“力拓间谍门”让信息安全再次成为企业关注的焦点。更有声音说,在企业实现信息化管理的背景下,企业信息正面临更多的安全风险。
随着各种信息系统在企业的广泛应用,使得企业在提高办事效率和市场反应能力、提升竞争力的同时,也使敏感信息高度集中于计算机中。而企业也面临外部攻击、内部泄露、违规上网行为、应用过失风险等信息系统安全的挑战。
2009年8月,《信息方略/CIO INSIGHT》杂志记者邀请了山东山水水泥集团CIO张桂良、中国重型汽车集团CIO邢红波和毕马威华振会计师事务所风险咨询高级经理王喜兵,就IT系统风险的把控、如何构建企业信息系统安全防范策略等话题展开讨论。
CIOI:请谈谈企业信息系统通常会面临哪些安全问题?信息“泄密”是否防不胜防?
张桂良:我认为主要是自然环境及人为因素造成的威胁(雷电干扰、操作人员操作失误)、内外部人员的有意攻击、网络系统的安全缺陷和软件系统的缺陷等问题。信息系统的“泄密”很大程度上可以避免,但完全避免难度也很大,软硬件安全性可以做到,但很难保证人员不泄密。
邢红波:每个企业信息化情况不一样,面临的安全问题大不相同。我认为信息安全问题是人的问题,重要的是要有好的管理机制,技术只是手段。
王喜兵:不同行业所面临的信息安全问题区别很大,以钢铁行业为例,我认为目前比较突出的问题是:如何有效保护企业经营分析数据、市场分析数据和决策信息;如何有效保护企业巨资研发或购买的技术工艺资料信息;如何保护对生产支撑系统的重要生产数据不会被泄露、丢失和篡改;如何保证生产支撑系统的持续可用。
近些年,国内企业信息化发展很快,信息安全防护问题主要由于在管理上未引起足够的重视以及缺乏必要的经验和专业人才而造成的,这可以通过加强管理和人员意识培养来有效解决。
CIOI:信息安全是一项动态的、整体的系统工程,从技术上来说,信息安全防御能做到什么程度?系统的安全和易用性永远是一对矛盾,企业应该怎样把握分寸?
张桂良:信息安全体系有多种技术来防止安全威胁,并非依赖于单一技术来防御攻击,主要涉及防火墙、入侵检测、VPN技术、漏洞评估、防病毒产品、系统补丁管理、系统数据备份和故障恢复等技术,已经很全面了。
系统的安全和易用性的度的确不好把握。我觉得企业能做到下面就可以了,安全性方面:系统对于信息和数据的保护能力;系统对于未授权的用户禁止访问和修改的能力;系统保证对于授权用户的访问;系统对于授权的用户操作系统的实时信息显示。易用性方面:使用系统的用户能很好地操作这个系统,具有操作和控制系统的能力,系统对于相关标准、约定、风格指南和规定的符合性。
邢红波:如今信息系统安全防范在技术方面已很成熟,基本能够满足企业要达到的要求。企业要采用多种防御技术手段,在软硬件方面更大程度地增加盗取信息的成本。
对度的把握,主要是企业在架构信息安全体系前,前期要做评估工作,了解企业现实情况、想做到什么程度,再针对性地实施,这样企业就容易找到安全与易用性结合点,这也是个磨合和妥协的过程。
王喜兵:信息安全面临的威胁是不断变化的,信息系统安全有技术、管理和人员因素等,并相互影响。企业采取的技术措施可以参考相关行业标准,如公安部信息系统安全等级保护基本要求;并应从整体角度对企业安全技术防护程度进行评估,评价技术防护措施是否与企业的管理和资源能够有机地结合在一起,在设计安全技术解决方案时,除了参照相关标准和监管要求外,更重要的是把信息系统安全作为一个整体进行设计。
系统安全与易用性的矛盾在一定程度上可以通过借助技术因素解决,而对安全控制措施进行合理的设计,也可在很大程度上减轻对易用性的影响。但解决这个矛盾最终需要在两者之间寻找一个恰当的平衡,这需要企业对信息安全措施的有效性和影响性进行周期性的测试评估,并以此为基础,对信息安全控制措施进行调整。
CIOI:钢铁企业对信息安全的投入,与其他项目相比有什么特别之处?在信息系统安全防范制定过程中,应采取哪些针对性的工作?
