ccidnet????

出版日期:2005-04-25 总期号:1406 本年期号:29

本期导读
要闻综合
中国信息化
网络与通信
产品与应用
渠道与市场
东北专刊
华东专刊
华南专刊
西北专刊
中国信息安全
 全程安全与应急服务

文 李兆星

在国家的宏观调控使人们逐步撇掉泡沫,回归理性的时代,信息资产如果没有安全产品保驾护航,就无法实现自身的价值,作为信息的载体,网络亦然。互联网不仅是金融证券、贸易商务运作的平台,也成为交流、学习、办公、娱乐的新场所,更是国家基础设施建设的重要组成部分。信息网络安全体系建设在当代网络经济生活中具有重要的战略意义。2004至2005年接连不断的网络安全事件则让人们开始冷静思考网络的安全价值——安全,是网络的生存之本。

2005年中国第六届信息安全大会的主题定为“全程安全及应急服务”,足以凸现全程安全以及应急服务对于国家信息安全发展战略以及各安全厂商的重要性所在。

将“全程安全及应急服务”做为本次大会的主题,说明信息安全理念已发生了重大的变化,从单纯的追求技术、产品转变为全面追求信息安全的有效性。决策、管理、法律法规以及应急服务,在信息安全中发挥的作用越来越重要。在本次会议上将与大家共同探讨如何推进信息安全产业的发展和提升我国信息安全水平。

当前信息安全受到广泛关注,这不仅仅是信息安全技术本身的魅力所至,而是Internet/Intranet在飞速发展,使我们在享受信息便捷的同时,日益受到不同程度的安全威胁所致。人们试图通过各种技术手段来解决,然而规划并部署可靠、有效的安全体系结构不仅复杂,而且耗费巨大。因此信息安全已经成为一项系统化的工程,需要不断的实践和变化,才能满足信息应用的飞速发展。



而这一工程不仅需要国家制定宏观信息安全战略、安全厂商潜力研发新型安全产品主动防御安全威胁,同时也需要广大用户从根本上深化对于信息安全的理解和认识。而这就不可避免的需要三者能够从宏观、中观、微观不同的层面达成统一的认识,从而构建一个全程的信息安全体系——全程安全。如上图所示。

成功建立信息安全体系架构的一个关键性因素是开发一种行之有效的全程安全管理过程。

首先,由国家乃至企业领导者制订合理且具有前瞻性质的宏观指导政策、规章制度并针对具体的信息应用环境实施相应的安全策略,其次,由技术保障部门将相应的安全策略落实到具体的安全产品以及对其的配置管理之上,从而真正有效地实现风险识别、态势评估以及各种应急措施。基于此就可以减少出现特定漏洞、风险的可能性,并且在出现安全风险时,可以将造成的影响或后果降至最低。

但仅仅这种由宏观到微观的过程仍然是不足以构成“全程安全”的信息安全体系。从微观到宏观的过程中,我们仍然需要对安全防护的有效性以及安全漏洞、威胁对信息资产所造成的危害与信息资产的重要性进行综合从而将这些杂乱无章的信息有序化成相互之间具有深层次行为关联的安全事件,而这些安全事件将对各类安全产品的配置与管理起到指导性作用。藉由安全漏洞以及威胁所评估得出的安全风险与安全事件相结合,可以为管理层乃至技术保障部门提供宏观的安全态势评估,而这一态势评估将对国家乃至企业制订安全知识库奠定良好的基础。一旦安全事件进一步严重并演化成为安全事故,那么技术保障部门应吸取相应的教训并对已制订的安全策略进行修正以更进一步适应信息系统的千变万化的应用需求。

这才是“全程安全”力量之所在——从宏观、中观到微观随应用而变的信息安全体系。

从本质上讲,信息安全产业是一种服务产业,除了产品销售之外的活动都可以统统划归到服务的范畴。安全产品是核心,安全服务是增值。二者缺一不可。在信息安全产业热火朝天的形势下,黑客攻击频繁,安全事故层出不穷,信息安全厂商却无法能够创建一个“放之四海而皆准”的安全服务体系。

当然,安全防线的构成是多方面的,与不同的技术、管理和使用都可能有关。客户越来越担心得不到长期有效的“安全保障”,这个“安全保障”不是完全由产品提供的,相当一部分来自于服务。安全厂商通过产品来实现客户价值,通过服务来塑造安全价值。而应急服务作为一个独立的服务型产品,更是客户以及安全厂商所关注的焦点。

应急服务应对突发安全事件具有快速而标准化的响应流程,并尽可能地将突发事件对业务以及信息资产的影响降至最小化。令人欣慰的是,我们已经有不少安全服务厂商在这方面做了大量的工作并有了相当的经验积累。当然仅此是远远不够的,我们仍然需要按照“起-承-转-合”的服务理念更进一步深化应急服务的意识、提升应急服务所带来的价值以及扩大应急服务的应用层面与范围。

1.准备阶段(起):

专业的安全服务人员+标准化的工作流程和方法+自动化的安全工具。

2.检测与分析(承):

紧急事件检测+初始响应+事件分级+调查。

3.抑制、消除与恢复(转):

恢复系统正常+确认系统恢复正常+补丁/漏洞修复+策略修正。

4.事后总结与培训(合):

提交事件处理报告+完善安全知识库/预案库+安全意识教育/培训。

通过本次大会以“全程安全与应急服务”为主题的讨论将国家有关部门以及各安全厂商以及广大用户紧密的连接在一起,以此对信息安全产生更新的认识并进一步提升其所带来的无限价值。


信息安全体系架构——全程安全


应急服务应对突发安全事件响应流程