1.1.3.企業(yè)信息安全
1.凱撒密碼的傳說(shuō)
在人類歷史上，保護(hù)信息的需求與信息本身一樣歷史久遠(yuǎn)。第一個(gè)用于加密和解密消息的文擋化數(shù)字“密碼”是凱撒密碼，是凱撒本人創(chuàng)造的。古希臘歷史學(xué)家希羅多德于公元前479年記錄道：
“當(dāng)它在蘇薩獲悉薛西斯決定入侵希臘時(shí)，認(rèn)為必須將這一消息傳遞給斯巴達(dá)。由于一旦被敵人發(fā)現(xiàn)，就會(huì)面臨巨大的危險(xiǎn)，所以只有一種方法可以用來(lái)傳遞消息：刮去一對(duì)木制折疊板的封蠟，在木版上寫上薛西斯的企圖，然后再用蠟封住木版。
按這種方式處理的木版，看上去相當(dāng)光滑，不會(huì)引起路上哨兵的注意。當(dāng)消息抵達(dá)目的地時(shí)，沒有人能猜出這一秘密，只有Cleomenes的女兒Gorgo（Leonidas的妻子）發(fā)現(xiàn)了它并告訴給其他人……，這樣一來(lái)，人們得到了此消息并傳遞給其他希臘人。“
從這個(gè)故事可以透視出信息加密的歷史和他的重要性。
2.當(dāng)今企業(yè)所處的信息環(huán)境
以往的企業(yè)是在一個(gè)相對(duì)封閉的環(huán)境中運(yùn)作，信息系統(tǒng)安全在企業(yè)的控制之下。今天，企業(yè)依賴于開發(fā)的、互聯(lián)的網(wǎng)絡(luò)環(huán)境，這些網(wǎng)絡(luò)將商業(yè)企業(yè)、醫(yī)療機(jī)構(gòu)、教育、政府部門、甚至個(gè)人聯(lián)結(jié)到了一起，帶來(lái)了豐富的資源，同時(shí)也帶來(lái)了潛在的風(fēng)險(xiǎn)。

自從網(wǎng)絡(luò)和Internet出現(xiàn)依賴，隨著計(jì)算模式從大型機(jī)向分布式系統(tǒng)的轉(zhuǎn)移，企業(yè)受保護(hù)的信息資源被分散在控制不很嚴(yán)格的計(jì)算平臺(tái)中（例如UNIX/Linux和Windows平臺(tái)），應(yīng)用程序的部署（例如Web服務(wù)器、應(yīng)用程序服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、內(nèi)容服務(wù)器和目錄服務(wù)器）變得越來(lái)越復(fù)雜，多線程的面向?qū)ο蠛蚃ava技術(shù)的運(yùn)用，各種計(jì)算平臺(tái)的安裝，終端設(shè)備的接入（例如電話、筆記本電腦、掌上電腦和PDA等），有線/無(wú)線網(wǎng)絡(luò)的連接，尤其是通用的網(wǎng)絡(luò)傳輸協(xié)議（TCP/IP）的普及，企業(yè)業(yè)務(wù)向電子商務(wù)的轉(zhuǎn)移。信息安全問題越來(lái)越凸現(xiàn)出來(lái)，使得企業(yè)的信息安全性日趨緊迫。
3.并非危言聳聽的信息安全恐怖事件
1).蠕蟲王，互聯(lián)網(wǎng)的“911”
2003年1月25日，互聯(lián)網(wǎng)遭遇到全球性的病毒攻擊。突如其來(lái)的蠕蟲，不亞于讓人們不能忘懷的“911”事件。這個(gè)病毒名叫Win32.SQLExp.Worm，病毒體極其短小，卻具有極強(qiáng)的傳播性，它利用Microsoft SQL Server的漏洞進(jìn)行傳播，由于Microsoft SQL Server在世界范圍內(nèi)都很普及，因此，此次病毒攻擊導(dǎo)致全球范圍內(nèi)的互聯(lián)網(wǎng)癱瘓。在中國(guó)80%以上網(wǎng)民受此次全球性病毒襲擊而不能上網(wǎng)，很多企業(yè)的服務(wù)器被此病毒感染引起網(wǎng)絡(luò)癱瘓。美國(guó)、泰國(guó)、日本、韓國(guó)、馬來(lái)西亞、菲律賓和印度等國(guó)家的互聯(lián)網(wǎng)也受到嚴(yán)重感染。直到26日晚，蠕蟲王才得到初步的控制。這是繼紅色代碼、尼姆達(dá)、求職信病毒后又一起極速病毒傳播案例。所以“蠕蟲王”蠕蟲的出現(xiàn)，應(yīng)該成為一個(gè)傳奇，全世界范圍內(nèi)損失額高達(dá)12億美圓。
