信息安全不僅是技術(shù)問題,也是管理問題,沒有完善的管理,降低安全風(fēng)險(xiǎn)只是空談。
信息安全所受到的重視程度一直在上升,我國政府主管部門頻頻出臺一系列政策法規(guī),直接牽引、推進(jìn)信息安全的應(yīng)用和發(fā)展,各類安全產(chǎn)品也層出不窮。然而,多方的重視并沒有緩解安全面臨的嚴(yán)峻形勢。
比如,很多企業(yè)習(xí)慣于在多處部署不同的安全產(chǎn)品以期達(dá)到全面的安全效果,但依賴于安全產(chǎn)品的簡單堆積來應(yīng)對“日新月異”的攻擊手段和病毒傳播是無法持續(xù)有效的。相反,每個(gè)安全產(chǎn)品產(chǎn)生海量的安全事件造成嚴(yán)重的信息過載,各類安全產(chǎn)品“各自為政”,不同產(chǎn)品之間的安全信息無法共享,形成一個(gè)個(gè)“信息孤島”,管理員缺乏應(yīng)付混合型安全威脅的能力。海量事件、定位困難、事件間不能關(guān)聯(lián)呈現(xiàn),導(dǎo)致管理員無法及時(shí)準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)中的安全隱患,進(jìn)而加以處理。而安全事件不能及時(shí)處理往往會帶來更大更嚴(yán)重的危害。
實(shí)際上,信息安全只有通過實(shí)施一整套恰當(dāng)?shù)目刂拼胧┎拍軐?shí)現(xiàn),這些控制措施包括策略、實(shí)踐、步驟、組織結(jié)構(gòu)和軟件功能。信息安全管理的核心是安全風(fēng)險(xiǎn)管理,它涉及到多個(gè)要素: 資產(chǎn)、資產(chǎn)價(jià)值、威脅、脆弱性、風(fēng)險(xiǎn) 、防護(hù)需求、防護(hù)措施(它們之間的關(guān)系如附圖所示)。
分析安全管理的關(guān)系圖,我們不難發(fā)現(xiàn),安全管理是一個(gè)動態(tài)管理的過程,會隨著時(shí)間的推移和業(yè)務(wù)的發(fā)展而變化。許多企業(yè)盡管擁有了先進(jìn)而昂貴的信息安全設(shè)備,但“政策”或“人”往往無法配合,產(chǎn)生了很大問題。因?yàn)樵S多安全問題不是因?yàn)楫a(chǎn)品的功能不佳造成的。即使企業(yè)設(shè)置了層層關(guān)卡,仍可能因?yàn)楸黄平獾墓芾碚呙艽a、幫助臺維修后未關(guān)閉的開放權(quán)限、輕易被共享的網(wǎng)絡(luò)文件夾等管理盲點(diǎn),為黑客及病毒開啟后門。因此,企業(yè)信息安全是管理問題,而非單純的技術(shù)問題。唯有完善的管理,才能降低安全風(fēng)險(xiǎn),避免不必要的損失。為了做好安全管理,筆者建議從以下幾方面著手:
1. 提升組織的整體安全意識
要高度重視信息安全管理,切實(shí)加強(qiáng)領(lǐng)導(dǎo),以高度的責(zé)任感進(jìn)一步推進(jìn)信息化建設(shè)和信息安全管理。對信息安全管理工作引起足夠的重視,在加強(qiáng)信息系統(tǒng)的軟硬件建設(shè)的同時(shí),對信息安全管理工作也不能松懈和忽視。企業(yè)的信息安全政策不應(yīng)再單單是信息部門的責(zé)任,企業(yè)對于組織安全的認(rèn)知,應(yīng)通過整體安全分析與定期安全檢查獲得提升。
2. 強(qiáng)化執(zhí)行作業(yè)程序
一方面我們在信息化建設(shè)過程中嚴(yán)格執(zhí)行信息安全標(biāo)準(zhǔn),減少內(nèi)部的弱點(diǎn)和威脅,使安全隱患不再有機(jī)可乘; 另一方面對于安全事件的處置,提倡強(qiáng)制實(shí)施應(yīng)變作業(yè)流程,并針對特定目標(biāo)提供安全訓(xùn)練,協(xié)助建立必要的作業(yè)程序,以及時(shí)發(fā)現(xiàn)安全隱患、降低并控制安全事件的損害。
3. 提升應(yīng)變能力
信息安全技術(shù)的日新月異,使得安全管理有著很大的不確定性。再嚴(yán)密的安保措施也不能保證網(wǎng)絡(luò)安全的萬無一失,因此必須增強(qiáng)信息安全管理的危機(jī)處理能力,將危機(jī)處理程序標(biāo)準(zhǔn)化,在危機(jī)來臨之際,采取有效措施,積極將損失減少到最小程度。同時(shí)針對各種安全事件擬定一套順暢且有效的應(yīng)變措施,如為了封堵某一網(wǎng)絡(luò)蠕蟲病毒的傳播,自動配置防火墻,阻塞已中病毒主機(jī)的IP地址或者該病毒傳播所利用的TCP/UDP端口等等。
4. 構(gòu)建安全環(huán)境

網(wǎng)絡(luò)安全和信息安全是信息資源共享的前提,發(fā)展信息化必須高度重視信息網(wǎng)絡(luò)安全體系的建設(shè)。積極爭取網(wǎng)絡(luò)安全認(rèn)證機(jī)構(gòu)的合作和支持,同時(shí)加強(qiáng)信息安全技術(shù)平臺的建設(shè),加強(qiáng)企業(yè)內(nèi)部的安全技術(shù)建設(shè)和監(jiān)察管理工作,聯(lián)合有關(guān)部門嚴(yán)厲打擊危害計(jì)算機(jī)信息系統(tǒng)安全和利用計(jì)算機(jī)技術(shù)進(jìn)行犯罪活動,保障行業(yè)信息安全。