信息安全的纵深防御体系---人力防火墙

 一、什么是人力防火墙

    笔者在《信息安全管理体系的实施过程》一文提出了一种“以人为本”信息安全管理模型HTP，认为有效的信息管理体系可以由三部分组成：人员与管理(Human and management)、技术与产品(Technology and products)、过程与体系(Process and Framework), 根据此模型有效的信息安全实践过程如下：

 
    根据自顶向下，逐步求精的原则，根据组织的业务目标与安全要求，在风险评估的基础上，先建立并运行信息安全框架，初步达到粗粒度的信息安全；在完整的信息安全框架之上，建立信息安全的前沿防御体系“技术防火墙”和纵深防御体系“人力防火墙”与,在细粒度上的保证信息安全；实施阶段性的信息系统审计，在持续不断的改进过程中保证信息的安全性、完整性、可用性，从而建立一套完整的信息安全管理体系。

    在信息安全的所有相关因素中，人是最活跃的因素，人的行为是信息安全保障最主要的方面。人特别是内部员工既可以是对信息系统的最大潜在威胁，也可以是最可靠的安全防线。
著名的前黑客凯文-米蒂尼克(Kevin Mitnick)在接受采访时曾表示，尽管很多公司采取了安全防护措施，但这些安全措施在网络犯罪面前仍然显得不堪一击，原因在于他们忽略了网络安全的一个最为薄弱的环节--人的安全意识。比如米蒂尼克曾假扮过一个摩托罗拉公司的员工，并成功地说服该公司的一名工程师将最新的电话系统软件发送给他。米蒂尼克认为，计算机和调制解调器都不是问题的关键，人才是最重要的，只有把人的安全防范意识提升到一个相当高的地步，黑客攻击的破坏性才能够从根本上降低。

    统计结果表明，在所有的信息安全事故中，只有20%-30%是由于黑客入侵或其他外部原因造成得，70%-80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。以往的各种安全模型，其最大的缺陷是忽略了对人的因素的考虑，在信息安全问题上，要以人为本，人的因素比信息安全技术和产品的因素更重要。与人相关的安全问题涉及面很广，从国家的角度考虑有法律、法规、政策问题；从组织角度考虑有安全方针政策程序、安全管理、安全教育与培训、组织文化、应急计划和业务持续性管理等问题；从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。

    在国内，大部分企业对信息安全的理解还只停留在技术层面上，以为企业外部网建立了防火墙能防黑客，内部网能杀病毒就达到安全要求了。最近国内的几次安全事件，如亚信的电信方案被盗版，华为与美国思科及上海沪科的知识产权诉讼案都生动地告诉我们，在信息安全中人的因素比技术因素更重要。

    对人的管理包括法律、法规与安全政策的约束，安全指南的帮助，安全意识的提高，安全技能的培训，人力资源管理措施以及企业安全文化熏陶，这些是建立成功的信息安全体系的基础，我们把信息安全中对人的有效管理称为“人力防火墙”。从一个组织产生、管理、传播及保护信息的各个环节来看，都是人在起决定性作用，我们应当把这个幕后主角 “人”纳入信息安全的定义中去，把建立“人力防火墙”看作是实现有效信息安全的基础。“人力防火墙”并不是要代替传统的技术手段，它只是一种人的原有价值的回归。

二、建立人力防火墙的过程

1、得到组织最高管理层的支持

    在我国习惯把信息化工程称为“一把手工程”，在组织中没有各级领导的重视，信息化建设是不可能取得成功的，在这一点上大家已达成共识，同样，在一个组织内实施信息安全也必须得到高层管理人员的重视，得到高层管理人员的认同和承诺有两个作用，一是相应的安全方针政策、控制措施可以在组织的上上下下得到有效的贯彻；二是可以得到有效的资源保证，比如实施有效安全过程的必要的资金与人力资源的支持，及跨部门之间的协调问题都必须由高层管理人员来推动。

    要得到组织高层领导的支持，安全主管要善于“推销”安全计划，在与决策层进行有效沟通时，安全主管要注意两方面的问题：一是使企业组织高层相信信息安全并不是可有可无的摆设，它是组织战略一部分，是实现业务目标的加速器，缺乏信息安全保障的组织会面临极大的风险；避免使用技术性的语言，而要使用决策层可以充分理解的语言—投资回报，来使他们相信信息安全是可以为组织带来利益的，对信息安全的投资是有回报的。信息安全可以为组织带来两种效益：减少信息安全事故的经济损失而带来的价值效益和由于完备的信息安全体系而提升组织声誉、品牌的非价值效益。

    得到组织最高管理层的支持是建立人力防火墙的前提条件。

    
2、明确组织中的信息安全角色与责任

    在一个组织中，安全角色与责任的不明确是实施信息安全过程中的最大障碍，建立安全组织与落实责任是实施信息安全管理的第一步。

    首先要建立的是信息安全指导委员会，在我国许多企业也称之为信息安全领导小组，这个小组的组长一般要以企业的高层领导挂帅，结合各职能部门的主要负责人参加，它是主要职能是制订组织的信息安全中长期战略与信息安全方针，制订信息系统的获取、开发和运行的规则，审批信息安全项目投资预算，监督信息安全项目的实施，评审与监测信息安全措施的实施及安全事故的处理，协调各部门之间的与信息安全相关事务。
   
