信息安全工作中的误区

　　由于从事网络工作，有机会体验在计算机信息安全中人们的行为和观念存在的诸多 “误区”。对于这些“误区”，如果稍不留神，就容易陷入其中，弄得事与愿违。　　

　　信息安全和网络安全的概念混淆　　

　　国际互联网的发展，使“信息安全”和“网络安全”两个名词非常流行，以致于到了有人感觉这两个概念是相互等同的地步，也使得一些企业的信息管理者、甚至是最高经营管理者，会错误的认为信息安全工作仅是网络管理部门的职责。这是个非常严重的误区，它会引导信息安全工作走向偏面。　　

　　在对象范围方面，“信息安全”涵盖了“网络安全”。广义上来说，信息网络系统包括了“线”和“点”两类实体，也就是通常所说的网络资源和信息资源。可以含蓄地认为“线”代表为网络本身，包括网络线路和网络设备，信息经过“线”（网络）传输；而“点”则指由“线”联接在一起的各类应用设备，包括：服务器、客户机、操作系统和应用软件等，信息在“点”（计算机）中进行存储和处理。网络安全考虑的角度主要是“线”问题，即如何通过合理的网络构架、配置和管理，解决信息在传输过程中的安全问题，提高安全等级，来保障和配合应用服务的整体性安全运作；而信息安全的范畴则不光是指“线”的安全问题，同时也包括 “点”的安全问题。信息安全工作的对象不仅涵盖了网络安全的所有问题，即信息在网络传输中的安全问题，而且还包括计算机本身的固有安全问题，如系统硬件、操作系统、应用软件、操作流程等等。　　

　　数据是信息的表现形式。总体上来讲，计算机信息安全工作的目标是保障数据的保密性、完整性、可用性、可控性和不可否认性，也就是说数据不被非授权阅读、盗取、修改、删除、欺骗抵赖和传输干扰。计算机信息安全的具体工作包括策略管理、业务流程管理、运行流程管理、技术产品选择和应用、人员管理、安全法律法规的制定和执行等诸多方面。　　

　　正确理解了信息安全和网络安全概念的内涵和区别，各级管理者才能正确理解信息安全工作的内涵，才能避免认识上的偏面性、从容应对信息系统中的安全问题，才能意识到进行全方位的信息安全防范工作的重要性。　　

　　当然，在此基础上，你将其称为“信息网络安全”或是“网络信息安全”则均是全然无所谓的了。　　

　　重安全产品投资 轻策略和管理　　

　　如果认为仅仅有了诸如防火墙、漏洞扫描、入侵检测、数据加密等多种软硬件安全产品，信息安全工作就做到位了，那就是大错特错。安全产品的投资和使用，只是信息安全工作实施中的一部分。在选择需要什么样的安全产品之前，您必须首先为信息系统制定周全的安全策略，并根据安全策略，对安全产品的使用制定具体的管理流程。　　

　　信息安全工作重在管理。安全管理工作涉及：安全策略管理、业务流程管理、应用软件开发管理、操作系统管理、网络安全管理、应急备份措施、运行流程管理、场所管理、安全法律法规的执行等等，其中，安全策略管理是首要工作。　　

　　安全策略是一套既定的规则，信息安全所有行为必须遵循此套规则。安全策略的制定与企业信息系统的功能和运作、企业的信息管理策略关系密切。企业信息系统可能包含众多的应用子系统，这些子系统在一定时期、一定范围内，在企业的经营生产中占有何种重要程度，安全策略制定者必须首先明白。需要采取何种程度的安全级别、投资的多少、安全措施是否会影响用户对系统的使用方便性、是否能综合和完整地考虑整个信息系统的安全问题、安全策略是否能适应企业信息系统的发展需求、安全策略是否具备多种手段来实现等等问题，是安全策略制定中的一些原则性问题。　　

　　也就是说，安全策略的制定，必须遵循如下五个方面的原则：需求、风险和代价之间平衡分析的原则； 综合性、整体性和一致性的原则；易操作性的原则；适应性和灵活性的原则；多重保护的原则。　　

　　信息安全策略一旦确定，就必须通过行政手来执行和监督，否则，形同虚设。缺乏正确的安全策略管理、或者没有在正确的安全策略指导下进行的信息安全工作，都必然是随心所意、漫无目的的安全工作，必然会降低投资的效率和对信息系统整体安全性的预期效果。　　

　　概括地讲，在计算机信息系统运行过程中，参与的人员种类包括：企业信息规划管理者（规划者）、计算机信息管理者（执行者）和业务使用者（最终用户）。虽然有些企业没有设立信息工作规划部门，但这个角色依然存在，只不过是主要由计算机管理部门承担了。在整个信息系统的安全体系中，这三类人员有不同的职责：企业信息规划者应对安全策略的制定起绝对作用；计算机管理部门负责对安全策略进行执行，即产品化、措施化、流程化；而业务使用者则必须严格按具体的业务流程进行操作。　　

