企業(yè)網(wǎng)絡(luò)安全已經(jīng)不僅僅是安全技術(shù)層面上的問題，管理問題也在越來越凸現(xiàn)其在企業(yè)網(wǎng)絡(luò)安全方面的重要地位。當(dāng)前很多大型企業(yè)的安全問題無不在管理層上有所體現(xiàn)，管理安全無力導(dǎo)致員工沒有安全概念，部署和貫徹安全技術(shù)和安全理念的觀念淡薄，導(dǎo)致出現(xiàn)很多不應(yīng)該出現(xiàn)的"馬其諾防線"。本文將從企業(yè)信息安全標(biāo)準(zhǔn)化和在管理層面抵御"社會(huì)工程"攻擊兩方面來介紹企業(yè)管理層的安全防護(hù)手段和技術(shù)。

1、企業(yè)信息安全標(biāo)準(zhǔn)化

信息安全評(píng)估是信息安全生命周期中的一個(gè)重要環(huán)節(jié)，是對企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、重要服務(wù)器的位置、帶寬、協(xié)議、硬件、與Internet的接口、防火墻的配置、安全管理措施及應(yīng)用流程等進(jìn)行全面的安全分析，并提出安全風(fēng)險(xiǎn)分析報(bào)告和改進(jìn)建議書。它主要可以發(fā)揮如下三方面的作用：

（1）明確企業(yè)信息系統(tǒng)的安全現(xiàn)狀。進(jìn)行信息安全評(píng)估后，可以讓企業(yè)準(zhǔn)確地了解自身的網(wǎng)絡(luò)、各種應(yīng)用系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀，從而明晰企業(yè)的安全需求。

（2）確定企業(yè)信息系統(tǒng)的主要安全風(fēng)險(xiǎn)。在對網(wǎng)絡(luò)和應(yīng)用系統(tǒng)進(jìn)行信息安全評(píng)估并進(jìn)行風(fēng)險(xiǎn)分級(jí)后，可以確定企業(yè)信息系統(tǒng)的主要安全風(fēng)險(xiǎn)，并讓企業(yè)選擇避免、降低、接受等風(fēng)險(xiǎn)處置措施。

（3）指導(dǎo)企業(yè)信息系統(tǒng)安全技術(shù)體系與管理體系的建設(shè)。對企業(yè)進(jìn)行信息安全評(píng)估后，可以制定企業(yè)網(wǎng)絡(luò)和系統(tǒng)的安全策略及安全解決方案，從而指導(dǎo)企業(yè)信息系統(tǒng)安全技術(shù)體系（如部署防火墻、入侵檢測與漏洞掃描系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、建立公鑰基礎(chǔ)設(shè)施PKI等）與管理體系（安全組織保證、安全管理制度及安全培訓(xùn)機(jī)制等）的建設(shè)。

在當(dāng)今全球一體化的商業(yè)環(huán)境中，信息的重要性被廣泛接受，信息系統(tǒng)在商業(yè)和政府組織中得到了真正的廣泛的應(yīng)用。許多組織對其信息系統(tǒng)不斷增長的依賴性，加上在信息系統(tǒng)上運(yùn)作業(yè)務(wù)的風(fēng)險(xiǎn)、收益和機(jī)會(huì)，使得信息安全管理成為企業(yè)管理越來越關(guān)鍵的一部分。管理高層需要確保信息技術(shù)適應(yīng)企業(yè)戰(zhàn)略，企業(yè)戰(zhàn)略也恰當(dāng)利用信息技術(shù)的優(yōu)勢。但現(xiàn)實(shí)世界的任何系統(tǒng)都是一串復(fù)雜的環(huán)節(jié)，安全措施必須滲透到系統(tǒng)的所有地方，其中一些甚至連系統(tǒng)的設(shè)計(jì)者、實(shí)現(xiàn)者和使用者都不知道。因此，不安全因素總是存在。沒有一個(gè)系統(tǒng)是完美的，沒有一項(xiàng)技術(shù)是靈丹妙藥。