    其次是建立一支以信息安全主管为核心的、专业的信息安全管理的队伍。这支队伍一般由信息安全日常管理、信息安全技术操作两方面的人员组成。在“911”事件以后，为了加强对安全的统一管理，在美国有一种把安全保卫部门与信息安全部门合并的趋势，许多大公司设置一个首席安全官（Chief Security Officer）职位，负责包括信息安全在内的所有安全事宜。这种设置加强了安全管理的集中领导，强调了快速反应能力，但对首席安全官的管理素质、职业技能提出了全新的挑战。首席安全官不仅要负责日常的安全保卫工作(防灾、防盗、防破坏)，同时对信息安全有较深入的了解，对新技术的发展与各种新的安全威胁要有敏锐的感觉，要有较强的不断学习与挑战自我的能力。首席安全官不仅要深入理解组织业务，熟悉风险所在，而且要有良好的组织管理能力与沟通能力。

    有效的信息安全管理不仅要求企业安全主管与其下属的技术与管理队伍负起相应的责任，而且还需要把相应的安全责任落实到每一个员工身上，让员工知道组织中的信息安全不仅仅是信息安全专业人员的责任，每一位员工都负有相应的安全责任，如：新员工都要签订保密协议，员工要认真阅读组织的安全政策及工作描述中的安全规定；遇到安全事件要及时汇报并配合调查；使员工知道遵守安全政策是工作责任的一部分，违反安全政策会损害组织的利益并受到处罚。员工的安全职责应通过详细、明确的安全方针及政策来确定。这是建立人力防火墙的组织保证。

3、制定行动计划与预算计划

    安全主管上任后的第一件事，就是要“摸清家底”，看看组织的安全状况如何，分析组织的整个业务流程上存在哪些风险，有哪些信息资产需要保护，需要多大的投入，最后制定出包括信息安全教育计划在内的行动计划与预算计划。信息安全行动计划应包括以下几个方面：
    Ø 建立正式的信息安全组织
    Ø 业务调查与风险分析
    Ø 信息安全政策制订与实施
    Ø 与信息安全相关的人力资源政策的制订
    Ø 安全事件响应计划
    Ø 监控日常安全事务及员工对安全政策的遵循
    Ø 业务连续性计划及灾难恢复计划
    Ø 安全教育计划
    Ø 建设企业安全文化

    有足够资金支持的计划才是切实可行的计划，才能有效地落实信息安全所需要的人、财、物等资源的配置。行动计划、预算计划一定要合理，过高的安全预算会使安全失去意义，最好是结合投资回报分析，使企业决策者相信信息安全是企业战略的重要组成部分，是实现企业目标的加速器。合理的行动计划与预算计划为建立人力防火墙的可行性提供保证。

4、制定信息系统安全政策

    信息系统安全政策就是为防止信息资产意外损失及被有意滥用而制订的规则，这些政策是应该涵盖组织中生成、加工、使用、储存信息的各个方面，并符合ISO 17799 对信息系统安全的要求。信息安全政策要符合组织的业务目标及特定的环境要求，并使之被每个员工所理解和执行，这是实施信息安全的重要环节，是建立人力防火墙的政策依据。

    信息系统安全政策一般有以下几方面：
    Ø 保护硬件、外设及其他设备
    Ø 信息处理系统使用的媒介发放与回收
    Ø 控制对信息与系统的访问
    Ø 物理访问安全
    Ø 对信息与文档的处理
    Ø 购买与维护商业性软件
    Ø 开发与维护自主产权的应用软件
    Ø 防止网络犯罪
    Ø 符合法律与政策的要求
    Ø 业务持续性计划与灾难恢复计划
    Ø 对信息资产的分类
    Ø 职责分离
    Ø 职务的任期期限
    Ø 重要程序和数据的删除和销毁等
    Ø 处理保密信息
    Ø 与信息安全相关的人力资源有关事务
    Ø 控制电子商务的信息安全
    Ø 对员工实施培训及安全意识教育
    Ø 检测安全事件及对安全事件的响应
　　
    安全政策的制订完成后要上报董事会或最高管理层批准，并以书面方式发放到员工手中，通过安全教育计划使每个员工都知道他在组织中对信息安全所负的责任。目前传统的书面发送方式逐渐被电子方式所替代，安全政策经常被放置在组织的内部网上，这样可以使员工更方便地使用。

5、与安全相关的人力资源政策的制定

    今天的组织中员工在计算机方面很少受到严格的培训，每天都在以不安全的方式处理着企业的大量重要信息，他们都对企业的信息系统构成了潜在的威胁。许多对企业心存不满的员工把 “黑”掉企业网站，偷窃并散布客户敏感信息，为竞争对手提供机密的技术与商业数据，甚至破坏关键计算机系统作为对企业的报复行为，使企业蒙受了巨大的损失。因为这些员工非常了解企业的薄弱点，一般企业的安全系统对内部员工几乎是不设防的，这是非常危险的。

