現(xiàn)在幾乎很難找到?jīng)]有安裝防病毒軟件和企業(yè)防火墻的大中型組織了��,然而道高一尺,魔高一丈�,即便是Verisign、RSA����、索尼、北電�、賽門鐵克等等這些科技大腕的安全防范體系都相當(dāng)脆弱,普通企業(yè)的安全現(xiàn)狀更是令人擔(dān)憂�,這使眾多組織的信息安全負(fù)責(zé)人不得不開始反思傳統(tǒng)的信息安全防范戰(zhàn)略。
在過去這十多年里��,我國(guó)的計(jì)算機(jī)網(wǎng)絡(luò)信息安全產(chǎn)業(yè)隨著互聯(lián)網(wǎng)和信息化大環(huán)境的成熟而迅速成長(zhǎng)起來�,成千上萬個(gè)安全控制相關(guān)的科技產(chǎn)品問世,有大批趁著好勢(shì)頭急劇成長(zhǎng)的安全公司�����,更有抓住機(jī)會(huì)成功上市的安全行業(yè)領(lǐng)頭羊�����,拜改革開放和科技創(chuàng)新之賜�����,現(xiàn)在多數(shù)用戶的在安全控管方面的任何一項(xiàng)現(xiàn)實(shí)問題,幾乎都有大量的技術(shù)解決方案來應(yīng)對(duì)�。
然而,針對(duì)各種各樣安全問題的大多數(shù)解決方案都停留在技術(shù)層面���,廠商多數(shù)很清楚并不能完全信賴技術(shù)措施,技術(shù)措施的生效需要適合客戶的使用環(huán)境�����、也需要客戶相關(guān)人員對(duì)技術(shù)產(chǎn)品的完美配合��。
在當(dāng)今的社會(huì)�����,這簡(jiǎn)直就是無法實(shí)現(xiàn)的���,因?yàn)槭澜绮豢赡茉倩胤档揭粋(gè)穩(wěn)定的時(shí)代���,組織所面對(duì)的將永遠(yuǎn)是不確定和無法控制的環(huán)境,即使科技創(chuàng)新不斷追趕��,也永遠(yuǎn)會(huì)落后幾拍。
在大環(huán)境的變化上�����,即便是我們諒解安全廠商��,也面臨客戶相關(guān)人員對(duì)技術(shù)產(chǎn)品的操作和使用之上�����,即使我們暫不討論廠商在安全控管產(chǎn)品的價(jià)值和成效上是否有太夸張的溢美之詞�����,要讓相關(guān)人員理解和接受安全技術(shù)產(chǎn)品的控管并不容易��,所以結(jié)果是����,多數(shù)組織部署了大量的安全控制措施,卻并沒能讓這些控制措施發(fā)揮效力���,進(jìn)而讓很多控管系統(tǒng)形同擺設(shè)或束之高閣����,舉例接合防病毒和防火墻來講,便是防病毒系統(tǒng)被停用或沒得到更新�����,防火墻策略配置不當(dāng)或存有漏洞�����。
那么����,擔(dān)負(fù)重任的信息安全經(jīng)理總監(jiān)們?cè)撊绾文?國(guó)際環(huán)境和區(qū)域形勢(shì)復(fù)雜多變�����,我們?cè)谡紊现v科學(xué)發(fā)展觀����,在安全管理上講科技安全觀,科技是一項(xiàng)工具����,安全觀念的轉(zhuǎn)變才是致勝之道。
毋庸置疑�,現(xiàn)在即使科技仍在不斷發(fā)展,并不夠成熟和完美,但是已經(jīng)且會(huì)繼續(xù)吸引我們的注意力�����,我們以往忽視���,而現(xiàn)在亟須加強(qiáng)的是如何能讓科技這項(xiàng)工具發(fā)揮積極正面的效力���,無疑要達(dá)到這點(diǎn)兒,需要我們以及安全技術(shù)的操作者和使用者們轉(zhuǎn)變安全觀念���。
千萬不要以為通過產(chǎn)品的使用培訓(xùn)便可使安全產(chǎn)品發(fā)揮效力��,幾乎沒有實(shí)施了安全項(xiàng)目之后沒有對(duì)用戶進(jìn)行培訓(xùn)的例子�����,這足以證明廠商的產(chǎn)品操作和使用培訓(xùn)是不夠的��,深層次的原因是信息安全的成功更多信賴全員的意識(shí)認(rèn)知�����,而不僅僅是操作技能�。
這一點(diǎn)兒�,在中國(guó)���、在信息科技和安全領(lǐng)域更是如此�����,我國(guó)在IT高科技領(lǐng)域的基礎(chǔ)研究很落后��,本地的成功企業(yè)多數(shù)是借助本土優(yōu)勢(shì)���,占領(lǐng)了高端的應(yīng)用層面����,這就造成一個(gè)問題是整個(gè)社會(huì)大部分人們對(duì)科技產(chǎn)品的原理和概念不清楚,卻在一天天照葫蘆畫瓢般使用它們�,通常按步就搬的使用不會(huì)出現(xiàn)大的問題�����,可是稍微環(huán)境一變��,就可能引發(fā)笑話甚至災(zāi)難。
在信息安全領(lǐng)域�����,也是如此,如果不讓用戶了解基本的安全觀念����,企圖通過簡(jiǎn)單的安全防護(hù)產(chǎn)品的操作使用培訓(xùn)來保護(hù)用戶��,肯定是不夠的�,用戶不能深入理解�����,肯定就不會(huì)從內(nèi)心支持�,更不可能在環(huán)境變化時(shí)與時(shí)俱進(jìn)的改變。
