信息安全中“管理”不可忽视

 信息安全的保障不仅需要防范技术的不断推新，管理的跟进也必不可少。“安全是一个体系”理念的精髓就是把管理纳入其中。这个系统包括技术保障、安全应用和安全运营管理三个部分。国内很多企业安全技术管理水平没有跟上，企业愿意把钱花在防火墙上，而相应的管理水平、手段没有体现，包括管理的技术、流程和人的管理。
　　强调管理主要基于两点考虑：第一，网络攻击90%来自内部。往往是因为某个方面小小的疏忽，黑客进入了要害部门。微软的网站曾经被“黑”就是管理不善引起的，微软总提醒用户打Windows的补丁程序，却忘记了给自己网站的服务器打一个补丁，致使黑客乘虚而入。第二，宽带高速网络也使黑客的攻击有了更多的手段。大家也许听说过“淹没”这个词，这里所说的“淹没”是指在宽带高速网络的基础上利用一种黑客程序控制几台服务器，使这些服务器发出的访问信息都带有这种黑客程序，如果这些服务器的用户再去访问某个网站，该网站就会被大量带有黑客病毒的程序阻塞而陷入瘫痪。

    这种状况使网络安全运营管理变得复杂起来，不仅要包括组织内部行政意义上的安全管理，还要包括运用技术手段制订安全管理策略，实施对海量入侵进行负载均衡及动态流量的评估与分析，发现问题及时修改防火墙等，形成了一个包括策略、评估、设计、管理、教育以及应急响应的安全服务体系。有网络安全厂商已把安全管理服务和安全策略分析定为自己业务的主攻方向。

    很多信息安全人员认为网络安全最终拼的不是技术，而是管理，安全运营管理的服务空间非常大。国内的网络安全技术这几年发展很快，问题是安全管理没有同步跟上。用户往往存在三个安全误区：一是认为肯花钱（购买安全产品）就能解决问题；二是以为只要有专业管理人员就能安全无恙；三是忽视了网络安全总体方案的规划与实施。正是这些不正确的认识使我们在装备了较先进的安全设备下却遭受了损失。