第2章 信息系統(tǒng)安全的管理目標(biāo)

信息系統(tǒng)的建立往往是一個機構(gòu)為完成某項使命而進(jìn)行信息化的一項建設(shè)工作。因此，整個信息系統(tǒng)的核心目標(biāo)，就是完成機構(gòu)所賦予的使命。

信息系統(tǒng)本身的應(yīng)用功能和組織機構(gòu)的使命是密切相關(guān)的，因此，整個組織機構(gòu)的信息、管理和業(yè)務(wù)是相互融合的。組織機構(gòu)是一個廣泛的概念，比如，一個學(xué)校、一個政府機關(guān)或一個企業(yè)都是一個組織機構(gòu)。從目前信息化的進(jìn)程來講，一個組織機構(gòu)的發(fā)展優(yōu)勢與競爭力，在很大程度上取決于這個組織機構(gòu)的信息化進(jìn)程和信息化水平；而組織機構(gòu)的可持續(xù)發(fā)展優(yōu)勢，則在很大程度上受到這個組織機構(gòu)所擁有的信息系統(tǒng)的安全水平和安全程度的影響。

對于一個組織機構(gòu)的信息系統(tǒng)，由于在技術(shù)上不存在萬無一失的絕對安全，所以，在運行之中的安全信息系統(tǒng)也都要實施一定的管理手段，達(dá)到符合機構(gòu)和業(yè)務(wù)要求的安全保護(hù)。一般來說，信息系統(tǒng)所追求的安全目標(biāo)主要有四個方面。

（1）保護(hù)信息免受各種威脅的損害。一個機構(gòu)所擁有的信息系統(tǒng)、所處理的各種信息，應(yīng)該通過信息安全措施達(dá)到萬無一失。但是完全的萬無一失是不可能的，任何安全的技術(shù)都不可能保證信息的絕對安全，而且采用各種安全技術(shù)還需要考慮保護(hù)成本的問題，所以需要通過適當(dāng)?shù)墓芾硎侄蝸頊p少外部威脅對信息系統(tǒng)所產(chǎn)生的損害。

（2）確保業(yè)務(wù)連續(xù)性。業(yè)務(wù)連續(xù)性本身是一個很大的課題，它與信息系統(tǒng)的連續(xù)性存在一定的差別，但也受到信息系統(tǒng)連續(xù)性的影響。信息系統(tǒng)的連續(xù)性一般是從技術(shù)角度理解的，也就是要確保網(wǎng)絡(luò)暢通、系統(tǒng)高效運轉(zhuǎn)、業(yè)務(wù)系統(tǒng)正常處理等。比如，惡意攻擊事故的發(fā)生，信息系統(tǒng)遭受損害，這對各個部門的信息系統(tǒng)都是嚴(yán)峻的考驗。當(dāng)信息系統(tǒng)的數(shù)據(jù)受到破壞或網(wǎng)絡(luò)中斷時，整個信息系統(tǒng)也可能因此而癱瘓。在信息系統(tǒng)受到惡意攻擊的情況下，如何保證業(yè)務(wù)的連續(xù)性是一個重要課題。因此，信息系統(tǒng)安全管理的目標(biāo)是確保不要因為安全事故而使機構(gòu)的業(yè)務(wù)發(fā)生中斷，這是信息安全管理中一個很重要的目標(biāo)。

（3）業(yè)務(wù)風(fēng)險最小化。機構(gòu)在設(shè)計用以支撐業(yè)務(wù)的信息系統(tǒng)時，需要深入考慮信息系統(tǒng)安全事故可能導(dǎo)致的業(yè)務(wù)風(fēng)險。例如，機構(gòu)業(yè)務(wù)可能因為安全事故導(dǎo)致重要商業(yè)秘密（如生產(chǎn)成本、項目報價、產(chǎn)品設(shè)計參數(shù)等）的泄露而產(chǎn)生巨大風(fēng)險。另外，類似的安全事故也可能導(dǎo)致機構(gòu)面臨違反相關(guān)法律的風(fēng)險。因此，信息系統(tǒng)安全設(shè)計需要充分考慮這些管理層與業(yè)務(wù)部門的需要，這也是信息系統(tǒng)安全管理所考慮的問題之一。