    因此除了技术的控制手段外，要制定合适的人力资源政策，加强对“人”的管理，对潜在的安全入侵者也是一种威慑及惩戒措施，这是建立人力防火墙的有效控制手段。
  
    有效的人力资源政策有以下几个方面：
    Ø 新员工的筛选，要考虑是否符合职位的信息安全的需要，要仔细验证新员工提供的证明材料及文凭是否真实。
    Ø 与新员工签署的劳动合同中要明确信息安全责任，使新员工从一开始就了解组织对信息安全的要求，这样容易在员工心目中形成较深的印象。
    Ø 对新员工进行岗前教育与培训，使员工在较短的时间内熟悉组织的信息安全政策与程序。

    Ø 明确规定员工必须遵守国家的法律法规与组织的信息安全政策，任何与法律法规及组织安全政策相违背的行为，都会被视为安全事件并受到相应的惩罚。

    Ø 要与员工明确知识产权的所有者关系，员工要签署协议明确承诺工作中所产生的技术成果其知识产权归组织所有。

    Ø 向员工声明组织尊重员工的个人隐私，所有员工的个人信息属于机密信息，在组织中要受到妥善保管，只有得到授权的管理人员才能访问。但对在工作中产生的并存储在组织的应用系统中任何信息，组织保留随时检查的权利。

    Ø 在员工工作说明书中，详细描述工作流程的每一环节对信息安全的要求及相应的责任，向员工提供使用组织的软硬件设施的要求及相关规定。

    Ø 组织中人力资源管理人员与安全主管要高度关注对组织心怀不满的员工，他们常常是信息安全事件的策划者与发起者。员工的报复性行为会对组织的信息安全造成极大的损害。组织要完善沟通渠道，鼓励员工把对组织的不满通过正常途径及时地表达出来，并做妥善处理，把危险的动机消灭在萌芽中。

    Ø 要及时中止离职员工对系统的访问权限，并对离职员工的信息终端做好安全调查工作。

人力资源管理在信息安全的管理中充分十分重要的作用，信息安全管理人员要与人务资源管理人员密切合作，协同作战，才能实现信息安全中对“人”的有效管理。

6、实施安全教育计划以提高员工安全意识与技能

    信息安全教育是实施信息安全的基础，在美国的安全保障国家策略中，安全意识的培训和教育列在第一位，从联邦政府到国防部门，很多都设有安全培训服务。为了提高信息安全和信息保障能力，美国政府拨款1．5亿美元，拟在7所院校建立“信息保障教育优秀学术中心”。

    我国政府及企业也开始意识到信息安全教育的重要性，也开始加大投入，制定各种不同范围、不同层次的安全教育与认证计划。完备的安全教育计划可以提高员工的安全意识与技能，改变他们对待安全事件的态度，使他们具有一定的安全保护技能，以更好地保护组织的信息资产。好的安全教育计划应该让员工知道组织的信息安全面临的威胁及信息安全事件带来的后果，并通过各种方式使这种不良后果能明确地展现在员工面前，使员工切身感觉到安全事件与自己息息相关。

1) 安全教育模型
    安全教育计划要阶段性地进行，要在员工中形成一个坚持不懈的氛围，教育的形式既要生动有趣，又要紧凑有效。组织可以考虑采用美国国家标准与技术研究院提出的信息安全学习模型来设计安全教育计划，这是一个基于角色与职责的、框架式的安全教育模型，这个模型适应于分布式计算环境下的安全教育，并能适应未来技术的不断发展与风险管理决策的要求。模型如下：

    这个模型，可以看出安全教育的信息流动是从底向上流动，在最底层，所有员工，包括管理人员、普通职员以及有业务关系的合作伙伴都要求接受安全意识的教育，因为他们都在使用组织的信息系统；“信息安全基础”阶段主要是为职位与信息安全相关的员工，提供信息安全漏洞、威胁和保护措施等方面的基础知识的培训，这是一个“意识”与“培训”阶段的过渡层，主要是为后续的培训打下一个理论上、概念上的基础；从“管理、获得、设计开发、实施运行、检查评估、使用”层开始，集中于与信息系统相关的特定角度与责任的培训，为他们提供实际工作所需的信息安全方面的知识、技术与能力。此时的培训可分为初级、高级、中级三个层次；“教育”层面向信息系统安全专家与专业技术人员，为他们提供专门的安全教育，使他们具有较深的专业知识与较宽的技术视野，能处理复杂安全问题的能力，并能跟上信息安全技术的发展步伐。

这里有几个概念要搞清楚：
    Ø 对要接触到敏感与机密信息的员工，要与员工签署保密协议，要让员工知道敏感与机密信息对组织的重要性，以及违反保密协议要承担的责任。