张桂良:钢铁行业是我国最重要的传统工业之一,具有一般企业所具有的安全措施和设施特点,有些企业采用了引入自动化的补丁和漏洞管理工具,实现安全智能的漏洞管理,可节约IT管理者的时间,减少企业的风险。
王喜兵:我认为钢铁行业确有特点:首先,相对于银行和电信等行业,钢铁行业企业在信息安全意识、信息安全投入以及信息安全技术能力方面都比较滞后;其次,钢铁行业市场竞争激烈,企业经营分析数据已构成企业“力拓间谍门”让信息安全再次成为企业关注的焦点。更有声音说,在企业实现信息化管理的背景下,企业信息正面临更多的安全风险。
随着各种信息系统在企业的广泛应用,使得企业在提高办事效率和市场反应能力、提升竞争力的同时,也使敏感信息高度集中于计算机中。而企业也面临外部攻击、内部泄露、违规上网行为、应用过失风险等信息系统安全的挑战。
2009年8月,《信息方略/CIO INSIGHT》杂志记者邀请了山东山水水泥集团CIO张桂良、中国重型汽车集团CIO邢红波和毕马威华振会计师事务所风险咨询高级经理王喜兵,就IT系统风险的把控、如何构建企业信息系统安全防范策略等话题展开讨论。
CIOI:请谈谈企业信息系统通常会面临哪些安全问题?信息“泄密”是否防不胜防?
张桂良:我认为主要是自然环境及人为因素造成的威胁(雷电干扰、操作人员操作失误)、内外部人员的有意攻击、网络系统的安全缺陷和软件系统的缺陷等问题。信息系统的“泄密”很大程度上可以避免,但完全避免难度也很大,软硬件安全性可以做到,但很难保证人员不泄密。
邢红波:每个企业信息化情况不一样,面临的安全问题大不相同。我认为信息安全问题是人的问题,重要的是要有好的管理机制,技术只是手段。
王喜兵:不同行业所面临的信息安全问题区别很大,以钢铁行业为例,我认为目前比较突出的问题是:如何有效保护企业经营分析数据、市场分析数据和决策信息;如何有效保护企业巨资研发或购买的技术工艺资料信息;如何保护对生产支撑系统的重要生产数据不会被泄露、丢失和篡改;如何保证生产支撑系统的持续可用。
近些年,国内企业信息化发展很快,信息安全防护问题主要由于在管理上未引起足够的重视以及缺乏必要的经验和专业人才而造成的,这可以通过加强管理和人员意识培养来有效解决。
CIOI:信息安全是一项动态的、整体的系统工程,从技术上来说,信息安全防御能做到什么程度?系统的安全和易用性永远是一对矛盾,企业应该怎样把握分寸?
张桂良:信息安全体系有多种技术来防止安全威胁,并非依赖于单一技术来防御攻击,主要涉及防火墙、入侵检测、VPN技术、漏洞评估、防病毒产品、系统补丁管理、系统数据备份和故障恢复等技术,已经很全面了。
系统的安全和易用性的度的确不好把握。我觉得企业能做到下面就可以了,安全性方面:系统对于信息和数据的保护能力;系统对于未授权的用户禁止访问和修改的能力;系统保证对于授权用户的访问;系统对于授权的用户操作系统的实时信息显示。易用性方面:使用系统的用户能很好地操作这个系统,具有操作和控制系统的能力,系统对于相关标准、约定、风格指南和规定的符合性。
邢红波:如今信息系统安全防范在技术方面已很成熟,基本能够满足企业要达到的要求。企业要采用多种防御技术手段,在软硬件方面更大程度地增加盗取信息的成本。
对度的把握,主要是企业在架构信息安全体系前,前期要做评估工作,了解企业现实情况、想做到什么程度,再针对性地实施,这样企业就容易找到安全与易用性结合点,这也是个磨合和妥协的过程。
王喜兵:信息安全面临的威胁是不断变化的,信息系统安全有技术、管理和人员因素等,并相互影响。企业采取的技术措施可以参考相关行业标准,如公安部信息系统安全等级保护基本要求;并应从整体角度对企业安全技术防护程度进行评估,评价技术防护措施是否与企业的管理和资源能够有机地结合在一起,在设计安全技术解决方案时,除了参照相关标准和监管要求外,更重要的是把信息系统安全作为一个整体进行设计。
系统安全与易用性的矛盾在一定程度上可以通过借助技术因素解决,而对安全控制措施进行合理的设计,也可在很大程度上减轻对易用性的影响。但解决这个矛盾最终需要在两者之间寻找一个恰当的平衡,这需要企业对信息安全措施的有效性和影响性进行周期性的测试评估,并以此为基础,对信息安全控制措施进行调整。
CIOI:钢铁企业对信息安全的投入,与其他项目相比有什么特别之处?在信息系统安全防范制定过程中,应采取哪些针对性的工作?
