信息安全與網(wǎng)絡(luò)安全實(shí)踐的差異性

1.1 信息安全與網(wǎng)絡(luò)安全對(duì)業(yè)務(wù)安全的影響

對(duì)于任何一個(gè)組織來(lái)講，重要的就是其核心業(yè)務(wù)能夠安全、穩(wěn)定、有序開(kāi)展。在當(dāng)前信息化時(shí)代背景下，信息成為了一個(gè)組織機(jī)構(gòu)重要的資產(chǎn)，信息安全對(duì)組織的業(yè)務(wù)安全有至關(guān)重要的影響。例如，911事件中很多企業(yè)的倒閉不是因?yàn)槿藛T的缺少，而是因?yàn)槠髽I(yè)的所有信息的丟失，造成企業(yè)業(yè)務(wù)無(wú)法繼續(xù)開(kāi)展下去；個(gè)別企業(yè)因?yàn)槠髽I(yè)內(nèi)部的商業(yè)秘密信息（如工藝參數(shù)、客戶信息等）泄露而導(dǎo)致企業(yè)業(yè)務(wù)的衰退和企業(yè)的倒閉。而網(wǎng)絡(luò)安全對(duì)業(yè)務(wù)安全也有重要的影響，但對(duì)大多數(shù)組織來(lái)說(shuō)，網(wǎng)絡(luò)安全性遭到破壞，可能會(huì)使其業(yè)務(wù)出現(xiàn)一段時(shí)間的停頓，或?qū)I(yè)務(wù)的發(fā)展產(chǎn)生負(fù)面影響，但不會(huì)產(chǎn)生致命的影響，而信息的安全性遭到破壞時(shí)則可能會(huì)對(duì)組織的生存和發(fā)展產(chǎn)生致命的負(fù)面影響。從范圍來(lái)講，業(yè)務(wù)安全中包含信息安全，網(wǎng)絡(luò)安全也是信息安全中的一部分。

1.2 信息安全目標(biāo)與實(shí)踐的差距

目前，各個(gè)組織、各級(jí)領(lǐng)導(dǎo)都深刻認(rèn)識(shí)到信息安全的重要性，從制度層面、宣傳教育層面等也總是強(qiáng)調(diào)信息安全的重要性，但是在實(shí)踐工作中卻經(jīng)常將“信息安全”與“網(wǎng)絡(luò)安全”的工作相混淆，造成了信息安全工作的有效性受到一定程度的限制。主要體現(xiàn)在：

（1）從人才來(lái)講，真正的信息安全人才及其缺乏。要真正做到廣義上的信息安全，做到“技管并重”，而當(dāng)前能夠滿足于組織要求的既懂信息安全技術(shù)，又懂信息安全管理的人才很少，遠(yuǎn)遠(yuǎn)無(wú)法滿足組織的需求。

（2）從投入來(lái)說(shuō)，由于很多領(lǐng)導(dǎo)認(rèn)為“信息安全”與“網(wǎng)絡(luò)安全”是一回事，只要做到了網(wǎng)絡(luò)安全，就能信息安全。同時(shí)，網(wǎng)絡(luò)安全的產(chǎn)出效果較為明顯，因此常常為了網(wǎng)絡(luò)的安全性投入了大量的人力（系統(tǒng)運(yùn)行維護(hù)管理人員）、財(cái)力（采購(gòu)設(shè)備和服務(wù)），而為信息的安全性所做的投入相對(duì)較少，配備的人員和技術(shù)手段相對(duì)有限。

（2）從內(nèi)部機(jī)構(gòu)設(shè)置來(lái)說(shuō)，對(duì)于大多數(shù)組織來(lái)說(shuō)，信息安全工作與網(wǎng)絡(luò)安全工作是同一個(gè)團(tuán)隊(duì)負(fù)責(zé)，而且在組織內(nèi)部處于相對(duì)弱勢(shì)地位，通常作為一個(gè)服務(wù)團(tuán)隊(duì)而存在，信息安全管理工作無(wú)法真正有效落實(shí)，其管理效力無(wú)法得到。

