信息安全:管理掌舵

开篇：润墨网以专业的文秘视角，为您筛选了一篇信息安全:管理掌舵范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

攻击成本越发变小

防御成本却越来越高

如何有效整合技术与管理

这个课题还在继续……

信息安全管理与技术究竟孰重孰轻？业界一直存在着各种的不同的理解和困惑。不论是“三分技术、七分管理”，还是“管理与技术并重”，似乎总是缺乏一个确定的认识尺度。

管理和技术作为信息安全保障不可或缺的两大类，它们之间的轻重关系很大程度上决定着信息安全的走向。27号文站在全局的高度，给出了一个原则，即管理与技术并重。然而在实际工作中，这种原则性的东西却很难让人把握好分寸：究竟该拿出多少力量来搞技术，多少力量来抓管理？

强调信息安全的高技术和强对抗，导致人们更多地注重在技术上穷其所能，跟着病毒或攻击的脚步堵漏洞、筑高墙，严防死守。而与之相对应的，则是管理的滞后，结果，正如何德全院士所说，攻击成本越来越小，防御成本越来越大，网络的安全环境并未有所好转，反而有日益恶化之虞。

如果说，70-80%的安全问题产生于内部的疏漏，花大力气抓管理似乎理所当然。可是在时下信息安全保障工作中却明显地存在着管理不到位的情况，其表现为：管理制度（包括法律体系）不够健全，管理目的不够明确，管理责任不能落实，管理效果难以显现。

从体制上说，我们的信息安全管理政出多门，缺乏一个强有力的统一管理机构，这是管理乏力的根本原因之一。由于管理多头，如测评认证机构的重叠等现象，不仅使企业不堪其重，也使用户不知所措。

纵观互联网上病毒、蠕虫和各种攻击行为，为何肆意猖獗接近有恃无恐的程度，究其原因，要害之处在于，这些违法犯罪行为没有受到强有力的制裁。这使得黑客和其他攻击者本来掩耳盗铃的觊觎，变为明目张胆的入侵，他们感觉在网络世界胡作非为毕竟不像在居民楼公然撬门打劫那样，有直接犯罪感和受惩压力，而这种感觉正是因为我们的执法过程没有给他们造成现实社会的法律威摄所致。结果，如古语所言“窬墙者不禁，必致强盗”。政治学家威尔逊和犯罪学家凯琳提出了一个“破窗理论”：如果有人打坏了一个建筑物的窗户玻璃，而这扇窗户又得不到及时维修，别人就可能受到某些暗示性的纵容去打烂更多的窗户玻璃。久而久之，这些破窗户就给人造成一种无序感。结果在这种公众麻木不仁的氛围中，犯罪就会滋生、繁荣。网络社会恰好印证了这一理论。

美国国会颁布的“萨班斯法案”404条款，要求上市公司对公司公布数据的真实性负责，违规者将面临股市摘牌，或追究相应的刑事责任。如果企业CEO不抓信息安全，信息的真实性、可靠性与完整性将难以保证，哪怕是无意的因素导致，责任也在所难免。从中可以看到，法律管理对信息安全的重要作用是多么直接和巨大。――可以说，离开了法律管理，真正的信息安全总会是脆弱的。

认识到信息安全管理的重要性和紧迫性，国家有关机构已经有所行动。今年2月21日，信产部启动了治理垃圾电子邮件的“阳光・绿色网络工程”，并于3月30日开始实施《互联网电子邮件服务管理办法》。今年两会期间，周晋峰、顾冠群等委员代表对互联网产业管理和立法问题的发言提案，引起了与会代表和委员的强烈响应。

与此同时，在即将全面开展的风险评估工作中，对于“谁主管谁负责，谁运营谁负责”的强调（我们希望它能上从行政的层面上升为法律的规定），近来关于立法工作的推进，包括去年全国信息安全产品认证管理委员会的成立，如此等等，都在说明一个问题，信息安全管理理应并正在得到加强。但是我们感觉，管理的推进步伐仍然显得过于迟缓。

需要指出的是，在当前管理工作的千头万绪中，统一管理机制，强化法律威摄，落实管理责任，尤应得到优先的提高和加强。

当然我们在这里强调加强管理，绝非否定技术的重要性。准确地说，现在的管理和技术常常是密不可分的有机组成。比如，有很多管理是直接通过技术的手段来进行的，像公安的信息取证离不开技术手段的介入，网页的管理现在有很多相关软件支持，连微软新操作系统Windows Visa也在提倡易管理性。

面对高度复杂的信息网络环境，管理问题特别需要引起人们的加倍重视。其对产业的影响，一是法律威慑将大大减少信息攻击的数量，同时由于责任的追究机制，又将使有关部门增加对信息安全的投入和重视。这样信息安全才有望导入良性发展之途。

记者周评

李 刚

技术与管理已经构成了信息安全防护体系互为补充的坚枪和利炮，但管理与技术的权重该如何拿捏，管理乏力的现局该如何打破，这些问题一直困扰着业内人士。

千头万绪中，管理凑出了最强音，这个“掌舵手”有望为信息安全梳理出一条良性发展路径。