1.1.3.企業信息安全
1.凱撒密碼的傳說
在人類歷史上，保護信息的需求與信息本身一樣歷史久遠。第一個用于加密和解密消息的文擋化數字“密碼”是凱撒密碼，是凱撒本人創造的。古希臘歷史學家希羅多德于公元前479年記錄道：
“當它在蘇薩獲悉薛西斯決定入侵希臘時，認為必須將這一消息傳遞給斯巴達。由于一旦被敵人發現，就會面臨巨大的危險，所以只有一種方法可以用來傳遞消息：刮去一對木制折疊板的封蠟，在木版上寫上薛西斯的企圖，然后再用蠟封住木版。
按這種方式處理的木版，看上去相當光滑，不會引起路上哨兵的注意。當消息抵達目的地時，沒有人能猜出這一秘密，只有Cleomenes的女兒Gorgo（Leonidas的妻子）發現了它并告訴給其他人……，這樣一來，人們得到了此消息并傳遞給其他希臘人。“
從這個故事可以透視出信息加密的歷史和他的重要性。
2.當今企業所處的信息環境
以往的企業是在一個相對封閉的環境中運作，信息系統安全在企業的控制之下。今天，企業依賴于開發的、互聯的網絡環境，這些網絡將商業企業、醫療機構、教育、政府部門、甚至個人聯結到了一起，帶來了豐富的資源，同時也帶來了潛在的風險。

自從網絡和Internet出現依賴，隨著計算模式從大型機向分布式系統的轉移，企業受保護的信息資源被分散在控制不很嚴格的計算平臺中（例如UNIX/Linux和Windows平臺），應用程序的部署（例如Web服務器、應用程序服務器、數據庫服務器、內容服務器和目錄服務器）變得越來越復雜，多線程的面向對象和Java技術的運用，各種計算平臺的安裝，終端設備的接入（例如電話、筆記本電腦、掌上電腦和PDA等），有線/無線網絡的連接，尤其是通用的網絡傳輸協議（TCP/IP）的普及，企業業務向電子商務的轉移。信息安全問題越來越凸現出來，使得企業的信息安全性日趨緊迫。
3.并非危言聳聽的信息安全恐怖事件
1).蠕蟲王，互聯網的“911”
2003年1月25日，互聯網遭遇到全球性的病毒攻擊。突如其來的蠕蟲，不亞于讓人們不能忘懷的“911”事件。這個病毒名叫Win32.SQLExp.Worm，病毒體極其短小，卻具有極強的傳播性，它利用Microsoft SQL Server的漏洞進行傳播，由于Microsoft SQL Server在世界范圍內都很普及，因此，此次病毒攻擊導致全球范圍內的互聯網癱瘓。在中國80%以上網民受此次全球性病毒襲擊而不能上網，很多企業的服務器被此病毒感染引起網絡癱瘓。美國、泰國、日本、韓國、馬來西亞、菲律賓和印度等國家的互聯網也受到嚴重感染。直到26日晚，蠕蟲王才得到初步的控制。這是繼紅色代碼、尼姆達、求職信病毒后又一起極速病毒傳播案例。所以“蠕蟲王”蠕蟲的出現，應該成為一個傳奇，全世界范圍內損失額高達12億美圓。
2).美伊戰爭引發美國歷史上最大的黑客恐怖襲擊
2003年3月20日，美國對伊拉克發動戰爭。在炸彈持續向伊拉克傾斜之際，抗議者和擁護美英的愛國黑客在互聯網上的口水大戰也隨之升級，他們互相篡改對方公司與政府網站的內容，黑客入侵網站事件激增。有三類黑客參與對網站的攻擊：以美國為基地的愛國主義黑客、伊斯蘭極端主義組織和反戰的和平主義人士。破壞的信息無所不包，既有支持美英軍隊的字眼，也有對軍事行動表示憤慨的言論。而受害的網站也各種各樣，從美國海軍的網站到英國工業產品配銷商的網站應有盡有。黑客組織篡改美國和英國的網站事件每一分鐘就會有3～4起篡改發生，這次黑客攻擊在數量和速度上都有大幅度的提高。