網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)化工作是國家信息安全保障體系建設(shè)的重要組成。網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)研究與制定為國家主管部門管理信息安全設(shè)備提供了有效的技術(shù)依據(jù)，這對于保證安全設(shè)備的正常運(yùn)行，并在此基礎(chǔ)上保證我國國民經(jīng)濟(jì)和社會(huì)管理等領(lǐng)域中網(wǎng)絡(luò)信息系統(tǒng)的運(yùn)行安全和信息安全具有非常重要的意義。

國際上信息安全標(biāo)準(zhǔn)化工作興起于20世紀(jì)70年代中期，80年代有了較快的發(fā)展，90年代引起了世界各國的普遍關(guān)注。目前世界上有近300個(gè)國際和區(qū)域性組織制定標(biāo)準(zhǔn)或技術(shù)規(guī)則，與信息安全標(biāo)準(zhǔn)化有關(guān)的組織主要有以下4個(gè)：

◆ISO（國際標(biāo)準(zhǔn)化組織）。ISO/IEC JTC1（信息技術(shù)標(biāo)準(zhǔn)化委員會(huì)）所屬SC27（安全技術(shù)分委員會(huì)）的前身是SC20（數(shù)據(jù)加密技術(shù)分委員會(huì)），主要從事信息技術(shù)安全的一般方法和技術(shù)的標(biāo)準(zhǔn)化工作。而ISO/TC68負(fù)責(zé)銀行業(yè)務(wù)應(yīng)用范圍內(nèi)有關(guān)信息安全標(biāo)準(zhǔn)的制定，主要制定行業(yè)應(yīng)用標(biāo)準(zhǔn)，與SC27有著密切的聯(lián)系。ISO/IEC JTC1負(fù)責(zé)制定的標(biāo)準(zhǔn)主要是開放系統(tǒng)互連、密鑰管理、數(shù)字簽名、安全評(píng)估等方面的內(nèi)容。

◆IEC（國際電工委員會(huì)）。IEC在信息安全標(biāo)準(zhǔn)化方面除了與ISO聯(lián)合成立了JTC1下分委員會(huì)外，還在電信、電子系統(tǒng)、信息技術(shù)和電磁兼容等方面成立技術(shù)委員會(huì)（如TC56可靠性、TC74 IT設(shè)備安全和功效、TC77電磁兼容、TC 108音頻/視頻、信息技術(shù)和通信技術(shù)電子設(shè)備的安全等），并且制定相關(guān)國際標(biāo)準(zhǔn)（如信息技術(shù)設(shè)備安全I(xiàn)EC60950等）。

◆ITU（國際電信聯(lián)盟）。ITU SG17組負(fù)責(zé)研究網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，包括通信安全項(xiàng)目、安全架構(gòu)和框架、計(jì)算安全、安全管理、用于安全的生物測定、安全通信服務(wù)。此外SG16和下一代網(wǎng)絡(luò)核心組也在通信安全、H.323網(wǎng)絡(luò)安全、下一代網(wǎng)絡(luò)安全等標(biāo)準(zhǔn)方面進(jìn)行研究。

◆IETF（Internet工程任務(wù)組）等。IETF標(biāo)準(zhǔn)制定的具體工作由各個(gè)工作組承擔(dān)。Internet工程任務(wù)組分成8個(gè)工作組，分別負(fù)責(zé)Internet路由、傳輸、應(yīng)用等8個(gè)領(lǐng)域，其著名的IKE和IPSec都在RFC系列之中，還有電子郵件、網(wǎng)絡(luò)認(rèn)證和密碼及其他安全協(xié)議標(biāo)準(zhǔn)。

◆國內(nèi)的安全標(biāo)準(zhǔn)組織主要有信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（CITS）以及中國通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）下轄的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)。CITS成立于1984年，在國家標(biāo)準(zhǔn)化管理委員會(huì)和信息產(chǎn)業(yè)部的共同領(lǐng)導(dǎo)下負(fù)責(zé)全國信息技術(shù)領(lǐng)域以及與ISO/IEC JTC1相對應(yīng)的標(biāo)準(zhǔn)化工作，目前下設(shè)24個(gè)分技術(shù)委員會(huì)和特別工作組，是國內(nèi)最大的標(biāo)準(zhǔn)化技術(shù)委員會(huì)，也是具有廣泛代表性、權(quán)威性和軍民結(jié)合的信息安全標(biāo)準(zhǔn)化組織。

