【摘要】信息安全是信息社会永恒的话题。信息安全是系统的、动态的、无边界的和非传统的安全。信息安全主要是管理问题,而不单纯是技术问题。所有的信息安全都是相对的,是多种约束条件下折衷选择的结果。风险管理是指如何在一个肯定有风险的环境里,利用有限资源把风险减至最低的管理过程。信息安全管理体系是以策略为核心,以管理为基础,以技术为手段的安全理念的具体落实。气象部门应当建立起基于风险管理的完整的信息安全管理体系。全面提高信息安全管理理念和意识,是气象信息安全所有工作正常开展的前提。
1、引言
没有安全,何以生存,遑论发展;而信息时代安全的核心内容之一,便是信息安全。盖缘于此,世界上主要发达国家始终十分重视信息安全工作。
1998年5月22日,美国克林顿政府颁布了《保护美国关键基础设施》总统令(PDD63),围绕“信息安全”成立了包括全国信息安全委员会、全国信息安全同盟、关键基础设施保障办公室、首席信息官委员会等10余各全国性机构。同年,美国国家安全局(NSA)制定了《信息安全保障框架》(IATF),提燺了深度防御策略。2000年发表了《总统国家安全战略报告》,首次将信息安全明确列入其中。布什政府在911之后成立了国土安全部、国家KIP委员会,并于2002年和2003年陆续颁布了《国家保障数字空间安全策略》、《国家安全战略报告》和《网络空间安全国家战略计划》。奥巴马总统上台不久,就亲自主导了为期60天的信息安全评估项目,并于2009年5月公布了《美国网络安全评估》报告,评估了美国政府在网络空间的安全战略、策略和标准,指出了存在的问题,并提出相应的行动计划。在此基础上,美国政府成立了网络安全办公室,任命了网络安全协调官。2010年6月,美国国防部正式成立了由战略司令部领导的网络战司令部,于2010年10月正式运行。2015年年底,美国《网络安全法》获得正式通过,成为美国当前规制网络安全信息共享的一部较为完备的法律,首次明确了网络安全信息共享的范围,并通过修订2002年《国土安全法》的相关内容,规范国家网络安全增强、联邦网络安全人事评估及其他网络事项【1】。
俄罗斯则早在1995年便颁布了《联邦信息、信息化和信息保护法》,明确界定了信息资源开放和保密的范畴,提出了保护信息的法律责任。1997年俄罗斯出台的《俄罗斯国家安全构想》中明确提出,“保障国家安全应把保障国家经济安全放在第一位”,而“信息安全又是经济安全的重中之重”。2000年普京总统批准了《国家信息安全学说》,明确了俄罗斯联邦信息安全建设的目的、任务、原则和主要内容。
我国政府高度重视信息安全工作,早在1994年,国务院便以147号令颁布了《中华人民共和国计算机信息系统安全保护条例》;2003年国务院成立应急办,颁布了《国家突发公共卫生事件应急条例》;2006年公布了《国家突发公共事件总体应急预案》和《国家网络与信息安全事件应急预案》,确定了4大公共事件及网络信息安全事件的应急措施预案;2007年制定发布了《国家突发事件应对法》。此外,信息产业部、工信部以及各地方政府和部门在近十余年时间里也陆续出台了各类与信息安全相关的法律法规。信息安全在我国的国家层面上受到高度重视,目前已上升为国家战略。相应地,信息安全工作也已成为各行各业信息化战略规划和信息化建设中不可或缺的内容,气象部门也不例外。
信息安全是一个永恒的主题,信息安全工作永远没有终结的一刻。在国家大力倡导信息化、互联网+、大数据应用和信息安全的现在,认真系统地回顾和审视气象信息安全工作,是完全必要的,因为这可使我们及早发现问题、查漏补缺,使气象信息安全工作进一步发挥出应有的作用。
2、信息安全的本质
2.1 信息安全的内涵和特征
信息是气象部门最宝贵的资产,是气象部门赖以立身的最为珍贵的资源。因此,必须对所有气象信息进行妥善的保护。
按业界的规范定义,信息安全主要指信息的保密性、完整性和可用性的保持,即:通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施,保护信息在其生命周期内的产生、传输、交换、处理和存储等各个环节中,信息的保密性、完整性和可用性不被破坏,保障业务的连续性,最大限度地减少业务的损失,最大限度地获取业务回报。其中:保密性是指确保只有那些被授予特定权限的人才能够访问到信息;完整性是指保证信息和处理方法的正确性和完整性;可用性则是指确保那些已被授权的用户在其需要的时候,确实可以访问到所需信息。【2】此属常识,不予展开。
信息安全具有如下特征:
(1)信息安全是系统的安全
信息产生于系统、存在于系统、被系统所使用并由系统发挥其作用,所有与信息相关的各系统皆必须纳入信息安全的视野,予以充分的关注和考虑。此外,信息安全是整体的安全,所有与信息相关的部分由信息串联而构成一个相对完整的系统,它的安全直接关系到信息的安全。
