首先我要说的是：大家不要误以为信息安全是一个技术问题，信息安全是一个需要技术解决方案的管理问题。

　　安全管理

　　安全管理包括风险管理，信息安全策略，规程，标准，方针，基线，信息分级，安全组织和安全教育。这些核心组成部分是一个公司安全计划的基础。

　　安全的关键或者说一个安全计划的目的是保护该公司的财产。风险分析将确定这些财产，发现那些对他们构成威胁的风险并估计这些危险变成现实的时候该公司可能承受的危害和损失。风险分析的结果将帮助管理者采取可行的安全策略，这些安全策略为在公司中发生的活动提供安全方面的指导，说明了安全管理在公司安全计划中的价值。安全教育将上面的信息灌输给公司中的没一个员工，这样，没一个人都受到了教育，从而能够更容易地朝着同一个安全目标前进。以上这些为具体的安全管理的流程框架。

　　安全管理职责

　　IT 管理员可以就安全问题提出建议，但是公司的安全却不是他能解决的问题，因为提到安全就应该想到管理，而安全管理决不是 IT 管理人员可以解决的。

　　安全管理依赖于对公司信息财产及其附加财产的正确识别，开发，记录和实行安全策略，过程，标准和准则，他们提供了完整性，机密性和可用性。安全管理职责应分配到管理层中，管理者必须分配职责和任务。

　　安全管理和支持控制

管理的，技术的和物理的控制相互协作，保护公司的财产

　　首先需要建议里一个安全管理，因为管理者直接负责监控安全计划的许多方面，管理者也可以是一个团队。建立清晰的报告机制，对职责的理解，以及监管都是非常重要的的，这可以保证不会由于缺少交流而使规定失效。信息的所有者应该决定谁能访问资源，以及拥护

　　能够对相关的资源拥有多大的权限。安全管理的任务就是保证以上这些能够落实到实处。

　　应该运用管理的，物理的和技术的控制来达到管理目标。管理控制包括开发和发布策略，标准，过程以及准则，此外还有屏蔽人员，安全意识培训，监控系统活动和改变控制过程。技术控制（也叫逻辑控制）包括访问控制机制，密码和资源管理，鉴别和认证方法，安全设备以及配置网络。物理控制包括个人访问设施和各部门，锁定系统，去除不必要的软驱和光驱，保护设施，检测入侵，以及环境控制。

　　安全的基本原则

　　一个安全计划有一些大的或小的目标，但是所有的安全计划都包括三个主要的原则：可用性，完整性和机密性。这些原则被称为AIC安全三原则。所有的安全控制，机制和安全措施都是为了提供这些原则中的一个或多个而被实施的，所有的风险，威胁和薄弱之处都是以他们对一个或全部AIC指标能够造成的潜在的危险程度来衡量的

AIC安全三原则

　　可用性

　　系统和网络应该提供适当的能力，从而能够在可以接受的性能级别下以一种可以预见的方式运行。它应该能够从崩溃中以一种安全并且快速的方式恢复过来，这样生产活动就不会受到太大的负面影响。应该避免在同一处犯相同的错误，应该采取备份措施，在必要的时候，应该采取冗余机制，来自周围环境组成部件的负面影响应该消除。可用性（availability）保证经过认证的用户能够对数据和资源进行适时和可靠的访问。

　　拒绝服务（DoS）攻击是黑客破坏公司系统可用性和工作效率的常见方法。这些攻击的目标是降低用户对系统资源和信息的访问能力。要免受这些攻击的影响，系统中应该只有那些必要的服务和端口可用，入侵检测则应该监控网络流量和主机活动情况。有些防火墙和路由器的配置也能够降低DoS攻击的威胁，或许能够阻止这些攻击的发生。

　　完整性

　　完整性（integrity）是指保证信息和系统的准确性和可靠性，并禁止对数据的非授权的修改。硬件，软件和通信机制必须协同工作才能正确处理数据并在没有以外改动的情况下将数据移动到目的地。应该保护系统和网络免受外界的干扰和污染。