1.3 加強(qiáng)信息安全管理

為了提升組織內(nèi)部的信息安全防護(hù)能力，在組織內(nèi)部真正做到“技管并重”，應(yīng)將信息安全工作與網(wǎng)絡(luò)安全工作區(qū)別對(duì)待，提升信息安全團(tuán)隊(duì)在組織內(nèi)部的地位，強(qiáng)化信息安全管理的效力，將信息安全保護(hù)工作提升到組織的戰(zhàn)略層面。具體內(nèi)容包括：

（1）提升信息安全到組織的戰(zhàn)略層面。信息安全是一個(gè)組織的職責(zé)，而不僅僅是一個(gè)內(nèi)部IT部門(mén)的職責(zé)。信息安全的責(zé)任主體是一個(gè)完整的組織，而不是組織內(nèi)部的IT部門(mén)。雖然IT部門(mén)控制管理著大多數(shù)的信息資產(chǎn)，它亦是信息安全管理的重中之重，但它仍然有著很大的局限性，它無(wú)法定義組織層面的戰(zhàn)略，無(wú)法定義信息的重要敏感等級(jí)，沒(méi)有權(quán)力決定什么信息可以受控或復(fù)制分發(fā)，這一切服從更高的策略與目的，即整個(gè)組織（業(yè)務(wù)）的戰(zhàn)略目的與需要，所以不能僅僅站在IT視角去考慮信息安全，需要考慮組織的需要，業(yè)務(wù)的需要。網(wǎng)絡(luò)安全工作可以和信息化工作一起，作為為組織內(nèi)部業(yè)務(wù)工作提供支撐服務(wù)的形式存在，而信息安全關(guān)系到組織的生存和發(fā)展，提升到組織的戰(zhàn)略層面加以規(guī)劃和設(shè)計(jì)，以確保組織業(yè)務(wù)安全。

（2）分離信息安全團(tuán)隊(duì)與網(wǎng)絡(luò)安全團(tuán)隊(duì)。網(wǎng)絡(luò)安全工作可以以一個(gè)服務(wù)團(tuán)隊(duì)的形式存在，既可以由組織內(nèi)部人員承擔(dān)，是組織內(nèi)的一個(gè)技術(shù)服務(wù)部門(mén)，也可以外包給第三方技術(shù)服務(wù)機(jī)構(gòu)；而信息安全工作作為一個(gè)組織不可推卸的做人，應(yīng)成為內(nèi)部管理團(tuán)隊(duì)，而不是內(nèi)部服務(wù)部門(mén)。在這一方面，在涉及國(guó)家秘密的組織機(jī)構(gòu)內(nèi)部的國(guó)家秘密信息安全保密管理方面取得了良好成績(jī)。

（3）提高信息安全機(jī)構(gòu)在組織內(nèi)的地位。信息安全工作不是一項(xiàng)完全立的工作，而是與組織內(nèi)的各項(xiàng)業(yè)務(wù)工作緊密結(jié)合在一起的，包含的不僅僅是技術(shù)層面的信息網(wǎng)絡(luò)系統(tǒng)中所傳輸、處理和存儲(chǔ)的信息安全，還包括在組織內(nèi)部各項(xiàng)業(yè)務(wù)工作開(kāi)展過(guò)程中的所涉及到的信息的安全，因此信息安全團(tuán)隊(duì)在組織內(nèi)部就不應(yīng)該只是一個(gè)服務(wù)團(tuán)隊(duì)，而應(yīng)是一個(gè)能夠涵蓋組織內(nèi)所有工作層面的職能管理團(tuán)隊(duì)，這樣才能將信息安全工作與業(yè)務(wù)工作進(jìn)行有效融合，在組織內(nèi)部有效開(kāi)展信息安全管理工作，信息安全。在國(guó)外，作為組織高領(lǐng)導(dǎo)之一，信息安全官（CISO）制度已經(jīng)形成一個(gè)較為全面的制度體系[4]，并在組織機(jī)構(gòu)的信息安全工作中發(fā)揮著積極作用，而國(guó)內(nèi)的CISO還處在初級(jí)階段，遠(yuǎn)未達(dá)到信息化主管（CIO）的高度。

雖從事的方向不一樣，但兩者息息相關(guān)，迎合安全市場(chǎng)趨勢(shì)，IT人才應(yīng)盡早拿到相關(guān)證書(shū)，贏取信息安全行業(yè)高薪職位敲門(mén)磚！</a>

查看全部介紹