信息安全不僅是技術(shù)問題，也是管理問題，沒有完善的管理，降低安全風(fēng)險(xiǎn)只是空談。

信息安全所受到的重視程度一直在上升，我國政府主管部門頻頻出臺一系列政策法規(guī)，直接牽引、推進(jìn)信息安全的應(yīng)用和發(fā)展，各類安全產(chǎn)品也層出不窮。然而，多方的重視并沒有緩解安全面臨的嚴(yán)峻形勢。

比如，很多企業(yè)習(xí)慣于在多處部署不同的安全產(chǎn)品以期達(dá)到全面的安全效果，但依賴于安全產(chǎn)品的簡單堆積來應(yīng)對“日新月異”的攻擊手段和病毒傳播是無法持續(xù)有效的。相反，每個(gè)安全產(chǎn)品產(chǎn)生海量的安全事件造成嚴(yán)重的信息過載，各類安全產(chǎn)品“各自為政”，不同產(chǎn)品之間的安全信息無法共享，形成一個(gè)個(gè)“信息孤島”，管理員缺乏應(yīng)付混合型安全威脅的能力。海量事件、定位困難、事件間不能關(guān)聯(lián)呈現(xiàn)，導(dǎo)致管理員無法及時(shí)準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)中的安全隱患，進(jìn)而加以處理。而安全事件不能及時(shí)處理往往會帶來更大更嚴(yán)重的危害。

實(shí)際上，信息安全只有通過實(shí)施一整套恰當(dāng)?shù)目刂拼胧┎拍軐?shí)現(xiàn)，這些控制措施包括策略、實(shí)踐、步驟、組織結(jié)構(gòu)和軟件功能。信息安全管理的核心是安全風(fēng)險(xiǎn)管理，它涉及到多個(gè)要素: 資產(chǎn)、資產(chǎn)價(jià)值、威脅、脆弱性、風(fēng)險(xiǎn) 、防護(hù)需求、防護(hù)措施（它們之間的關(guān)系如附圖所示）。

分析安全管理的關(guān)系圖，我們不難發(fā)現(xiàn)，安全管理是一個(gè)動態(tài)管理的過程，會隨著時(shí)間的推移和業(yè)務(wù)的發(fā)展而變化。許多企業(yè)盡管擁有了先進(jìn)而昂貴的信息安全設(shè)備，但“政策”或“人”往往無法配合，產(chǎn)生了很大問題。因?yàn)樵S多安全問題不是因?yàn)楫a(chǎn)品的功能不佳造成的。即使企業(yè)設(shè)置了層層關(guān)卡，仍可能因?yàn)楸黄平獾墓芾碚呙艽a、幫助臺維修后未關(guān)閉的開放權(quán)限、輕易被共享的網(wǎng)絡(luò)文件夾等管理盲點(diǎn)，為黑客及病毒開啟后門。因此，企業(yè)信息安全是管理問題，而非單純的技術(shù)問題。唯有完善的管理，才能降低安全風(fēng)險(xiǎn)，避免不必要的損失。為了做好安全管理，筆者建議從以下幾方面著手:

1． 提升組織的整體安全意識

要高度重視信息安全管理，切實(shí)加強(qiáng)領(lǐng)導(dǎo)，以高度的責(zé)任感進(jìn)一步推進(jìn)信息化建設(shè)和信息安全管理。對信息安全管理工作引起足夠的重視，在加強(qiáng)信息系統(tǒng)的軟硬件建設(shè)的同時(shí)，對信息安全管理工作也不能松懈和忽視。企業(yè)的信息安全政策不應(yīng)再單單是信息部門的責(zé)任，企業(yè)對于組織安全的認(rèn)知，應(yīng)通過整體安全分析與定期安全檢查獲得提升。

2． 強(qiáng)化執(zhí)行作業(yè)程序

一方面我們在信息化建設(shè)過程中嚴(yán)格執(zhí)行信息安全標(biāo)準(zhǔn)，減少內(nèi)部的弱點(diǎn)和威脅，使安全隱患不再有機(jī)可乘; 另一方面對于安全事件的處置，提倡強(qiáng)制實(shí)施應(yīng)變作業(yè)流程，并針對特定目標(biāo)提供安全訓(xùn)練，協(xié)助建立必要的作業(yè)程序，以及時(shí)發(fā)現(xiàn)安全隱患、降低并控制安全事件的損害。

3． 提升應(yīng)變能力

信息安全技術(shù)的日新月異，使得安全管理有著很大的不確定性。再嚴(yán)密的安保措施也不能保證網(wǎng)絡(luò)安全的萬無一失，因此必須增強(qiáng)信息安全管理的危機(jī)處理能力，將危機(jī)處理程序標(biāo)準(zhǔn)化，在危機(jī)來臨之際，采取有效措施，積極將損失減少到最小程度。同時(shí)針對各種安全事件擬定一套順暢且有效的應(yīng)變措施，如為了封堵某一網(wǎng)絡(luò)蠕蟲病毒的傳播，自動配置防火墻，阻塞已中病毒主機(jī)的IP地址或者該病毒傳播所利用的TCP/UDP端口等等。

4． 構(gòu)建安全環(huán)境

網(wǎng)絡(luò)安全和信息安全是信息資源共享的前提，發(fā)展信息化必須高度重視信息網(wǎng)絡(luò)安全體系的建設(shè)。積極爭取網(wǎng)絡(luò)安全認(rèn)證機(jī)構(gòu)的合作和支持，同時(shí)加強(qiáng)信息安全技術(shù)平臺的建設(shè)，加強(qiáng)企業(yè)內(nèi)部的安全技術(shù)建設(shè)和監(jiān)察管理工作，聯(lián)合有關(guān)部門嚴(yán)厲打擊危害計(jì)算機(jī)信息系統(tǒng)安全和利用計(jì)算機(jī)技術(shù)進(jìn)行犯罪活動，保障行業(yè)信息安全。