1、基于管理因素的企业信息安全事故分析摘要 在借鉴国内外研究成果的基础上,结合事故致因理论提出企业信息安全事故模型,以事故机理研究为基础,以管理因素研究为核心,对信息安全事故致因因素进行整理归纳,将其分为环境因素、人员因素、技术因素、设备因素等四类,分析各因素对信息安全事故的影响,构建信息安全事故致因因素鱼刺图,最后提出针对性的防范措施。 关键词 信息安全事故;安全管理;事故致因理论 中图分类号 F49 文献标识码 A 文章编号 1006-5024(2013)01-0055-04 一、引言 在信息化浪潮席卷全球的今天,信息的重要性不言而喻。我国国民经济和社会信息化建设进程全面加快,网络与信息系统的
2、基础性、全局性作用日益增强,信息技术在提高企业服务水平、促进业务创新、提升核心竞争力等方面发挥了重要作用。但是,在进行信息化建设的同时,各种信息安全事故却频繁发生。据普华永道 2010 年度全球信息安全调查报告显示,中国企业信息安全事故发生率远远高于世界平均水平。网络事故、数据事故及系统事故是中国企业常见的三大信息安全事故,发生率分别为 51%、45%和 40%,而相同事故在全球范围内的发生率则为25%、27%与 23%。 大量文献和事实表明,信息的特殊性决定了信息安全事故的高发性。信息具有易传播、易扩散、易毁损的特点,信息资产比传统的实物资产更加脆弱,而其运作的风险、收益和机会却比实物资产大
3、得多。企业对信息系统不断增强的依赖性也增大了重要信息受到严重侵扰和破坏的风险,而这些风险常导致企业资产受损或业务中断。 目前,对于信息安全的研究大多集中于技术层面,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等,而从管理方面和流程优化方面研究的较少。Ross Anderson(2001)认为,信息安全的经济管理研究在某种程度上比技术研究更为重要。傅毓敏(2010)认为,中国企业对信息安全管理人员和流程的重视不足是导致相关安全事故率居高不下的主要原因。因此,有必要系统分析企业信息安全事故发生的机理,以管理因素研究为核心,找出事故发生的根本原因。通过控制事故致因因
4、素预防企业信息安全事故的发生,将对企业的信息安全管理有一定的指导意义。 本文将生产领域的事故致因理论应用到信息安全事故分析中,系统分析企业信息安全事故的形成机理,将信息安全事故致因因素分为四部分,即环境因素、人员因素、技术因素和设备因素,分析各因素对信息安全事故的影响,构建信息安全事故致因因素鱼刺图,并提出针对性的防范措施。 二、理论基础 (一)国内外从管理角度对信息安全事故的研究 国内外的学者从不同角度对信息安全事故原因进行了研究。Van Niekerk(2010)认为企业信息安全文化氛围是减少人为因素所导致的信息安全事故的关键;Knapp(2009)等先后对信息安全政策和信息安全事故之间的
5、关系进行了研究;Herath(2009)通过问卷调研的实证研究验证了惩罚力度、压力和员工的效果认知会对其安全行为产生影响;Albrechtsen(2010)发现员工参与、集体反思和群体作用可以提高员工的信息安全意识,并改善其安全行为;Stanton(2005)研究发现终端用户的安全行为会对企业信息安全管理产生影响;Ashenden(2008)通过实证研究发现信息安全管理人员、高层管理者和终端用户之间存在信息鸿沟,双方在理解上的差异会对企业的信息安全管理产生不利影响,增加了信息安全事故发生的几率。此外,Vroom(2004) 、Flowerday(2005)等学者也先后对此进行了研究。 与国外相
