让安全与管理比翼双飞

让安全与管理比翼双飞

随着计算机技术的飞速发展，市场竞争的日益激烈，各大企业都将企业信息化作为提高企业核心竞争力的一个手段。由于信息系统本身的脆弱性和复杂性，企业在大张旗鼓地增加科技投入的不同阶段，遇到了不同的难题。大量的信息安全和管理问题，伴随着计算机应用的拓展不断涌现。
    左右为难的企业信息化

    ●向左走——安全问题

    现在的IT世界已经不像以前那么单纯。虚拟的世界跟现实世界越来越接近，很多现实当中不好的地方，在虚拟世界都会出现，所以企业在安全方面投入越来越大。

    让我们来看一下安全防护的流程。一开始企业可能会花高价引进一批具备各种功能的安全软件，然后把它们分别安装到企业的桌面计算机上去。企业用户并没有就此养成定期升级和下载补丁的习惯。半年过去以后，原来几百台的装机量可能因为重装系统等原因，只有在几十台机器上仍然正常运行着这些安全软件。

    试问，就算这些安全软件的功能再强大，企业的IT系统安全是否真正得到保证了呢?答案显然是否定的。因此，真正的系统安全绝不仅仅来自于技术和产品，它的实现还需要结合管理思想的安全方案。

    ●向右走——管理问题

    随着IT业的日益成熟，在整个IT费用中，硬件占的比例越来越小，而管理和支持占的比例不断增大。管理、支持和软件加起来占了IT费用的70%，而当中只有6%是软件的购买成本，最大的IT费用成本就是运维、管理和支持。

    企业面临的挑战很多。在基础架构方面，尤其在中国，国民经济高速增长，IT投入越来越多。从过去有一个数据库，到现在有很多的东西，比如CRM和ERP等，管理成本越来越高，也非常麻烦。企业IT投入的不断增加导致了很多新问题，比如异构系统不兼容性的问题，还有现有平台和将来平台的兼容问题，过去IT的投入将来还可不可以用等。

    走出被动防御的“盲区”

    未来安全问题不再是过去简简单单的一个病毒或者一个***，它将朝着更多元化的方向发展。对于企业而言，无论是数据失窃、邮件泄密还是网络瘫痪，都将带来巨大的损失。

    越来越多的企业已经从被动式接受转变为主动防范。这种变化包含两层意思：

    一方面是企业意识的转变。最初轻视信息安全，认为安全管理是额外的投入，不能带来任何收益，是IT建设的附属品；之后开始接触信息安全理念、产品以及技术，被动接受安全体系的建设，整个行业呈现出一片空前的信息安全建设热潮；再到后来，泡沫逐渐消退，企业更加清醒地看待信息安全问题，随着整个IT环境的变化以及需求的日益增强，企业开始认识到信息安全作为企业生存与发展的重要支撑，必须走出固有的圈子，变被动为主动，将其提升到与信息化建设同等重要的高度。全民动员，加大投资力度，从领导到基层共同参与安全网络构建。这时，安全建设才真正成为企业成长的助推器，完成了从企业发展的绊脚石到催化剂的转变。

    另一方面，信息安全“三分技术，七分管理”，安全与管理是企业信息安全的核心，企业建立了安全管理体系后，安全技术才能充分发挥它应有的作用。安全管理首先要建立一个健全、务实、有效的安全组织架构，明确架构成员的安全职责，这是企业安全管理得以实施、推广的基础；其次必须建立完善、可操作性强的安全管理制度，并严格执行。责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等，都可能会引起安全管理的风险。如一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而在管理上却没有相应制度来约束。所以需要一个管理、技术、人的参与三者融为一体，有主观意识参与的全方位解决方案做催化剂。