安全文化在信息安全管理中的作用
評(píng)論: 更新日期:2013年02月19日
安全文化這一概念是國(guó)際核安全咨詢組在《關(guān)于1986年切爾諾貝利事故的事故后會(huì)議總結(jié)報(bào)告》中引入的�����。安全文化概念定義是“安全文化是組織和個(gè)人所具有的特征和態(tài)度的這樣一個(gè)組合體:它保證作為首要事情的核設(shè)施的安全問(wèn)題受到與其重要性相稱的重視”�����。安全文化必須扎根于組織中每個(gè)層次的所有個(gè)人的思想和行動(dòng)中,最高層管理部門的領(lǐng)導(dǎo)至關(guān)重要���。安全文化的概念在核行業(yè)中得到了普遍的接受和認(rèn)可�����,目前已成為從事安全工作人員最重要的工作內(nèi)容之一���。隨著計(jì)算機(jī)信息技術(shù)的應(yīng)用越來(lái)越普遍,計(jì)算機(jī)信息系統(tǒng)的安全問(wèn)題越來(lái)越引起各方面的重視�����,安全已成為建設(shè)計(jì)算機(jī)信息系統(tǒng)首先要解決的問(wèn)題�,但從這些年的實(shí)踐來(lái)看,雖然各種各樣的安全解決方案和技術(shù)不斷推出��,但似乎對(duì)信息系統(tǒng)安全問(wèn)題的擔(dān)憂卻越來(lái)越大��。問(wèn)題到底出在哪里呢�����?本文試圖從安全文化的角度來(lái)尋求問(wèn)題的答案。
1.問(wèn)題的提出
我們對(duì)安全的理解往往是和威脅���、風(fēng)險(xiǎn)等概念相關(guān)聯(lián)的����,對(duì)信息安全的定義是這樣的:信息的機(jī)密性���、完整性和可用性的保持����。問(wèn)題是我們靠什么來(lái)做到這一點(diǎn)呢�����?目前�����,普遍的認(rèn)識(shí)是主要從制度���、人員、產(chǎn)品和技術(shù)來(lái)解決信息安全問(wèn)題���,其中技術(shù)和產(chǎn)品主要有密碼����、防火墻、防病毒����、身份識(shí)別、網(wǎng)絡(luò)隔離�、可信服務(wù)、安全服務(wù)�、備份恢復(fù)、PKI技術(shù)等手段�����,毋庸質(zhì)疑����,這些手段在保障信息安全中起到了很大作用。但同時(shí)也發(fā)現(xiàn)�,安全問(wèn)題或安全隱患卻依然層出不窮,安全管理部門���、運(yùn)行維護(hù)人員疲于奔命�,管理層人員的擔(dān)心不斷增加。這形成了一個(gè)奇怪的局面�,一方面我們?cè)诎踩矫娴耐度朐絹?lái)越大,而另一方面我們對(duì)安全的擔(dān)心卻并沒有減少����。這并不意味著我們?cè)诎踩系耐度胧峭絼诘模钦f(shuō)明安全不是簡(jiǎn)單地通過(guò)投入就可以解決的��,更不是現(xiàn)有技術(shù)�����、產(chǎn)品的堆積就能達(dá)到效果的���。針對(duì)這樣的局面�����,我們應(yīng)該如何應(yīng)對(duì)呢�?
