完善安全保障体系

在信息化快速发展的今天，加强自身的信息安全保障工作，建立完善的安全机制来抵御外来和内在的信息安全威胁，是对每个使用信息系统企业的必然要求。

各种企业随着信息技术的进步，对信息系统的依赖程度越来越高，针对企业的安全威胁的日益增多，国家各种规章制度相继出台，但显然不能涵盖企业信息安全的全部，所以企业不应只是被动地接受国家有关部门评测、定级，而应该参照等级保护制度的有关规定，把等级保护的思想贯穿到企业自身实践，建设满足各方要求的信息安全保障体系。

那么，什么样的信息安全保障体系才是有效的，满足要求的？笔者认为，应从思想观念、理论依据、体系设计和系统应用几方面予以创新。

“淡化边界，因人制宜”新观念

传统上，我们谈到信息安全时，首先考虑的就是网络边界防护，也就是通过防火墙、VPN、安全网关等技术把自己的信息隔离在一个相对封闭的区域里，好比在信息周围筑起了一道高高的围墙。

而在大量同外界共享应用系统和信息的今天，保护信息本身比建一堵围墙重要得多，也有效得多。

同时，由于信息是流动的，只有在流动中才能发挥其作用，过高的围墙阻止了信息的流动，从而也就限制了信息作用的发挥。这一点正如盖茨所讲，“人们建起了更宽的护城河和更厚的城墙，但很多人却忘记在君主打开城门走出城堡时保护他――这恰恰是一个公司最重要的资产。”因此，必须转变利用“高垒墙深挖壕”的方法保护信息的传统观念，将传统的网络边界概念模糊化。

笔者认为，利用划分边界的思想来保护信息安全，是把信息安全当作城堡，把信息当作城堡里的人，这样设计的信息安全系统只能是粗粒度的，不能将安全防护贯穿到信息本身;事实上，真正要保护的对象是城堡里的人，而拥有城堡的是城堡的主人，因此需要因人制宜，设定重点保护对象，而不是一视同仁。

信息安全同样如此，要根据信息的重要性分门别类予以保护，这样设计的信息安全系统才是细粒度的、有针对性的。等级保护就是把信息资产分为不同等级，根据信息资产不同的重要性，采取不同的措施进行防护。

它的出发点就是要突出重点，分级负责，分层实施，是对信息安全细粒度划分的体现，打破了传统信息安全保护“一刀切”的做法。在当今信息价值的时效性越来越突出的情况下，企业需要广泛、快速地同外界交换信息，通过信息的流动创造价值，因此，在企业信息安全保障体系建设中，从观念上，绝不可建造一堵自我封闭的“墙”，而应该淡化网络边界、强化信息重要性，实施分级分类保护策略。

构建整体防护体系

信息安全的木桶理论是指导安全实践的一个代表性理论，该理论认为，信息安全的防护强度取决于“木桶”中最短的那块“木板”。以这个理论为基础，必然导致安全管理实践上的诸多不足:发现病毒危害大，就买最好的反病毒软件;发现边界不安全，就安装最强的防火墙等等。

这其实是一种头痛医头，脚痛医脚的做法，治标不治本，所以实施后，安全问题还是很多，有人曾形象地形容其结果是“洞照开，虫照跑，毒照染”。从根上分析木桶理论，可以发现，该理论有一个自然的假设，即信息安全是用于保护信息的“桶”，而信息则是被保护的“水”。此理论将信息和信息安全割裂开了，其必然结果是信息安全实践中只注重堆积安全技术，而忽视要保护的对象――信息。

事实上，信息安全和信息绝不是桶和水的关系，而是紧密结合在一起的有机体，信息安全依存于信息和信息系统之中。要做好整体信息安全，不能孤立地去研究信息安全技术，而应该将信息、信息系统、信息安全技术作为一个整体考虑，只有这样，信息安全建设才不至于走偏。

从理论上研究如何将信息和信息安全整体考虑，可引入管理学中的层次化思想和满意决策理论。在管理学中，把组织按层次结构分成三层，即宏观决策，中观运营，微观操作。从微观到中观是一个协调管理的过程，从中观到宏观是一个总体监控的过程，从宏观到中观是一个全局指导的过程，从中观到微观是一个控制和配置的过程。此观点用于信息安全建设，强调各种安全产品的统一管理和控制，各种信息资源的统一整合，各种技术手段的统一部署与应用。笔者认为，信息安全是让信息拥有者或使用者到达主观上感到不受威胁、损失的状态，这种状态本质上是信息安全达到事先设定的满意度的状态，即最优、最彻底的信息安全是不现实的，而主观上不受威胁、感到满意的状态则是任何企业都可以判断和把握的。