张桂良:钢铁行业是我国最重要的传统工业之一,具有一般企业所具有的安全措施和设施特点,有些企业采用了引入自动化的补丁和漏洞管理工具,实现安全智能的漏洞管理,可节约IT管理者的时间,减少企业的风险。
王喜兵:我认为钢铁行业确有特点:首先,相对于银行和电信等行业,钢铁行业企业在信息安全意识、信息安全投入以及信息安全技术能力方面都比较滞后;其次,钢铁行业市场竞争激烈,企业经营分析数据已构成企业竞争力的重要因素。再次,随着信息技术在企业的深入应用,信息系统,尤其是生产支撑系统的中断,会给企业生产造成直接的严重影响。
因此,钢铁行业可采取针对性措施:培养和引进信息安全专业人员,并与专业信息安全服务机构建立长期合作机制;聘请专业机构对企业信息安全风险进行全面的评估和整改;加强对外包服务提供商的管理,在与信息系统提供商和信息服务提供商的服务协议中明确对方的信息安全责任。
CIOI:信息系统安全建设怎样做到前瞻性,以降低风险的发生率?信息系统安全能否检测,怎样验收?
张桂良:信息系统安全建设要结合企业未来的发展,也要结合信息化技术的进步和目前的企业能力,来设计一个很好的安全策略,包括网络的安全、服务器的安全、系统软件的安全、数据的安全等等。信息系统安全是可以检测的,信息系统验收可以按时间段验收,也可以按性能来验收。
邢红波:若想做到前瞻性,防范风险,需要企业在建设信息安全体系之前做规范性安全风险评估。有些企业自己就可以做信息系统安全检测,从技术能力方面是完全可以做到的。但我觉得目前企业只有30%可以做到可评估、可预测、可验收,最主要的问题是评估怎样量化?量化的指标是什么?
王喜兵:信息系统安全建设存在一个主要误区,在信息系统建设时,主要关注如何满足业务需求,对信息安全虽然有考虑但往往流于形式,在信息系统建设完成后才考虑安全防护。信息系统安全建设应当与信息系统建设规划制定与信息系统建设同步进行。在信息系统和业务流程设计之初,要充分考虑未来信息系统所面临的安全风险和所应当采取的安全技术措施、安全管控措施和配套的资源。
信息系统安全是可以被检测的,检测本身是指导信息安全建设的起点而不是终点。事实上在一家企业里,对信息系统安全进行测试评估是一项极为重要的日常工作。
CIOI:2006年,国际标准化组织颁布了两个标准ISO27001和ISO20000。企业该怎样应用这些标准构建企业信息系统安全防范策略?如何借鉴国际专业标准,实施信息安全管理体系和信息技术服务管理?
张桂良:信息安全问题已经成为全球关注的焦点,借鉴国际专业标准,建立信息安全管理体系和信息技术服务管理体系,从预防控制出发,对保障信息系统与业务安全和企业健康发展是非常必要的。企业以这个为标准,可以说是一个模板,但是相对来说,企业可以根据自己的实力和需要来构建企业信息系统安全防范策略。
企业可以根据自己的实际情况,以这两个标准为模板,分析企业信息化方面的不足,完善企业内部的信息化建设,解决企业长期困扰的灾难备份和系统恢复问题。
邢红波:作为国际标准,ISO27001和ISO20000,为迎接管理挑战、建立信息安全体系和IT服务管理体系提供了理论指导框架。ISO20000则更关注于IT管理领域,提供了13个标准管理流程,可全面指导IT服务管理工作。但从我个人经验来看,我国企业实际情况与这些标准还有差距。
王喜兵:在建立信息安全防范策略方面,国际上已经形成了一套成熟的方法和框架,如ISO27001、ISO20000和COBIT等。目前企业面临的问题首先是,如何有效地利用这些方法建立适合自己企业特点的信息安全防范策略;其次是在企业里如何有效地用好这些安全策略,使之能够真正促进日常安全管理的提升。
建议企业先对自己面临的风险进行一次全面的分析评估,并依照风险影响性高低进行排序,以此作为制定信息安全策略的基础,在综合分析企业风险规避的成本和收益的基础上,制定企业对信息安全风险的风险偏好,再制定出符合企业自身特点的信息系统安全防范策略。制定过程中可以参考国际信息安全策略框架,但应避免照搬。
CIOI:规避信息安全问题除技术手段之外,还需要注意哪些问题?如何培养企业管理者和员工的安全防范习惯?
