信息安全保障步入“面向服務(wù)”的時(shí)代

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

信息安全保障進(jìn)入面向服務(wù)的階段，是針對(duì)業(yè)務(wù)服務(wù)的用戶，對(duì)用戶提供服務(wù)支持的保障，是企業(yè)業(yè)務(wù)支撐的保障，它與用戶業(yè)務(wù)從開(kāi)發(fā)到運(yùn)營(yíng)的生命周期更加結(jié)合緊密，滲入到業(yè)務(wù)流程的每一個(gè)環(huán)節(jié)，伴隨著信息流動(dòng)的全過(guò)程。很顯然，這個(gè)“服務(wù)”不同于安全技術(shù)人員的建議與咨詢服務(wù)。開(kāi)篇先回顧信息安全發(fā)展歷程中的安全理念變化，然后詳細(xì)探討下從“服務(wù)”到“服務(wù)”，重點(diǎn)是面向服務(wù)的含義變化。

回顧信息安全發(fā)展歷程中的安全理念變化

信息安全的概念的出現(xiàn)遠(yuǎn)遠(yuǎn)早于計(jì)算機(jī)的誕生，但計(jì)算機(jī)的出現(xiàn)，尤其是網(wǎng)絡(luò)出現(xiàn)以后，信息安全變得更加復(fù)雜，更加“隱形”了?，F(xiàn)代信息安全區(qū)別于傳統(tǒng)意義上的信息介質(zhì)安全，是專指電子信息的安全。

隨著IT技術(shù)的發(fā)展，各種信息電子化，更加方便地獲取、攜帶與傳輸，相對(duì)于傳統(tǒng)的信息安全保障，需要更加有力的技術(shù)保障，而不單單是對(duì)接觸信息的人和信息本身進(jìn)行管理，介質(zhì)本身的形態(tài)已經(jīng)從“有形”到“無(wú)形”。在計(jì)算機(jī)支撐的業(yè)務(wù)系統(tǒng)中，正常業(yè)務(wù)處理的人員都有可能接觸、獲取這些信息，信息的流動(dòng)是隱性的，對(duì)業(yè)務(wù)流程的控制就成了保障涉密信息的重要環(huán)節(jié)。

從信息安全的發(fā)展歷程來(lái)看，安全保障的理念分為下面幾個(gè)階段：

1、面對(duì)信息的安全保障

計(jì)算機(jī)網(wǎng)絡(luò)剛剛興起時(shí)，各種信息陸續(xù)電子化，各個(gè)業(yè)務(wù)系統(tǒng)相對(duì)比較獨(dú)立，需要交換信息時(shí)往往是通過(guò)構(gòu)造特定格式的數(shù)據(jù)交換區(qū)或文件形式來(lái)實(shí)現(xiàn)，這個(gè)階段從計(jì)算機(jī)誕生一直延續(xù)到互聯(lián)網(wǎng)興起的九十年代末期。

面對(duì)信息的安全保障，體現(xiàn)在對(duì)信息的產(chǎn)生、傳輸、存儲(chǔ)、使用過(guò)程中的保障，主要的技術(shù)是信息加密，保障信息不外露在“光天化日”之下。因此，信息安全保障設(shè)計(jì)的理念是以風(fēng)險(xiǎn)分析為前提，如ISO13335風(fēng)險(xiǎn)分析模型，找到系統(tǒng)中的“漏洞”，分析漏洞能帶來(lái)的威脅，評(píng)估堵上漏洞的成本，再“合理”地堵上 “致命”漏洞，威脅也就消失了。

然而風(fēng)險(xiǎn)的大小，漏洞的危害程度是隨著攻擊技術(shù)的進(jìn)步而變化的，在大刀長(zhǎng)矛的冷兵器時(shí)代，敵人在幾十米外你就是安全的，到了大炮、機(jī)槍的火器年代，幾白米、幾十公里都可能成為攻擊的對(duì)象，而到了激光、導(dǎo)彈的現(xiàn)代，即使你在地球的另一端，也可能隨時(shí)成為被攻擊的對(duì)象。所以面向信息的安全，分析的漏洞往往是隨著攻擊技術(shù)發(fā)展、入侵技術(shù)進(jìn)步而變化的，一句話，就是被動(dòng)地跟著攻擊者的步調(diào)，建立自己的防御體系，是被動(dòng)的防護(hù)。更為嚴(yán)酷的是：隨著攻擊技術(shù)的發(fā)展，你與敵人的“安全距離”越來(lái)越大，需要你的眼睛具有越發(fā)強(qiáng)大的目力---因?yàn)楸O(jiān)控不到敵人的動(dòng)向，你就無(wú)從談起安全。

在信息安全的階段，安全技術(shù)一般采用防護(hù)技術(shù)，加上人員的安全管理，出現(xiàn)的最多的是防火墻、加密機(jī)等，但大多邊界上的防護(hù)技術(shù)都屬于識(shí)別攻擊特征的“后升級(jí)”防護(hù)方式，也就是說(shuō)，你在攻擊者來(lái)之前升級(jí)自己了，就可能防止他的入侵，若沒(méi)有來(lái)得急升級(jí)，或者沒(méi)有可升級(jí)的“補(bǔ)丁”，你的系統(tǒng)就危險(xiǎn)了。面對(duì)加密技術(shù)的暴力破解也隨著計(jì)算機(jī)的速度發(fā)展，讓加密系統(tǒng)的密鑰長(zhǎng)度越來(lái)越長(zhǎng)。

2、面向業(yè)務(wù)的安全保障

如果說(shuō)對(duì)信息的保護(hù)，主要還是從傳統(tǒng)安全理念到信息化安全理念的轉(zhuǎn)變過(guò)程中，那么面對(duì)業(yè)務(wù)的安全，就完全是從信息化的角度考慮信息的安全。到了04、 05年，互聯(lián)網(wǎng)已經(jīng)深入到社會(huì)的各個(gè)角落，網(wǎng)絡(luò)成了人們工作與生活的“信息神經(jīng)”，人們發(fā)現(xiàn)各種工作已經(jīng)脫離傳統(tǒng)的管理模式，進(jìn)入到世紀(jì)初還是夢(mèng)想的“無(wú)紙化”辦公時(shí)代，此時(shí)計(jì)算機(jī)的故障、網(wǎng)絡(luò)的中斷已經(jīng)不再是IT管理部門的小事件，往往是整個(gè)企業(yè)的大故障，有些金融、物流、交通等企業(yè)，網(wǎng)絡(luò)的故障完全可以導(dǎo)致企業(yè)業(yè)務(wù)的中斷，企業(yè)的停業(yè)。

此時(shí)，需要保護(hù)的信息不再只是某些文件，或者某些特殊權(quán)限目錄的管理，而是用戶的訪問(wèn)控制、系統(tǒng)服務(wù)的提供方式，此時(shí)要保障的不再只是信息，而是整個(gè)業(yè)務(wù)系統(tǒng)，以及業(yè)務(wù)的IT支撐環(huán)境，業(yè)務(wù)本身的安全需求，超過(guò)了信息的安全需求，安全保障自然也就從業(yè)務(wù)流程的控制角度考慮了，這個(gè)階段我們稱為面向業(yè)務(wù)的安全保障。