信息安全思想篇之信息安全常见问题集锦

前段时间，有客户问我们技术人员，我已经买了市场上最新的安全解决方案，也已经投入了大量的资金购买了安全防护设备，但是现在还是没有解决安全问题，这是为什么？其实，很多人有这样的想法，在这里，山东省软件评测中心的技术人员总结了部分企业在信息安全方面经常遇到的问题，希望能给大家带来帮助。

以下是企业在信息安全方面经常遇到的问题：

一、您是否认为采取了市场上最新的安全解决方案，或是投入大量的资金购买了安全防护设备，就可以有效的解决企业的信息安全问题？

答案应该是否定的。一个优秀的信息安全解决方案应该是针对企业的实际情况进行分析、设计、实施和维护，而且这样的系统也会随着新情况的出现不断发展。要制定一个适合公司实际的安全解决方案，必须根据公司的商业目标和营销策略来制定具体细节。公司的管理部门必须对信息安全问题及其对公司和客户的影响有足够的认识，从而他们才能为整个解决方案的制订提供合适的资源、资金以及充足的时间。换句话说，信息安全的实施应当由上至下。然而，实际情况并非如此。组织机构往往将工作重心放在新建的防火墙、***检测系统和防病毒软件上，一旦采取全部或其中一项安全措施，从IT部门到管理层就都会觉得高枕无忧。简单的追求市场上最新安全解决方案或使用大量资金购买安全防护设备往往是不可取的。在很多公司内，安全事务往往全部由IT部门负责，而IT人员却经常忙于处理日常出现的各种情况，根本没有充足的精力制定一个合理的安全方案。安全以一种反应式、自下而上的方式实现，这将显著降低其效力。

很多企业，甚至大型知名企业，上了很多技术和产品，有的企业甚至也建立了很多安全管理制度，甚至做了信息安全管理体系并通过了认证，投入了很多财力人力，但整体信息安全管理水平并没有明显提升，信息安全问题还是层出不穷。根源在于这些企业都存在着一个普遍的问题：相关的管理跟不上，如设备上线了，运行很久了，还存在着很多默认配置、设备的相关策略不完备、长时间不评审不更新、离职人员帐户仍然存在、制度不执行或执行不到位、不彻底。这些问题不能很好地解决，即使有再好的产品、技术或标准，企业的信息安全管理水平也很难从根本上有所提高，上再好的产品、技术和标准最多是升级一下IT救火队的装备水平。在信息安全方面，一定要重视"三分技术，七分管理"这一原则，要向管理要安全，技术只是帮助实现管理的手段。

二、您在信息安全建设项目中是否遇到过由于缺少项目的风险管理控制，导致在项目实施过程中出现信息安全事件？或者由于缺少项目的质量控制，导致项目实施效果与预期相差较大的问题？

企业在进行信息化建设项目时，大多缺少专业的信息安全从业人员。导致在企业信息安全项目管理过程中，缺乏专业的控制。而目前大多数企业还没有重视信息化项目的项目管理工作，尤其是信息安全建设项目。由于信息安全建设项目的特殊性，其对项目的风险管理要求较高，不能由于新建系统引入新的安全风险，或在建设过程中由于误操作导致信息安全事故。同时，对于信息安全项目建设完成后，是否符合预期目的，难有很好的评估。导致项目往往与预期有差距，从而造成即使投入大量的资金，也没有很好的解决信息安全问题。所以，在项目中采取专业的信息安全项目管理，注重项目的风险管理与质量控制，才能使得新项目的建设尽量避免信息安全事故的发生，并且保证项目按照既定的方向实现最终目的。

三、您是否了解信息安全项目建设完成后是否符合您的既定目标，或者是否符合国家相关标准要求，是否了解目前企业存在的信息安全风险已经降低到可以接受的程度呢？

信息化项目建设完成后，用户往往不了解自身的建设项目是否符合国家相关标准要求，或是是否将安全风险降低到可以接受的程度。

四、企业的信息安全工作往往由IT部门全部负责，然而，IT部门是否有足够的精力去保障业务信息系统的安全稳定运行呢？

在很多公司内部，往往将整个公司的信息安全建设交给一个小小的IT部门，对他们来说负担太大。在很多情况下，新IT员工面对的系统环境是由另一群人在很多年前建立的。这样的系统环境不可能一成不变，新的组件不断添加。IT人员经常忙于处理日常出现的各种情况，根本没有充足的精力负责整个信息系统的安全运维，有用的文档相对缺乏，而且无人全面了解整个网络的工作方式，因此他们无法保证网络结构始终是最新的。这意味着：在出现问题时，IT员工80%的时间和经理将会在疯狂寻找解决方案的过程中被浪费。IT部门应当从信息安全的角度出发，为公司制定一个合理的工作流程，管理部门应当制定信息安全运维的框架，并指派专人负责完善运维体系。