    Ø 明确规定员工必须遵守国家的法律法规与组织的信息安全政策，任何与法律法规及组织安全政策相违背的行为，都会被视为安全事件并受到相应的惩罚。

    Ø 要与员工明确知识产权的所有者关系，员工要签署协议明确承诺工作中所产生的技术成果其知识产权归组织所有。

    Ø 向员工声明组织尊重员工的个人隐私，所有员工的个人信息属于机密信息，在组织中要受到妥善保管，只有得到授权的管理人员才能访问。但对在工作中产生的并存储在组织的应用系统中任何信息，组织保留随时检查的权利。

    Ø 在员工工作说明书中，详细描述工作流程的每一环节对信息安全的要求及相应的责任，向员工提供使用组织的软硬件设施的要求及相关规定。

    Ø 组织中人力资源管理人员与安全主管要高度关注对组织心怀不满的员工，他们常常是信息安全事件的策划者与发起者。员工的报复性行为会对组织的信息安全造成极大的损害。组织要完善沟通渠道，鼓励员工把对组织的不满通过正常途径及时地表达出来，并做妥善处理，把危险的动机消灭在萌芽中。
    Ø 要及时中止离职员工对系统的访问权限，并对离职员工的信息终端做好安全调查工作。

    人力资源管理在信息安全的管理中充分十分重要的作用，信息安全管理人员要与人务资源管理人员密切合作，协同作战，才能实现信息安全中对“人”的有效管理。

6、实施安全教育计划以提高员工安全意识与技能

    信息安全教育是实施信息安全的基础，在美国的安全保障国家策略中，安全意识的培训和教育列在第一位，从联邦政府到国防部门，很多都设有安全培训服务。为了提高信息安全和信息保障能力，美国政府拨款1．5亿美元，拟在7所院校建立“信息保障教育优秀学术中心”。

    我国政府及企业也开始意识到信息安全教育的重要性，也开始加大投入，制定各种不同范围、不同层次的安全教育与认证计划。完备的安全教育计划可以提高员工的安全意识与技能，改变他们对待安全事件的态度，使他们具有一定的安全保护技能，以更好地保护组织的信息资产。好的安全教育计划应该让员工知道组织的信息安全面临的威胁及信息安全事件带来的后果，并通过各种方式使这种不良后果能明确地展现在员工面前，使员工切身感觉到安全事件与自己息息相关。
1) 安全教育模型
    安全教育计划要阶段性地进行，要在员工中形成一个坚持不懈的氛围，教育的形式既要生动有趣，又要紧凑有效。组织可以考虑采用美国国家标准与技术研究院提出的信息安全学习模型来设计安全教育计划，这是一个基于角色与职责的、框架式的安全教育模型，这个模型适应于分布式计算环境下的安全教育，并能适应未来技术的不断发展与风险管理决策的要求。模型如下：

 
    这个模型，可以看出安全教育的信息流动是从底向上流动，在最底层，所有员工，包括管理人员、普通职员以及有业务关系的合作伙伴都要求接受安全意识的教育，因为他们都在使用组织的信息系统；“信息安全基础”阶段主要是为职位与信息安全相关的员工，提供信息安全漏洞、威胁和保护措施等方面的基础知识的培训，这是一个“意识”与“培训”阶段的过渡层，主要是为后续的培训打下一个理论上、概念上的基础；从“管理、获得、设计开发、实施运行、检查评估、使用”层开始，集中于与信息系统相关的特定角度与责任的培训，为他们提供实际工作所需的信息安全方面的知识、技术与能力。此时的培训可分为初级、高级、中级三个层次；“教育”层面向信息系统安全专家与专业技术人员，为他们提供专门的安全教育，使他们具有较深的专业知识与较宽的技术视野，能处理复杂安全问题的能力，并能跟上信息安全技术的发展步伐。
这里有几个概念要搞清楚：

    对不同的听众，要采用不同的形式的意识计划，对管理人员要强调管理人员在建立组织安全文化上的关键作用，对于其他人员如普通业务员、IT技术人员、业务伙伴等，则要强调信息安全与本职工作结合的重要性。切记在当前信息互联的环境下，组织内外的任何人都有可能访问组织的重要信息资源，从而形成对组织信息资产的威胁。

    培训(Training): 构造知识与技能以提高员工工作能力，使得员工更有效地完成特定的工作。培训应包括 “做什么？”与“如何做？”两方面的内容。培训可以有很多层次，从最基本的安全实践到更高级的、专门的技能。培训可以是计算机辅助式教学或课堂式教学，可以包括实际操作或案例研究。

    教育(Education):是更高一级的培训方式，通过增强在某一研究领域的经验，进一步提高与开发其知识、技术与能力。教育面向的是组织中的信息安全专业人员与那些在某一领域需要专门安全技术的员工。

三种教育方式的区别：

三种教育方式的区别：
     
    模型定义了三种不同的安全教育级别：初级、中级与高级。初级提供基础培训，是面向某一安全角色的初始入门者；中级是对熟练员工的培训，旨在提高安全知识的深度与广度，培养安全通才与专才；高级是指通过培训使信息技术专业人员获得进一步的安全知识与技能，从而具有解决关键信息安全问题与进行技术评估的能力。