张桂良:信息技术的发展,使数据管理实现了大集中,这方便了使用者,同时各种重要的信息更加容易流入到外部,很多企业都制定了信息数据安全制度和措施,但是执行制度的人如果出了问题,那再好的制度也是不堪一击。企业开始从源头上控制扩散的数据,让人为因素的损失降到最低。
企业应该经常举办信息安全的讲座,让企业管理者和员工明白信息的重要性、信息泄密所造成的损失、如何从自己做起,做到的信息的保密,减少企业的损失。
邢红波:信息安全风险里,人的因素最大,目前已经发生很多严重的安全事件,起因多是员工安全意识不足,真正因为信息系统技术缺陷所造成的信息泄密事件并不多。因此技术手段做不到绝对的风险防范。要增加关键岗位的关键人员防范风险力度,要提高员工的忠诚度,从意识和习惯的培养上入手,从基础管理上增加风险意识,引起管理者的足够重视。
王喜兵:企业应关注管理和人员要素。首先任何安全技术都是由人来使用和管理的,人员安全意识和技能在信息安全中是至关重要的。不可否认,培训在其中承担着重要作用;除此以外,一套严格的、可操作的奖惩办法可以有效地帮助管理者和员工建立起良好的安全习惯。
另外,企业应当特别关注建立一支真正懂信息安全的专业团队的重要性,这支团队可以帮助企业真正了解自身信息安全风险在哪里。其次企业应当建立一套符合信息安全要求的管理体系,或对目前的管理流程体系进行修订,以符合信息安全的要求。
CIOI:信息安全“三分技术,七分管理”,为把安全上升到了安全管理体系层面,你认为最需要管理层做的是什么?他们应发挥怎样的作用?
张桂良:我认为管理层要从自己企业的实际情况出发,制定出符合自己企业的信息安全制度,管理层应该定期抽查,看信息安全制度执行的情况如何,并给他们讲述信息安全的知识和信息的泄密所造成的危害,管理层要起到很好的带头作用,在制度的执行过程中起到很好的监督作用。
邢红波:我觉得最需要让管理层意识到信息安全的重要性,从自身做起、以身作则,并出台相应的制度和措施。
王喜兵:企业管理者在企业信息系统安全建设中的作用是至关重要的,企业管理层在组织制定企业信息安全方针、组织建立信息安全体系、监控信息安全体系持续运行和改善方面有着不可替代的责任。
企业管理层可发挥营造重视信息安全的氛围、保证建设上的资源投入、明确企业信息安全风险偏好、组织制定和批准信息安全策略、建立起跨部门的协调机制的作用,更重要的是组织建立信息系统安全体系和信息安全监控体系。
CIOI:由于系统会面临信息泄漏、信息窃取、数据篡改等安全问题,管理者们是否有理由相信传统的数据存放方式会比信息系统相对安全?该怎样有效地保护商业秘密?
张桂良:管理者综合考虑会觉得信息系统相对比较安全,因为信息系统会采用加密方式,把重要文件、资料加密,这样会很大程度上减少数据泄密。技术重要,相对来说人的因素更关键。
市场经济是法制经济和契约经济。我们既要用人,也要“疑人”。保证商业机密的安全就要做到:严格贯彻“需要才知道”和分割原则,建立信息密级制度,并与职工签订保密合同。
邢红波:是否安全我认为主要是人的问题,而不是采用哪种技术手段,我认为信息系统只是现实管理水平的物理化的延续。
保护信息安全主要还是从管理和技术两方面考虑。从技术上讲,通过评估确立目标,然后运用技术达到防范风险的目的;但重要的是企业整个信息安全管理制度的建立、人员意识的提高。
王喜兵:任何形式存放的信息都存在风险,只是信息系统对信息的复制、传输和处理提供了传统方式无可比拟的便捷性,因此对信息安全保护提出了更高的挑战。信息安全目前面临的问题,并非说明信息系统存在固有安全缺陷,而是由于信息系统安全建设滞后于信息系统建设造成的。现在企业面临的安全问题都是可以解决的。
对商业秘密信息的保护,需要依赖人员意识、合理的技术措施和完善的管理体系,另外企业在制定商业秘密保护措施时,要特别平衡好安全与效率的关系,以及成本与收益的关系。