信息安全思想篇之信息安全常見問題集錦

前段時(shí)間，有客戶問我們技術(shù)人員，我已經(jīng)買了市場(chǎng)上最新的安全解決方案，也已經(jīng)投入了大量的資金購買了安全防護(hù)設(shè)備，但是現(xiàn)在還是沒有解決安全問題，這是為什么？其實(shí)，很多人有這樣的想法，在這里，山東省軟件評(píng)測(cè)中心的技術(shù)人員總結(jié)了部分企業(yè)在信息安全方面經(jīng)常遇到的問題，希望能給大家?guī)韼椭?/span>

以下是企業(yè)在信息安全方面經(jīng)常遇到的問題：

一、您是否認(rèn)為采取了市場(chǎng)上最新的安全解決方案，或是投入大量的資金購買了安全防護(hù)設(shè)備，就可以有效的解決企業(yè)的信息安全問題？

答案應(yīng)該是否定的。一個(gè)優(yōu)秀的信息安全解決方案應(yīng)該是針對(duì)企業(yè)的實(shí)際情況進(jìn)行分析、設(shè)計(jì)、實(shí)施和維護(hù)，而且這樣的系統(tǒng)也會(huì)隨著新情況的出現(xiàn)不斷發(fā)展。要制定一個(gè)適合公司實(shí)際的安全解決方案，必須根據(jù)公司的商業(yè)目標(biāo)和營銷策略來制定具體細(xì)節(jié)。公司的管理部門必須對(duì)信息安全問題及其對(duì)公司和客戶的影響有足夠的認(rèn)識(shí)，從而他們才能為整個(gè)解決方案的制訂提供合適的資源、資金以及充足的時(shí)間。換句話說，信息安全的實(shí)施應(yīng)當(dāng)由上至下。然而，實(shí)際情況并非如此。組織機(jī)構(gòu)往往將工作重心放在新建的防火墻、***檢測(cè)系統(tǒng)和防病毒軟件上，一旦采取全部或其中一項(xiàng)安全措施，從IT部門到管理層就都會(huì)覺得高枕無憂。簡單的追求市場(chǎng)上最新安全解決方案或使用大量資金購買安全防護(hù)設(shè)備往往是不可取的。在很多公司內(nèi)，安全事務(wù)往往全部由IT部門負(fù)責(zé)，而IT人員卻經(jīng)常忙于處理日常出現(xiàn)的各種情況，根本沒有充足的精力制定一個(gè)合理的安全方案。安全以一種反應(yīng)式、自下而上的方式實(shí)現(xiàn)，這將顯著降低其效力。

很多企業(yè)，甚至大型知名企業(yè)，上了很多技術(shù)和產(chǎn)品，有的企業(yè)甚至也建立了很多安全管理制度，甚至做了信息安全管理體系并通過了認(rèn)證，投入了很多財(cái)力人力，但整體信息安全管理水平并沒有明顯提升，信息安全問題還是層出不窮。根源在于這些企業(yè)都存在著一個(gè)普遍的問題：相關(guān)的管理跟不上，如設(shè)備上線了，運(yùn)行很久了，還存在著很多默認(rèn)配置、設(shè)備的相關(guān)策略不完備、長時(shí)間不評(píng)審不更新、離職人員帳戶仍然存在、制度不執(zhí)行或執(zhí)行不到位、不徹底。這些問題不能很好地解決，即使有再好的產(chǎn)品、技術(shù)或標(biāo)準(zhǔn)，企業(yè)的信息安全管理水平也很難從根本上有所提高，上再好的產(chǎn)品、技術(shù)和標(biāo)準(zhǔn)最多是升級(jí)一下IT救火隊(duì)的裝備水平。在信息安全方面，一定要重視“三分技術(shù)，七分管理”這一原則，要向管理要安全，技術(shù)只是幫助實(shí)現(xiàn)管理的手段。

