以數據保護為核心的安全信息化建設
來源:時空密碼 更新時間:2016-04-22


一、安全對信息化的統領
 

在信息系統建設的初期,信息安全的設計就要盡可能早的引入,從而打好堅實的基礎。沒有安全設計的信息系統,就好像把一座大樓建在了沙灘上,隨時面臨著倒塌的風險。

 

企業單位內網、外網,電子商務、政務平台是常見的信息系統,它們的建設都離不開安全保障。物理安全是要考慮的一個方面;其他常規的安全手段,如防火牆、入侵檢測、殺毒等都已經比較普及,一定程度地規避了如冒用、入侵以及DDOS攻擊等安全風險。但是許多信息系統的建設者,以及絕大部分信息系統的使用者對信息安全的認識還停留在這個階段,認為做到了這些就充分了。他們既沒有從系統工程的角度,也沒有從發展的角度來看待安全問題。

 

隨著信息安全態勢的加速惡化,促使信息系統的使用者和建設者必須做出改變。以往堆積產品或者出現問題後去打補丁的辦法,就顯得盲目、笨拙,且大幅增加運維和升級成本。甚至有些先天性的安全缺陷,並非後續的補救措施可以根治。

 

將“安全”冠於信息化建設或者信息系統集成之上,還原了信息安全本應具有的基礎作用和重要地位,這與習主席所謂“信息化與信息安全是一體之兩翼”相一致,是未來信息化建設的方向和重點。可以肯定地說,不遠的將來信息安全將對所有在建和升級的信息系統擁有一票否決權。

 

二、數據的價值
數據在網絡空間的價值,最好的對應就是錢在現實空間的價值。數據就是錢,就是財富,這個認識已經逐步深入人心了。從信息安全的對立面來看,或者從賊的角度來看,這個價值就更加明確了。

 

不是所有的信息系統都包含數據的,例如只處理Y/N的門禁系統。常見的信息系統都或多或少地產生並存儲數據,這些數據的價值一般由信息系統的使用者(如企業),或者由第三方專業機構來認定(如政府或專家團隊)。

 

不同數據的價值對應了不同的保護措施,安全的投入正相關於數據價值。梳理外圍安全與核心安全,被動安全和主動安全之間的關系,用整體安全的措施,應對復雜多變的安全態勢,信息系統建設者和使用者必須自始至終加以重視。

 

三、核心安全的確立

 

如果數據是信息系統的關鍵,那麼保護數據的手段就必須處於安全的核心位置。以防數據泄露系統(DLP)為例,對於電商平台、企事業單位內網,關鍵部門權限的設立和重要數據歸屬權的保護是DLP系統設計的目標。DLP系統明確了數據所有者的地位;通過對管理權的分解以及監督權的設立,避免了超級用戶的存在可能帶來的巨大損失;在不影響工作效率的前提下,掌控數據入口(終端),堵塞了所有可能出現泄密的途徑。因此可以說DLP在信息系統安全架構中處於核心位置。

 

DLP以及類似系統所處的位置和發揮的作用,決定了其他安全手段或工具需要與之配合;甚至,當安全非常突出的時候,面向應用的軟件開發或產品集成的選擇,也要與之配合。後者尤其重要並將成為一個趨勢,這就好比先選擇操作系統,然後再選擇適合這個操作系統的軟件一樣。

 

信息系統的建設者或集成商尤其要樹立這樣的安全理念,並用這一理念來說服和引導用戶。對於新建的信息系統,從設計階段就要加入對安全考慮,用安全來統領建設和運營、維護的各個階段;對於現有信息系統的升級改造,首先判斷這個系統是否擁有需要保護的數據,並從數據安全出發,梳理保護手段是否有所缺失。

 

無論是新建的信息系統還是現有系統的升級改造,其中的安全考慮包括風險評估、安全設計、建設或集成、審計驗收、安全運維等環節。風險評估的主要內容就是這個系統是否包含了數據,以及這些數據的價值。

 

四、挑戰中的機遇

 

政府的信息化系統按照國家等級保護要求,一般劃歸為三級或以上。按照這個劃分要求,其中的數據屬於必須采用加密手段來保護的。因此,即使必須進行物理隔離,為了防止內部人員泄密,一套類似DLP的、以密碼來保護數據的系統應該成為標准配置。

 

對於現代企業,特別是從事高端制造、雲存儲服務、貿易、軟件設計開發等行業的企業,考慮到自身商業利益和從業道德等因素,安全等級也不應低於政府三級等保要求。

 

安全信息化建設和安全系統集成對於建設者和使用者來說,都存在著一定的挑戰;但是同樣也應看到其中蘊含的機遇要遠大於困難。

 

對於建設者來說,現有信息系統在安全方面的缺失是普遍存在的現狀,要用今後很長一段時間來補課;同時,安全建設處於信息技術的高端,是否具備安全建設的能力標志了企業在行業的地位和議價能力。

 

對於信息系統的使用者來說,安全決定了生死存亡,這一點現在怎麼強調也不過份。信息安全系統的部署,將促進內部組織結構的調整、優化和提升,在更高層次形成競爭力,為可持續發展提供保證。

 

最後,人的因素是決定性的;這不僅體現在企業或組織內部的每個人能否嚴格遵從安全管理的規章制度,主動配合措施的落實,而首先體現在主要領導者是否能有掌控安全的管理理念和遠見卓識。安全在現實空間的各個行業領域都是“一把手工程”,毫無疑問,在網絡空間的各個方面,對應的信息安全也必須是“一把手工程”。