信息安全不仅是技术问题,也是管理问题,没有完善的管理,降低安全风险只是空谈。
信息安全所受到的重视程度一直在上升,我国政府主管部门频频出台一系列政策法规,直接牵引、推进信息安全的应用和发展,各类安全产品也层出不穷。然而,多方的重视并没有缓解安全面临的严峻形势。
比如,很多企业习惯于在多处部署不同的安全产品以期达到全面的安全效果,但依赖于安全产品的简单堆积来应对“日新月异”的攻击手段和病毒传播是无法持续有效的。相反,每个安全产品产生海量的安全事件造成严重的信息过载,各类安全产品“各自为政”,不同产品之间的安全信息无法共享,形成一个个“信息孤岛”,管理员缺乏应付混合型安全威胁的能力。海量事件、定位困难、事件间不能关联呈现,导致管理员无法及时准确地发现网络中的安全隐患,进而加以处理。而安全事件不能及时处理往往会带来更大更严重的危害。
实际上,信息安全只有通过实施一整套恰当的控制措施才能实现,这些控制措施包括策略、实践、步骤、组织结构和软件功能。信息安全管理的核心是安全风险管理,它涉及到多个要素:资产、资产价值、威胁、脆弱性、风险、防护需求、防护措施。
安全管理是一个动态管理的过程,会随着时间的推移和业务的发展而变化。许多企业尽管拥有了先进而昂贵的信息安全设备,但“政策”或“人”往往无法配合,产生了很大问题。因为许多安全问题不是因为产品的功能不佳造成的。即使企业设置了层层关卡,仍可能因为被破解的管理者密码、帮助台维修后未关闭的开放权限、轻易被共享的网络文件夹等管理盲点,为黑客及病毒开启后门。因此,企业信息安全是管理问题,而非单纯的技术问题。唯有完善的管理,才能降低安全风险,避免不必要的损失。为了做好安全管理,笔者建议从以下几方面着手:
1. 提升组织的整体安全意识
要高度重视信息安全管理,切实加强领导,以高度的责任感进一步推进信息化建设和信息安全管理。对信息安全管理工作引起足够的重视,在加强信息系统的软硬件建设的同时,对信息安全管理工作也不能松懈和忽视。企业的信息安全政策不应再单单是信息部门的责任,企业对于组织安全的认知,应通过整体安全分析与定期安全检查获得提升。
2. 强化执行作业程序
一方面我们在信息化建设过程中严格执行信息安全标准,减少内部的弱点和威胁,使安全隐患不再有机可乘;另一方面对于安全事件的处置,提倡强制实施应变作业流程,并针对特定目标提供安全训练,协助建立必要的作业程序,以及时发现安全隐患、降低并控制安全事件的损害。
3. 提升应变能力
信息安全技术的日新月异,使得安全管理有着很大的不确定性。再严密的安保措施也不能保证网络安全的万无一失,因此必须增强信息安全管理的危机处理能力,将危机处理程序标准化,在危机来临之际,采取有效措施,积极将损失减少到最小程度。同时针对各种安全事件拟定一套顺畅且有效的应变措施,如为了封堵某一网络蠕虫病毒的传播,自动配置防火墙,阻塞已中病毒主机的IP地址或者该病毒传播所利用的TCP/UDP端口等等。
4. 构建安全环境
网络安全和信息安全是信息资源共享的前提,发展信息化必须高度重视信息网络安全体系的建设。积极争取网络安全认证机构的合作和支持,同时加强信息安全技术平台的建设,加强企业内部的安全技术建设和监察管理工作,联合有关部门严厉打击危害计算机信息系统安全和利用计算机技术进行犯罪活动,保障行业信息安全。