| 出版日期:2004-04-26 总期号:607 本年期号:14 |
|
 |
与ITIL和COBIT融合
CISA专家 陈伟 BS7799系列讲座之三 建设“技术防火墙” 根据风险评估的结果,综合利用各种信息安全技术与产品,在统一的IT服务管理平台上(ITIL),以“适度防范”为原则,建立有效的“技术防火墙”,这是实现信息安全管理的可靠外部保证措施。 所谓“技术防火墙”是指在风险评估的基础上,综合利用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保证企业的信息系统的机密性、完整性和可靠性。 建立“技术防火墙”要注意几个问题: 1、以风险评估为基础,以“适度防范”为原则。 安全产品的选择不能纯粹以技术为标准,要考虑成本和投资回报,过高的安全成本就会使安全失去意义。实现信息安全的过程其实是对风险进行管理的过程,其本质是对风险进行评估、控制并最终减轻风险后果,其重点是以“适度防范”的原则,指导组织采用必要安全强度的保护措施,以满足其业务安全的需求,用最小成本将信息系统的残留风险降低到组织可以接受的水平。 2、技术结构方面,应该具备评估、保护、检测、反应和恢复的五种技术能力。 实现ISO 7498-2所定义的鉴别、访问控制、数据完整性、数据保密性、抗抵赖五类安全功能。随着安全技术日新月异的发展,现在已经有更多的安全机制来提供这样五类安全技术,可以通过不同的产品和技术手段,来实现组织各种安全功能的要求。 3、安全产品要建立在统一的IT服务管理平台上,遵循相同的标准,降低管理的复杂性。 随着企业IT应用的深入和规模的扩大,技术管理难度越来越大,用户的负担越来越重,企业提出了简化管理的要求。根据信息安全的特点,多种安全产品的应用将跨越多个部门甚至多个企业,密集分布的安全产品增加了管理的难度,同时安全完备性也要求实现集成化安全管理和安全信息共享机制,以集中管理安全控制、安全策略、安全配置、安全事件审计、安全事故应急响应,可管理的安全才是真正意义上的安全。 这就要求安全产品要建立在一个遵循相同标准的、统一的IT服务管理平台上。IT基础架构库(ITIL) 是IT 服务管理最佳做法的一套全面、一致和相关的代码,由英国的中央计算机与电信局 (CCTA) 开发,己在全世界被广泛采纳为IT服务标准。安全产品与服务应适应IT基础架构库的要求,符合ITIL简化管理、降低管理风险的基础性标准。 4、制定有效的灾难恢复与业务持续性计划。 不是对所有的威胁都可以找到针对它的安全保护措施。对这类威胁可能带来的风险我们只能接受,但是要采取适当和有效的措施来减轻相关威胁实际发生时所带来的破坏后果,这些过程就是安全管理中的灾难恢复与业务持续性计划,这是组织信息安全的最后一道防线。在美国“911”恐怖袭击事件与中国的SARS爆发事件中,灾难恢复与业务持续性计划己显现出了保证企业业务持续性的重要性。 实施系统审计 对于安全框架是否已有效地建立起来,技术防火墙与人力防火墙能否起到应有的作用,需要进行信息系统安全审计。信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。 目前国际上通用的信息系统审计的标准是信息系统审计与控制协会在1996年公布的COBIT(Control Objectives for Information and related Technology),这是一个在国际上公认是先进、权威的安全与信息技术管理和控制的标准,目前已经更新至第三版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。 |
||||||||||||||||||||||
