信息安全保障步入“面向服务”的时代.docxVIP

PAGE 1 PAGE 1 信息安全保障步入“面向服务”的时代  信息安全保障进入面向服务的阶段，是针对业务服务的用户，对用户供应服务支持的保障，是企业业务支撑的保障，它与用户业务从开发到运营的生命周期更加结合紧密，渗入到业务流程的每一个环节，伴随着信息流淌的全过程。很明显，这个“服务”不同于安全技术人员的建议与咨询服务。  　　信息安全保障进入面向服务的阶段，是针对业务服务的用户，对用户供应服务支持的保障，是企业业务支撑的保障，它与用户业务从开发到运营的生命周期更加结合紧密，渗入到业务流程的每一个环节，伴随着信息流淌的全过程。很明显，这个“服务”不同于安全技术人员的建议与咨询服务。开篇先回顾信息安全发展历程中的安全理念变化，然后具体探讨下从“服务”到“服务”，重点是面向服务的含义变化。  一、回顾信息安全发展历程中的安全理念变化  信息安全的概念的出现远远早于计算机的诞生，但计算机的出现，尤其是网络出现以后，信息安全变得更加复杂，更加“隐形”了。现代信息安全区分于传统意义上的信息介质安全，是专指电子信息的安全。  随着IT技术的发展，各种信息电子化，更加便利地获取、携带与传输，相对于传统的信息安全保障，需要更加有力的技术保障，而不单单是对接触信息的人和信息本身进行管理，介质本身的形态已经从“有形”到“无形”。在计算机支撑的业务系统中，正常业务处理的人员都有可能接触、获取这些信息，信息的流淌是隐性的，对业务流程的掌握就成了保障涉密信息的重要环节。  从信息安全的发展历程来看，安全保障的理念分为下面几个阶段：  1、面对信息的安全保障  计算机网络刚刚兴起时，各种信息间续电子化，各个业务系统相对比较独立，需要交换信息时往往是通过构造特定格式的数据交换区或文件形式来实现，这个阶段从计算机诞生一直连续到互联网兴起的九十年月末期。  面对信息的安全保障，体现在对信息的产生、传输、存储、使用过程中的保障，主要的技术是信息加密，保障信息不外露在“光天化日”之下。因此，信息安全保障设计的理念是以风险分析为前提，如ISO13335风险分析模型，找到系统中的“漏洞”，分析漏洞能带来的威逼，评估堵上漏洞的成本，再“合理”地堵上“致命”漏洞，威逼也就消逝了。  然而风险的大小，漏洞的危害程度是随着攻击技术的进步而变化的，在大刀长矛的冷兵器时代，敌人在几十米外你就是安全的，到了大炮、机枪的火器年月，几白米、几十公里都可能成为攻击的对象，而到了激光、导弹的现代，即使你在地球的另一端，也可能随时成为被攻击的对象。所以面向信息的安全，分析的漏洞往往是随着攻击技术发展、入侵技术进步而变化的，一句话，就是被动地跟着攻击者的步调，建立自己的防备体系，是被动的防护。更为严酷的是：随着攻击技术的发展，你与敌人的“安全距离”越来越大，需要你的眼睛具有更加强大的目力因为监控不到敌人的动向，你就无从谈起安全。  在信息安全的阶段，安全技术一般采用防护技术，加上人员的安全管理，出现的最多的是防火墙、加密机等，但大多边界上的防护技术都属于识别攻击特征的“后升级”防护方式，也就是说，你在攻击者来之前升级自己了，就可能防止他的入侵，若没有来得急升级，或者没有可升级的“补丁”，你的系统就危急了。面对加密技术的暴力破解也随着计算机的速度发展，让加密系统的密钥长度越来越长。  2、面向业务的安全保障  假如说对信息的保护，主要还是从传统安全理念到信息化安全理念的转变过程中，那么面对业务的安全，就完全是从信息化的角度考虑信息的安全。到了04、05年，互联网已经深入到社会的各个角落，网络成了人们工作与生活的“信息神经”，人们发觉各种工作已经脱离传统的管理模式，进入到世纪初还是幻想的“无纸化”办公时代，此时计算机的故障、网络的中断已经不再是IT管理部门的小事件，往往是整个企业的大故障，有些金融、物流、交通等企业，网络的故障完全可以导致企业业务的中断，企业的停业。  此时，需要保护的信息不再只是某些文件，或者某些特别权限目录的管理，而是用户的访问掌握、系统服务的供应方式，此时要保障的不再只是信息，而是整个业务系统，以及业务的IT支撑环境，业务本身的安全需求，超过了信息的安全需求，安全保障自然也就从业务流程的掌握角度考虑了，这个阶段我们称为面向业务的安全保障。  从美国的SOX法案要求对系统信息的审计，到日益完善的各种行业信息系统保障技术要求，都不再是针对某些安全新技术，而是面对整个信息系统的保障要求。在国内比较突出的就是公安部发布的非涉密信息系统的等级保护，国家保密局发布的涉密信息系统的分级保护，相继颁布了技术与管理标准，并建立完善的测试、评估标准，并对一些涉及