2005年企业信息安全建设综述

在信息化带动工业化，工业化促进现代化的企业发展大潮中，在科教兴国主战略持续深化的良好氛围下，企业信息安全建设作为制造业企业信息化发展的必由之路，摆在了企业发展的进程上。国家各级政府高度重视企业信息安全建设，温家宝总理曾反复强调，"面对复杂多变的国际环境和互联网的广泛应用，我国信息安全问题日益突出。必须从经济发展、社会稳定、国家安全、公众利益的高度，充分认识信息安全的极端重要性。"2005年4月1日，中国电子签名法正式开始实施，信息安全相关法律规定即将陆续出台，标志着中国企业商务信息安全告别“无政府主义”，正式走入立法期。如何建立完善的信息安全保障体系，建立可信网络，保障企业应用发展是制造业企业信息化发展的头等大事。2005年，我们欣喜地看到，国内制造业企业已经普遍意识到信息安全保障体系的重要作用，有资料统计，信息安全类产品已在企业信息化建设投入中占有7.4%以上的比重。2005年，企业信息安全机遇与希望并存。


    
    总结2005年，企业信息安全发展还存在着一些误区：


    
   1、过份关注边界防护类产品建设，缺乏内部监管意识


    
    纵观2005年各式资料统计，不难发现，目前企业在信息安全建设过程中，仍然过于偏重对边界防护类产品的建设。而事实上，根据艾瑞等权威媒体统计，企业80%以上的威胁来自于内部（如下图所示）。如木马、内部人员有意、无意攻击、泄密、病毒传播、内部资源滥用等。而国内信息产业长期桎梏："重硬轻软"，始终制约着信息系统监管体系的建立与完善。在防火墙、入侵检测等传统网络安全产品占据信息安全市场半壁江山的同时，内部审计、信息安全监管类技术只是处于起步阶段。
 
 

 

2、信息安全产品各自为阵


    
    目前信息安全产品采购正在向差异化、多样化发展，力求优势互补。信息安全产品不同于传统信息产品，多样化发展虽然可实现降低网络安全风险、加固网络等的实际作用，但信息安全技术往往与网络管理紧密结合，需要具备实时响应，实时报警等的能力。产品多样化选择，容易导致信息安全响应能力低下，应急能力无法充分发挥等问题。同时，各安全产品所记录的数据信息，分散保存，缺乏统一协调的机制进行规范，惟有采用人工方式进行分类汇总、分析，间接抬高了网络管理成本。

    
   3、缺乏信息安全建设整体策略


    
    信息安全建设分事前、事中和事后三个阶段，在实施信息安全建设中，不同的安全产品在安全防护中所起的作用不一样，应有所侧重和加强。国家中办27号文、公安部信息安全等级划分标准均已明确定义了信息安全保护力度。但在企业信息安全建设中，仍然存在只是偏重于某一个或某几个方面，而缺乏整体全面的考虑。
    


    4、企业信息安全管理制度执而不行


    
    对于信息安全来说，"七分靠管理，三分靠技术"，信息安全技术的不断深化与增强，需要强壮的管理予以贯彻执行。企业由于人力、物力的缺乏，往往忽视对信息安全的管理，再好的技术缺乏管理的支撑都将是缺乏活力、无法生存。尤其是面对日益严峻的市场竞争，以及越来越受到人们重视的商业机密与知识产权问题。缺乏严格的管理，尤其是以为靠简单的安全产品堆砌，或者"网羊补牢"的心态，都将导致严重的安全事件发生。企业迫切需要有一套严格执行的网络安全管理制度。


    
    从国内的信息产业环境来讲，国内信息安全业相对于国外来说起步较晚，2005年对于国内信息安全企业来说是丰收的一年，国内企业已经充分认识到企业信息化对于企业的重要作用，全国已经形成了信息化建设热潮。在信息化深入推进的同时，信息安全保障体系建设已经得到越来越多企业的关注与聚焦。越来越多的企业认识到，信息安全建设并不是一朝一夕的事情，而是需要整体规划、长期积累、分段投资、严格管理的重大工程。它不仅需要投入，更需要统筹与规划。一方面要针对全局进行全面规划与协调，制定全面的信息安全策略；另一方面，要有的放矢的根据实际对象，加强某些环节的信息安全建设，建立起一套缓急有序的现代化信息安全保障体系。