6、比,国内对于信息安全的研究多集中于技术层面,涉及管理层面的研究较少。沈昌祥、张焕国、冯登国(2007)系统地阐述了信息安全理论及相关技术的发展;官巍、胡若(2007)从社会环境、商业、组织和个人的角度分析了电子商务的信息安全问题;刘福来(2010)对中小企业信息化管理中存在的安全隐患和原因进行了分析。 通过阅读文献发现,国外学者大多通过实证研究验证了一个或几个因素对信息安全事故的影响,但是缺乏对信息安全事故的系统分析。国内的研究多用于构建信息安全管理体系,对信息安全事故的分析则鲜有研究。 (二)事故致因理论 在信息安全事故分析方法的选择上,本文选择了在生产领域广泛应用的事故致因理论。事故致因理
7、论是研究分析导致事故发生原因因素的科学理论。它是描述事故成因、经过和后果的理论,是研究人、物、环境、管理及事故处置等基本因素如何起作用而形成事故并造成损失的理论。 在早期的事故致因理论中,海因里希(W.H.Heinrich)的事故因果连锁论最具代表性,它最先提出了物的不安全状态和人的不安全行为是导致伤亡事故发生的两个直接因素。在海因里希事故因果连锁论的基础上,博德(F.Bird)等又进一步提出了把安全管理作为背后深层次的间接事故致因因素的现代安全科学观点,认为任何安全事故发生的深层次原因,都可以归结为管理的失误,人的不安全行为或物的不安全状态不过是其背后的深层原因的征兆和管理失误的反映。 本文
8、依据博德(F.Bird)的现代安全科学观点,提出如图 1 所示的信息安全事故模型。信息安全事故的发生是由于人的不安全行为和物的不安全状态作用在能量物质/载体上的结果,而企业的管理因素是导致物的不安全状态和人的不安全行为发生作用的直接因素。 三、信息安全事故分析 通过对各类型信息安全事故致因因素的分析,企业信息安全事故的致因因素大体可分为两类,即人的因素和物的因素。其中,物的因素可进一步分为环境因素、技术因素、设备因素等。根据实地调研和文献梳理可以得出,企业文化的缺失、安全规章制度的不完善等环境因素是造成事故的深层原因。因此,本文将企业信息安全事故的可控致因因素整理归纳后分为四类,即环境因素、人
9、员因素、技术因素和设备因素,并构建了信息安全事故鱼刺图(见图 2) 。 (一)环境因素分析 在信息化建设过程中,很多企业由于急需开展业务,往往出现“先业务,后安全”的现象,安全管理严重滞后于业务的发展。在企业的内部环境中,企业业务的符合性直接决定了信息系统的设计、运行、试用和管理是否超出法律规定和合同规定的安全要求的约束范围。另外,很多企业安装了一定的安全设备,但缺乏统一的安全体系规划和安全防范机制,企业安全责任不明确,这些都大大增加了信息安全事故发生的风险。由于缺乏业务连续性计划和事故处理机制,发生信息安全事故之后,企业的业务往往会出现中断,此时,信息管理人员又变成“救火员”恢复业务,最终信
10、息安全建设变成一种“头痛医头,脚痛医脚”的亡羊补牢式的行为。此外,企业惩戒措施和审计机制的缺乏也是导致信息安全事故频繁发生或重复发生的重要因素。 在信息安全管理的外部环境中,与企业密切相关的是第三方服务机构或个人。企业选择第三方服务机构为企业提供服务,就意味着将企业的部分信息转移至第三方。企业与第三方的外包合约不完善、第三方的服务质量不高以及对第三方数据访问权限的不明确易导致企业关键数据的泄露,容易引发外部攻击。 (二)人员因素分析 人员是信息安全管理中最为活跃的因素,不同类别的人员对信息安全事故的影响不尽相同。 (1)管理人员。高层管理者是企业资源投入的决策者,也是企业信息安全管理的核心,高
11、层对信息安全的支持和重视不够是导致企业信息安全文化欠缺和员工信息安全意识淡漠的关键因素。中层管理者作为衔接企业高层和基层的桥梁,其对上级决策的执行力度直接决定了企业信息安全管理实施的效果。 (2)技术人员。在企业中,技术人员可以保证企业信息系统的日常运营和维护。但大多数企业,尤其是中小企业缺乏信息技术人才和安全监察、审计人员。由于受人员及技术的限制,往往一个管理员既要负责系统的配置,又要负责系统的安全管理,安全设置和安全监督都是“一肩挑” 。这种情况使得管理权限过于集中,一旦管理员的权限失控,极易导致重要信息泄露。 (3)基层人员。目前,我国企业的基层员工普遍缺乏信息安全的教育、培训,对信息安
