安全文化在信息安全管理中的作用.pdfVIP

安全文化在信息安全管理中的作用

安全文化这一概念是国际核安全咨询组在《关于1986年切尔诺贝

利事故的事故后会议总结报告》中引入的。安全文化概念定义是“安全

文化是组织和个人所具有的特征和态度的这样一个组合体：它保证作为

首要事情的核设施的安全问题受到与其重要性相称的重视”。安全文化

必须扎根于组织中每个层次的所有个人的思想和行动中，最高层管理部

门的领导至关重要。安全文化的概念在核行业中得到了普遍的接受和认

可，目前已成为从事安全工作人员最重要的工作内容之一。随着计算机

信息技术的应用越来越普遍，计算机信息系统的安全问题越来越引起各

方面的重视，安全已成为建设计算机信息系统首先要解决的问题，但从

这些年的实践来看，虽然各种各样的安全解决方案和技术不断推出，但

似乎对信息系统安全问题的担忧却越来越大。问题到底出在哪里呢？本

文试图从安全文化的角度来寻求问题的答案。

1.问题的提出我们对安全的理解往往是和威胁、风险等概念相关联

的，对信息安全的定义是这样的：信息的机密性、完整性和可用性的保

持。问题是我们靠什么来做到这一点呢？目前，普遍的认识是主要从制

度、人员、产品和技术来解决信息安全问题，其中技术和产品主要有密

码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备

份恢复、PKI技术等手段，毋庸质疑，这些手段在保障信息安全中起到

了很大作用。但同时也发现，安全问题或安全隐患却依然层出不穷，安全

管理部门、运行维护人员疲于奔命，管理层人员的担心不断增加。这形

成了一个奇怪的局面，一方面我们在安全方面的投入越来越大，

而另一方面我们对安全的担心却并没有减少。这并不意味着我们在安全

上的投入是徒劳的，而是说明安全不是简单地通过投入就可以解决的，

更不是现有技术、产品的堆积就能达到效果的。针对这样的局面，我们

应该如何应对呢？

2.如何理解安全

探讨这个问题的重要性在于你对安全采取什么态度，而你的态度将

决定你的行为，或行为方式，而你的行为将对你所负责的系统产生关键

影响，也就是你对安全的态度是决定你所负责的系统的安全状态的最基

本的要素。所以说，如何理解安全是十分重要的。从对信息安全的定义

可以得出一个结论，那就是安全是一个过程，而不是一个结果，它是随

着时间的发展，随着系统环境、人文环境的变化而动态变化的，某一时

刻的安全，并不代表全部。另一个结论是安全是整体性的，系统性的，

它取决于多个部分共同的努力，也就是我们常提到的木桶效应，问题是

我们需要找出所有影响安全的因素，才能找到影响安全的关键环节，而

这几乎是很难做到的。虽然我们可以通过风险分析来弥补这方面的不足，

但仍然可能忽视掉影响安全的重要因素，这就造成我们对安全的持续不

断的担心。

安全的另一个特点是它是相对的，不是绝对的，这主要指两个方面，

一个是它的时间性，它可能随着技术的发展等因素，安全与风险之间的

平衡打破了，原先安全的可能变为不安全；另一个方面是你所能承受的

损失的能力的变化，我们可称其为可承受的损失或代价，我们一般所理

解的安全是在我们所承受的损失范围内，当你的承受能力变小或带来的

损失增大到无法承受时，安全的就可能变为不安全的。所以在理解安全

时，要弄清楚你所要保护的对象和所承受的损失。正确的理解是你为得

到安全所付出的代价应小于你所保护对象的价值。弄清楚了这一点，对

于你准备在安全上要投入多少，就有一个比较容易衡量的方法了。

3.信息安全的现状随着信息技术的发展，信息技术给人们带来方便

的同时，也同时带来了隐患，病毒、后门、恶意攻击等花样翻新的手段

给信息系统的正常使用带来了很大威胁。人们为防范这些风险，开发了

一系列的工具，防病毒软件、防火墙、入侵检测，还有其它的工具。针

对国防涉密系统，比较有效的手段主要是物理隔离、加密、访问控制、

身份认证等措施。似乎我们已经有了很多的手段来对付各种威胁，但仔

细分析就可以看出来，这些手段的有效实施，离不开一个重要因素——人，

而且防范的对象主要是人，人的作用在整个防范体系中既是核心又是最

大的缺陷。我们都清楚，内网主要是防内，即所谓70%的威胁来自内部，

这些人具有合法的身份，但却可能做非法的事情，由于人的不确定性，

这使得防范工作十分困难，如果对人的控制十分严厉，将不可避免地带

来工作效率的降低，这和信息系统便于工作的初衷相违背或至少抵消了

一部分信息