二、您在信息安全建設(shè)項(xiàng)目中是否遇到過由于缺少項(xiàng)目的風(fēng)險(xiǎn)管理控制，導(dǎo)致在項(xiàng)目實(shí)施過程中出現(xiàn)信息安全事件？或者由于缺少項(xiàng)目的質(zhì)量控制，導(dǎo)致項(xiàng)目實(shí)施效果與預(yù)期相差較大的問題？

企業(yè)在進(jìn)行信息化建設(shè)項(xiàng)目時(shí)，大多缺少專業(yè)的信息安全從業(yè)人員。導(dǎo)致在企業(yè)信息安全項(xiàng)目管理過程中，缺乏專業(yè)的控制。而目前大多數(shù)企業(yè)還沒有重視信息化項(xiàng)目的項(xiàng)目管理工作，尤其是信息安全建設(shè)項(xiàng)目。由于信息安全建設(shè)項(xiàng)目的特殊性，其對(duì)項(xiàng)目的風(fēng)險(xiǎn)管理要求較高，不能由于新建系統(tǒng)引入新的安全風(fēng)險(xiǎn)，或在建設(shè)過程中由于誤操作導(dǎo)致信息安全事故。同時(shí)，對(duì)于信息安全項(xiàng)目建設(shè)完成后，是否符合預(yù)期目的，難有很好的評(píng)估。導(dǎo)致項(xiàng)目往往與預(yù)期有差距，從而造成即使投入大量的資金，也沒有很好的解決信息安全問題。所以，在項(xiàng)目中采取專業(yè)的信息安全項(xiàng)目管理，注重項(xiàng)目的風(fēng)險(xiǎn)管理與質(zhì)量控制，才能使得新項(xiàng)目的建設(shè)盡量避免信息安全事故的發(fā)生，并且保證項(xiàng)目按照既定的方向?qū)崿F(xiàn)最終目的。

三、您是否了解信息安全項(xiàng)目建設(shè)完成后是否符合您的既定目標(biāo)，或者是否符合國家相關(guān)標(biāo)準(zhǔn)要求，是否了解目前企業(yè)存在的信息安全風(fēng)險(xiǎn)已經(jīng)降低到可以接受的程度呢？

信息化項(xiàng)目建設(shè)完成后，用戶往往不了解自身的建設(shè)項(xiàng)目是否符合國家相關(guān)標(biāo)準(zhǔn)要求，或是是否將安全風(fēng)險(xiǎn)降低到可以接受的程度。

四、企業(yè)的信息安全工作往往由IT部門全部負(fù)責(zé)，然而，IT部門是否有足夠的精力去保障業(yè)務(wù)信息系統(tǒng)的安全穩(wěn)定運(yùn)行呢？

在很多公司內(nèi)部，往往將整個(gè)公司的信息安全建設(shè)交給一個(gè)小小的IT部門，對(duì)他們來說負(fù)擔(dān)太大。在很多情況下，新IT員工面對(duì)的系統(tǒng)環(huán)境是由另一群人在很多年前建立的。這樣的系統(tǒng)環(huán)境不可能一成不變，新的組件不斷添加。IT人員經(jīng)常忙于處理日常出現(xiàn)的各種情況，根本沒有充足的精力負(fù)責(zé)整個(gè)信息系統(tǒng)的安全運(yùn)維，有用的文檔相對(duì)缺乏，而且無人全面了解整個(gè)網(wǎng)絡(luò)的工作方式，因此他們無法保證網(wǎng)絡(luò)結(jié)構(gòu)始終是最新的。這意味著：在出現(xiàn)問題時(shí)，IT員工80%的時(shí)間和經(jīng)理將會(huì)在瘋狂尋找解決方案的過程中被浪費(fèi)。IT部門應(yīng)當(dāng)從信息安全的角度出發(fā)，為公司制定一個(gè)合理的工作流程，管理部門應(yīng)當(dāng)制定信息安全運(yùn)維的框架，并指派專人負(fù)責(zé)完善運(yùn)維體系。