3).全球黑客大聚會
2003年6月13日到14日，每年一屆的黑客大會在美國的匹斯堡召開，有大約200個代表參加。這項活動從1985年以來每年一度，中間只空缺過一年。2003年的參加人數不如2002年，2002年人數多達2000人。組織者2003年的目標是希望能說服公眾：黑客有“黑帽”和“白帽”之分。黑客大會上，內容涉及從黑客技術到有關安全的現行法律，以及金盆洗手后黑客們的就業等問題，其中也有可怕的黑客入侵主題，這樣的主題是最受歡迎的。
4).“沖擊波”病毒肆虐全球
2003年8月11日，一種名為“沖擊波”（WORM_MSBlast.A）的新型蠕蟲病毒開始在國內互聯網和部分專用信息網絡上傳播。該病毒傳播速度快、波及范圍廣，對計算機正常使用和網絡運行造成嚴重影響。該病毒能夠在短時間內造成大面積的泛濫，是因為病毒運行時會掃描網絡，尋找操作系統為Windows 2000/XP的計算機，然后通過RPC漏洞進行感染，并且該病毒會操作135、4444、69端口，危害系統。受到感染的計算機機中Word、Excel、PowerPoint等文件無法正常運行，彈出找不到鏈接文件的對話框，“粘貼”等一些功能無法正常使用，計算機出現反復重新啟動等現象。
5).即時通訊說不出的痛
今年即時通訊工具也成為了黑客的攻擊對象。目前，已有一些蠕蟲病毒成功地感染了部分即時通訊傳送應用客戶端，他們包括Aplore，通過AOL Instant Messenger（AIM）傳播；Goner，利用ICQ漏洞進行傳播；Cool Now，利用Message from Jerry傳播；Choke，通過MSN Messenger傳播。即時通訊和其他點對點通訊軟件能夠帶來嚴重的安全風險。企業還擔心員工使用即時通訊工具非法下載受保護的版權內容，運行這樣的軟件也可能使企業的網絡門戶洞開，受到病毒、特洛伊木馬以及其他各種威脅。隨著駕駛通訊服務不斷推出語音、視頻聊天等新功能，其危險性也大大增加了。

6).郵件蠕蟲病毒泛濫
2003年郵件病毒是一個接一個的爆發，從年初的“求職信”、“惡郵差”，中旬的“大無極”，到最近的“小郵差”新變種，一個比一個厲害。輕則感染幾十萬臺計算機，重則全球幾百萬。
7).垃圾郵件數量變本加厲
全球垃圾郵件數量的增長率已經超過正常電子郵件的增長率，而且就每封垃圾郵件的平均容量來說，也比正常的電子郵件要大得多。中國互聯網信息中心2003年7月公布的《中國互聯網絡發展狀況統計報告》顯示，中國網民平均每周收到16.1封電子郵件，其中垃圾郵件占據了8.9封，垃圾郵件數量超過了正常郵件數量，并有進一步增長的趨勢。
4.數據丟失
由于硬件的損壞、人為誤操作和災難事件等造成的數據丟失是每個企業所需要避免的，其中最常用的方法是進行數據備份。數據備份的重要性是如何強調都不過分的，如果企業認為數據的丟失是不可接受的，那么請備份這些數據，并對備份數據和出現數據丟失后進行恢復工作需要的時間，以及花費的成本進行綜合評估。
5.數據被怯