2)确定目标听众
    信息技术安全学习模型使我们为不同的人设计不同的学习内容提供了灵活性，下表指出了技术与非技术目标听众的工作分类。信息安全教育的主要目标就是要填补存在于信息安全专业人员与业务人员之间的鸿沟，这两类人员在传统上是并列存在的，并且互相之间并不了解。面对信息安全的特点，两者需要互相了解，互相融合，当他们的知识趋向融合时，我们就可以说特定安全教育达到了目的。

    由于内部人员掌握组织的信息系统的核心机密，他们有最大的系统访问权限，他们是信息系统的最大潜在威胁，安全教育是应对威胁，减轻相关风险的有效方式。

3) 确定核心知识体

    信息技术的发展日新月异，信息安全教育虽然面临着一个庞大的并不断增长的知识体，但可以把基本的信息安全概念与框架作为培训与教育的基础，核心知识体一般由几下方面组成：

4) 设计与开发安全教育计划
    设计与开发安全教育计划要根据组织特定的安全教育需要，提出相应的教育方法。提高用户安全意识是实现组织信息安全的基础，特别是对非技术人员这一点尤为重要。信息安全的最主要的研究对象是“人”，提高安全意识计划能解决通常的“人”的问题。在不断变化的信息安全环境下，要善于应用即时而又生动形象的方式让员工知道什么是该做的，什么是不该做的，使得员工自觉遵守组织制订的信息安全政策、程序与相关实践。不同类型的安全教育计划如下：

    根据这张目标听众与所需的信息安全知识和技能的对照表，就可以设计与开发出既能满足组织内员工初级、中级、高级三种层次需求，又能满足基于角色和绩效需求的信息安全教育计划。通过制定目标明确，灵活实用的信息安全教育手册来细化各种知识与技能的培训，并优先考虑那些最关键的、组织又相对缺乏的培训内容。

    组织中员工的信息安全意识，是组织信息安全的基础。组织中的管理者必须未雨绸缪，大力提高员工的信息安全意识。通过各种形式的宣传、培训、教育，使员工知道：信息安全已成为任何人、任何时候、任何地方都不可或缺的需求，持续的而又完备的信息安全教育计划是建立人力防火墙的技术手段，它是组织数字化安全生存的必要保证。

7、制定安全事件响应机制

   安全事件就是能导致资产丢失与损害的任何事件，为把安全事件的损害降到最低的程度，追踪并从事件中吸取教训，组织应明确有关事故、故障和薄弱点的部门，并根据安全事故与故障的反应过程建立一个报告、反应、评价和惩戒的机制，这也可称为人力防火墙的反应机制。安全事件的反应过程如下：

 
1) 确保及时发现
    组织的普通员工通常是安全事件的最早发现者，如果安全事件能及时发现并报告相应的主管部门，做出及时的处理，能使组织的经济损失及声誉损失降到最低。为及时发现安全事件，组织应建立正式的报告程序，分别对事故、故障和薄弱点报告做出明确规定。

2) 对安全事件做出迅速、有效的响应，以减少损失
    对于安全事件的响应：针对不同的类型的安全事件，做出相应的应急计划，规定事件处理步骤，基于以下因素区分操作的优先次序：
    (1) 保护人员的生命与安全
    (2) 保护敏感资料
    (3) 保护重要的数据资源
    (4) 防止系统被破坏
    (5) 将信息系统遭受的损失降至最低

3）从事故中吸取教训
　　安全事件发生后，安全主管部门应对事故的类型、严重程度、发生的原因、性质、产生的损失、责任人进行调查确认，形成事故或故障评价资料。已发生的信息安全事件可以作为信息安全教育与培训的案例，以便组织内相关的人员从事故中学习，以避免再次出现；如果安全事件再次发生，能够更迅速有效地进行处理。

4）建立惩戒机制
　　为了保证员工严格执行组织的信息安全方针、程序和有关安全规章，对违规者进行惩戒是一种有效的管理手段。为此，组织安全管理部门应与人力资源部分一起建立一种安全惩戒管理办法，明确规定员工被惩戒的适用情况、证据提供、惩戒手段、审批等具体要求，确保准确、公正、合理处理违反方针、程序和有关安全规章的员工。惩戒手段包括行政警告、经济处罚、调离岗位、依据合同予以辞退，对于触犯刑律者应交司法机关处理。

8、营造企业信息安全文化，实现企业信息安全的长治久安

　　信息安全文化从属于企业文化，倡导良好的企业信息安全文化就是要在组织中形成团队共同的态度、认识和价值观，形成规范的思维和行为模式，最终转化为行动，实现组织信息安全目标。人的这种对安全价值的认识以及使自己的一举一动符合安全的行为规范的表现，正是所谓的“安全修养”。如果一个企业建立起浓厚的安全文化环境，不论决策层、管理层还是一般职工，都会在安全文化的约束下规范自己的行为，安全文化就像一支看不见的手，凡是脱离安全生产的行为都会被这支手拉回到安全生产的轨道上来。