2.如何理解安全
探討這個(gè)問(wèn)題的重要性在于你對(duì)安全采取什么態(tài)度�����,而你的態(tài)度將決定你的行為����,或行為方式,而你的行為將對(duì)你所負(fù)責(zé)的系統(tǒng)產(chǎn)生關(guān)鍵影響����,也就是你對(duì)安全的態(tài)度是決定你所負(fù)責(zé)的系統(tǒng)的安全狀態(tài)的最基本的要素。所以說(shuō)�����,如何理解安全是十分重要的��。從對(duì)信息安全的定義可以得出一個(gè)結(jié)論����,那就是安全是一個(gè)過(guò)程,而不是一個(gè)結(jié)果���,它是隨著時(shí)間的發(fā)展���,隨著系統(tǒng)環(huán)境、人文環(huán)境的變化而動(dòng)態(tài)變化的��,某一時(shí)刻的安全�,并不代表全部��。另一個(gè)結(jié)論是安全是整體性的��,系統(tǒng)性的�,它取決于多個(gè)部分共同的努力�����,也就是我們常提到的木桶效應(yīng)��,問(wèn)題是我們需要找出所有影響安全的因素�,才能找到影響安全的關(guān)鍵環(huán)節(jié),而這幾乎是很難做到的�。雖然我們可以通過(guò)風(fēng)險(xiǎn)分析來(lái)彌補(bǔ)這方面的不足,但仍然可能忽視掉影響安全的重要因素�,這就造成我們對(duì)安全的持續(xù)不斷的擔(dān)心。
安全的另一個(gè)特點(diǎn)是它是相對(duì)的�,不是絕對(duì)的,這主要指兩個(gè)方面����,一個(gè)是它的時(shí)間性,它可能隨著技術(shù)的發(fā)展等因素���,安全與風(fēng)險(xiǎn)之間的平衡打破了�,原先安全的可能變?yōu)椴话踩涣硪粋€(gè)方面是你所能承受的損失的能力的變化�����,我們可稱其為可承受的損失或代價(jià)�,我們一般所理解的安全是在我們所承受的損失范圍內(nèi)��,當(dāng)你的承受能力變小或帶來(lái)的損失增大到無(wú)法承受時(shí)��,安全的就可能變?yōu)椴话踩?����。所以在理解安全時(shí)�����,要弄清楚你所要保護(hù)的對(duì)象和所承受的損失��。正確的理解是你為得到安全所付出的代價(jià)應(yīng)小于你所保護(hù)對(duì)象的價(jià)值�����。弄清楚了這一點(diǎn)��,對(duì)于你準(zhǔn)備在安全上要投入多少,就有一個(gè)比較容易衡量的方法了����。
3.信息安全的現(xiàn)狀
隨著信息技術(shù)的發(fā)展,信息技術(shù)給人們帶來(lái)方便的同時(shí)����,也同時(shí)帶來(lái)了隱患,病毒�、后門、惡意攻擊等花樣翻新的手段給信息系統(tǒng)的正常使用帶來(lái)了很大威脅�����。人們?yōu)榉婪哆@些風(fēng)險(xiǎn)�����,開發(fā)了一系列的工具�����,防病毒軟件��、防火墻、入侵檢測(cè)����,還有其它的工具。針對(duì)國(guó)防涉密系統(tǒng)��,比較有效的手段主要是物理隔離�����、加密��、訪問(wèn)控制�、身份認(rèn)證等措施�。似乎我們已經(jīng)有了很多的手段來(lái)對(duì)付各種威脅,但仔細(xì)分析就可以看出來(lái)���,這些手段的有效實(shí)施��,離不開一個(gè)重要因素——人�����,而且防范的對(duì)象主要是人���,人的作用在整個(gè)防范體系中既是核心又是最大的缺陷��。我們都清楚��,內(nèi)網(wǎng)主要是防內(nèi)���,即所謂70%的威脅來(lái)自內(nèi)部,這些人具有合法的身份�����,但卻可能做非法的事情�����,由于人的不確定性�,這使得防范工作十分困難,如果對(duì)人的控制十分嚴(yán)厲��,將不可避免地帶來(lái)工作效率的降低����,這和信息系統(tǒng)便于工作的初衷相違背或至少抵消了一部分信息系統(tǒng)建設(shè)所帶來(lái)的便利性。
目前各種防范手段很多��,但往往是針對(duì)某一種或某幾中威脅來(lái)建立的,甚至某一種工具都有眾多的方法和品牌���,而且各種防范手段之間缺少相互的關(guān)聯(lián)����,這就好比我們要建立一條完整的防線���,但各部隊(duì)之間卻沒有配合����,更不用說(shuō)它們之間可能還存在沖突����,這種結(jié)果使得我們建立的防線存在很多漏洞�����,我們防御的做法仍然停留在被動(dòng)的局面上���。
