循，有制度可以規范人的行為。

2.2.4 責任追究

責任追究的目的，是為在相關事件或者行為發生后證明誰為該事件或行為負責。因此，需要對該事件或行為進行的證據進行收集、維護，收集的證據的特點是不可辯駁且可以被證實的，從而在后續需要認定該事件或行為的責任方時有效地使用該證據。

責任追究中一個非常重要的因素就是證據。責任追究包括證據的生成、證據的記錄，以及在需要進行判別責任方的時候對于證據進行恢復與驗證。例如，在一個分布式交易系統里，責任追究主要強調兩點：一是交易發送方的不可否認機制，該機制主要解決發送方是否生成了特定消息及生成的時間等問題；二是交易指令傳遞的不可否認機制，主要解決接收方是否收到了特定的數據消息和收到的時間等問題。責任追究也依賴于可信第三方，這是由于裁定結果的人員需要認定糾紛雙方所提交的證據。一般來說，可信第三方需要提供密鑰證明、身份證明等功能。可信第三方一般是中立并且是被各方信任的機構，在應用環境中，政府及其代理機構是擔任可信第三方的最合適的機構，在某些特定環境中，私人機構也可以承擔可信第三方的角色。

任何完善的系統都需要人的操作，而很多系統安全問題的發生都是由人員的錯誤造成的。針對內部作弊問題的責任追究就是為了約束人的行為，對造成系統安全威脅的人員進行責任的認定與追究，從而將安全問題對系統的危害降到最低。正是因為如此，當前電子政務和企業系統對責任追究都有非常迫切的需求。

2.3 小結

本章介紹了信息系統安全的管理目標，指出了信息系統所追求的安全目標的四個主要方面：保護信息免受各種威脅的損害；確保業務連續性；保證業務風險的最小化，以及投資回報和商業機遇的最大化。基于信息系統所追求的安全目標，本章首先分別從政策需要和業務需要的角度對管理目標做了概述，然后從機構政策、業務策略、責任追究方面簡述了管理目標相關安全需求的依據。