2).美伊戰(zhàn)爭(zhēng)引發(fā)美國(guó)歷史上最大的黑客恐怖襲擊
2003年3月20日，美國(guó)對(duì)伊拉克發(fā)動(dòng)戰(zhàn)爭(zhēng)。在炸彈持續(xù)向伊拉克傾斜之際，抗議者和擁護(hù)美英的愛國(guó)黑客在互聯(lián)網(wǎng)上的口水大戰(zhàn)也隨之升級(jí)，他們互相篡改對(duì)方公司與政府網(wǎng)站的內(nèi)容，黑客入侵網(wǎng)站事件激增。有三類黑客參與對(duì)網(wǎng)站的攻擊：以美國(guó)為基地的愛國(guó)主義黑客、伊斯蘭極端主義組織和反戰(zhàn)的和平主義人士。破壞的信息無(wú)所不包，既有支持美英軍隊(duì)的字眼，也有對(duì)軍事行動(dòng)表示憤慨的言論。而受害的網(wǎng)站也各種各樣，從美國(guó)海軍的網(wǎng)站到英國(guó)工業(yè)產(chǎn)品配銷商的網(wǎng)站應(yīng)有盡有。黑客組織篡改美國(guó)和英國(guó)的網(wǎng)站事件每一分鐘就會(huì)有3～4起篡改發(fā)生，這次黑客攻擊在數(shù)量和速度上都有大幅度的提高。
3).全球黑客大聚會(huì)
2003年6月13日到14日，每年一屆的黑客大會(huì)在美國(guó)的匹斯堡召開，有大約200個(gè)代表參加。這項(xiàng)活動(dòng)從1985年以來(lái)每年一度，中間只空缺過一年。2003年的參加人數(shù)不如2002年，2002年人數(shù)多達(dá)2000人。組織者2003年的目標(biāo)是希望能說(shuō)服公眾：黑客有“黑帽”和“白帽”之分。黑客大會(huì)上，內(nèi)容涉及從黑客技術(shù)到有關(guān)安全的現(xiàn)行法律，以及金盆洗手后黑客們的就業(yè)等問題，其中也有可怕的黑客入侵主題，這樣的主題是最受歡迎的。
4).“沖擊波”病毒肆虐全球
2003年8月11日，一種名為“沖擊波”（WORM_MSBlast.A）的新型蠕蟲病毒開始在國(guó)內(nèi)互聯(lián)網(wǎng)和部分專用信息網(wǎng)絡(luò)上傳播。該病毒傳播速度快、波及范圍廣，對(duì)計(jì)算機(jī)正常使用和網(wǎng)絡(luò)運(yùn)行造成嚴(yán)重影響。該病毒能夠在短時(shí)間內(nèi)造成大面積的泛濫，是因?yàn)椴《具\(yùn)行時(shí)會(huì)掃描網(wǎng)絡(luò)，尋找操作系統(tǒng)為Windows 2000/XP的計(jì)算機(jī)，然后通過RPC漏洞進(jìn)行感染，并且該病毒會(huì)操作135、4444、69端口，危害系統(tǒng)。受到感染的計(jì)算機(jī)機(jī)中Word、Excel、PowerPoint等文件無(wú)法正常運(yùn)行，彈出找不到鏈接文件的對(duì)話框，“粘貼”等一些功能無(wú)法正常使用，計(jì)算機(jī)出現(xiàn)反復(fù)重新啟動(dòng)等現(xiàn)象。
5).即時(shí)通訊說(shuō)不出的痛
今年即時(shí)通訊工具也成為了黑客的攻擊對(duì)象。目前，已有一些蠕蟲病毒成功地感染了部分即時(shí)通訊傳送應(yīng)用客戶端，他們包括Aplore，通過AOL Instant Messenger（AIM）傳播；Goner，利用ICQ漏洞進(jìn)行傳播；Cool Now，利用Message from Jerry傳播；Choke，通過MSN Messenger傳播。即時(shí)通訊和其他點(diǎn)對(duì)點(diǎn)通訊軟件能夠帶來(lái)嚴(yán)重的安全風(fēng)險(xiǎn)。企業(yè)還擔(dān)心員工使用即時(shí)通訊工具非法下載受保護(hù)的版權(quán)內(nèi)容，運(yùn)行這樣的軟件也可能使企業(yè)的網(wǎng)絡(luò)門戶洞開，受到病毒、特洛伊木馬以及其他各種威脅。隨著駕駛通訊服務(wù)不斷推出語(yǔ)音、視頻聊天等新功能，其危險(xiǎn)性也大大增加了。