(2)信息安全是动态的安全
信息的安全保障是一个动态的过程,没有永久的安全,也不存在满足信息安全的充分条件,信息安全问题不可能一劳永逸地予以解决。保护信息安全不可能是绝对的,而是多种约束条件下的折衷的选择【3】。随着事物的发展和技术的进步,约束条件必然发生变化,而约束条件的变化又将必然导致信息安全方针、策略和措施的相应调整和变化。
(3)信息安全是无边界的安全
网络的广泛互联使得信息系统环境的边界越来越模糊,传统意义上的国界、前方和后方正在消失,人们几乎可以从任何地点、任何时间对任何对象发起网络攻击,因此信息安全是广泛的、无国界的,它无法单凭一个国家、地区或部门就能完全控制,需要从全球信息化角度综合考虑和整体布局。【4】
(4)信息安全是非传统的安全
传统的具有典型外在物理特征的安全因素(如:军事、自然灾害、人为暴力破坏等等)已无法涵盖信息安全所应考虑的全部范畴。在没有诸如军事入侵、自然灾害、传统意义上的恐怖袭击等情况下,信息和信息系统的安全依然会受到诸如计算机病毒、黑客攻击、计算机犯罪、信息垃圾和信息污染等严重威胁【5】。国家的电信、金融、能源、交通等核心领域,气象部门的数据通信、信息处理等核心系统,可能在极短的时间内被攻击瘫痪,导致社会运转的瘫痪和气象业务的崩溃,而此时所有系统的物理器件并未因此而发生实质性的损伤。
信息安全既是信息技术问题,也是组织管理问题。因为信息安全最终必将落实到信息系统的安全层面上,并最终由一个个具体的信息技术和相关产品的有机组合予以实现,没有符合实际的明确的安全目标和方针、科学的设计、认真的维护、以及不断地主动发现新的安全问题并及时予以解决,是无法有效地形成安全环境的;就一个部门而言,一个相对安全的环境的构成必须从人的行为规范、安全体系的科学设计以及部门内部安全环境的构成等诸多方面综合考虑、整体设计,方才可能。因此信息安全并非单纯是技术和技术产品问题,更是组织管理问题,无法单凭技术手段予以解决。
此外,从法律、舆论以及信息战和虚拟空间等更高层面考虑,信息安全也是社会问题和国家安全问题。此非本文所考虑的范围,故不予展开。
2.2 信息安全的一些认识误区
应当承认,由于各种原因,至今气象部门的一些同事中,对信息安全仍存在一定的认识误区,以下问题应予充分重视:
(1)单纯的安全技术和产品的应用不能解决信息安全
信息安全问题并非单纯的技术问题,信息安全技术和产品的简单应用并不意味着部门整体的信息安全,不能指望简单地规划了DMZ区、在局域网出入端配置了防火墙、在个人电脑中安装了杀毒软件、远程通信采用VPN技术后,部门的信息安全问题便可基本解决。事实上,诸如防火墙、堡垒机、杀毒软件等安全产品,仅仅是构建部门信息安全防护体系的砖石,如果没有科学的整体设计和有效的实施方案,单凭砖石和瓦块的简单甚至随意堆垒,是无法构建成有效的安全防护体系的。因此:
防火墙 + 堡垒机 + 杀毒软件 ≠ 信息安全
(2)业务连续性的有效保障不能替代部门的信息安全
业务连续性的有效保障是部门行政领导最为关注的安全问题之一,为此往往不惜代价不计成本,而建立业务备份中心或灾难备份中心是目前较为流行的保障措施。但备份中心的建立也并不一定意味着部门整体的信息安全,因为业务连续性的保障仅属于信息安全三要素中“信息可用性”的范畴,如果不同时考虑信息的保密性和完整性,同样无法从整体上解决部门的信息安全问题;而信息的私密性和完整性与备份中心之间并无必然联系。因此:
备份中心 ≠ 信息安全
(3)网络防御不能代替信息安全
传统意义上的网络安全包括网络协议安全、网络设备安全和网络架构安全,侧重于网络自身的健壮性以及抗网络攻击的能力。然而如果网络上运行的系统自身存在一定缺陷、软件存在BUG,以及人为操作失误(如:误删除、误修改等),则上述内容和措施便将束手无策。所以,网络的抗攻击和抗偷盗能力不能完全解决信息安全问题。
类似的认识误区还有若干,限于篇幅,不再枚举。
3、基于风险管理的信息安全管理
3.1 信息安全管理
统计结果表明,在所有信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,其余的70%~80%则是因内部员工的疏忽或有意违规而造成的。站在全局的高度上来考察信息和网络安全的全貌就会发现:安全问题实际上都是人的问题,单凭技术手段是无法予以根本解决的。
信息安全是一个多层面、多因素的过程,如果仅凭一时的需要,头疼医头脚疼医脚地制定一些控制措施和引入某些技术产品,难免挂一漏万、顾此失彼,使得信息安全这只“木桶”出现若干“短板”,从而无法提高信息安全的整体水平。