（4）投資回報和商業(yè)機遇最大化。機構(gòu)一般都會通過信息化建設(shè)來維持自身的長遠(yuǎn)利益，保持競爭優(yōu)勢。機構(gòu)可以通過不同的業(yè)務(wù)信息系統(tǒng)來分析業(yè)務(wù)情況，并隨時為業(yè)務(wù)發(fā)展的機會做好準(zhǔn)備。但機構(gòu)的管理決策往往需要考慮成本與回報的平衡。因此，在設(shè)計信息系統(tǒng)時，機構(gòu)不僅要通過信息安全管理措施來控制業(yè)務(wù)風(fēng)險，另外也要確保安全措施建設(shè)成本的合理性。也就是說，需要在業(yè)務(wù)回報、業(yè)務(wù)風(fēng)險與建設(shè)成本之間做出平衡。

這四方面的目標(biāo)是相輔相成的。從信息系統(tǒng)的信息保護(hù)，到業(yè)務(wù)的連續(xù)性的保障，到業(yè)務(wù)風(fēng)險有效管理，直到最終達(dá)到組織機構(gòu)的戰(zhàn)略目標(biāo)，從而實現(xiàn)投資回報和業(yè)務(wù)機遇最大化。任何一個機構(gòu)在規(guī)劃業(yè)務(wù)時，都必須考慮業(yè)務(wù)回報和目標(biāo)規(guī)劃回報。如果信息系統(tǒng)沒有安全保障，整個機構(gòu)的業(yè)務(wù)也就不可能得到有效的保障，整個機構(gòu)的戰(zhàn)略目標(biāo)也就難以實現(xiàn)。當(dāng)整個機構(gòu)的業(yè)務(wù)目標(biāo)不能實現(xiàn)時，這個機構(gòu)就很難長期生存下去。因此，信息系統(tǒng)的安全對于一個機構(gòu)的信息系統(tǒng)而言是至關(guān)重要的。

然而，信息系統(tǒng)不可能達(dá)到絕對安全，信息安全的問題也不能單純依靠技術(shù)手段來解決。一個實際有效的做法是從風(fēng)險的角度處理安全的問題。機構(gòu)先從管理的角度分析信息系統(tǒng)的風(fēng)險，通過綜合手段控制風(fēng)險，并建立有效機制處理系統(tǒng)的剩余風(fēng)險。一般來說，綜合手段都建立在技術(shù)的基礎(chǔ)上，并通過管理手段（如人員管理、物理環(huán)境管理、操作過程管理等）來控制系統(tǒng)環(huán)境和系統(tǒng)可能面對的風(fēng)險。

2.1 管理目標(biāo)概述

在管理學(xué)中，管理是指通過計劃、組織、領(lǐng)導(dǎo)、控制等環(huán)節(jié)來協(xié)調(diào)人力、物力、財力等資源，以期有效達(dá)成機構(gòu)目標(biāo)的過程。在《管理的體系認(rèn)證ISO/IEC 9000:2000》的定義中，管理是指揮和控制機構(gòu)的協(xié)調(diào)活動。機構(gòu)的任何活動的協(xié)調(diào)，任何資源的調(diào)用，都屬于管理的范疇。

管理的過程，首先需要確定目標(biāo)，使機構(gòu)能夠完成特定的使命。比如，對于一個企業(yè)，其目標(biāo)是贏利。要達(dá)到這個目標(biāo)，就必須有相應(yīng)的資源，包括各方面的人力、物力、財力等資源。這些資源如何來組織，如何來使用，就需要通過領(lǐng)導(dǎo)、組織、控制等環(huán)節(jié)來組織、利用、協(xié)調(diào)這些資源。只有管理好整個機構(gòu)目前所擁有的和將來會擁有的內(nèi)部資源，以及可以依靠的各種外部資源，才能達(dá)到這個機構(gòu)所期望的目的，即其業(yè)務(wù)戰(zhàn)略目標(biāo)。這個過程就是管理。

信息安全管理也是管理的一種，具備管理的一般概念、一般內(nèi)涵、一般外延，其管理的對象就是信息安全。因此，信息安全管理，就是指通過計劃、組織、領(lǐng)導(dǎo)、控制等各個環(huán)節(jié)來協(xié)調(diào)各方面的人力、物力、財力等資源，以期有效地達(dá)到機構(gòu)信息安全目標(biāo)的活動，最大限度地保證信息系統(tǒng)的安全。