6).郵件蠕蟲病毒泛濫
2003年郵件病毒是一個(gè)接一個(gè)的爆發(fā)，從年初的“求職信”、“惡郵差”，中旬的“大無(wú)極”，到最近的“小郵差”新變種，一個(gè)比一個(gè)厲害。輕則感染幾十萬(wàn)臺(tái)計(jì)算機(jī)，重則全球幾百萬(wàn)。
7).垃圾郵件數(shù)量變本加厲
全球垃圾郵件數(shù)量的增長(zhǎng)率已經(jīng)超過正常電子郵件的增長(zhǎng)率，而且就每封垃圾郵件的平均容量來(lái)說(shuō)，也比正常的電子郵件要大得多。中國(guó)互聯(lián)網(wǎng)信息中心2003年7月公布的《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，中國(guó)網(wǎng)民平均每周收到16.1封電子郵件，其中垃圾郵件占據(jù)了8.9封，垃圾郵件數(shù)量超過了正常郵件數(shù)量，并有進(jìn)一步增長(zhǎng)的趨勢(shì)。
4.數(shù)據(jù)丟失
由于硬件的損壞、人為誤操作和災(zāi)難事件等造成的數(shù)據(jù)丟失是每個(gè)企業(yè)所需要避免的，其中最常用的方法是進(jìn)行數(shù)據(jù)備份。數(shù)據(jù)備份的重要性是如何強(qiáng)調(diào)都不過分的，如果企業(yè)認(rèn)為數(shù)據(jù)的丟失是不可接受的，那么請(qǐng)備份這些數(shù)據(jù)，并對(duì)備份數(shù)據(jù)和出現(xiàn)數(shù)據(jù)丟失后進(jìn)行恢復(fù)工作需要的時(shí)間，以及花費(fèi)的成本進(jìn)行綜合評(píng)估。
5.數(shù)據(jù)被怯
Internet的普及給人們帶來(lái)方便的同時(shí)，也帶來(lái)了潛在的隱患。由于Internet的互聯(lián)性，使數(shù)據(jù)遠(yuǎn)程盜竊成為可能，與其他資產(chǎn)不同的是，信息進(jìn)行復(fù)制的成本是非常小的，而且可以在沒有丟失的情況下被別人盜走。數(shù)據(jù)盜竊可以發(fā)生在數(shù)據(jù)存儲(chǔ)在介質(zhì)上，也可以發(fā)生在數(shù)據(jù)傳輸?shù)倪^程中。因此，數(shù)據(jù)加密技術(shù)、數(shù)據(jù)訪問控制技術(shù)和防入侵技術(shù)是防止數(shù)據(jù)被竊的重要手段。
6.病毒
使用反病毒軟件已經(jīng)一種很基本的防范行為了，IT經(jīng)理們應(yīng)該確保反病毒工具已經(jīng)被正確地安裝了、并定期進(jìn)行升級(jí)。 記住，雖然你的公司對(duì)手也許正在喪失生產(chǎn)效率，但是病毒卻沒有，這意味著病毒惡作劇幾乎可以與現(xiàn)實(shí)中的競(jìng)爭(zhēng)一樣產(chǎn)生嚴(yán)重的問題，權(quán)威的惡作劇列表可以有效地消除用戶的擔(dān)心，并保持對(duì)真實(shí)威脅警告的可信性。
IT經(jīng)理們也應(yīng)該監(jiān)控電子郵件活動(dòng)性突然爆發(fā)，這可能暗示不是真正的蠕蟲攻擊就是對(duì)病毒惡作劇警告信息的驚慌。
