去年做了大半年的控制系统网络安全改造,这里谈点对这方面的认识。
在对信息系统进行安全管理之前,信息管理者首先要做的是树立正确的网络安全观。只有在正确的网络安全理念指导下,信息管理者才能对网络系统安全进行有效管理。网络安全一定要摒弃绝对化、静态化、技术化、片面化和极端化等几种错误观念。
一、 绝对化:期望零风险
信息系统安全管理的目标只能是将风险控制在一定的范围内,而不是实现绝对的安全。那种要求系统服务商承诺软件系统功能无差错,要求系统服务商承担系统错误造成的损失和影响的做法都是不科学的。其实不仅是网络安全,任何类型的安全都是如此。对于投资安全来说,世界上不是也没有稳赚不赔的生意吗?
二、片面化:只关注外部威胁
在进行信息系统安全管理时,人们的主要精力往往重点关注来自外部的安全威胁,如网络渗透、黑客攻击等,却忽视来自内部的安全威胁。但是纵观IT史上那些重大的信息安全事件,大部分都是由于内部人士误操作或者蓄意发起。
三、静态化:期待一劳永逸
在解决安全问题的过程中,不可能一劳永逸。安全产品、安全技术需要随着攻击手段的发展而不断地升级,并且需要管理人员来日常运营维护,否则安全防护会成为稻草人,马奇诺防线,在变化的攻击手段前不堪一击。因此唯一的长效安全机制就是安全的持续改进,针对变化的安全形势和矛盾的持续调整。
四、极端化:为保安全牺牲业务目标
信息系统的目标是为了支撑企业组织的的业务,信息系统安全管理的目标是为了确保信息系统的正常运行,为企业组织实现业务目标提供信息支撑。因此,确保信息系统的安全只是手段,而不是目标,不能为了信息系统的安全而影响到信息系统的正常使用,更不能影响到企业目标的实现。
五、技术化:安全是IT技术人员的事情
网络安全不单单是IT技术人员的事,它涉及到企业组织的方方面面,是一项系统工程,需要技术与管理双管齐下。例如,尽管信息系统在设计过程中,综合采用多种高级的加密算法来实现用户访问控制和权限管理,但是如果用户没用养成良好的安全意识,在登录系统后随意离开电脑,或者将自己的用户名和密码随便贴在电脑显示器边缘,那无论采用任何高级的安全技术也不能确保信息系统的安全。
楼主最近还看过