2.1.1 政策需要

信息安全的管理對于國家來說是一件非常重要的事情。因此，國家的最高領(lǐng)導(dǎo)明確提出，信息安全與政治安全、經(jīng)濟安全、文化安全一起構(gòu)成了國家安全的重要組成部分。

在安全技術(shù)上，我們國家與西方發(fā)達(dá)國家的差距越來越小；但是，在安全管理和安全意識上，我們與西方發(fā)達(dá)國家的差距有越來越大的趨勢。從多年的信息安全實踐上看，我們國家在信息安全上的落后，很多情況下都是信息安全管理上的落后。盲目地追求最新的安全技術(shù)并不能對信息系統(tǒng)的安全保障帶來顯著的效果，必須通過正確的安全管理和安全意識上的學(xué)習(xí)和進(jìn)步，才能最大限度地保證信息系統(tǒng)的安全。

2.1.2 業(yè)務(wù)需要

信息安全的管理對于一個組織機構(gòu)來說也具有重要意義。例如，一個企業(yè)為了信息安全，購買了許多防火墻、入侵檢測系統(tǒng)、防病毒及密碼產(chǎn)品，但僅僅這幾個產(chǎn)品遠(yuǎn)遠(yuǎn)不能保證這個機構(gòu)的安全。如果這個機構(gòu)不能通過信息安全管理系統(tǒng)，把安全管理的手段有效地利用起來，這機構(gòu)將永遠(yuǎn)不能達(dá)到安全的目標(biāo)。

一個最簡單的例子是用“戶名”和“口令”的管理。很多機構(gòu)在制定安全策略時，要求口令的設(shè)置至少8位，要求字母和數(shù)字都要有，但是這樣的要求卻常常導(dǎo)致很多公務(wù)繁忙或年紀(jì)較大的人員記不住復(fù)雜的口令。由于設(shè)置密碼以后記不住，他們很可能會把口令寫在紙條上并貼在計算機顯示屏上，這時攻擊者根本就不需要什么高深的手段，只通過利用張貼在屏幕上的信息就能輕易地進(jìn)入機構(gòu)的業(yè)務(wù)信息系統(tǒng)。這樣一件簡單的小事，就導(dǎo)致整個機構(gòu)的信息安全保護(hù)受到嚴(yán)重的破壞。因此，即使有再好的安全策略、再好的技術(shù)手段，但是沒有一個良好的管理手段，機構(gòu)也則很難達(dá)到信息安全的目標(biāo)。俗話說“三分技術(shù)，七分管理”，雖然這不是一個絕對的量化，但也確實說明了管理因素對于信息安全的重要性。

2.2 信息系統(tǒng)安全需求的依據(jù)

信息系統(tǒng)的安全需求，通常可以分為國家層次、機構(gòu)層次及業(yè)務(wù)相關(guān)層次需求等。不同的層次有著不同的特點。例如，信息安全的國家宏觀層次，需要有政府制定的相應(yīng)的信息安全的戰(zhàn)略方針，需要有依據(jù)戰(zhàn)略方針制定的各項政策，如等級保護(hù)、風(fēng)險評估、災(zāi)難恢復(fù)和應(yīng)急響應(yīng)等。

信息安全的國家宏觀層次，也需要有體現(xiàn)客觀規(guī)律、社會利益和國家意志的法律和規(guī)范，例如，等級保護(hù)規(guī)范需要把等級保護(hù)作為法律層面工作的信息安全條例和信息安全法規(guī)等。同時，國家也需要在宏觀層次制定各種標(biāo)準(zhǔn)來指導(dǎo)技術(shù)和管理行為。

而落實到一個組織機構(gòu)上，按照國家的有關(guān)標(biāo)準(zhǔn)，對應(yīng)國家的信息安全戰(zhàn)略，機構(gòu)需要制定自己的信息安全策略。然后，根據(jù)信息安全策略信息安全的整個活動服務(wù)于機構(gòu)的目標(biāo)。機構(gòu)的信息安全策略中將會有很多對應(yīng)的規(guī)章制度，例如，如果企業(yè)的總體策略里有一條規(guī)定“接入網(wǎng)絡(luò)的終端需要定期查殺病毒”，那么，企業(yè)就需要有相應(yīng)的《企業(yè)病毒防治辦法管理規(guī)定》。