　　实现和提供这种安全属性的系统能够保证攻击者或者用户错误不会对系统或数据的完整性构成危害。当攻击者引入了某种病毒，逻辑炸弹或者给系统开了后门的时候，系统的完整性就被破坏了。接下来，它将会破坏系统上保存的信息的完整性，比如污染，恶意修改或者将数据用不正确的数据进行替换。严格的访问控制，入侵检测和加密可以抗击这些企图。

　　用户也会经常错误的影响系统或数据的完整性，当然，内部用户也会进行一些恶意攻击。用户可能在不经意间删除了配置文件。或者他们也可能在数据处理程序中输入了不正确的值。在数据库中存储的那些不正确的修改数据是另外一种常见的用户污染数据的方式，这些错误会造成持久的影响。

　　安全措施应该评估用户的能力，只给他们少树几个选择和功能，这样错误就会减少，而且也不会那样严重。对系统很关键的文件应该禁止用户的查看和访问。应用程序应该提供检查合法并且合理输入值的机制。数据库应该只让授权用户修改数据，传输数据应该进行加密或采取其他手段进行保护。

　　机密性

　　机密性（Confidentiality）提供了保证在每一个数据处理和防止未授权的信息泄露的交叉点上都能够加强必要的安全级别的能力。这种级别的机密性应该在数据存储在网络内部的系统和设备上，数据传输的时候以及数据到达目的地之后都发挥作用。

　　攻击者能够通过网络监控，肩窥，盗取密码文件以及社交工程威胁保密机制。肩窥指的是某个人从别人的肩膀上观察别人的击键动作或是在屏幕上显示的数据。社交工程指的是装扮成已经获取人证的人欺骗别人共享保密信息。

　　当用户在向其他人传送信息而没有加密的时候，在成为社交工程攻击的牺牲品的时候，在共享公司商业秘密的时候或者是在处理保密信息而没有采取额外的保护措施的时候，他们都有意或无意地透露了某些敏感信息。

　　机密性可以通过如下途径获得：在存储和传输数据的时候进行加密，网络流量监控，严格的访问控制，数据分级，以及对职员进行合理的培训。

　　关键的安全服务

　　可用性防止服务和工作能力的崩溃

　　完整性防止对系统和信息进行未经授权的修改

　　机密性防止未经授权而透露某些敏感信息

　　可用性，完整性和机密性是安全问题的关键原则。他们的意义，各种机制如何提供这些原则以及缺少这些原则将对系统造成什么负面影响应该被充分认识，这样才能更好地确定问题并提供合理的解决方法。

　　安全定义

　　脆弱性是一中软件，硬件或是过程缺陷，这种缺陷也许会给攻击者提供他们正在寻找的方便之门，这样就能够进入某台计算机或某个网络，并在这个系统中对资源进行未授权的访问。存在脆弱性说明缺少了应该使用的安全措施，或者安全措施比较脆弱。这种脆弱可能是运行在服务器上的某个服务，没有进行限制的调制解调器拨入连接，防火墙上的某个开放端口，由于警卫的松懈使得任何人都可以进入服务器室，或者是服务器和工作站上没有加强管理的密码。

　　威胁是对信息或系统任何潜在的威胁。威胁就是某人或某事，将确定一个特定的弱点，并用它来危害公司或个人。利用脆弱点的实体就被称威胁因素。威胁因素可能是通过防火墙上的断口访问网络的闯入者，违反安全策略进行数据访问的过程，毁坏了设施的龙卷风，或是某个职员，他犯了一个不经意的错误，从而可能泄露保密信息或是破坏文件的完整性。

　　风险是威胁因素利用脆弱性进行攻击的可能性。风险是威胁因素利用脆弱性所造成的损失的潜能或是可能性。如果一个防火墙有几个开放端口，那么入侵者利用其中的一个端口对

　　网络进行非授权访问的可能性就会增大。如果没有对用户进行进程和过程教育，那么雇员故意或不经意犯错而被破坏数据的可能性就会增大。如果网络没有安装入侵检测系统，那么攻击在不引人注意的情况下进行直到发现晚矣的可能性就会大增。减低脆弱性或者是威胁因素就可以降低风险。

　　暴露是因威胁因素而遭受损失的一个案例。脆弱性可能导致一个组织遭受可能的损失。如果密码管理非常随便松懈，密码规则也没有得到加强，那么公司的用户密码就有可能会被盗取并在没有授权的情况下被使用。如果一个公司的规章制度没有得到监管，不预先采取措施预防火警，那么它就有可能会遭受潜在的毁坏性的火灾。