　　在企业信息系统安全工作中，虽然说计算机管理部门起到纽带、执行和监督等重要作用，但是，应该说企业信息规划部门和业务使用者的行为，同样会给信息安全带来问题，比如：安全策略不完整、用户帐号和密码的泄漏、高等级用户的功能误用或蓄意违章使用等等。　　

　　随着实施现代企业制度改革进程力度的加大，必然要求企业加快信息化建设的步伐，参与企业计算机信息化工作的人数也必然快速增长。制度化地进行信息安全工作、全方位地进行信息安全教育、培养和提高员工企业的忠诚度，是信息安全工作的基础。如果说“信息安全，人人有责”，则一点也不夸张。　　

　　重物理关系 轻逻辑关系　　

　　如果您所管理的网络系统功能单一、使用范围小，或者说只有十几台电脑，与外部也没有什么联系，那么，您可能只要留意系统的权限划分，用局域网将他们连在一起就可以了，应不会有太多的安全问题。但是，假如您所管理的信息网络系统涉及到成百上千个应用子系统或功能模块、成千上万个业务使用者，既有对内的业务、也有对外（互联网、合作伙伴）的业务，那么，您就要对逻辑关系十分小心了。　　

　　简单地讲，物理关系指网络中各数据节点（服务器、客户机）、网络节点（网络设备）、网络线路及其之间连接关系，侧重于有形实体和性能；而逻辑关系则主要指服务器、客户机之间的各种功能模块之间的多种访问关系，以及网络设备之间的功能关系，如IP地址分配、路由协议、访问关系等等，是一种无形的关系，侧重于数据访问方向、访问时间、访问授权和访问容量。　　

　　如果参照国际标准化组织ISO提出的开放网络系统七层模型，来理解物理关系和逻辑关系之间的差别，那么，物理关系属于第一、二层次方面的问题，而逻辑关系则属于第三层以上的问题。　　

　　正是这种逻辑关系，是我们在安全实施工作中必须首先要理解、分析和确定的。各系统内部、系统之间的逻辑关系一旦确定，制定具体的安全措施也就有了方向，各类设备的物理关系也才能具体确定，比如：需要什么性能档次的设备、网络构架如何、在什么地方需要安装安全控制设备、哪些地方必须加强日志审计、网络布线如何设计等等。　　

　　逻辑关系的确定，需要一定的时间，针对性的工作包括对系统需求的了解、对一些产品的功能和性能的测试、对网络结构的综合分析等等。切忌为追求项目的完成时间，盲目将设备连接在一起，这将后患无穷。若逻辑关系没有研究周全，那么，即使您有稳妥的安全策略、高性能的安全产品和周密的运作流程，总归还会为安全工作遗留下死角。　　

　　重对外、轻对内　　

　　如果想象国际互联网上成千百万的电脑，或者相对企业内部网络、合作伙伴网络具有的非管理性和不确定性的因素，那么您也许会认为将安全工作的重点放在对外网络方面是理所当然的事，但是，实际的情况并非如此。如果您所管理的是一个较为复杂的网络信息系统，而且这些系统与企业的生产经营关系密切，其中涉及了众多的人、使用部门、子模块、子网络等因素，那么，除了要关注外部网络引发的安全问题外，您尤其还要关注来自内部网络上的信息安全问题。　　

　　根据FBI在2001年所做的一份统计报告显示，来自企业内部的信息安全威胁事件的比例惊人，高达70%，其中主要的问题有：员工滥用Internet、来自内部的未授权存取资料、专利信息被窃取、内部人员的财务欺骗和资料或网络被破坏等。　　

　　系统本身的安全设计缺陷、资料的泄漏或误用、员工的恶意行为等等问题，是引发内部安全问题的主要原因，这需要管理者在信息系统的安全设计、策略制定、运作流程管理和分析、安全监督等方面特别注意。　　

　　重视产品功能 轻视人为因素　　

　　产品具有可靠、合适的性能，当然是我们所要求的，但是，产品不是摆设。过份强调产品的功能，而不重视产品的功能的发挥，是不可取的。在信息系统安全防范体系中，人的因素非常重要。　　

　　一切均因人而发生。产品安装位置不正确、运行配置混乱或不完整、管理人员使用不当，都会使产品性能不能有效发挥，甚至遗留安全漏洞；高级业务用户和一般业务用户的随意或恶意操作，均可能产生安全后果；产品管理者对产品的误操作，对信息安全的可能危害比业务使用者更为严重；对产品功能测试、运行监控、大量的日志分析等工作，需要高素质的员工负责；安全缺陷的假设和验证、安全策略的制定和动态管理，均需要高素质安全管理员的参与。　　

　　对产品管理者和业务使用者的素质培养工作是减少人为安全问题的重要手段，这些素质包括技术素质、心理素质和工作素质。素质的培养，除了进行适时的培训外，工作制度的落实、工作环境的调整均是需要注意的问题。

　　多人负责制、任期有限制和岗位职责制，是信息安全工作中的用人原则。建立和完善用人制度，是信息安全工作的重要组成部分，其中，对工作调动和离职人员系统授权的及时调整尤其要注意，不能轻视。　　

　　重产品安装、轻监控和分析　　

　　在整个信息安全防范体系中，强调多种手