建立符合国情的信息安全管理体系

 摘  要】从人员配置、财力分配和基础理论研究三个方面分析中国信息安全管理现状。

【关键字】信息安全管理

 

1引言

   信息安全管理通常被分为技术管理和制度管理，这样分类欠妥当。管理制度是管理者意识的直接体现，所谓技术管理只是管理制度的一种实现手段。任何管理大都通过如图1.1实施。

图1.1

管理制意识——》

管理制度——》

制度实现手段

图1.1的过程是达成共识的，同时管理制度的制定和制度的实现手段是被重点关注的。对于整个流程的根源——管理者意识没有去关注，当然也没有人敢去关注。现在我们追本溯源的想一想，当技术手段不断进步，管理制度不断强化还是不能解决问题的时候，我们应该想想是不是源头出了问题。当然这就是决策问题了，这样说太严肃了，但是这是事实。这个时候舆论一般是去追究决策者的责任，责任是要追究，更要追究的是是什么左右了决策者的思维，经过调查发现可知由如下两个因素决定了决策者的思维：

1.         道德规范和法律法规；

2.         耗散体系的耗散因子；管理对象一般都是耗散系统，就是如果没有外界影响，系统将会向有害于系统的方向发展。如操作系统随着时间的推移，漏洞会越来越多，只有通过外界补丁的加入，才能保持操作系统稳定安全运行。

道德规划和法律法规是硬性的指标，对管理而言，更多的是去考虑好事体系的补偿因子。到这里，我们已经找到了问题的关键，决定管理制度的因素是耗散因子。

1.2神奇的耗散因子

  由引言可知，管理制度受控于耗散因子，同时管理制度又通过补偿手段作用于耗散因子。管理的流程如图2.1。

图2.1

技术手段——》耗散因子

^|^                             |

管制制度《——管理制意识

管理的整个过程由耗散因子结成了管理环。

中国的信息安全管理制度制定

   由上面的论述知，管理制度制定的前提是获得管理对象的所有表象，然后抽象提取获得耗散因子。中国的信息安全管理制度制定没有经过全面的针对信息系统的表现收集，当然更谈不上后期的的抽象分析了。

 

国外的经验为指导思想，使得的后续的管理制度，技术手段都要使用国外的套路，同时国外的套路用的也很上路，就是因为整个起源都是来自国外的经验。当然这个模式是管理不好中国的信息安全的，首先道德准则和法律法规不同，其次管理的对象不同，再次整个管理体系没有反馈过程，不符合控制论的基本要求。

   错误的管理制度，自然导致整个体系的错误，乃至殃及误导技术的发展。

3建立符合国情的信息安全管理体系

   接下来我沿着管理体系的创建过程来逐步论述如何建立符合国情的信息安全管理体系。

3.1明确信息安全管理对象

   虽然信息安全80%的问题都出自人员操作上，但是为数不多的信息安全投资还是用于采购网络设备上，对人员安全培训更多的是流于表面甚至根本没有。这一切说明，信息安全管理体系制定者对管理对象没有明确认识。信息安全管理对象应该有以下三部分组成如表3.1.1。

管理对象

软硬件设备

系统使用人员

人员对设备的操作

 

3.2收集管理对象的表象

   首先我们考虑一个关于交通管制的问题。为什么要使用实时的监控方法，而不是问卷调查或者抽样统计的方法。因为这是个时刻都在变化并且情况各异的系统，所以要使用实时监控。那么信息安全管理的对象呢？它是一个比交通管理系统更为复杂，表象随机，实时性更强的多子系统交织的庞杂系统。表3.2.1列举常见信息安全管理对象的表象。

管理对象 表象 软硬件设备 设备工作温度 设备工作电压 设备工作电流 设备错误情况 软件运行状态 服务运行状态 等等 系统使用人员 无意识的违规操作 看不懂操作手册 等等 人员对设备的操作 移动存储介质使用 涉密文件使用 等等

表3.2.1

3.3抽象提取耗散因子

   由表3.2.1可知信息安管理对象有相当庞杂的表象集合，这个庞杂的集合由相互独立又耦合的子集组成。一些子集之间互为因果关系，对于它们的耗散子集提就只需分析原因的表象，通过从根源上抵消甚至消除耗散因子达到信息安全管理的目的，并且避免了分析大量数据所带来的人力和财力的浪费。

   在不同的评判准则下，子集之间的关系也不尽相同，这时决策者不光要照顾所有评判准则下的关系，还要有主次之分，保证做到不遗漏，抓重点。如表3.3.1是表3.2.1对应的耗散因子。

   人员的安全意识不够会造成诸多的操作安全事故，那么是不是人员的安全意识足够的高就可以解决操作安全事故的问题了。显然不是的，因为安全意识不够不是操作安全事故的充要条件，有些操作安全事故是由于人员的安全知识不了解所致，更有莫非定律知操作安全事故是必然会发生的。所以，在提高安全意识、普及安全知识后还是存在操作安全事故。

管理对象	表象	耗散因子
软硬件设备	设备工作温度	机房温度+设备散热
	设备工作电压	设备供电系统
	设备工作电流
	设备错误情况	设备稳定性
	软件运行状态	软件稳定性
	服务运行状态
	等等	等等
系统使用人员	无意识的违规操作	安全意识
	看不懂操作手册	安全知识
	等等	等等
人员对设备的操作	移动存储介质使用	介质监控
	涉密文件使用	文件监控
	等等	等等

表3.3.1

3.4是否还要影响到管理者的意识

   按流程到了管理者的意识阶段了，管理者同时扮演者决策者和制度执行者的多重角色，但是信息安全的管理对象是个实时性极高，规模庞杂的集合，如果还是使用传统的方式，所有的管理都要变成事后追究责任。

中决策者处于管理的中心位置，监管整个管理流程的执行。为了适应信息安全管理的实时性和庞杂性整个管理流程利用信息系统本身的实时性来完成。

3.5如今的安全设备能否胜任信息化管理模式

   表3.5.1以OSI七层模型为分类依据列出现在市场上的所有网络安全设备。

OSI 单功能安全设备 综合安全设备 应用层 上网行为管理设备 日志系统 备份系统 防毒墙 UTM 表示层 加密和认证设备 VPN 会话层   防火墙 传输层   网络层 路由器和三层交换机 数据链路层 交换机 VPN 物理层 网闸 VPN

表3.5.1

通过表3.5.1可见如今的网络安全设备覆盖了整个OSI七层模型，并且有不少功能重复的设备出现。也就是说，从技术角度而言，已经对网络进行比较完善的控制。虽然现有的安全设备不能胜任整个信息化管理模式，但是现有设备基本上可以胜任对网络设备的较好控制。接下来的主要任务有如下两个：

1.         整个现有信息安全管理资源；

2.         依照信息化管理模型，构建信息管理体系。

3.6建立信息安全管理体系的顺序

通过前面的论述，可以发现要建立符合国情的信息安全管理体系是一个繁杂的过程。不同的管理对象存在不同的问题，相如人员的安全意识和安全知识不是单凭技术手段就可以解决的，也不可能在短时间内解决。选择何种顺序实施管理体系显得尤为重要。图 3.6.1 是信息化管理模型详图。