安全管理的重要性

10.3.2　安全管理的重要性

在信息时代，信息是一种资产。随着人们对信息资源利用价值的认识不断提高，信息资产的价值也在不断提升，信息安全的问题越发受到重视。针对各种风险的安全技术和产品不断涌现，如防火墙、入侵检测、漏洞扫描、病毒防治、数据加密、身份认证、访问控制、安全审计等，这些都是信息安全控制的重要手段，并且还在不断地丰富和完善。但是，却容易给人们造成一种错觉，似乎足够的安全技术和产品就能够完全确保一个组织的信息安全。其实不然，仅通过技术手段实现的安全能力是有限的，主要体现在以下两个方面。

一方面，许多安全技术和产品远远没有达到人们需要的水准。例如，微软的Windows NT、IBM的AIX等常见的企业级操作系统，大部分只达到了美国国防部TCSEC C2级安全认证，而且核心技术和知识产权都是国外的，不能满足国家涉密信息系统或商业敏感信息系统的需求。再如，在计算机病毒与病毒防治软件的对抗过程中，经常是在一种新的计算机病毒出现并已经造成大量损失后，才能开发出查杀该病毒的软件，也就是说，技术往往落后于新风险的出现。

另一方面，即使某些安全技术和产品在指标上达到了实际应用的某些安全需求，如果配置和管理不当，还是不能真正地实现这些安全需求。例如，虽然在网络边界设置了防火墙，但出于风险分析欠缺、安全策略不明或是系统管理人员培训不足等原因，防火墙的配置出现严重漏洞，其安全功效将大打折扣。再如，虽然引入了身份认证机制，但由于用户安全意识薄弱，再加上管理不严，使得口令设置或保存不当，造成口令泄漏，那么依靠口令检查的身份认证机制会完全失效。

所有这些都告诉我们一个道理，即仅靠技术不能获得整体的信息安全，需要有效的安全管理来支持和补充，才能确保技术发挥其应有的安全作用，真正实现整体的信息安全。俗话说“三分技术、七分管理”，就是强调管理的重要性，在安全领域更是如此。