當(dāng)前信息安全問題已經(jīng)成為一個(gè)非常嚴(yán)重的問題，美國(guó)聯(lián)邦調(diào)查局于2001年調(diào)查了538位系統(tǒng)安全經(jīng)理，其中有85%經(jīng)歷過安全問題，其中絕大多數(shù)安全問題帶來(lái)了財(cái)產(chǎn)的損失，平均每個(gè)安全問題帶來(lái)兩百萬(wàn)美金的損失。政府部門也存在著同樣的安全問題，據(jù)有關(guān)調(diào)查顯示，美國(guó)32個(gè)政府部門的155臺(tái)計(jì)算機(jī)系統(tǒng)曾經(jīng)遭受過超過2000次入侵。
但這僅僅反映出安全問題的一小部分，大多數(shù)企業(yè)由于受到股東和客戶的壓力在出現(xiàn)安全問題時(shí)并沒有對(duì)外公布，美國(guó)聯(lián)邦調(diào)查局稱，只有36%的企業(yè)在出現(xiàn)安全問題的時(shí)候向有關(guān)部門進(jìn)行的報(bào)告。
針對(duì)信息安全建設(shè)，IBM提出這樣包含五個(gè)環(huán)節(jié)的周期概念：安全評(píng)估、安全計(jì)劃、安全設(shè)計(jì)、安全實(shí)施和安全運(yùn)行。以上五個(gè)階段是周而復(fù)始的循環(huán)關(guān)系，在每一個(gè)周期結(jié)束自然進(jìn)入下一個(gè)周期。
實(shí)際上，IBM提供給企業(yè)的將是一套完整的安全保障機(jī)制而并非一勞永逸的大結(jié)局。越來(lái)越多的信息安全專家的觀點(diǎn)發(fā)生了轉(zhuǎn)變。從最初對(duì)攻擊的完全防守到目前確保損失最小化，人們意識(shí)到同現(xiàn)實(shí)生活中其他安全問題一樣，信息安全同樣需要耐心和毅力。正是基于對(duì)安全任務(wù)長(zhǎng)期性的認(rèn)識(shí)，有目的、有計(jì)劃的安全計(jì)劃將取代隨機(jī)的應(yīng)付。
同時(shí)人們也認(rèn)識(shí)到，僅憑任何單方面的努力并不足以保證信息安全，而包括網(wǎng)絡(luò)、計(jì)算機(jī)、軟硬件、管理等各方面咨詢的方案制定才有更好的保證。IBM為了幫助客戶實(shí)施信息安全，和業(yè)界最優(yōu)秀的方案供應(yīng)商成為合作伙伴，保證用戶按照自己的需求選擇最適合自己的供應(yīng)商，實(shí)現(xiàn)用戶利益的最大化。

1.2.信息安全的重要性及價(jià)值分析
在當(dāng)今的信息時(shí)代，必須保護(hù)對(duì)其發(fā)展壯大至關(guān)重要的信息資產(chǎn)，另一方面，這些資產(chǎn)也暴露在越來(lái)越多的威脅中，毫無(wú)疑問，保護(hù)信息的私密性、完整性、真實(shí)性和可靠性的需求已經(jīng)成為企業(yè)和消費(fèi)者的最優(yōu)先的需求之一。由于入侵、破壞企業(yè)IT系統(tǒng)的事件每天都在發(fā)生，加上Internet危險(xiǎn)地帶的認(rèn)知不斷加強(qiáng)，對(duì)信息安全的需求前所未有地高漲起來(lái)。對(duì)于大多數(shù)高級(jí)企業(yè)主管而言，安全問題不再遙不可及了，而是已經(jīng)開始在自己身旁發(fā)生。安全漏洞會(huì)大大降低公司的市場(chǎng)價(jià)值，甚至威脅企業(yè)的生存。即使最小的漏洞也能將公司的名譽(yù)、客戶的隱私信息和知識(shí)產(chǎn)權(quán)置于危險(xiǎn)之中。還有成功的攻擊對(duì)于企業(yè)官員將造成嚴(yán)重個(gè)人損害。
通過以上討論可以看出，在當(dāng)前的商業(yè)和信息環(huán)境下，企業(yè)面臨著各種各樣的安全問題，而解決這些安全問題對(duì)企業(yè)而言是至關(guān)重要的。從某種程度上說(shuō)，安全的信息系統(tǒng)是現(xiàn)代企業(yè)賴以生存的基礎(chǔ)，是企業(yè)的業(yè)務(wù)驅(qū)動(dòng)，而不僅僅是信息技術(shù)的發(fā)展。在這樣的環(huán)境中，企業(yè)如何才能有效地解決這些問題呢?
