木桶原理与信息安全（草稿）

zhuwm99

有感于信息化建设中安全问题的解决态度，写的一点东西，个人观点，希望大家批评指正，多谢。\r\n\r\n木桶原理与信息安全\r\n木桶原理指的是：一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么木桶的最大容量不取决于长的木板，而取决于最短的那块木板。这个原理同样适用信息安全。一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。信息从产生到销毁的生命周期过程中包括了产生、收集、加工、交换、存储、检索、存档、销毁等多个事件，表现形式和载体会发生各种变化，这些环节中的任何一个都可能影响整体信息安全水平。以一份需要保密的内部文件为例，它的生命周期包括起草、审批、传送、分发、归档、销毁这些环节，其介质可能是钢笔手写，电子文档、打印稿、传输路径中的数字信号等等。在这份文件存在的生命周期内，有无数可能会导致信息泄密。例如，起草文件的作者随手丢弃草稿，电子文件保存在非授权用户可以访问的磁盘位置、文件分发时没有明确的接受对象、在基层组织的阅读范围被擅自扩大等等。\r\n因此，要从整体上提高一个组织的信息安全水平，必须保证信息在整个生命周期中的安全。任何一个环节出现疏忽，都可能导致信息安全的失败。要实现这个目标，一个组织必须制定严格的、系统的安全保密办法来保证信息安全，包括高层领导授权、保密政策、实施办法、监督检查制度、员工安全意识培训、可靠的技术设备等等，也就是要使构成安全防范体系这只“木桶”的所有木板拥有相近的长度。\r\n但是，很多组织在解决安全问题时存在一个误区：重技术、轻管理，使管理的方面“木板”大大短于技术方面的“木板”。在建设过程中，这些组织往往不惜花费巨额资金来购置防火墙、入侵检测设备、光纤传输、防病毒软件，网络转换开关等安全设备，或者为了安全起见，在设计方案时人为划分多个网络如外网、内网、专网，各个网络间物理隔离，却忽略了组织内部的安全制度建设和员工的安全教育。诚然，技术方法是解决安全问题非常重要的方面。但是，技术永远只会是构成木桶的一部分木板，相比较而言，人的行为是信息安全保障最主要的方面。统计结果表明，在所有的信息安全事故中，只有极少一部分是由于黑客入侵或其他外部原因造成得，绝大部分是由于内部员工的疏忽或有意泄密造成的。因此，信息安全工作必须从管理角度出发，以制度来保障。\r\n日常的经营管理的所有活动都应该关注信息安全。组织内部的每一个人，从组织负责人到中层干部到一般员工，包括临时雇员如保安和清洁人员，都应该遵循一定的行为规范，来保证信息安全。这些不仅仅是员工的自发行为，更应该是自觉的行为。要实现这一点，一个组织必须需要从多方面努力，经常自我检查，努力发现最短的那块“木板”，以保证整体安全水平。以下简要介绍日常管理当中需要关注的“木板”。\r\n1．        高层对信息安全的态度\r\n由于信息安全工作并不能够直接创造效益，相反还会增加成本，许多组织高层领导对安全工作并不十分重视。可是，在实际工作中，高层领导的重视和授权是搞好信息安全的必要条件。信息安全工作涉及到各个部门，没有高层领导的支持、授权并分配资源，安全人员或技术人员很难开展工作。SC Magazine的一次问卷调查表明，相当一部分组织的信息安全人员认为，高层领导对信息安全的积极态度是他们工作中最大的挑战，也是他们完成成功的重要保证。\r\n2．        组织保障\r\n在组织内部，信息安全工作应该由指定的职能部门或人员来负责，各相关部门提供支持，否则安全工作很难落实，管理层也很难对工作进行监督、检查和评价。目前，大部分组织的安全工作都由办公室或信息中心的人员兼任。个人能力要求、职权、工作内容和目标都不明确，安全人员很难开展工作，实际上形同虚设。\r\n3．        书面的信息安全管理办法\r\n组织的信息安全工作应该通过制度来保障。缺乏必要的制度，员工的行为就没有参照标准，管理层也很难规范和检查员工行为。安全管理办法应该从多个层次、不同方面来指导和规范安全工作。例如，对一个大型的组织而言，最高层次的管理章程应该说明安全的必要性、目标和总的指导原则。下级组织应根据主管组织的管理办法制定本组织的管理目标、实施办法、职能部门。基层部门则应该结合自身的工作内容和特点制定详细的安全章程和操作办法。信息安全制度中还应该包括工作的检查、考核和评价办法，以保证制度的有效贯彻实施。\r\n4．        信息分类制度\r\n组织内部的信息种类和数量可能非常巨大，从安全效率和效果的角度考虑，对所有信息进行同样级别的保密不可能也没有必要。例如，人事变动的信息在正式公布之前应该严格保密，但在公布之后其敏感程度就大大降低，不再需要严格保密。\r\n信息保密分类制度是指组织将其内部信息按照信息性质、拥有人，使用对象、保密程度等因素进行分类。再按类别确定信息的保密要求、保密期限、保密措施、信息使用范围等。\r\n信息分类制度为如何处理具体的信息安全有关问题提供了参照。例如，对于高度保密的文件，只有少一部分人应该知道，不能通过公共网络传递，每份文件有单独标记，不允许随便复印等。\r\n5．        员工安全意识培训\r\n员工的行为将直接影响信息安全，因此，必须通过各种方式来培训员工，提高和强化他们的安全意识。这些方式可能包括专门的培训课程、将安全项目列入业绩考核内容、在领导的工作报告中强调安全工作、在可能的情况下举行安全演习。安全意识必须和工作岗位联系起来，在接触敏感信息越多的岗位，员工应该有更强的安全意识。\r\n6．        监督机制\r\n任何管理制度，如果缺乏必要的监督机制，都很难保证其执行的效果和效率，信息安全管理也是如此。监督机制包括上级对下级工作的监督、同事之间的互相督促、鼓励员工汇报安全漏洞和事故等。此外，审计是监督机制中一个非常重要而且有效的方面。由内部审计人员或外部审计人员对信息安全状况进行独立的检查和评价，并向管理部门提供报告和建议。独立的安全审计可以保证管理人员能够客观地认识本组织安全管理的现状，并采取适当的措施。\r\n木桶原理其实是系统理论的一个实例。在考虑信息系统安全时，必须用系统的整体的观点来分析问题。不能片面地、孤立地强调技术或管理。在信息安全领域，由于信息技术的快速发展，技术进步已经领先于管理理论和实践，而管理的滞后不可避免的影响整体的信息安全水平。因此，组织的管理者和安全从业人员应该积极地学习和探索安全管理理论和技术方法，并结合自身组织的特点不断改进和提高，不断调整木桶各块木板的长度，只有这样，才能够保证组织信息的安全，使信息安全管理工作不断成熟。