　　引起信息安全事件的直接原因一般可分为两大类，即物的不安全状态和人的不安全行为。在信息安全中，物的不安全状态是指信息系统的本身的脆弱性，如数据的易失性，网络硬件的不稳定性，操作系统的漏洞等。物的不安全状态是安全事件的根源，外部或内部的各种威胁利用了系统脆弱性就会产生的风险。如果系统没有脆弱性，也就没有风险了。因此，信息安全工作首先要解决物的不安全状态问题，这主要是依靠技术手段来实现，如冗余的电源，主机故障弱化系统，操作系统漏洞补丁包、网络防火墙、反病毒软件等。

　　控制、改善人的不安全行为要采用管理的方法，即用管理的强制手段约束被管理者的个性行为，使其符合管理者的需要。企业信息安全管理是通过制定法律、规范、制度、标准等，约束员工的不安全行为，同时通过宣传教育等手段，使员工学会安全的行为，以保证组织信息资产目标的实现。管理手段虽然有一定的效果，但是管理的有效性很大程度上依赖于对被管理者的监督和反馈，对于信息安全管理尤其是这样。被管理者对信息安全政策、规章制度的漠视或抵制，必然会体现在他的不安全行为上，然而不安全行为并不一定都会导致事故的发生，相反可能会给他带来相应的利益或好处，例如省时、省力等，这会进一步促使他的不安全行为的产生，并可能“传染”给同事。在信息安全管理上，时时、事事、处处监督企业每一位员工遵章守纪，是一件困难的事情，甚至是不可能的事，这就必然带来安全管理上的漏洞。安全文化概念的应运而生，正是为了弥补信息安全管理手段的不足。

　　安全文化之所以能弥补信息安全管理的不足，是因为安全文化注重人的观念、道德、伦理、态度、情感、品行、心理等深层次的人文因素，通过教育、宣传、奖惩、创建群体氛围等手段，不断提高企业员工的安全修养，改进其安全意识和行为，从而使员工从不得不服从管理制度的被动执行状态，转变成主动自觉地按安全要求采取行动，即从“要我遵章守纪”转变成“我要遵章守纪”。

　　在企业中开展信息安全文化建设，不应该把信息安全文化看作特立独行的事务，没有必要成立单独的部门和开展单独的活动，而是应该在企业的总体理念、形象识别、工作目标与规划、岗位责任制制定、生产过程控制及监督反馈等各个方面融合进安全文化的内容。在企业中也许看不见听不到“安全文化”的词语，但在各项工作中处处、事事体现安全文化，这才是安全文化建设的实质。

　　当然，由于安全文化对人的影响是深层次的，因此不可能在短时间内产生明显的、根本的效果，安全文化的推行是一个循序渐进的过程，必须建立在完善的安全技术措施和良好的安全管理基础之上。安全文化的有三个阶段：

1）初级阶段——被动约束阶段
　　这是企业安全文化发展的初级阶段。在此阶段，安全工作是被动的，是基于法律法规和组织安全政策的约束而不得不开展的工作。信息安全工作的任务就是按照法律、政策、标准等的要求，通过信息安全保护的技术措施和管理措施来控制风险。在这种情况下，组织的高层管理人员对信息安全的重要性是有所认识的，但对信息安全经济价值的认识和对员工权益保障的意识仍然不足，改进信息安全工作的动力主要来自于满足法规要求的需要和避免主管部门监管制裁的需要。
而信息安全隐患得以治理、信息安全工作得以改进是由于实施了信息安全技术控制措施，建立了相对严厉的信息安全管理规章制度，以及通过安全专业部门和人员充分努力的结果。对于大多数中层管理人员和普通职工，则倾向于认为安全只是更高层管理者的职责，与自己关系不大；安全并不是自己的实际需要，是由其他人强加于他们头上的，而遵守安全管理规章制度也是迫不得已的。
    　
2）第二阶段——主动管理阶段

    然而，在许多组织中，这一阶段的安全对于许多职工个人来说仍然处于被动的状态，其原因是组织没有建立起员工参与信息安全事务商讨和决策的机制，并且员工的安全行为是在信息安全专职人员的监视和监督下得以实现的。虽然在这一发展阶段上，企业的信息安全文化能够使员工产生工作于信息安全环境之中的需求和意识，但是并不是所有的员工都能认识到安全对其自身的价值和意义，也没有实现员工个人和生产班组水平的对安全的自觉承诺和遵守。

3）第三阶段——自律完善阶段

    这一阶段是组织安全文化发展的高级阶段，也是充分体现信息安全文化先进性的阶段。值得指出的是，组织信息安全文化发展的高级阶段，并不是一个有限的过程，而是一个不断改进、持续完善的过程。