1.2.1.企業(yè)安全之痛
● 保護(hù)企業(yè)的員工和客戶的私有信息
● 關(guān)鍵商務(wù)信息交換的安全性
● 企業(yè)級(jí)的統(tǒng)一身份管理
● 確保越來(lái)越復(fù)雜的系統(tǒng)環(huán)境的一致完整性
● 安全管理策略，降低企業(yè)風(fēng)險(xiǎn)
安全需求來(lái)自于業(yè)務(wù)本身，而非IT技術(shù)驅(qū)動(dòng)。通過下面的圖示可以清楚地告訴我們安全問題貫穿于整個(gè)企業(yè)的運(yùn)作。

1.2.2.商業(yè)機(jī)密信息的安全交換
電子商務(wù)是當(dāng)今世界商務(wù)活動(dòng)運(yùn)作發(fā)展的主流方向。在信息化的過程中，越來(lái)越多的企業(yè)在大規(guī)模地用電子商務(wù)來(lái)取代傳統(tǒng)的商務(wù)活動(dòng)方式，以達(dá)到全面提高其市場(chǎng)競(jìng)爭(zhēng)力的目的。然而，電子商務(wù)目前主要是以電子數(shù)據(jù)交換和Internet方式來(lái)實(shí)現(xiàn)的。企業(yè)必須防止電子商務(wù)中的欺詐行為，合同爭(zhēng)議和信息泄露或篡改的現(xiàn)象發(fā)生。在網(wǎng)上進(jìn)行商務(wù)活動(dòng)會(huì)涉及許多企業(yè)的商業(yè)秘密與個(gè)人隱私，這需要保護(hù);另一方面，任何商務(wù)活動(dòng)是建立在交易雙方相互信任的基礎(chǔ)上，如何確定要進(jìn)行交易的交易方正式所期望的交易方，并防止抵賴情況發(fā)生是保證電子商務(wù)順利進(jìn)行的關(guān)鍵，企業(yè)開展電子商務(wù)活動(dòng)必須建立在安全交易的基礎(chǔ)上。
1.2.3.保障業(yè)務(wù)持續(xù)運(yùn)轉(zhuǎn)
“天又不測(cè)風(fēng)云，人由旦夕禍福”。像地震，火災(zāi)，爆炸，洪水等自然災(zāi)害，系統(tǒng)軟件與硬件故障，網(wǎng)絡(luò)病毒，人員欺詐與惡意行為等威脅，都會(huì)造成企業(yè)商務(wù)活動(dòng)的中斷，甚至企業(yè)的破產(chǎn)，例如，如果通信網(wǎng)絡(luò)因?yàn)楣收显斐捎脩魯?shù)據(jù)丟失且沒有用戶數(shù)據(jù)備份，短時(shí)間內(nèi)無(wú)法恢復(fù)，這將給通信運(yùn)營(yíng)商造成很大的經(jīng)濟(jì)與信譽(yù)損失。俗話說(shuō)“不怕一萬(wàn)，就怕萬(wàn)一”。如美國(guó)的“9.11”恐怖事件的發(fā)生，因?yàn)槠髽I(yè)數(shù)據(jù)的毀滅，造成很多公司業(yè)務(wù)長(zhǎng)時(shí)間的中斷，甚至公司的滅頂之災(zāi)。為防止企業(yè)經(jīng)營(yíng)或商務(wù)活動(dòng)的中斷，保護(hù)關(guān)鍵商務(wù)過程免受重大故障或?yàn)?zāi)難的影響，建立安全強(qiáng)壯的信息系統(tǒng)及其管理必不可少。
1.2.4.信息安全是企業(yè)持續(xù)發(fā)展的需要