对于信息安全而言,技术和产品是基础,管理才是关键。如同砖瓦建材需要良好的设计和施工才能搭建成坚固耐用的建筑,安全技术和安全产品需要通过管理的组织职能方才能够发挥出最佳效果。事实充分证明,管理良好的系统远比技术虽然高超但管理混乱不堪的系统安全得多。因此,先进科学的、易于理解且方便操作的安全策略对信息安全至关重要;而建立一个管理框架,让好的安全策略在这个框架内可重复实施,并不断得到修正,就会拥有持续的安全【6】。
所谓信息安全管理,是指部门或组织中为了完成信息安全目标,针对信息系统,遵循安全策略,按照规定的程序,运用恰当的方法,而进行的规划、组织、指导、协调和控制等活动和过程;是通过维护信息的保密性、完整性和可用性,来管理和保护组织所有的信息资产的一项体制;是部门或组织中用于指导和管理各种控制信息安全风险的一组相互协调的活动。有效的信息安全管理要尽量做到在有限的成本下,保证将安全风险控制在可接受的范围之内。
信息安全管理包括:安全规划、风险管理、应急计划、安全教育培训、安全系统评估、安全认证等多方面内容【7】。
3.2 基于风险的信息安全
(1)安全和风险
步履蹒跚的耄耋老人终日待在家中肯定比在熙熙攘攘的大街上行走安全,但即使在家中,也仍有因行走或站立不稳而跌倒的可能,不如身边陪有专人看护安全;然即便家中有专人看护,也不如将老人长期安置在医院,在全套设备和专业医护人员看护下安全,如此等等。可见,所谓安全都是相对而言的,没有绝对的安全;而安全的效果或等级越高,往往付出的代价或成本也越高,信息安全也是如此。
安全是相对于风险而言的,某种安全水平的达到意味着某种或某类风险的得以规避:双机热备技术可以避免单点故障所导致的业务中断,两地三中心灾备模式可以保证即便在发生局地严重灾害时部门业务的连续性。但绝对的安全是没有的:双机热备技术无法避免供电系统故障的风险,而大型陨石撞击地球,将导致生态系统的崩溃和物种灭绝,遑论灾备两地三中心以及部门业务连续性了。
然而,风险是由可能性与后果的组合来计算和度量的【8】。尽管两地三中心灾备模式无法应对地球遭遇大型陨石撞击的毁灭性灾害,但该灾害发生的可能性却微乎其微,未来数百年几乎没有可能。因此此灾虽然为害甚烈,但发生的可能性却几近于零,不必予以考虑。
(2)风险管理
绝对的零风险是不存在的,要想实现零风险也是不现实的。同时,规避风险是需要代价的,规避的风险种类越多,所付出的代价往往越大。就计算机系统而言,安全性越高,其可用性往往越低,需要付出的成本也越大【6】。因此,信息安全建设的宗旨之一,就是在综合考虑成本与效益的前提下,通过恰当、足够、综合的安全措施来控制风险,使残余风险降低到可接受的程度。亦即,需要在安全性和可用性,以及安全性和成本投入之间做出一种平衡。
所以,根本上说,信息安全是一个风险管理过程,而不是一个技术实现过程【6】。
风险管理是指如何在一个肯定有风险的环境里,利用有限的资源把风险减至最低的管理过程。风险管理包括对风险的量度、评估和应变策略等。理想的风险管理,是一连串排好优先次序的过程,使导致最大损失及最可能发生的安全事件优先处理、而相对风险较低的事件则押后处理。
风险管理的首要内容之一,是风险识别和风险评估。因为,信息安全体系的建立首先需要确定信息安全的需求,而获取信息安全需求的主要手段就是安全风险评估。因此,信息安全风险评估是信息安全管理体系建立的基础;没有风险评估,信息安全管理体系的建立就没有依据。
风险管理的另一项重要内容,就是对风险评估的结果进行相应的风险处置,只有对已知风险逐一进行有针对性的妥善处置,才能化解和规避这些风险,达到信息安全的目的。因此,风险处置是信息安全的核心。从本质上讲,风险处置的最佳集合就是信息安全管理体系的控制措施集合;而控制目标、控制手段、实施指南的逻辑梳理、以形成这些风险控制措施集合的过程,就是信息安全体系的建立过程。亦即,信息安全管理体系的核心就是这些最佳控制措施的集合。
需要强调的是,由于信息安全风险和事件不可能完全避免,因此信息安全管理必须以风险管理的方式,不求完全消除风险,但求限制、化解和规避风险。而好的风险管理过程可以让气象部门以最具有成本效益的方式运行,并且使已知的风险维持在可接受的水平,使气象部门可以用一种一致的、条理清晰的方式来组织有限的资源,确定风险处置优先级,更好地管理风险,而不是将保贵的资源用于解决所有可能的风险。
事物是在不断变化的,新的风险不断出现,因此风险管理过程需要不断改进、完善、更新和提高。
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
抢沙发
