安全資訊

在對信息系統進(jìn)行安全管理之前，信息管理者首先要做的是樹(shù)立正確的網(wǎng)絡(luò )安全觀(guān)。只有在正確的網(wǎng)絡(luò )安全理念指導下，信息管理者才能對網(wǎng)絡(luò )系統安全進(jìn)行有效管理。網(wǎng)絡(luò )安全一定要摒棄絕對化、靜態(tài)化、技術(shù)化、片面化和極端化等幾種錯誤觀(guān)念。

一、 絕對化：期望零風(fēng)險

信息系統本身具有很大的“脆弱性”，信息系統依賴(lài)的硬件、信息系統應用的IT技術(shù)（軟件方面）、信息系統的建設和使用過(guò)程都存在著(zhù)大量的風(fēng)險因素，這類(lèi)風(fēng)險客觀(guān)長(cháng)期存在，既有有形的風(fēng)險（設備、環(huán)境）、也有無(wú)形的風(fēng)險（行為、道德）。信息系統安全管理的目標只能是將風(fēng)險控制在一定的范圍內，而不是實(shí)現絕對的安全。那種要求系統服務(wù)商承諾軟件系統功能無(wú)差錯，要求系統服務(wù)商承擔系統錯誤造成的損失和影響的做法都是不科學(xué)的。其實(shí)不僅是網(wǎng)絡(luò )安全，任何類(lèi)型的安全都是如此。對于投資安全來(lái)說(shuō)，世界上不是也沒(méi)有穩賺不賠的生意嗎？

為了追求絕對的安全，一些組織采用了物理隔離的方式。物理隔離能保證絕對安全嗎？當然不能。不要忘記，IT基礎設施只是信息系統的一部分，各種利益相關(guān)者如操作人員也是信息系統的組成之一。某些國家的情報機構已經(jīng)開(kāi)發(fā)出了一種可以讓處于氣隙系統電腦感染的工具。這種工具檢測到有U盤(pán)連接之后，會(huì )首先感染U盤(pán)，然后再通過(guò)U盤(pán)將病毒擺渡到氣隙系統中的計算機上。如果操作人員安全意識淡薄，拿著(zhù)連接過(guò)互聯(lián)網(wǎng)的U盤(pán)連接到氣隙系統的計算機上，則信息系統的安全閘門(mén)可能就會(huì )轟然倒下。因此，即便信息系統的IT基礎設備被物理隔離，仍舊要加強信息安全管理。2009年7月至2010年9月間，伊朗核設施遭受了Stuxnet病毒的攻擊。位于伊朗納坦茲的濃縮鈾工廠(chǎng)首先遭到了攻擊，其用于濃縮鈾材料的離心機受到了嚴重的破壞，近20%的離心機因此報廢，進(jìn)而導致濃縮鈾的產(chǎn)量下降了30%。Stuxnet病毒是世界上首個(gè)專(zhuān)門(mén)針對工業(yè)控制系統編寫(xiě)的破壞性病毒，其傳播方式有別于一般的計算機病毒，除了經(jīng)由互聯(lián)網(wǎng)傳播外，還可以通過(guò)USB設備來(lái)感染未接入互聯(lián)網(wǎng)的計算機。只要被Stuxnet病毒感染的U盤(pán)連接計算機后，這種病毒會(huì )在不需要任何操作的情況下，取得工業(yè)電腦系統的控制權。

二、片面化：只關(guān)注外部威脅

在進(jìn)行信息系統安全管理時(shí)，人們的主要精力往往重點(diǎn)關(guān)注來(lái)自外部的安全威脅，如網(wǎng)絡(luò )滲透、黑客攻擊等，卻忽視來(lái)自?xún)炔康陌踩{。但是縱觀(guān)IT史上那些重大的信息安全事件，大部分都是由于內部人士誤操作或者蓄意發(fā)起。

2017年2月28號，號稱(chēng)“亞馬遜AWS最穩定”的云存儲服務(wù)S3出現“超高錯誤率”的宕機事件。由于美國許多大型網(wǎng)站如Snapchat、Twitter等都是基于亞馬遜的云存儲服務(wù)，結果，美國半個(gè)互聯(lián)網(wǎng)都跟著(zhù)癱瘓了。AWS后來(lái)給出了確切的解釋?zhuān)阂幻绦騿T在調試系統的時(shí)候，運行了一條原本打算刪除少量服務(wù)器的腳本，結果輸錯了一個(gè)字母，導致大量服務(wù)器被刪。為了修復這個(gè)錯誤，亞馬遜不得不重啟整個(gè)系統，最終導致了震驚全球的Amazon S3宕機4個(gè)小時(shí)事件。

三、靜態(tài)化：期待一勞永逸

在解決安全問(wèn)題的過(guò)程中，不可能一勞永逸。安全產(chǎn)品、安全技術(shù)需要隨著(zhù)攻擊手段的發(fā)展而不斷地升級，并且需要管理人員來(lái)日常運營(yíng)維護，否則安全防護會(huì )成為稻草人，馬奇諾防線(xiàn)，在變化的攻擊手段前不堪一擊。因此唯一的長(cháng)效安全機制就是安全的持續改進(jìn)，針對變化的安全形勢和矛盾的持續調整。

四、極端化：為保安全犧牲業(yè)務(wù)目標

信息系統的目標是為了支撐企業(yè)組織的的業(yè)務(wù)，信息系統安全管理的目標是為了確保信息系統的正常運行，為企業(yè)組織實(shí)現業(yè)務(wù)目標提供信息支撐。因此，確保信息系統的安全只是手段，而不是目標，不能為了信息系統的安全而影響到信息系統的正常使用，更不能影響到企業(yè)目標的實(shí)現。

五、技術(shù)化：安全是IT技術(shù)人員的事情

網(wǎng)絡(luò )安全不單單是IT技術(shù)人員的事，它涉及到企業(yè)組織的方方面面，是一項系統工程，需要技術(shù)與管理雙管齊下。例如，盡管信息系統在設計過(guò)程中，綜合采用多種高級的加密算法來(lái)實(shí)現用戶(hù)訪(fǎng)問(wèn)控制和權限管理，但是如果用戶(hù)沒(méi)用養成良好的安全意識，在登錄系統后隨意離開(kāi)電腦，或者將自己的用戶(hù)名和密碼隨便貼在電腦顯示器邊緣，那無(wú)論采用任何高級的安全技術(shù)也不能確保信息系統的安全。