Internet的普及給人們帶來方便的同時，也帶來了潛在的隱患。由于Internet的互聯性，使數據遠程盜竊成為可能，與其他資產不同的是，信息進行復制的成本是非常小的，而且可以在沒有丟失的情況下被別人盜走。數據盜竊可以發生在數據存儲在介質上，也可以發生在數據傳輸的過程中。因此，數據加密技術、數據訪問控制技術和防入侵技術是防止數據被竊的重要手段。
6.病毒
使用反病毒軟件已經一種很基本的防范行為了，IT經理們應該確保反病毒工具已經被正確地安裝了、并定期進行升級。 記住，雖然你的公司對手也許正在喪失生產效率，但是病毒卻沒有，這意味著病毒惡作劇幾乎可以與現實中的競爭一樣產生嚴重的問題，權威的惡作劇列表可以有效地消除用戶的擔心，并保持對真實威脅警告的可信性。
IT經理們也應該監控電子郵件活動性突然爆發，這可能暗示不是真正的蠕蟲攻擊就是對病毒惡作劇警告信息的驚慌。
當前信息安全問題已經成為一個非常嚴重的問題，美國聯邦調查局于2001年調查了538位系統安全經理，其中有85%經歷過安全問題，其中絕大多數安全問題帶來了財產的損失，平均每個安全問題帶來兩百萬美金的損失。政府部門也存在著同樣的安全問題，據有關調查顯示，美國32個政府部門的155臺計算機系統曾經遭受過超過2000次入侵。
但這僅僅反映出安全問題的一小部分，大多數企業由于受到股東和客戶的壓力在出現安全問題時并沒有對外公布，美國聯邦調查局稱，只有36%的企業在出現安全問題的時候向有關部門進行的報告。
針對信息安全建設，IBM提出這樣包含五個環節的周期概念：安全評估、安全計劃、安全設計、安全實施和安全運行。以上五個階段是周而復始的循環關系，在每一個周期結束自然進入下一個周期。
實際上，IBM提供給企業的將是一套完整的安全保障機制而并非一勞永逸的大結局。越來越多的信息安全專家的觀點發生了轉變。從最初對攻擊的完全防守到目前確保損失最小化，人們意識到同現實生活中其他安全問題一樣，信息安全同樣需要耐心和毅力。正是基于對安全任務長期性的認識，有目的、有計劃的安全計劃將取代隨機的應付。
同時人們也認識到，僅憑任何單方面的努力并不足以保證信息安全，而包括網絡、計算機、軟硬件、管理等各方面咨詢的方案制定才有更好的保證。IBM為了幫助客戶實施信息安全，和業界最優秀的方案供應商成為合作伙伴，保證用戶按照自己的需求選擇最適合自己的供應商，實現用戶利益的最大化。

1.2.信息安全的重要性及價值分析
在當今的信息時代，必須保護對其發展壯大至關重要的信息資產，另一方面，這些資產也暴露在越來越多的威脅中，毫無疑問，保護信息的私密性、完整性、真實性和可靠性的需求已經成為企業和消費者的最優先的需求之一。由于入侵、破壞企業IT系統的事件每天都在發生，加上Internet危險地帶的認知不斷加強，對信息安全的需求前所未有地高漲起來。對于大多數高級企業主管而言，安全問題不再遙不可及了，而是已經開始在自己身旁發生。安全漏洞會大大降低公司的市場價值，甚至威脅企業的生存。即使最小的漏洞也能將公司的名譽、客戶的隱私信息和知識產權置于危險之中。還有成功的攻擊對于企業官員將造成嚴重個人損害。
通過以上討論可以看出，在當前的商業和信息環境下，企業面臨著各種各樣的安全問題，而解決這些安全問題對企業而言是至關重要的。從某種程度上說，安全的信息系統是現代企業賴以生存的基礎，是企業的業務驅動，而不僅僅是信息技術的發展。在這樣的環境中，企業如何才能有效地解決這些問題呢?
