摘要:本文结合当前国防科技工业信息安全的现状,分析了当前信息安全管理中存在的问题,并提出安全文化在做好信息安全中的作用,建议将安全文化引入到信息安全管理中.
关键词:信息安全 安全文化
安全文化这一概念是国际核安全咨询组在《关于1986年切尔诺贝利事故的事故后会议总结报告》中引入的。安全文化概念定义是“安全文化是组织和个人所具有的特征和态度的这样一个组合体:它保证作为首要事情的核设施的安全问题受到与其重要性相称的重视”。安全文化必须扎根于组织中每个层次的所有个人的思想和行动中,最高层管理部门的领导至关重要。安全文化的概念在核行业中得到了普遍的接受和认可,目前已成为从事安全工作人员最重要的工作内容之一。随着计算机信息技术的应用越来越普遍,计算机信息系统的安全问题越来越引起各方面的重视,安全已成为建设计算机信息系统首先要解决的问题,但从这些年的实践来看,虽然各种各样的安全解决方案和技术不断推出,但似乎对信息系统安全问题的担忧却越来越大。问题到底出在哪里呢?本文试图从安全文化的角度来寻求问题的答案。
1.问题的提出
我们对安全的理解往往是和威胁、风险等概念相关联的,对信息安全的定义是这样的:信息的机密性、完整性和可用性的保持。问题是我们靠什么来做到这一点呢?目前,普遍的认识是主要从制度、人员、产品和技术来解决信息安全问题,其中技术和产品主要有密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI技术等手段,毋庸质疑,这些手段在保障信息安全中起到了很大作用。但同时也发现,安全问题或安全隐患却依然层出不穷,安全管理部门、运行维护人员疲于奔命,管理层人员的担心不断增加。这形成了一个奇怪的局面,一方面我们在安全方面的投入越来越大,而另一方面我们对安全的担心却并没有减少。这并不意味着我们在安全上的投入是徒劳的,而是说明安全不是简单地通过投入就可以解决的,更不是现有技术、产品的堆积就能达到效果的。针对这样的局面,我们应该如何应对呢?
2.如何理解安全
探讨这个问题的重要性在于你对安全采取什么态度,而你的态度将决定你的行为,或行为方式,而你的行为将对你所负责的系统产生关键影响,也就是你对安全的态度是决定你所负责的系统的安全状态的最基本的要素。所以说,如何理解安全是十分重要的。从对信息安全的定义可以得出一个结论,那就是安全是一个过程,而不是一个结果,它是随着时间的发展,随着系统环境、人文环境的变化而动态变化的,某一时刻的安全,并不代表全部。另一个结论是安全是整体性的,系统性的,它取决于多个部分共同的努力,也就是我们常提到的木桶效应,问题是我们需要找出所有影响安全的因素,才能找到影响安全的关键环节,而这几乎是很难做到的。虽然我们可以通过风险分析来弥补这方面的不足,但仍然可能忽视掉影响安全的重要因素,这就造成我们对安全的持续不断的担心。
安全的另一个特点是它是相对的,不是绝对的,这主要指两个方面,一个是它的时间性,它可能随着技术的发展等因素,安全与风险之间的平衡打破了,原先安全的可能变为不安全;另一个方面是你所能承受的损失的能力的变化,我们可称其为可承受的损失或代价,我们一般所理解的安全是在我们所承受的损失范围内,当你的承受能力变小或带来的损失增大到无法承受时,安全的就可能变为不安全的。所以在理解安全时,要弄清楚你所要保护的对象和所承受的损失。正确的理解是你为得到安全所付出的代价应小于你所保护对象的价值。弄清楚了这一点,对于你准备在安全上要投入多少,就有一个比较容易衡量的方法了。
3.信息安全的现状
随着信息技术的发展,信息技术给人们带来方便的同时,也同时带来了隐患,病毒、后门、恶意攻击等花样翻新的手段给信息系统的正常使用带来了很大威胁。人们为防范这些风险,开发了一系列的工具,防病毒软件、防火墙、入侵检测,还有其它的工具。针对国防涉密系统,比较有效的手段主要是物理隔离、加密、访问控制、身份认证等措施。似乎我们已经有了很多的手段来对付各种威胁,但仔细分析就可以看出来,这些手段的有效实施,离不开一个重要因素——人,而且防范的对象主要是人,人的作用在整个防范体系中既是核心又是最大的缺陷。我们都清楚,内网主要是防内,即所谓70%的威胁来自内部,这些人具有合法的身份,但却可能做非法的事情,由于人的不确定性,这使得防范工作十分困难,如果对人的控制十分严厉,将不可避免地带来工作效率的降低,这和信息系统便于工作的初衷相违背或至少抵消了一部分信息系统建设所带来的便利性。
目前各种防范手段很多,但往往是针对某一种或某几中威胁来建立的,甚至某一种工具都有众多的方法和品牌,而且各种防范手段之间缺少相互的关联,这就好比我们要建立一条完整的防线,但各部队之间却没有配合,更不用说它们之间可能还存在冲突,这种结果使得我们建立的防线存在很多漏洞,我们防御的做法仍然停留在被动的局面上。
这使得我们不得不思考一个问题,针对国防信息系统如何建立我们的安全机制呢?如何才能做到万无一失呢?