  　在此发展阶段，“信息安全，人人有责”已不是一句空泛的口号，组织领导者对信息安全具有的远见和信息安全价值观在组织中被充分共享；组织中绝大部分员工始终如一地、自觉地、积极地参与到强化信息安全的事务当中；信息安全成为组织管理的“血脉”，信息安全工作成为一切工作的有机组成部分和保障；不安全的作业条件和不安全行为被组织中所有的人都认为是不可接受的并且被公开反对。在这种情况下，员工的安全素养达到了很高的境地。
    上述这种信息安全文化的实现是一种不断“自律”的过程，国外有人将实现了这种高级阶段的组织称为“安全自我学习的组织”。将组织的安全文化发展到第二、三两个阶段，可以说己具备了实现了信息安全的长治久安的条件，信息安全纵深防御体系――人力防火墙就可以有效地建立起来了。

三、对人力防火墙的测试

　　人力防火墙能否正常起作用，还要进行详细测试才能判定，测试方法一般有问卷调查、现场测试、模拟安全演习、安全考核、心理测量等方法。

    Ø 问卷调查
    − “你所在公司有安全政策吗？安全政策对信息安全目标和安全的重要性有明确的说明吗？”
    − “你所在公司是否有简单易懂的安全指南，引导员工对不同的信息资产进行恰当的保护？”
    − “是否所有的员工都与公司签署了保密协议，以保证他们充分理解了公司赋予员工信息安全的责任？”
    − “对所有重要的信息资产是否都建立起访问控制规则？”
    − “公司是否周期性地测试业务持续性计划与灾难恢复计划？”…….
 
    通过在组织中实施如上所示的信息安全调查，一方面可以根据调查结果，确定组织中存在的安全隐患，并设计有针对性安全教育计划；另一方面员工通过安全意识调查也可以了解与自己相关的在信息安全方面的不足。安全意识调查的对象可以是组织中的中高层管理人员、普通员工、信息技术人员以及组织外的业务合作伙伴等。

    Ø 现场测试

    信息安全管理人员通过实地走访组织的工作场所，来发现安全问题。主要集中考查物理访问控制、环境控制及员工的工作行为。如：

    − 陌生人的来访是否受到控制，访问信息是否记录在案？对特殊领域如机房、资料库的访问是否受到控制并记录在案？

    − 员工是否在显示器和办公桌面粘贴有写了系统登录密码的便笺
    − 办公室的废纸篓里是否有敏感信息
    − 采取了什么样的防火、防盗、防灾害的措施
    − 信息安全政策、程序、指南是否完备，并发放到员工手中
    − 信息资产分类是否明确，并落实保管责任到特定的员工
    − 对网络系统、操作系统、应用系统是否有访问控制列表，并有正式签署的授权书
    − 职责分离是否有详细文档，并得到了严格执行等……

    Ø 安全演习

    安全演习可以检测组织中的各类人员对安全事件的反应能力及相关的政策、措施、机制是否完备，及时发现存在的问题，并制定相应的对策。模拟安全演习要持续性的进行，根据组织的实际情况来决定安全演习的频度，对组织较为重要的安全计划如业务持续与灾难恢复计划，安全演习一般一年不少于一次，最好是每半年一次。

    “911” 之后华尔街停止交易一周证明现有的灾难恢复计划与实际需要之间有很大差距，其实许多公司都制定有灾难恢复计划，但大部分都没有经过严格的测试和经常性的安全演习，一旦突发性的安全事件发生，组织在启动业务持续与灾难恢复计划时，往往会发现安全计划存在致命的缺陷，如：只注意了核心系统的冗余保护，没有考虑与信息安全相关的通讯、交通和其他辅助系统。有谁会料到，关键时刻备用电机无法启动，员工电话无法恢复，服务供应商无力承担突发的海量要求，关闭的桥梁和隧道竟然也会成为IT基础架构的故障点？

    经常的安全演示不仅能发现我们平时不容易发现的安全漏洞，而且能有效地提高员工安全意识。安全演习一般有以下几方面：

    Ø 安全考核
    与信息系统安全相关的关键岗位要经常性地进行考核，与安全主管、系统管理员、网络管理员、职能部门的特定用户等，考核可以是书面试卷式或现场实际操作式，目的是确认考核对象理解了组织的安全政策与程序，遵守了安全规则，并具有较强的安全意识与一定的安全防护技能，能胜任现有岗位，履行组织赋予的安全职责。

    Ø 安全心理测量
    通过安全心理学的测量方法，研究分析广大员工的心理，了解他们在各自岗位上的需求与愿望，分析和预测他们的工作行为，研究现有安全政策与措施是否切合实际，为广在员工接受，又能最大程度地保护组织信息资产的信息安全，从而可以预防和减少安全事件和员工违章行为的发生。

    心理健康直接影响到社会发展的效率，影响到组织的稳定，欧美国家不少先进的企业都聘用心理医生。日本三和银行在40年前就在银行内开设了面谈中心。这个中心以30岁至35岁的员工为对象，进行健康管理教育。东京健康管理中心埋忠洋一所长说：“管理者的责任之一就是当发现属下的某种征兆时，就应该了解这是否是一种信号，并在发病之前采取对策。”　