1.2.1.企業安全之痛
● 保護企業的員工和客戶的私有信息
● 關鍵商務信息交換的安全性
● 企業級的統一身份管理
● 確保越來越復雜的系統環境的一致完整性
● 安全管理策略，降低企業風險
安全需求來自于業務本身，而非IT技術驅動。通過下面的圖示可以清楚地告訴我們安全問題貫穿于整個企業的運作。

1.2.2.商業機密信息的安全交換
電子商務是當今世界商務活動運作發展的主流方向。在信息化的過程中，越來越多的企業在大規模地用電子商務來取代傳統的商務活動方式，以達到全面提高其市場競爭力的目的。然而，電子商務目前主要是以電子數據交換和Internet方式來實現的。企業必須防止電子商務中的欺詐行為，合同爭議和信息泄露或篡改的現象發生。在網上進行商務活動會涉及許多企業的商業秘密與個人隱私，這需要保護;另一方面，任何商務活動是建立在交易雙方相互信任的基礎上，如何確定要進行交易的交易方正式所期望的交易方，并防止抵賴情況發生是保證電子商務順利進行的關鍵，企業開展電子商務活動必須建立在安全交易的基礎上。
1.2.3.保障業務持續運轉
“天又不測風云，人由旦夕禍福”。像地震，火災，爆炸，洪水等自然災害，系統軟件與硬件故障，網絡病毒，人員欺詐與惡意行為等威脅，都會造成企業商務活動的中斷，甚至企業的破產，例如，如果通信網絡因為故障造成用戶數據丟失且沒有用戶數據備份，短時間內無法恢復，這將給通信運營商造成很大的經濟與信譽損失。俗話說“不怕一萬，就怕萬一”。如美國的“9.11”恐怖事件的發生，因為企業數據的毀滅，造成很多公司業務長時間的中斷，甚至公司的滅頂之災。為防止企業經營或商務活動的中斷，保護關鍵商務過程免受重大故障或災難的影響，建立安全強壯的信息系統及其管理必不可少。
1.2.4.信息安全是企業持續發展的需要
現代企業的正常運作離不開信息資源的支持，這包括組織的知識產權，各種重要數據，信息處理設施，關鍵人員等。企業的商業秘密被泄露回使企業喪失競爭優勢，失去市場;系統故障會造成正常的業務運作中斷。因此，企業要保持可持續性發展，信息安全是基本的保證之一。
1.2.5.降低風險，防患于未然
企業在商業活動中面臨著各種各樣的風險，這些風險是在企業內部運作，以及與客戶和業務伙伴操作中與生俱來的，不可避免的，正確識別理解風險和安全解決方案的關系是降低企業運行中風險的基本要求。根據商業安全范式建立有力的方法論，將信息安全植入到企業創造商業價值的流程和風險管理過程中，并且使企業的安全投資最大化，使企業能夠有效利用安全資源來管理商業風險。

1.2.6.安全管理通用五步法:
1). 風險分析:研究潛在的安全漏洞，決定可接受的安全控制，實施成本，以及不能被顧及的并且可接受的風險因素。其主要活動包括:確定安全漏洞或風險，例如自然災害、外部黑客攻擊、員工錯誤等；識別有商業價值的數據資產，例如客戶數據庫、研究信息、新產品計劃、財務數據；量化損失風險，資產價值及其控制成本。
2). 制定安全策略：制定資產分類計劃、應用安全支持、信息服務供應商安全支持計劃、高級別的管理目標承諾和責任、安全違規處理程序、用戶培訓和安全告知程序。
3). 實施執行：安裝初始化適當的安全產品和系統控制，主要活動包括:為制定的安全策略選擇安全機制、安裝安全軟硬件產品、定義系統安全控制方法、用戶和資源分組，以便與管理。
4). 管理：應用安全策略和實踐，例如:用戶身份和口令管理、特殊系統和用戶特權管理、數據庫、應用程序、交易和設備等資源、安全日志。
5). 審計：安全審計是指對安全控制和事件的審查評價，審計的結果定時的報告給管理層，并被用來更新完善安全策略和實行程序。
為了實現有效的安全策略，架構企業及安全平臺，企業必須建立一個基于風險分析，策略定義，方案實施，管理和審計的循環往復的流程周期。安全審計主要包括:自我和獨立測試、穿透測試、內部遵守情況、外部認證。

安全管理策略五步法