12、全意识淡漠,每天都在以不安全的方式处理着企业的大量重要信息,如随意使用移动设备、上网不限制等,这些不安全的行为都对企业的信息系统构成了潜在的威胁。 (三)技术因素分析 信息安全技术是企业防范信息安全事故的基本因素,也是我国企业在信息安全管理中投入较多的一部分。具体而言,导致信息安全事故技术方面的因素可以分为两大类:(1)软件因素,包括软件设计缺陷或存在技术漏洞、杀毒软件不及时更新以及突发的软件故障等。 (2)信息系统设计因素,包括信息系统设计时没有以风险评估为基础、业务流程描述错误或遗漏、前期测试不充分、数据访问权限设置不清晰、关键数据没有备份、信息资产安全等级不明确以及信息资产没有保护措施等
13、因素。这些不安全的技术因素导致了信息安全漏洞存在的必然性和普遍性。在目前互联网普及的开放网络环境中,这些漏洞无疑会给外部攻击者留下可乘之机,导致信息安全事故的发生。 (四)设备因素分析 企业信息安全管理的设备主要包括中心机房、服务器、网络设备、线路等方面,这些是企业信息安全保障系统的基础。由于设备因素引起的信息安全事故包括硬件自身故障、外围保障设施故障、人为破坏事故、其他设备设施故障等四种,其致因因素可以归纳为三类:(1)物理安全方面,包括物理安全边界不明确、非授权的物理访问、设备或存储介质缺乏安全措施、设施设备的非授权使用或移动、硬件失效等。 (2)外围保障设施方面,包括供电或空调中断、电气
14、故障、电缆损坏等。 (3)外界不可抗力,包括水灾、台风、地震等自然灾害和恐怖袭击、战争等外界不可抗力因素。这些因素往往会造成设施设备硬件的损坏,导致存储于设备上的数据受到干扰和破坏,容易引发企业业务的中断。 四、防范措施 针对上述造成信息安全事故的因素分析,可以从人员培训、制度完善以及硬件改进三个方面进行防范。具体而言: (一)建立有效的“人力防火墙” ,减少人为因素导致的信息安全事故 信息安全是企业每个员工都要面对的问题,通过建立“人力防火墙”能真正调动企业实现长治久安的内在动力。因此,必须加强信息安全宣传工作,增强所有员工对信息安全重要性的认识。通过增强管理人员对信息安全的重视,营造企业的
15、安全文化氛围,提高企业员工的信息安全意识;通过对员工进行安全教育与培训,增强员工的安全技能;通过法律法规、安全政策、访问权限与惩戒措施来约束员工的行为,减少不安全行为的发生。最终在企业内部形成一种“信息安全,人人有责”的企业文化氛围,减少人为因素导致的信息安全事故。 (二)完善企业信息安全管理体系,减少由于环境、技术因素导致的信息安全事故 信息安全管理体系是依据企业信息安全需求、业务流程分析和风险评估的结果,综合利用各种信息安全技术与产品,在统一的综合管理平台上建立的信息安全管理机制和防范体系。建立并完善信息安全管理体系,可以为企业的信息管理提供来自策略、设计以及运行等各个层面和阶段的安全保障
16、,有效减少由于环境因素和技术因素引起的信息安全事故。建立灾难恢复与业务持续性计划,强化重要信息数据备份,在信息安全事故发生时能确保业务持续开展,将损失降到最低程度;建立集中化的管理控制机制,将数据安全控制进行集中化管理,建立一个具有全局性的网络管理平台,以确保安全防范策略能够由上至下全面贯彻执行,减少数据安全风险;以“适度防范”为原则,选择合适的安全技术与产品,制定相应的访问控制策略,在考虑成本和投资回报的基础上满足企业业务安全的需求。 (三)增强设备的安全保护,减少设备的物理损坏 信息处理设备是所有信息活动的基础设施,企业应当把关键的和敏感的业务信息处理设备放在安全区域,提供与确认的风险相适应的保护,并有适当的安全屏障和接入控制,减少未经授权情况下访问或移动文件、存储介质和信息处理设备,或者对它们造成干扰和破坏的风险。同时,为减少设施设备的损坏对数据造成干扰或破坏的风险,尤其是免于遭受自然灾害或其他灾害性事故的毁坏,外部设备保护也是十分必要的,诸如电力供应设备和电缆设备等的保护。 责任编辑:李小玉