    在安全教育中，由于工作的对象是人，他们有什么样的心态情绪，情感如何，心理是否健康，都离不开心理学这个分析武器。因此，安全心理学在组织信息安全工作中有很重要的作用，组织的信息安全部门与人力资源部门的管理人员都应该学一些安全心理学知识，这有利于抓好信息安全工作。

四、对人力防火墙的审计与持续改进

    为保证组织建立的人力防火墙真正有效，还需要由独立的第三方对组织的进行信息系统审计。其过程是信息系统审计人员接受组织委托或授权，收集并评估证据以判断组织的人力防火墙是否能有效保护组织信息资产、维护数据完整，并有效率地完成组织目标的活动过程。它既包括信息系统外部审计的鉴证目标——即对被审计单位的人力防火墙有效保护资产安全及数据完整的鉴证，又包含内部审计的管理目标--人力防火墙的有效性目标。

1、审计过程
    信息系统的审计过程是一项遵循逻辑顺序，结构严密的活动，其过程如下：
 
1）.确定审计主题。在这一阶段，审计师要确定信息系统审计的主题范围。对人力防火墙的审计    主要涉及以下几方面：管理层的承诺，组织安全方针、政策、标准、程序，安全人员与责任，安全行动计划与预算计划、安全教育计划、应急响应机制、人力资源政策、企业文化状况调查、安全心理测量、总体测试计划。

2）.确定审计目标。组织能否完全实现对“人”的安全管理，从而在人力防火墙的层面上实现组    织信息安全的机密性、完整性、有效性

3）.界定审计的详细范围。确定组织中要审计的系统或单位，可以是整个组织或组织中的一部分，如某一个分公司。
　
4）.制定审计计划。在此阶段主要做以下工作：
    （1）了解组织的业务、系统、环境等； 　
    （2）识别并评估有关“人”的风险；
    （3）检查是否存在足够的控制来补偿这些风险，确定审计的地点与设施；
    （4）确定审计需要的技术能力及审计资源；
    （5） 确定审计所需信息的来源，例如功能流程图、政策、标准、以前年度
　的审计工作底稿等均是审计信息的来源；
    （6）了解并评价以前年度的审计发现，判断其是否仍是今年审计的重点。

5）.实施审计。在这一阶段，审计师主要：
    （1）收集资料；
    （2）确定审计或测试的方式（符合性测试还是实质性测试）；
    （3）列出需要访谈的人员名单；
    （4）查阅有关部门的政策、标准及准则，以供审计使用。
    （5）利用审计方法，对所有控制进行测试和评价。

6）.评估测试结果。

7）.与管理者沟通。
 
8）.撰写审计报告。
    审计师的审计过程记录在审计工作底稿中。审计工作底稿记录了审计师所采用的审计方法、审计范围、审计准则，所完成的审计步骤，它提供了审计师的工作轨迹及工作表现。

2、审计的依据
    信息系统安全的审计的依据是COBIT、ISO17799、ISO13335等国际公认的信息安全标准，以及我国法律与行业主管部门制订的与信息安全相关的法律、法规。

3、审计的作用
    通过对人力防火墙的审计，信息系统审计师出具审计证明，即审计报告，以证明被审计单位人力防火墙的在保护组织信息的真实性、完整性、可靠性方面的作用。审计师的证明可以增强人们对其信息的信任程度。

    另一方面，信息系统审计师在审计过程中发现的人力防火墙的控制缺陷或漏洞，可以用审计报告、管理建议书等形式报告给委托人或被审计单位管理当局，并提出解决问题的建议，从而促进被审计单位提高管理水平，提高经济效益。信息系统审计的一个出发点在于从外部对被审计单位的信息系统进行全面的审视，可以发现从内部看不到的问题。信息系统审计师提供的外部审视的价值既表现在用新的思维方式、新的观点去观察企业，分析其存在的问题及原因，也表现在以科学的态度和创新精神，去设计解决问题的方案。

4、持续的改进过程
　　通过信息系统审计的人力防火墙，才能成为组织可信赖的信息安全纵深防御体系。但组织不能把某一阶段通过审计的人力防火墙看成是“万里长城万年长”，因为组织所处的内外环境是不断变化的，组织的信息资产所面临的风险也是一个变数，组织中的人的思想、观念也在不断的变化，在这个不断变化的世界中，组织要想把风险控制在一个可以接受的范围内，要对人力防火墙进行持续的改进，使之在理论上、标准上及方法上与时俱进。

    总之，组织要想建立有效的信息安全管理体系统，不能忽略对“人”的管理问题，通过建立人力防火墙，形成“信息安全，人人有责”的企业文化氛围，组织就为建立有效的信息安全管理体系打下了良好的基础，再与包括“技术防火墙”在内其他控制措施有机集成在一起，就可建立一个能抵御各种信息安全风险的纵深防御体系，实现组织信息系统的长治久安。