2.2.1 國家法律

從宏觀的角度，信息化有不斷網(wǎng)絡(luò)化、國際化、社會化的特點。由于信息化有通過網(wǎng)絡(luò)互連、互通、互操作的特點，因此，如果沒有強力度的全局安全意識，僅依靠局部的安全措施是難以發(fā)揮信息化應(yīng)有的效率和效益的。而國際化的特點，就更需要有效處理網(wǎng)絡(luò)全球化、威脅無國界和攻擊者不分國籍等問題所需要的應(yīng)對措施。社會化的特點需要有政府行為來導(dǎo)向與約束。宏觀信息安全是信息化社會有序健康運作的保證，它推動了技術(shù)的不斷發(fā)展，促進(jìn)了人才培養(yǎng)，并且提高了有效整合信息的能力。

信息系統(tǒng)安全有一個“木桶原理”，即整個信息系統(tǒng)安全的能力取決于系統(tǒng)中安全防護(hù)能力最弱的一塊。因此，局部安全的保證并不代表全局安全的保證。這問題在網(wǎng)絡(luò)化的信息系統(tǒng)里尤其突出，所以需要依靠國家層面和宏觀層面上的推動。

目前，各政府單位與企業(yè)機構(gòu)都在根據(jù)業(yè)務(wù)需要推動信息化和電子政務(wù)或電子商務(wù)建設(shè)。這本來是組織機構(gòu)內(nèi)部的事情，但是如果一個國家機構(gòu)內(nèi)部的信息系統(tǒng)一旦發(fā)生安全問題，導(dǎo)致信息泄露和國家秘密被竊取，這個行為就上升到國家安全的層次。因此，雖然信息化是企業(yè)內(nèi)部的事情，但是信息化過程中出現(xiàn)的安全問題，就是國家層面的問題。所以在宏觀層面上，信息安全體現(xiàn)了社會、國家的利益和意志。

例如，電子銀行系統(tǒng)的問題，如果沒有足夠的控制措施，電子銀行系統(tǒng)一旦受到惡意攻擊時，其影響很可能導(dǎo)致整個銀行的資產(chǎn)素量（asset quality）變壞和業(yè)務(wù)運營陷入癱瘓。如果國家級的銀行或多家銀行同時受到影響，那么電子銀行系統(tǒng)的安全問題就變成一個國家的銀行體系的問題，也就是所謂的金融安全的問題。因此，國家需要制定相應(yīng)的監(jiān)管措施，以確保銀行為提升業(yè)務(wù)水平而建設(shè)的電子銀行系統(tǒng)在其設(shè)計與開發(fā)過程中充分了解信息系統(tǒng)的風(fēng)險，并有足夠的安全管理措施。

2.2.2 機構(gòu)政策

作為擁有和使用信息系統(tǒng)的各類機構(gòu)，首先，需要根據(jù)機構(gòu)信息化的安全保障需求來制定相應(yīng)的安全策略，并把這些安全策略具體地描述為詳盡的管理規(guī)章；同時，也要制定管理規(guī)章的制度要求，從而嚴(yán)格規(guī)范地貫徹執(zhí)行策略、規(guī)章、制度。

沒有對人員和技術(shù)的有效安全管理，系統(tǒng)的效率和效益就難以發(fā)揮出來。由于各個行業(yè)和機構(gòu)都有反映其行業(yè)和業(yè)務(wù)特色的安全需求，因此，每個機構(gòu)都需要針對其信息安全需要，制定相關(guān)的機構(gòu)政策。一般來說，機構(gòu)的信息安全政策的特點如下：

· 人操作技術(shù)的規(guī)范尺度；

· 發(fā)揮人的因素和技術(shù)因素的橋梁；

· 把單薄的零星技術(shù)和人的因素結(jié)合起來的強力黏合劑。

機構(gòu)的安全政策作為一個體系，把各方面的因素有效地銜接起來，以發(fā)揮集體的作用、團隊的作用、協(xié)同作業(yè)的作用，才能最大限度地發(fā)揮整個信息安全的優(yōu)勢。

2.2.3 業(yè)務(wù)策略

業(yè)務(wù)策略，是指組織機構(gòu)根據(jù)自身的特點及安全需求，結(jié)合特定業(yè)務(wù)的行業(yè)領(lǐng)域知識而制定的信息安全實施規(guī)范。下面通過一個實際案例來理解這一點。