現(xiàn)代企業(yè)的正常運(yùn)作離不開信息資源的支持，這包括組織的知識(shí)產(chǎn)權(quán)，各種重要數(shù)據(jù)，信息處理設(shè)施，關(guān)鍵人員等。企業(yè)的商業(yè)秘密被泄露回使企業(yè)喪失競(jìng)爭(zhēng)優(yōu)勢(shì)，失去市場(chǎng);系統(tǒng)故障會(huì)造成正常的業(yè)務(wù)運(yùn)作中斷。因此，企業(yè)要保持可持續(xù)性發(fā)展，信息安全是基本的保證之一。
1.2.5.降低風(fēng)險(xiǎn)，防患于未然
企業(yè)在商業(yè)活動(dòng)中面臨著各種各樣的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)是在企業(yè)內(nèi)部運(yùn)作，以及與客戶和業(yè)務(wù)伙伴操作中與生俱來(lái)的，不可避免的，正確識(shí)別理解風(fēng)險(xiǎn)和安全解決方案的關(guān)系是降低企業(yè)運(yùn)行中風(fēng)險(xiǎn)的基本要求。根據(jù)商業(yè)安全范式建立有力的方法論，將信息安全植入到企業(yè)創(chuàng)造商業(yè)價(jià)值的流程和風(fēng)險(xiǎn)管理過程中，并且使企業(yè)的安全投資最大化，使企業(yè)能夠有效利用安全資源來(lái)管理商業(yè)風(fēng)險(xiǎn)。

1.2.6.安全管理通用五步法:
1). 風(fēng)險(xiǎn)分析:研究潛在的安全漏洞，決定可接受的安全控制，實(shí)施成本，以及不能被顧及的并且可接受的風(fēng)險(xiǎn)因素。其主要活動(dòng)包括:確定安全漏洞或風(fēng)險(xiǎn)，例如自然災(zāi)害、外部黑客攻擊、員工錯(cuò)誤等；識(shí)別有商業(yè)價(jià)值的數(shù)據(jù)資產(chǎn)，例如客戶數(shù)據(jù)庫(kù)、研究信息、新產(chǎn)品計(jì)劃、財(cái)務(wù)數(shù)據(jù)；量化損失風(fēng)險(xiǎn)，資產(chǎn)價(jià)值及其控制成本。
2). 制定安全策略：制定資產(chǎn)分類計(jì)劃、應(yīng)用安全支持、信息服務(wù)供應(yīng)商安全支持計(jì)劃、高級(jí)別的管理目標(biāo)承諾和責(zé)任、安全違規(guī)處理程序、用戶培訓(xùn)和安全告知程序。
3). 實(shí)施執(zhí)行：安裝初始化適當(dāng)?shù)陌踩a(chǎn)品和系統(tǒng)控制，主要活動(dòng)包括:為制定的安全策略選擇安全機(jī)制、安裝安全軟硬件產(chǎn)品、定義系統(tǒng)安全控制方法、用戶和資源分組，以便與管理。
4). 管理：應(yīng)用安全策略和實(shí)踐，例如:用戶身份和口令管理、特殊系統(tǒng)和用戶特權(quán)管理、數(shù)據(jù)庫(kù)、應(yīng)用程序、交易和設(shè)備等資源、安全日志。
5). 審計(jì)：安全審計(jì)是指對(duì)安全控制和事件的審查評(píng)價(jià)，審計(jì)的結(jié)果定時(shí)的報(bào)告給管理層，并被用來(lái)更新完善安全策略和實(shí)行程序。
為了實(shí)現(xiàn)有效的安全策略，架構(gòu)企業(yè)及安全平臺(tái)，企業(yè)必須建立一個(gè)基于風(fēng)險(xiǎn)分析，策略定義，方案實(shí)施，管理和審計(jì)的循環(huán)往復(fù)的流程周期。安全審計(jì)主要包括:自我和獨(dú)立測(cè)試、穿透測(cè)試、內(nèi)部遵守情況、外部認(rèn)證。

安全管理策略五步法