信息安全治理之一.docVIP

　　信息安全治理之一|第1 .lunwen1.“没有安全的工程就是豆腐渣工程” －徐匡迪中国工程院院长 “管理层有责任保护组织的利益。这种责任包括像保护其它一样严格保护有价值的信息资产。管理层应该认识到，信息安全不仅仅是一种投资，它还是任何时候生存的需要，许多情况下，它甚至能创造竞争优势。” “技术本身实际上是信息安全体系里最不重要的部分了。不管一项技术有多先进，都只不过是辅助实现信息安全的手段而已。我们并不是认为技术不重要，但在信息安全的架构里，它一定要在好的信息安全治理的基础上。” －题记 引言 在当今科技时代中，信息是一个国家最重要的资源之一，信息与网络的运用亦是二十一世纪国力的象征，但无论是从国家竞争力、组织再造或是国防战备来说，今日正面临着层出不穷的事件的挑战。在2002年的10月上旬到11月上旬，我们记录了来自公开媒体的典型安全事件。以下是新闻摘要： 新浪科技新闻：从事网络安全的美国因特网安全系统公司(ISS)于美国当地时间本周二宣布，在伯克利因特网域名(BIND)软件发现了三个新漏洞，这三个漏洞容易引发针对大多数域名服务器(DNS)的拒绝服务(denialofservice)进攻。其中一个漏洞甚至允许进攻者在易受攻击的电脑上运行程序，ISS漏洞研发组的领导人DanIngevaldson指出，该漏洞与引发红色代码病毒的漏洞处在相同严重的级别，因为攻击者可以利用这个漏洞散发蠕虫病毒。 新华网伦敦11月13日电：英国警方13日宣布，国内一名网页设计师因在全球范围内传播计算机病毒而被司法机关起诉。被告西蒙·瓦勒尔现年21岁，来自威尔士的兰迪德诺。今年2月，英国警方根据美国联邦调查局提供的情报将他逮捕。瓦勒尔被控非法袭击网站和在全球范围内传播两种以电子邮件为载体的计算机病毒，其中一种名叫“GOKARREDESI”的病毒影响了46个国家的计算机系统，是世界传播范围第三广泛的计算机病毒。瓦勒尔还被控私藏儿童色情照片。 计算机世界网消息：微软公司称，要获得更高的安全性能，用户需要升级到最新版本的Windows。微软公司的技术总监克莱格·蒙代表示，广大客户继续使用以前版本的Windows，而不是Windows2000和WindowsXP，大大削弱了微软公司为确保全球计算基础设施安全所作的努力。他说，对以前版本的Windows进行改进，提高其安全性是不可能的。蒙代指出，微软公司的被称为“可信赖计算”的实现计算机安全的计划还需要较长一段时间才能实现。他说，他担心用户会因安全问题而会对计算机失去信心。 美国太平洋时间11月16日消息：日本政府将考虑用另外一种操作系统替代微软公司的Windows操作系统，以便加强计算机网络安全保护。保护计算机网络安全是日本首相小泉纯一郎建立“电子政府”计划的一个长期目标，这一“电子政府”计划允许公民通过互联网与政府各部门进行工作交流。目前，日本政府计算机网络中使用的服务器和个人电脑中，绝大多数都在使用Windows操作系统。但是，日本政府对于采用其它的操作系统却很感兴趣，特别是一些开放源文件程序，如Linux。 中国日报报道：美国联邦政府11月12日对一名英国计算机管理员提起起诉，指控他非法侵入了美军和美国航空航天局的92处计算机网络，其中在侵入新泽西州一处海军设施的网络时导致该设施系统陷入崩溃。 人民日报华东新闻：江苏省普通高中信息技术等级考试，近万考生答卷被删，“黑客”破坏网上考试被判刑6个月。 美国当地时间10月21日，全世界13台路由DNS服务器（RouteServer）同时受到了DDoS（分布式拒绝服务）攻击。值得庆幸的是并没有酿成严重事故。但此事再次表明，在因特网上目前仍旧存在很多充当DDoS攻击帮凶的机器。每台机器的预防策略的不完善就有可能威胁到因特网赖以存在的基础。 以上的新闻使我们回想起了以往与之相关的安全事件，正是人与技术的结合制造了各类信息安全事件。爱虫病毒导致了120亿美元的损失，但是在此事件发生不足十个月的时间之后，全球依然遭受同一类型病毒AnnaKournikova的袭击，难道我们没有从爱虫病毒的袭击事件中吸取教训吗？事实上，大多数受害组织当然吸取了教训。他们更新了病毒库、在未安装扫描工具的邮件服务器上安装扫描工具。可是直接从技术的角度去寻求解决方案，只是解决了问题的一半。有多少组织会花费时间去更新邮件策略、向所有的员工解释更新策略的原因并在策略方面教育员工呢？答案是少数的。无数次的惨痛教训使我们得出一个教训：即使有安全策略，但没有对用户进行安全意识教育等的机制，那同没有安全策略是没有多大区别的。 从10月到11月的这段时间并非特例，其他时间也有类似的记录，有些记录则更糟。实际上，资料显示情况正变得更加糟糕：安全缺陷、侵犯，信誉受损，以及灾难性事件的数量正随着时间的推移而增加。