lionelhua

重技术、轻管理\r\n\r\n说得很好。这个误区让很多公司都觉得IT部门都是一个花钱的，不产生效益的部门。

leehoo

老兄能否介绍一下“三分技术，七分管理”的东东

ccbzzp

是啊!\r\n提高“管理”这块木板的尤其必要

fishfase

这种调子我前三年就在唱了。问题是人的惰性和无知制约着一些东西。

mssp298

希望再多一些原创性的东西！

l_niu

有时在出现了一些安全事故之后,是最好的时机

zhuwm99

最初由 l_niu 发布\r\n[B]有时在出现了一些安全事故之后,是最好的时机 [/B]

\r\n\r\n严重同意\r\n\r\n以一切可能办法提高管理层和所有员工的安全意识和知识是安全人员的职责之一哦。\r\n包括：\r\n专题培训\r\n向领导层提交有说服力的报告、建议\r\n出现事故之后及时总结和建议\r\n注意维护和提升自己的专业形象，和其他专业人员沟通、宣传\r\n在公司内部定期发布安全事项等等

jordandeng

7799上说得明白，三分技术、七分管理，这也难怪领导只重管理。\r\n另外，所谓短木板，就是安全的薄弱环节。\r\n我觉得首先对安全问题的分析要全面，否则就会有短木板\r\n其次，要对安全基线定义明确；这是安全部门和业务部门共同制定的（当然不包括公司级的policy），消除安全盲区。