例如，一個稅務(wù)信息系統(tǒng)的策略制定過程具體如下：

（1）一個稅務(wù)部門根據(jù)稅收業(yè)務(wù)的發(fā)展需要，制定整個稅務(wù)系統(tǒng)的總體策略和信息安全保障的總體框架。

（2）根據(jù)這個框架，建立信息安全的管理體系。

（3）根據(jù)這個管理體系，分步驟實施多個信息安全管理的項目，如邊界防護(hù)、數(shù)據(jù)安全防護(hù)、桌面防護(hù)等。

（4）根據(jù)這個防護(hù)體系，有計劃地對人員進(jìn)行培訓(xùn)，即對從事信息安全管理的專業(yè)人員和從事信息化管理的IT運營人員（業(yè)務(wù)人員及個別領(lǐng)導(dǎo)干部），都進(jìn)行相應(yīng)的、符合部門要求的信息安全培訓(xùn)，提升部門人員的信息安全意識。

完成這個整個過程，可以逐步達(dá)到整個稅務(wù)系統(tǒng)信息安全管理的目標(biāo)，做到在信息安全管理工作中有法可依，有章可循，有制度可以規(guī)范人的行為。

2.2.4 責(zé)任追究

責(zé)任追究的目的，是為在相關(guān)事件或者行為發(fā)生后證明誰為該事件或行為負(fù)責(zé)。因此，需要對該事件或行為進(jìn)行的證據(jù)進(jìn)行收集、維護(hù)，收集的證據(jù)的特點是不可辯駁且可以被證實的，從而在后續(xù)需要認(rèn)定該事件或行為的責(zé)任方時有效地使用該證據(jù)。

責(zé)任追究中一個非常重要的因素就是證據(jù)。責(zé)任追究包括證據(jù)的生成、證據(jù)的記錄，以及在需要進(jìn)行判別責(zé)任方的時候?qū)τ谧C據(jù)進(jìn)行恢復(fù)與驗證。例如，在一個分布式交易系統(tǒng)里，責(zé)任追究主要強調(diào)兩點：一是交易發(fā)送方的不可否認(rèn)機制，該機制主要解決發(fā)送方是否生成了特定消息及生成的時間等問題；二是交易指令傳遞的不可否認(rèn)機制，主要解決接收方是否收到了特定的數(shù)據(jù)消息和收到的時間等問題。責(zé)任追究也依賴于可信第三方，這是由于裁定結(jié)果的人員需要認(rèn)定糾紛雙方所提交的證據(jù)。一般來說，可信第三方需要提供密鑰證明、身份證明等功能。可信第三方一般是中立并且是被各方信任的機構(gòu)，在應(yīng)用環(huán)境中，政府及其代理機構(gòu)是擔(dān)任可信第三方的最合適的機構(gòu)，在某些特定環(huán)境中，私人機構(gòu)也可以承擔(dān)可信第三方的角色。

任何完善的系統(tǒng)都需要人的操作，而很多系統(tǒng)安全問題的發(fā)生都是由人員的錯誤造成的。針對內(nèi)部作弊問題的責(zé)任追究就是為了約束人的行為，對造成系統(tǒng)安全威脅的人員進(jìn)行責(zé)任的認(rèn)定與追究，從而將安全問題對系統(tǒng)的危害降到最低。正是因為如此，當(dāng)前電子政務(wù)和企業(yè)系統(tǒng)對責(zé)任追究都有非常迫切的需求。

2.3 小結(jié)

本章介紹了信息系統(tǒng)安全的管理目標(biāo)，指出了信息系統(tǒng)所追求的安全目標(biāo)的四個主要方面：保護(hù)信息免受各種威脅的損害；確保業(yè)務(wù)連續(xù)性；保證業(yè)務(wù)風(fēng)險的最小化，以及投資回報和商業(yè)機遇的最大化。基于信息系統(tǒng)所追求的安全目標(biāo)，本章首先分別從政策需要和業(yè)務(wù)需要的角度對管理目標(biāo)做了概述，然后從機構(gòu)政策、業(yè)務(wù)策略、責(zé)任追究方面簡述了管理目標(biāo)相關(guān)安全需求的依據(jù)。