因此，企业在选择指导安全建设的理论时，要抛开寻找最短“木板”的理论思维，制定合理的、满意的安全规划，才能使得信息安全建设具有实际意义。不同企业，由于其规模、重要性、影响面不同，其信息安全级别也是不相同的，因此不能将一个企业的信息安全防护措施全盘照搬到另一个企业，只有根据不同企业的实际情况，制定层次化、满意的安全策略，才是合适、有效的。

管理、技术并重的设计

回顾信息安全的发展历程，安全管理发端于安全技术。最早的安全就是以加密技术为核心的数据保密，伴随着防病毒、防火墙、入侵检测等主要安全技术的发展，出现了安全设备的广泛应用和部署，但是人们发现，如果安全设备的部署杂乱无章，缺乏管理，必然存在很多漏洞，这便造成了黑客、蠕虫、病毒的泛滥。也就是说，并不是安全技术和安全产品的种类、数量越多越好，技术只是一方面，必要的管理不但可以节省不必要的投资，而且可以让安全防御更加彻底。从信息安全的发展不难看出，安全技术是信息安全的工具，安全管理则是利用工具保障信息安全的手段，在设计信息安全保障体系时，只有把这些工具合理应用到信息流动的各个环节，寻求整体的信息安全保障，才有理想的信息安全。

那么，如何将管理和技术有机结合起来呢？可以借用知识管理思想。知识管理理论是知识经济时代的产物，其关键要素是人、过程、技术和知识，其本质是寻求将信息技术所提供的对数据和信息的处理能力以及人的发明创造能力这两方面进行有机的结合。

从信息安全保障本身看，信息安全的三要素中安全保障措施与人，过程，技术相关;其中，人是安全保障措施的首要因素，也是安全管理的中心，只有利用安全技术，将人的知识应用到信息资产保护的过程中，才能达到满意的、整体的安全。所以，在进行信息安全体系设计时，应贯穿知识管理的人和技术、人和管理过程相结合的思想。以上面层次化思想及知识管理理论为基础，笔者给出如图所示的信息安全保障框架。

图1 基于层次化思想和知识管理理论的信息安全保障框架

上述安全保障框架以安全技术为基础，以统一策略、统一管理、整体联动为导向，以相关标准和法规为依据，既充分利用技术，又强调整体分析和宏观决策，最终形成决策层面宏观分析，运营层面统一运营、统一管理，技术层面积极部署，可靠运行的整体保障思路，贯穿了技术与管理并重的设计思想。

实现应用的互动与创新

如前所述，信息安全要让信息拥有者或使用者到达满意的状态。要达到这种状态，则一方面需要知道威胁的存在及来源，即可知;另一方面还要识别相应的威胁程度并在此基础上采取相应的动作去消除不安全，即可识。上述保障框架的安全事件监控就是一个探知安全威胁的过程，风险评估和管理则是一个识别安全威胁、消除安全隐患的过程，也就是说，信息安全管理过程是一个可知识化的过程，是知识管理思想在信息安全领域的延伸。从根本上分析信息安全管理过程，其主要遵循了知识创新的螺旋式上升规律。

在螺旋上升过程中，不断要将外界的显性安全知识转化为组织内的隐性知识加以利用，通过标准化的文档管理、知识库管理，再将隐性知识显性化，遵循SECI模型的知识创新循环。因此，为使信息安全建设富有成效，应在实际应用过程中不断吸收新的技术、知识，转化为组织知识，这样的安全系统才有动态性、持久性。

毫无疑问，企业的信息安全应围绕业务导向和驱动而设计、部署和运行，同时应保障业务的顺利开展，自然地，信息安全与业务形成了一个螺旋上升的环。

在具体应用中，通过整合知识管理各过程到系统中，实现对安全资源的有效整合、对不同信息的分级分类保护，从而降低威胁的复杂性、易变性和不可见性的影响，提高安全保障的能力，实现一致性、灵活性和可视性;通过对安全资源的集中管理，隔离底层技术复杂性和异构性，形成一种层次化的安全管理思路。

决策层只需要利用知识管理模块提供的报表、分析结果进行有关决策，操作层只需要关心安全事件的收集、采集与处理，实现分工明确，上下联动;通过发挥使用者的主观能动性，不断调整信息安全策略，实现信息安全知识库的更新，从而使安全系统的安全保障能力呈现SECI循环的螺旋式上升。

以等级保护思想对的企业信息安全建设的要求为出发点，在“淡化边界，因人制宜”的思想观念及信息安全体系建设应遵循的层次化思想和满意原则下，提出了基于层次化思想和知识管理理论的信息安全保障框架，并强调应在应用中不断创新完善。希望这些观点、方法的提出，有助于企业早日建立起满意的、行之有效的、满足自身安全的信息安全保障体系。