　　对策，或者安全措施，可以减轻潜在的风险。一项对策可以是一个软件配置，硬件或者是程序，它能够消除脆弱性或减小威胁因素利用脆弱性的风险。对策可以是强有力的密码管理管理措施，一个安全警卫，操作系统内部的访问控制，装备基本输入/输出系统（BIOS）密码，还有安全意识培训。 

　　如果一个公司只是在服务器上安装反病毒软件，但是不让病毒码保持更新，就会造成脆弱性。该公司很容易受到病毒攻击。威胁是指病毒出现在系统中并且正在破坏系统的工作能力。病毒出现并形成危害的可能性就是风险。由于有可能因为病毒攻击而丢失或污染数据，该公司现在就有一个暴露。这种情况下的对策就是更新病毒码，并在所有计算机上安装反病毒软件。

各种安全组成部分之间的关系

　　机构安全模型

　　机构安全模型是一个框架，这个框架由许多实体，保护机制，逻辑和物理组件，规程和配置组成，这些因素在一起互相协作，能够为系统提供一定的安全级别。每个模型都是不相同的，但是所有的模型都分层：每层都为其上层提供支持并为其下层提供保护。安全模型的目的是提供保证，也就是在一个系统内的所有安全组件一起为人们提供一定程度的信心。由于安全模型是一个框架，公司就能够自由地插入各种类型的技术，方法和规程来达到自己系统中需要的安全保证水平。

安全模型

一个全面而有效的安全模型有许多组成部件

　　风险管理

　　风险是具有破坏能力的某种事物发生的可能性；风险管理是识别，评估风险，并将这种风险减小到一个可以接受的程度，并实行正确的机制以保持这种程度的风险的过程。

　　没有百分之百安全的系统。每个系统都有其脆弱性，承担一定程度的风险。真正的技巧在于识别这些风险，评估他们实际发生的可能性和因此而造成的破坏，然后采取正确的措施全面减小系统中的风险程度。

　　当我们考虑信息安全的时候，有若干种公司需要注意和正确对待的风险。下面的内容涉及了其中的主要方面：

　　物理损坏       水，火，故意破坏行为，电力缺失和自然灾害

　　人为错误       偶然或者是故意的行为和懒惰能够破坏生产力

　　设备故障       系统和外围设备的故障

　　内部和外部攻击    黑客，解密和攻击

　　勿用数据       共享商业秘密，欺骗，间谍活动和偷窃

　　数据丢失       通过破坏手段有意或无意地造成信息丢失

　　应用程序出错       计算错误，输入错误和缓冲溢出

　　应该将这些威胁识别，分门别类，还应该计算潜在损失的实际危害程度。实际的风险是难以测量的，但是对潜在风险划分出等级是可以做到的。

　　风险分析

　　风险分析是识别风险及其可能造成的损失，从而调整安全防卫措施的方法。风险是威胁因素利用脆弱性损害系统或环境的可能性。风险分析用来保证安全措施是划算的，并能适当而适时地对威胁做出反映。安全问题可能会非常复杂，即使对熟练的安全问题专家来说也是这样。很容易就会造成如下的问题。使用太多的安全限制，安全措施不足，使用了错误的安全组件，在实现安全的过程中花费了太多的资金却没有达到所需的目标。风险分析帮助公司将他们面临的风险区分出优先次序，向它们说明它们花多少钱就可以明智地保护自己不受那些风险的影响。

　　风险分析有4个主要目标：标识财产和它们面临的威胁，量化潜在威胁的商业影响，计算风险，以及在风险影响和对策费用之间达到预算的平衡。风险分析提供了一种成本/收益比，也就是用来保护公司免受威胁的安全措施的费用和预料中的损失所造成的代价之间的比值，在大多数情况下，如果损失代价的比重没有超过安全措施本身费用的比重，那么该安全措施就不应该实行。这意味着如果一个设施价值100万，那么花费150万去保护它就没有任何意义了。