CITS主要負(fù)責(zé)信息安全的通用框架、方法、技術(shù)和機(jī)制的標(biāo)準(zhǔn)化及歸口國內(nèi)外對應(yīng)的標(biāo)準(zhǔn)化工作，其中技術(shù)安全包括開放式安全體系結(jié)構(gòu)、各種安全信息交換的語義規(guī)則、有關(guān)的應(yīng)用程序接口和協(xié)議引用安全功能的接口等。CCSA成立于2002年12月18日，是國內(nèi)企事業(yè)單位自愿聯(lián)合組織起來經(jīng)業(yè)務(wù)主管部門批準(zhǔn)的開展通信技術(shù)領(lǐng)域標(biāo)準(zhǔn)化活動(dòng)的組織。CCSA下設(shè)了有線網(wǎng)絡(luò)信息安全、無線網(wǎng)絡(luò)信息安全、安全管理和安全基礎(chǔ)設(shè)施4個(gè)工作組負(fù)責(zé)研究：有線網(wǎng)絡(luò)中電話網(wǎng)、互聯(lián)網(wǎng)、傳輸網(wǎng)、接入網(wǎng)等在內(nèi)所有電信網(wǎng)絡(luò)相關(guān)的安全標(biāo)準(zhǔn)；無線網(wǎng)絡(luò)中接入、核心網(wǎng)、業(yè)務(wù)等相關(guān)的安全標(biāo)準(zhǔn)以及安全管理工作組；安全基礎(chǔ)設(shè)施工作組中網(wǎng)管安全以及安全基礎(chǔ)設(shè)施相關(guān)的標(biāo)準(zhǔn)。

當(dāng)前，國際上著名的信息安全評(píng)估標(biāo)準(zhǔn)有如下幾種，可以為企業(yè)借鑒：

◆可信的計(jì)算機(jī)系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)（TCSEC，從橘皮書到彩虹系列）由美國國防部于1985年公布的，是計(jì)算機(jī)系統(tǒng)信息安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)。它把計(jì)算機(jī)系統(tǒng)的安全分為4類、7個(gè)級(jí)別，對用戶登錄、授權(quán)管理、訪問控制、審計(jì)跟蹤、隱蔽通道分析、可信通道建立、安全檢測、生命周期保障、文檔寫作、用戶指南等內(nèi)容提出了規(guī)范性要求。

◆信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)（ITSEC，歐洲百皮書）是由法、英、荷、德歐洲四國90年代初聯(lián)合發(fā)布的，它提出了信息安全的機(jī)密性、完整性、可用性的安全屬性。機(jī)密性就是保證沒有經(jīng)過授權(quán)的用戶、實(shí)體或進(jìn)程無法竊取信息；完整性就是保證沒有經(jīng)過授權(quán)的用戶不能改變或者刪除信息，從而信息在傳送的過程中不會(huì)被偶然或故意破壞，保持信息的完整、統(tǒng)一；可用性是指合法用戶的正常請求能及時(shí)、正確、安全地得到服務(wù)或回應(yīng)。ITSEC把可信計(jì)算機(jī)的概念提高到可信信息技術(shù)的高度上來認(rèn)識(shí)，對國際信息安全的研究、實(shí)施產(chǎn)生了深刻的影響。

◆信息技術(shù)安全評(píng)價(jià)的通用標(biāo)準(zhǔn)（CC）由六個(gè)國家（美、加、英、法、德、荷）于1996年聯(lián)合提出的，并逐漸形成國際標(biāo)準(zhǔn)ISO15408。該標(biāo)準(zhǔn)定義了評(píng)價(jià)信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基本準(zhǔn)則，提出了目前國際上公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)，即把安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求以及解決如何正確有效地實(shí)施這些功能的保證要求。CC標(biāo)準(zhǔn)是第一個(gè)信息技術(shù)安全評(píng)價(jià)國際標(biāo)準(zhǔn)，它的發(fā)布對信息安全具有重要意義，是信息技術(shù)安全評(píng)價(jià)標(biāo)準(zhǔn)以及信息安全技術(shù)發(fā)展的一個(gè)重要里程碑。

