| 出版日期:2004-05-24 总期号:611 本年期号:18 |
|
 |
安全管理:信息安全的战略制高点
本刊论坛报道组 当企业为构建安全系统做出预算,却发现不知道如何合理分配资金投向的时候;当企业采购了最新的安全设备,却无法阻止最新病毒肆虐的时候;当整个社会在信息安全方面的总投入逐年提高,但每年因信息安全问题造成的损失不降反增的时候……人们逐步认识到,信息安全绝非简单的技术问题和产品问题,更是管理层面的问题。 那么,更具挑战性的话题也就接踵而至,那就是——怎样构建有效的信息安全管理体系? 暮春初夏,正是播撒希望的时节。 2004年5月18日,备受IT业界、业内专家和企业用户关注的“2004’中国信息安全管理高峰论坛”在北京隆重召开。本届论坛由中国电子信息产业发展研究院(CCID)、中国软件评测中心、中国计算机用户协会共同主办,由《中国计算机用户》周刊和赛迪评测承办。 伴随着中国信息化建设的深入发展,如何有效加强信息安全已成为众所关注的焦点。有关数据显示,目前在所有计算机安全事件中,约有70%是由于管理不善造成的。这正应了人们常说的“三分技术,七分管理”箴言。 因此,在许多企业的信息安全管理基本上还处在一种静态的、局部的、事后纠正式的管理方式情况下,为从根本上避免、降低各类风险,建立一套有效的管理体系已成为信息安全的核心和必然。 有鉴于此,在本次论坛上,政府高层、知名专家以及企业界高层等300余位与会代表,围绕着如何构建有效的信息安全管理体系这一主题进行了广泛交流。 从战略高度重视安全管理 
国务院信息化工作办公室网络与信息安全组郑静清副司长出席本届论坛并致辞。她说,2003年7月,党中央国务院颁发了《国家信息化领导小组关于加强信息安全保障工作的意见》,为我们理出了一条明确的思路:坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。这对于保证国家安全,维护国家根本利益具有特别重要的意义。 郑静清强调,加强信息安全,涉及法律、管理、技术等多个方面。其中,最重要的一点就是加强信息安全管理。我们的信息安全建设长期以来存在重建设轻管理的问题,科学的管理是信息安全技术转化为信息安全保障能力的必要条件,是弥补技术不足的重要途径,如果缺乏严格的管理,再好的技术和产品也难以发挥作用。因此,需要从战略的高度重视安全管理。 中国电子信息产业发展研究院总工程师柳纯录在大会发言中,表达了与郑静清类似的观点:“长期以来,人们对保障信息安全的手段偏重于依靠纯技术或产品。各种新的技术或产品的确起到了很重要的防护作用,但事实上,仅仅依靠技术和产品保障信息安全,却往往难尽人意。许多复杂、多变的安全威胁和隐患单靠技术或产品是无法消除的。因此管理就成了保障信息安全的另一个重要途径。” 积极构建有效的信息安全管理体系 
在本届高峰论坛上,中国工程院院士沈昌祥、中国科学院信息安全技术工程研究中心主任卿斯汉、国家信息化专家咨询委员会委员曲成义等业内知名专家以及微软、联想、思科、趋势科技、NAI、中软等业界领先企业的代表,分别在论坛发表主题演讲。 这些主题演讲,闪烁着专家学者及企业技术专家的智慧之光,切中要害地从方法论层面解答了构建有效的信息安全管理体系的具体思路。 沈昌祥院士以“构建积极防御综合防范的防护体系”为主题发表演讲,他指出:“目前我国信息安全建设正处在一个关键时期,我们必须把握住正确的研究方向,制定相应的发展战略,走符合我国国情的发展道路。” 卿斯汉围绕电子商务的安全管理发表演讲。他认为,电子商务的安全管理应从思想上、建立多层次相应的管理电子商务安全机构、立法等方面来进行。 曲成义从法规、管理、技术、标准、信息安全基础设施、信息系统工程等六个方面对如何构建国家信息安全保障体系进行了深入阐述。 思科系统(中国)网络技术有限公司演讲代表在论坛上阐述了网络的多级安全防护理念。趋势科技向与会者介绍了业界首款病毒发作防御设备—趋势科技网络病毒墙。中国软件(集团)股份有限公司在会上提出了“基于防水墙系统的内部安全管理整体解决方案”。联想信息安全服务事业部介绍了信息安全等级保护在联想安全咨询业务中的实践。美国网络联盟(NAI)和与会者探讨了企业安全深层防护的解决之道。微软则在会上阐明了和安全及防病毒厂商合作以提供更好的安全产品的发展策略。 在本届论坛上,我国权威的评测机构—中国软件评测中心和赛迪评测还对专业评测如何保障信息安全建设进行了系统论述。 与会者普遍认为,本次高峰论坛是一次针对性很强的大会,论坛聚焦安全管理,就信息安全管理的重要性、如何构建有效的信息安全管理体系等进行了广泛论述。为业界提供了一个共享安全管理新知的交流与合作平台,对推动构建有效的信息安全管理体系作出了积极的贡献。 |
||||||||||||||||||||||