　　风险分析团队

　　团队的人员可以来自由管理人员指定的安全范围的员工或专家。这样是必须的，因为，如果风险分析团队中只有来自于IT部门的人员，那么他们可能就不会了解会计部门遇到的有关数据完整性问题的风险，或者，如果他们的数据文件在一场意外或是蓄意的事件中丢失了。这对于整个公司将以为着什么。

　　资产分类

　　编辑资产清单的过程是资产评估的一个重要方面。组织应确定其资产及其相对价值和重要性。利用以上信息，组织可以根据资产的重要性和价值提供相应级别的保护。

　　a)信息资产：数据库和数据文件、系统文档、用户手册、培训材料、操作或支持步骤、连续性计划、退守计划、归档信息；

　　b)软件资产：应用程序软件、系统软件、开发工具以及实用程序；

　　c)物质资产：计算机设备（处理器、监视器、膝上型电脑、调制解调器）、通讯设备（路由器、PABX、传真机、应答机）、磁介质（磁带和磁盘）、其它技术设备（电源、空调器）、家具、机房；

　　d)服务：计算和通讯服务、常用设备，如加热器、照明设备、电源、空调。

　　构成价值的成本

　　一项资产的价值应该反映这样一种指标：当该资产遭受损害时，将会造成多少可确定的代价。

　　在给信息和资产定价的时候，下面的这些问题应该被考虑到：

　　获取或开发该资产所需的成本

　　维护和保护该资产所需的成本

　　该资产对所有者和用户所具有的价值

　　该资产对竞争对手所具有的价值

　　知识产权的价值

　　其他人愿意为购买该资产所付出的价格

　　在损失的情况下替换该资产所需的费用

　　所该资产不可用的情况下损失的运行和工作能力

　　该资产贬值时的债务问题

　　该资产的用处

　　了解资产的价值是了解应该采取什么安全机制和应该花费多少资金来进行保护工作的第一步。一个非常重要的问题就是，如果该公司不保护这些数据，将会造成多大的损失。

　　定量的风险分析

　　定量的方法将对策的成本和可能发生的损失大小用具体的数字进行量化。在识别威胁和风险的可能性的时候，定量的方法也能够提供具体的可能性百分比。

　　纯粹的量化风险分析是不可能的，因为这种方法要量化定性的东西，在量化值中往往存在不确定性。如果严重程度很高而威胁频率很低，那么就很难给这些比值赋予相应的数字从而产生有用的结果。

　　在确定了范围，目标和风险分析团队之后，下一步就是要采集所需的数据。

　　第一步是确定构成分析的组成部分：

　　需要对将要进行保护的资产进行估价和赋值。

　　必须识别每一种威胁和对应的风险。

　　必须估计每一种威胁可能造成的潜在损失。

　　必须估算威胁可能发生的频率。

　　必须认可和推荐补救措施。

　　一旦收集完数据，就可以计算已经标识的风险，他们潜在的危害以及采取必要的预防措施所需的合理指派的资金。

　　风险分析的步骤

　　1 给信息和资产赋予价值

　　　a 对于公司来说，该资产的价值是多少？

　　　b 维护该资产需要多少成本？

　　　c 该资产会为公司带来多少收益？

　　　d 对于竞争对手来说，它的价值是多少？

　　　e 重建和修复该资产需要多少费用？

　　　f 获取和开发该资产需要多少费用？

　　2 估计每项风险的潜在损失

　　　a 会造成什么物理损失，这会带来多大的成本？

　　　b 工作效率损失多少，这会带来多大的成本？

　　　c 如果保密信息被泄露，损失的价值是多少？

　　　d 从病毒攻击中恢复过来的成本是多少？

　　　e 从黑客攻击中恢复过来的成本是多少？

　　　f 如果关键的设备出故障，会带来多大的损失？

　　　g 对每项风险和设想的石斛计算单次损失期望值(SLE)

