安全文化在信息安全管理中的作用

安全文化在信息安全管

理中的作用

集团企业公司编码：（LL3698-KKI1269-TM2483-LUI12689-ITT289-

安全文化在信息安全管理中的作用安全文化这一概念是国际核安全咨询组在《关于1986年切尔诺贝利事故的事故后会议总结报告》中引入的。安全文化概念定义是“安全文化是组织和个人所具有的特征和态度的这样一个组合体：它保证作为首要事情的核设施的安全问题受到与其重要性相称的重视”。安全文化必须扎根于组织中每个层次的所有个人的思想和行动中，最高层管理部门的领导至关重要。安全文化的概念在核行业中得到了普遍的接受和认可，目前已成为从事安全工作人员最重要的工作内容之一。随着计算机信息技术的应用越来越普遍，计算机信息系统的安全问题越来越引起各方面的重视，安全已成为建设计算机信息系统首先要解决的问题，但从这些年的实践来看，虽然各种各样的安全解决方案和技术不断推出，但似乎对信息系统安全问题的担忧却越来越大。问题到底出在哪里呢？本文试图从安全文化的角度来寻求问题的答案。

1.问题的提出

我们对安全的理解往往是和威胁、风险等概念相关联的，对信息安全的定义是这样的：信息的机密性、完整性和可用性的保持。问题是我们靠什么来做到这一点呢？目前，普遍的认识是主要从制度、人员、产品和技术来解决信息安全问题，其中技术和产品主要有密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI技术等手段，毋庸质疑，这些手段在保障信息安全中起到了很大作用。但同时也发现，安全问题或安全隐患却依然层出不穷，安全管理部门、运

行维护人员疲于奔命，管理层人员的担心不断增加。这形成了一个奇怪的局面，一方面我们在安全方面的投入越来越大，而另一方面我们对安全的担心却并没有减少。这并不意味着我们在安全上的投入是徒劳的，而是说明安全不是简单地通过投入就可以解决的，更不是现有技术、产品的堆积就能达到效果的。针对这样的局面，我们应该如何应对呢？

2.如何理解安全

探讨这个问题的重要性在于你对安全采取什么态度，而你的态度将决定你的行为，或行为方式，而你的行为将对你所负责的系统产生关键影响，也就是你对安全的态度是决定你所负责的系统的安全状态的最基本的要素。所以说，如何理解安全是十分重要的。从对信息安全的定义可以得出一个结论，那就是安全是一个过程，而不是一个结果，它是随着时间的发展，随着系统环境、人文环境的变化而动态变化的，某一时刻的安全，并不代表全部。另一个结论是安全是整体性的，系统性的，它取决于多个部分共同的努力，也就是我们常提到的木桶效应，问题是我们需要找出所有影响安全的因素，才能找到影响安全的关键环节，而这几乎是很难做到的。虽然我们可以通过风险分析来弥补这方面的不足，但仍然可能忽视掉影响安全的重要因素，这就造成我们对安全的持续不断的担心。

安全的另一个特点是它是相对的，不是绝对的，这主要指两个方面，一个是它的时间性，它可能随着技术的发展等因素，安全与风险之间的平衡打破了，原先安全的可能变为不安全；另一个方面是你所能承受的损失的能力的变化，我们可称其为可承受的损失或代价，我们一般

所理解的安全是在我们所承受的损失范围内，当你的承受能力变小或带来的损失增大到无法承受时，安全的就可能变为不安全的。所以在理解安全时，要弄清楚你所要保护的对象和所承受的损失。正确的理解是你为得到安全所付出的代价应小于你所保护对象的价值。弄清楚了这一点，对于你准备在安全上要投入多少，就有一个比较容易衡量的方法了。

3.信息安全的现状

随着信息技术的发展，信息技术给人们带来方便的同时，也同时带来了隐患，病毒、后门、恶意攻击等花样翻新的手段给信息系统的正常使用带来了很大威胁。人们为防范这些风险，开发了一系列的工具，防病毒软件、防火墙、入侵检测，还有其它的工具。针对国防涉密系统，比较有效的手段主要是物理隔离、加密、访问控制、身份认证等措施。似乎我们已经有了很多的手段来对付各种威胁，但仔细分析就可以看出来，这些手段的有效实施，离不开一个重要因素——人，而且防范的对象主要是人，人的作用在整个防范体系中既是核心又是最大的缺陷。我们都清楚，内网主要是防内，即所谓70%的威胁来自内部，这些人具有合法的身份，但却可能做非法的事情，由于人的不确定性，这使得防范工作十分困难，如果对人的控制十分严厉，将不可避免地带来工作效率的降低，这和信息系统便于工作的初衷相违背或至少抵消了一部分信息系统建设所带来的便利性。

目前各种防范手段很多，但往往是针对某一种或某几中威胁来建立的，甚至某一种工具都有众多的方法和品牌，而且各种防范手段之间缺

少相互的关联，这就好比我们要建立一条完整的防线，但各部队之间却没有配合，更不用说它们之间可能还存在冲突，这种结果使得我们建立的防线存在很多漏洞，我们防御的做法仍然停留在被动的局面上。