网络安全的本质在对抗,对抗的本质在攻防两端能力较量。信息安全管理的目的在于提高防御能力,降低和减少安全事件的发生。
信息安全管理是组织整体管理重要的、固有的组成部分,缺乏信息安全的管理是不完整的、不全面的,也是不可能维持组织正常可靠运作的。信息安全管理是信息技术的融合剂,能够保障各项技术措施充分发挥作用。人们常说三分技术七分管理,但实际工作场景中,重技术轻管理的现象普遍存在。事实证明,技术不高但管理良好的系统远比技术高超但管理混乱的系统安全的多。只有将有效的安全管理贯彻落实到信息系统的整个生命周期的每一个环节,信息安全才能得到长期、稳定的保障。信息安全管理的最终目的就是预防、阻止或减少信息安全事件的发生。外部入侵可能是系统没有及时修复漏洞,员工疏忽泄密可能是无意识,如果安全管理深入人心,落实到位,绝大部分的安全事件都是能有效避免。防止安全事件的发生,要结合信息系统安全保障技术框架和模型,从管理、工程、技术和人员等方面,从网络和基础设施、安全边界、计算环境以及支撑性基础设施方面,给予全方位、多角度的安全防护。
实现信息安全,能够增强组织实现其使命的信心,也能够让组织外部的各利益相关方对组织的前景充满信心。
信息安全管理的重点是风险管理。
风险是事态的概率及其结果的组合,是客观存在的,其带来的影响通常是负面的。风险强调的是损害的潜在可能性,而不是事实上的损害。风险也是无法消除殆尽的,衡量风险的两个基本要素是事件的概率和影响。风险管理的目的是确保不确定性不会使企业的业务目标发生变化。风险管理是风险的识别、评估和优化,然后协调和经济地应用资源,以最小化监测和控制不良事件的可能性以及影响,最大限度地实现业务。
威胁利用脆弱性作用于资产产生影响,威胁增加了资产的风险,脆弱点能够暴露资产,脆弱性本身不会构成对资产的损害,但是脆弱性被威胁利用就会增加资产的风险。
风险管理由风险评估、风险减缓和基于风险的决策三个部分构成。
风险评估过程将全面评估信息系统的资产、威胁、脆弱性以及现有的安全措施,分析安全事件发生的可能性以及可能的损失,从而确定系统的风险,并判断风险的优先级,建议处理风险的措施。风险减缓则是基于风险评估的结果,考虑处理风险的安全措施的成本,并选择合适的方法处理风险,将风险控制在可接受的程度。基于风险的决策是风险管理的最后过程,旨在由信息系统的主管者或运营者判断残余风险是否处于可以接受的水平之内。根据判断,其将做出决策,决定是否允许信息系统运行。
风险管理需要在安全措施成本和资产价值之间寻求平衡,最终还是为了让信息系统和数据得到安全防护,从而提高组织实现其使命的能力。