◆ISO13335標(biāo)準(zhǔn)首次給出了關(guān)于IT安全的保密性、完整性、可用性、審計(jì)性、認(rèn)證性、可靠性6個(gè)方面含義，并提出了以風(fēng)險(xiǎn)為核心的安全模型：企業(yè)的資產(chǎn)面臨很多威脅（包括來自內(nèi)部的威脅和來自外部的威脅）；威脅利用信息系統(tǒng)存在的各種漏洞（如：物理環(huán)境、網(wǎng)絡(luò)服務(wù)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、相關(guān)人員、安全策略等），對信息系統(tǒng)進(jìn)行滲透和攻擊。如果滲透和攻擊成功，將導(dǎo)致企業(yè)資產(chǎn)的暴露；資產(chǎn)的暴露（如系統(tǒng)高級(jí)管理人員由于不小心而導(dǎo)致重要機(jī)密信息的泄露），會(huì)對資產(chǎn)的價(jià)值產(chǎn)生影響（包括直接和間接的影響）；風(fēng)險(xiǎn)就是威脅利用漏洞使資產(chǎn)暴露而產(chǎn)生的影響的大小，這可以為資產(chǎn)的重要性和價(jià)值所決定；對企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)的分析，就得出了系統(tǒng)的防護(hù)需求；根據(jù)防護(hù)需求的不同制定系統(tǒng)的安全解決方案，選擇適當(dāng)?shù)姆雷o(hù)措施，進(jìn)而降低安全風(fēng)險(xiǎn)，并抗擊威脅。該模型闡述了信息安全評(píng)估的思路，對企業(yè)的信息安全評(píng)估工作具有指導(dǎo)意義。

◆AS/NZS 4360：1999是澳大利亞和新西蘭聯(lián)合開發(fā)的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)，第一版于1995年發(fā)布。在AS/NZS 4360:1999中，風(fēng)險(xiǎn)管理分為建立環(huán)境、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)監(jiān)控與回顧、通信和咨詢七個(gè)步驟。AS/NZS 4360:1999是風(fēng)險(xiǎn)管理的通用指南，它給出了一整套風(fēng)險(xiǎn)管理的流程，對信息安全風(fēng)險(xiǎn)評(píng)估具有指導(dǎo)作用。目前該標(biāo)準(zhǔn)已廣泛應(yīng)用于新南威爾士洲、澳大利亞政府、英聯(lián)邦衛(wèi)生組織等機(jī)構(gòu)。

◆BS7799是英國的工業(yè)、政府和商業(yè)共同需求而發(fā)展的一個(gè)標(biāo)準(zhǔn)，它分兩部分：第一部分為"信息安全管理事務(wù)準(zhǔn)則"；第二部分為"信息安全管理系統(tǒng)的規(guī)范"。目前此標(biāo)準(zhǔn)已經(jīng)被很多國家采用，并已成為國際標(biāo)準(zhǔn)ISO17799。 BS7799包含10個(gè)控制大項(xiàng)、36個(gè)控制目標(biāo)和127個(gè)控制措施。BS7799/ISO17799主要提供了有效地實(shí)施信息系統(tǒng)風(fēng)險(xiǎn)管理的建議，并介紹了風(fēng)險(xiǎn)管理的方法和過程。企業(yè)可以參照該標(biāo)準(zhǔn)制定出自己的安全策略和風(fēng)險(xiǎn)評(píng)估實(shí)施步驟。

國內(nèi)主要是等同采用國際標(biāo)準(zhǔn)。公安部主持制定、國家質(zhì)量技術(shù)監(jiān)督局發(fā)布的中華人民共和國國家標(biāo)準(zhǔn)GB17895-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》已正式頒布并實(shí)施。該準(zhǔn)則將信息系統(tǒng)安全分為5個(gè)等級(jí)：自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)和訪問驗(yàn)證保護(hù)級(jí)。主要的安全考核指標(biāo)有身份認(rèn)證、自主訪問控制、數(shù)據(jù)完整性、審計(jì)等，這些指標(biāo)涵蓋了不同級(jí)別的安全要求。GB18336也是等同采用ISO 15408標(biāo)準(zhǔn)。在制定的過程中，主要可以參照如下的方法進(jìn)行：

