人们已经越来越深刻地认识到:实现网络安全不仅仅需要采用技术措施,还需要更多地借助于技术以外的其他手段,如规范安全标准和进行安全立法。这一趋势在2003年将会得到充分体现。
信息安全不再只是个技术问题,而更多地是个商业和法律问题。这一观点在2003年会被越来越多的人们所接受。在全社会普遍关注信息安全的情况下,各个机构都面临遵守保密标准与安全法规的要求,越来越多的经理人和董事会也逐渐认识到自己在信息安全管理中所必须担负的责任和义务。概括来说,从2003年信息安全发展的推动因素和发展趋势中,人们都将能清晰地看到标准和法规的影响。
推动因素
不断披露的安全漏洞、日益增多的网络犯罪以及新闻媒体的大力宣传都在促使人们不断提高安全意识。与此同时,规范安全标准和进行安全立法的呼声也在以下因素的促进下日渐高涨。
技术不能成功保护所有信息:经过红色代码和尼姆达等恶意病毒的攻击洗礼,许多机构已经意识到安全产品并不能完全解决安全问题。信息安全是一个商业问题,技术只是其中的一小部分。
标准、法律和法规数量正在迅速增加:许多机构都面临遵守各种安全标准和法规的要求。随着越来越多的标准、法律和法规的出台,人们还将面临同时遵循更多安全条款的问题,于是统一安全标准和统一进行安全立法的需求自然成为一个很现实的问题。
法律责任的威胁:在2002年,安全问题引发的损失开始要求责任人承担相应法律责任。即使在法庭之外,许多遭受损失的用户也会要求相关机构和软件厂商对安全事件承担相应责任。
业务合作伙伴和股东要求安全性:许多机构正面临着必须证明其安全性已经达到或能够达到让合作伙伴和股东满意的挑战。这种挑战超出了讨论安装什么安全产品的范围,而涉及如何遵守和管理信息安全的问题。
立法趋势
目前,世界各国政府正在寻求提高信息安全的法律手段。在这一作用力的推动下,人们将会看到越来越多的安全法规出台,尤其是在金融、交通运输、通信、医疗保健、能源、公用设施等被认为是关键基础设施的垂直行业。在即将出现的2003安全立法热潮中,将会出现以下趋势。
经理和董事会对信息安全的监督:在2003年,许多用户开始将安全意识转变为相应行动。董事会和管理层将更加关注他们在保护信息资产方面的管理责任。Giga公司预测,金融、医疗保健和政府等机构将最为关注信息安全的管理责任。在2004年,这种趋势还将在能源、运输、通信和公用事业等行业中延续。
对认证、鉴定和继续评估给予更多关注:面对必须遵守安全法规和必须进行信息安全管理的义务,各个机构都会在生产实施之前认真关注认证和鉴定系统的安全性,同时对基于过程的风险管理和继续评估也表现出极大的兴趣。
GAISP/GASSP的发展:在管理和验证必须符合安全标准的情况下,人们希望能够将安全标准和法律进行归纳,总结出必须遵守的安全标准和法规的共同要素,这些共同要素反过来能够对应不同的标准和法规。这一需求将推动“普遍接受的系统安全原则”(GASSP)不断向前发展。目前有关方面正在考虑将GASSP改名为“普遍接受的信息安全原则”(GAISP)。当前,GAISP/GASSP的工作重点是扩展标准和法律的共同要素,并将其与相应安全标准和法规对应。
ISO17799成为定义框架:ISO17799已经成为定义信息安全架构的事实的标准。尽管它受到多国政府的强烈批评,但是仍然不能阻止人们对它的兴趣和采用。专家目前正对其进行修改,以增强这项标准。在行业组织不断推广ISO17799的努力下,在2003年将会有越来越多的用户采用ISO17799标准。
更广泛地采用和承认“共同准则”产品认证:由于安全产品和具有安全功能的产品只有获得“共同准则”认证才能被美国国防部所购买,这就为促进“共同准则”在2003年的长足发展提供了动力。
CISSP认证成为信息安全专业人员的管理标准:随着对管理信息安全的关注以及首席安全官/首席信息安全官(CISO)一职被更多机构所采用,CISSP(Certified Information System Security Professional,信息系统安全认证专业人员)专业认证继续成为信息安全官员的首要信息安全管理证书。