4.安全文化的引入
信息系统的安全虽然有其特殊性,但与其它安全管理相比也有很多共同性,如消防安全、交通安全、生产安全、核安全。它们所管理的对象虽然不同,但其内部基理却有相通之处,这让我们思考是否可以借用其成功的经验用于信息安全的管理呢?安全文化概念的引入对做好核安全工作起到了巨大的作用,这也是人类经历了惨痛的教训后得出的,目前已在核工业得到了普遍的接受。
安全文化(safety culture)也有翻译为安全素养的,它强调的是在实践中从上至下全员的安全意识和行为,即各个不同层次的人员、组织都应履行其安全职责。这里特别提出的是,安全不再是某个人、某个组织的责任,而是全体人员、组织,它强调的是整体的作用。简单阐述一下,即国家一层应制定相应的政策、方针,监督、管理机关应根据国家政策制定响应法规、法律、技术文件、导则、规范,组织应有响应的程序、细则来保证执行,个人应有良好的行为和态度。在为达到安全目标这间工作上,虽然各级组织的职责不同,但应有一个共同的目标,即达到安全的目的。这一点是非常重要的,这使得监管和被监管的双方可以为一个共同目标来付出努力,从而使双方有一个良好的态度来对待工作。
从组织和个人对安全的态度来看,可简单地分三个阶段,第一阶段是认为安全就是遵从法律、法规的约束,只要实践了这些法律、法规就可以了,这个时候安全是靠外部约束来达到目标的,还处于被动阶段;第二阶段是组织将安全作为组织目标之一,即安全已成为组织自觉努力的方向,这个时候安全已成为组织工作的方向,即使没有外部约束,它仍要努力达到;第三个阶段是人为安全总是可以不断改进的,这一阶段组织已将安全作为持续改进的工作,这使得安全工作进入到一个良性循环中,随着工作不断、自觉的得到改进。
对照信息系统安全的现状可以看到,目前信息系统的安全工作还主要集中在信息部门和监管部门,这使得我们的认识还停留在初级阶段,这也是为什么安全工作难做的重要原因,信息部门和监管部门的力量毕竟是有限的,如果得不到全员的支持,安全工作很难做的好。另一个现象可以看到,我们的信息安全还大部分停留在遵从法规和产品堆积阶段,法规要求要有这个产品,就采购一个,还不是从整体分析基础来建立安全体系,这种被动建立的安全是脆弱的、不连贯的,往往是钱花了,效果不好。因此,尽快将信息安全作为组织目标之一得到各级的认可,是做好信息安全非常重要的环节。
个人和组织对安全的态度在整个安全体系中发挥着重要作用,这方面给我们两点启示,一个是决不能忽视个人对安全的贡献,片面的通过对个人的控制,而不是正面地激励其对安全的贡献,是做信息安全的一个误区;二是不能过分依赖人的可靠性,要考虑到人因素的不确定性,安全系统在涉及时就应该考虑到人因可能带来的后果,系统应能包容人因出差错所带来的损失。以上两点是相辅相成的,是一个事件的两个方面。
安全文化的概念还有很多方面可以在国防信息系统安全管理中引用,触类旁通是我们做好安全工作的一个基本原则。