　　3 进行威胁分析

　　　a 从每个部门的人员，过去的记录以及提供数据的官方安全资源那里收集有关每种风险发生可能性的信息。

　　　b 计算确定的每种威胁发生的可能性。

　　　c 计算年发生概率（ARO），也就是每种威胁在一年中可能发生的次数。

　　4 对每项威胁计算全部的潜在损失

　　　a 将潜在损失和可能性综合起来。

　　　b 使用在前三步中计算得到的信息，对每种威胁计算年损失期望值（ALE）

　　　c 为抵消每项风险选择不久措施

　　5 减小，分担或是接受风险

　　　a 减小风险的方法

　　　　　1 安装安全控件和组件。

　　　　　2 改进规程

　　　　　3 改变环境

　　　　　4 提供早期检测方法，以在威胁发生的时候能够发现并将威胁可能造成的损失减小。

　　　　　5 制定一个应急计划，以便在某个特定的威胁发生的时候确定如何继续开展工作并减小该威胁造成的损失。

　　　　　6 为威胁设置障碍。

　　　b 分担风险

　　　　买保险从而将部分或全部风险转移。

　　　c 接受风险

　　　　让风险存在，不花钱采取保护措施。

　　单次损失期望值（SLE）是在特定威胁发生的情况下，反映公司潜在损失数额的某个单独的事件所被赋予的财产损失。

　　资产价值x 暴露因子（EF） = SLE

　　暴露因子代表一个是的威胁对于某种特定的资产造成的损失比。如果某个数据库的价值是100W，发生火灾后大概有25%的价值遭到损坏，那么SLE就是25W。

　　ALE的值告诉该公司，如果他们想要采取控制或安全措施阻止这个损失的发生，那么他们每年就应该花费低于ALE或等于ALE的费用来进行保护。

　　SLE x 年发生率（ARO）=ALE

　　ARO值的范围可以是从0.0(不发生)到1.0(一定发生)之间的任何值，比如在1000年中，上海可能发生一次地震，那么ARO就是0.001。

　　风险分析的结果

资产	威胁	资产价值	SLE	年频率	ALE
设施	火灾	560000	230000	.25	57500
商业秘密	盗窃	43500	40000	.75	30000
数据服务器	故障	11500	11500	.5	5750
数据	病毒	8900	6500	.8	5200
客户信用卡信息	盗窃	323500	300000	.65	195000

　　定性的风险分析

　　这种方法不对各个要素和损失赋予数值和货币价值，相反，定性的方法将考察各种风险的可能性情况，并将各种威胁的严重程度和财产的敏感程度排列顺序，定性分析技术包括判断，直觉和经验。定性分析技术的例子有Delphi，头脑风暴，情节串联，焦点群体，调查，问卷，检查表，一对一会议以及会见。

　　进行风险分析工作的团队首先召集那些在威胁评估方面接受过教育，有经验的人员。在这些人面前描述某个威胁和潜在损失的时候，他们就能够根据自己的感觉判断出该威胁实际上将如何发生以及将会带来多大程度上的损失。

　　例子：风险分析团队选写了一页概况，说明黑客攻击公司内部五台数据服务器访问保密信息的情况，并将它发给了预先选定的一个五人小组（IT经理，数据库管理员，应用程序员，系统操作员和运营部经理）。这个预先选定的团队对威胁的严重程度，潜在损失和每种安全措施的有效性，用1到5的等级排序，1代表最不重要，最不有效或最不可能。

威胁=黑客访问保密信息	威胁的严重性	威胁发生的可能性	给公司造成的潜在损失	防火墙有效性	入侵检测系统的有效性	密罐的有效性
IT经理	4	2	4	4	3	2
数据库管理员	4	4	4	3	4	1
应用程序员	2	3	3	4	2	1
系统操作员	3	4	3	4	2	1
运营部经理	5	4	4	4	4	2
结果	3.6	3.4	3.6	3.8	3	1.4

　　这些数据被遍入报告中并提交给上级管理人员。上级收到这些信息后，就会知道自己的职能觉得购买防火墙比购买入侵检测系统或是设置蜜罐计算机能够更加有效的保护公司财产免受威胁影响。

　　Delphi 技术是一种群体决策方法，它被用来保证团体中的没一个成员都将自己对某个特定威胁会带来的结果的真实想法表达出来。这就避免了一个团队中的个人在赞同其他人的想法的时候感到压力，使得他们能够以一种独立和匿名的方式参与工作。
 
　　对比

属性	定量的	定性的
需要更多的复杂计算	√
涉及到的猜想工作		√
容易自动化	√
提供了成本/收益分析	√
使用独立而客观的参数	√
提供了那些非常清楚这个过程的职员的意见		√
指出了可能在一年之内增加的明确风险	√