現(xiàn)在幾乎很難找到?jīng)]有安裝防病毒軟件和企業(yè)防火墻的大中型組織了���,然而道高一尺��,魔高一丈�,即便是Verisign���、RSA�����、索尼��、北電�����、賽門鐵克等等這些科技大腕的安全防范體系都相當(dāng)脆弱�,普通企業(yè)的安全現(xiàn)狀更是令人擔(dān)憂,這使眾多組織的信息安全負(fù)責(zé)人不得不開始反思傳統(tǒng)的信息安全防范戰(zhàn)略���。
在過去這十多年里���,我國的計算機(jī)網(wǎng)絡(luò)信息安全產(chǎn)業(yè)隨著互聯(lián)網(wǎng)和信息化大環(huán)境的成熟而迅速成長起來,成千上萬個安全控制相關(guān)的科技產(chǎn)品問世�,有大批趁著好勢頭急劇成長的安全公司,更有抓住機(jī)會成功上市的安全行業(yè)領(lǐng)頭羊��,拜改革開放和科技創(chuàng)新之賜����,現(xiàn)在多數(shù)用戶的在安全控管方面的任何一項現(xiàn)實問題,幾乎都有大量的技術(shù)解決方案來應(yīng)對���。
然而�����,針對各種各樣安全問題的大多數(shù)解決方案都停留在技術(shù)層面���,廠商多數(shù)很清楚并不能完全信賴技術(shù)措施���,技術(shù)措施的生效需要適合客戶的使用環(huán)境����、也需要客戶相關(guān)人員對技術(shù)產(chǎn)品的完美配合。
在當(dāng)今的社會�,這簡直就是無法實現(xiàn)的,因為世界不可能再回返到一個穩(wěn)定的時代���,組織所面對的將永遠(yuǎn)是不確定和無法控制的環(huán)境��,即使科技創(chuàng)新不斷追趕����,也永遠(yuǎn)會落后幾拍�����。
在大環(huán)境的變化上��,即便是我們諒解安全廠商�,也面臨客戶相關(guān)人員對技術(shù)產(chǎn)品的操作和使用之上,即使我們暫不討論廠商在安全控管產(chǎn)品的價值和成效上是否有太夸張的溢美之詞���,要讓相關(guān)人員理解和接受安全技術(shù)產(chǎn)品的控管并不容易��,所以結(jié)果是�,多數(shù)組織部署了大量的安全控制措施,卻并沒能讓這些控制措施發(fā)揮效力�,進(jìn)而讓很多控管系統(tǒng)形同擺設(shè)或束之高閣,舉例接合防病毒和防火墻來講�,便是防病毒系統(tǒng)被停用或沒得到更新,防火墻策略配置不當(dāng)或存有漏洞���。
那么���,擔(dān)負(fù)重任的信息安全經(jīng)理總監(jiān)們該如何呢?國際環(huán)境和區(qū)域形勢復(fù)雜多變,我們在政治上講科學(xué)發(fā)展觀��,在安全管理上講科技安全觀����,科技是一項工具,安全觀念的轉(zhuǎn)變才是致勝之道����。
毋庸置疑,現(xiàn)在即使科技仍在不斷發(fā)展����,并不夠成熟和完美,但是已經(jīng)且會繼續(xù)吸引我們的注意力�����,我們以往忽視�����,而現(xiàn)在亟須加強(qiáng)的是如何能讓科技這項工具發(fā)揮積極正面的效力�,無疑要達(dá)到這點兒,需要我們以及安全技術(shù)的操作者和使用者們轉(zhuǎn)變安全觀念��。
千萬不要以為通過產(chǎn)品的使用培訓(xùn)便可使安全產(chǎn)品發(fā)揮效力�����,幾乎沒有實施了安全項目之后沒有對用戶進(jìn)行培訓(xùn)的例子��,這足以證明廠商的產(chǎn)品操作和使用培訓(xùn)是不夠的���,深層次的原因是信息安全的成功更多信賴全員的意識認(rèn)知���,而不僅僅是操作技能。
這一點兒�����,在中國、在信息科技和安全領(lǐng)域更是如此���,我國在IT高科技領(lǐng)域的基礎(chǔ)研究很落后���,本地的成功企業(yè)多數(shù)是借助本土優(yōu)勢,占領(lǐng)了高端的應(yīng)用層面�����,這就造成一個問題是整個社會大部分人們對科技產(chǎn)品的原理和概念不清楚��,卻在一天天照葫蘆畫瓢般使用它們�,通常按步就搬的使用不會出現(xiàn)大的問題,可是稍微環(huán)境一變�,就可能引發(fā)笑話甚至災(zāi)難。
在信息安全領(lǐng)域����,也是如此,如果不讓用戶了解基本的安全觀念���,企圖通過簡單的安全防護(hù)產(chǎn)品的操作使用培訓(xùn)來保護(hù)用戶��,肯定是不夠的�����,用戶不能深入理解����,肯定就不會從內(nèi)心支持�����,更不可能在環(huán)境變化時與時俱進(jìn)的改變���。