◆定制個(gè)性化的評(píng)估方法

雖然已經(jīng)有許多標(biāo)準(zhǔn)評(píng)估方法和流程，但在實(shí)踐過程中，不應(yīng)只是這些方法的套用和拷貝，而是以他們作為參考，根據(jù)企業(yè)的特點(diǎn)及安全風(fēng)險(xiǎn)評(píng)估的能力，進(jìn)行"基因"重組，定制個(gè)性化的評(píng)估方法，使得評(píng)估服務(wù)具有可裁剪性和靈活性。評(píng)估種類一般有整體評(píng)估、IT安全評(píng)估、滲透測試、邊界評(píng)估、網(wǎng)絡(luò)結(jié)構(gòu)評(píng)估、脆弱性掃描、策略評(píng)估、應(yīng)用風(fēng)險(xiǎn)評(píng)估等。

◆安全整體框架的設(shè)計(jì)

風(fēng)險(xiǎn)評(píng)估的目的，不僅在于明確風(fēng)險(xiǎn)，更重要的是為管理風(fēng)險(xiǎn)提供基礎(chǔ)和依據(jù)。作為評(píng)估直接輸出，用于進(jìn)行風(fēng)險(xiǎn)管理的安全整體框架，至少應(yīng)該明確。但是由于不同企業(yè)環(huán)境差異、需求差異，加上在操作層面可參考的模板很少，使得整體框架應(yīng)用較少。但是，企業(yè)至少應(yīng)該完成近期1～2年內(nèi)框架，這樣才能做到有律可依。

◆多用戶決策評(píng)估

不同層面的用戶能看到不同的問題，要全面了解風(fēng)險(xiǎn)，必須進(jìn)行多用戶溝通評(píng)估。將評(píng)估過程作為多用戶"決策"過程，對于了解風(fēng)險(xiǎn)、理解風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)、落實(shí)行動(dòng)，具有極大的意義。事實(shí)證明，多用戶參與的效果非常明顯。多用戶"決策"評(píng)估，也需要一個(gè)具體的流程和方法。

◆敏感性分析

由于企業(yè)的系統(tǒng)越發(fā)復(fù)雜且互相關(guān)聯(lián)，使得風(fēng)險(xiǎn)越來越隱蔽。要提高評(píng)估效果，必須進(jìn)行深入關(guān)聯(lián)分析，比如對一個(gè)老漏洞，不是簡單地分析它的影響和解決措施，而是要推斷出可能相關(guān)的其他技術(shù)和管理漏洞，找出病"根"，開出有效的"處方"。這需要強(qiáng)大的評(píng)估經(jīng)驗(yàn)知識(shí)庫支撐，同時(shí)要求評(píng)估者具有敏銳的分析能力。

◆集中化決策管理

安全風(fēng)險(xiǎn)評(píng)估需要具有多種知識(shí)和能力的人參與，對這些能力和知識(shí)的管理，有助于提高評(píng)估的效果。集中化決策管理，是評(píng)估項(xiàng)目成功的保障條件之一，它不僅是項(xiàng)目管理問題，而且是知識(shí)、能力等"基因"的組合運(yùn)用。必須選用具有特殊技能的人，去執(zhí)行相應(yīng)的關(guān)鍵任務(wù)。如控制臺(tái)審計(jì)和滲透性測試，由不具備攻防經(jīng)驗(yàn)和知識(shí)的人執(zhí)行，就達(dá)不到任何效果。

◆評(píng)估結(jié)果管理

安全風(fēng)險(xiǎn)評(píng)估的輸出，不應(yīng)是文檔的堆砌，而是一套能夠進(jìn)行記錄、管理的系統(tǒng)。它可能不是一個(gè)完整的風(fēng)險(xiǎn)管理系統(tǒng)，但至少是一個(gè)非常重要的可管理的風(fēng)險(xiǎn)表述系統(tǒng)。企業(yè)需要這樣的評(píng)估管理系統(tǒng)，使用它來指導(dǎo)評(píng)估過程，管理評(píng)估結(jié)果，以便在管理層面提高評(píng)估效果。