[原创]我的信息安全观

随着信息技术、互联网应用的不断普及和深入，人们在使用信息技术和互联网时面临的风险也越来越大，IBM、HP等传统的IT巨头们都正在发力加速抢占信息安全方面的市场份额。

对于大部分从IT技术出身的IT管理者们，一谈到信息安全，普遍都比较局限于技术方面，认为只要选择好的安全产品做好数据备份、防攻击、防病毒等就可以了。事实上，信息安全的话题是全方位的，贯穿了信息化的整个过程的所有环节，我们研究信息安全，应该把文化、意识、人、技术及环境等因素综合起来考虑。

一、信息安全的保护对象

狭义上，信息安全保护的核心时计算机系统加工或存储的数据；广义上，机构内部所有属于保密级的信息，如公司战略、市场计划、专有技术、软件代码等。广义的信息安全涉及的范围太广，我们在这里只谈狭义的信息安全。

二、信息安全面临的威胁途径

1. 天灾人祸：一谈到天灾人祸，大家很快就会联想到自然灾害和战争，这其实只是一个方面，这个对我们来说距离相对比较远，而且大部分企业基本上都不具备应对自然灾害和战争的能力，需要投入大力的人力、物力、财力才能做好相应的应对措施。

对我们来说，更常见的是周边环境对计算机设备造成的破坏，以及在操作过程中人为的意外造成的破坏。这类威胁直接破坏硬件设备从而导致数据被破坏，应对这类威胁，我们除了要做好数据备份以外，还需要制定一系列的操作规程和环境标准来控制甚至避免这类事故的发生。

2. 设备损毁：这里提到的设备损毁是指软硬件设备本身的缺陷或者是设备老旧所造成的破损或毁坏。任何产品都会在不同程度上存在一定的缺陷，任何产品都有其自有的生命周期，这是不以人的意志为转移的，我们没有办法去控制。这类威胁直接破坏了硬件设备从而导致数据被破坏，我们除了要做好数据备份以外，还需要准备好一定的冗余设备。

3. 外部恶意攻击、木马及病毒感染：这是被最多人所关注的信息安全问题，大部分人所认为的信息安全问题其实也就是这个问题。这类威胁主要引起数据或软件被破坏或被盗窃，应对方法除了最原始的做好数据备份以外，就是选购一整套完善的信息安全产品，包括软件和硬件。

4. 内部泄漏：这是被最多人忽视也最容易被人忽视的信息安全问题，因为这类威胁大部分不会造成数据的破坏，而是敏感信息的泄漏，所以也是最难防备的问题。IT运营的每一个环节都有可能存在泄漏信息的漏洞，比如查询过程会造成很多机密信息外泄；又比如数据备份，备份出来的数据最容易被带出机构外，那么如何保护备份出来的数据？

或许大家认为对敏感数据进行加密是一个好办法。现在的数据库软件基本上都支持对某些指定的敏感表、字段内容进行加密，一般的查询或者看不到数据或者看到的是机密后的密文；但数据库厂商必定还会提供解密的手段，因为用户在某些时候是可能需要对这些数据进行维护的。数据库厂商在给用户提供矛的同时也提供了盾，因此，加密也并不能完全解决问题。预防这类威胁的最主要的方式还是制定完善的内部控制流程！

还有一种内部泄漏是由于内部人员无意识的行为，如通过互联网感染了病毒、木马或间谍软件等，一般通过部署安全产品并加强安全防护知识的培训即可。

三、构建你的信息安全架构

构建一个完善的信息安全架构，我们需要综合考虑环境、技术、人、流程等4个基本要素，并结合机构的运营性质、各类数据的敏感程度制定合适的信息安全体系。

环境：大环境不是一个机构能解决的，是全社会的问题，小环境如温度、湿度、灰尘级别等可以通过技术手段解决。

技术：作为信息技术的用户，技术并不是我们考虑的重点，那是IT厂商的专有领域。我们要做的是选择好的安全产品，并用好这些安全产品。

人：关键是人的意识问题。在绝大多数情况下，企业老板都是不太愿意在信息安全方面有太多的投入，因为他们没有尝试过灾难发生后的滋味，所以不认为信息安全有多重要。信息安全并不仅仅是解决机构自身的数据问题、业务问题，同时也在帮助机构避免法律风险，比如你的财务系统，如果数据被破坏造成无法恢复或者只能部分恢复，那么机构的管理者就将面临审计风险，最后带来的可能是牢狱之灾。

事实上，很多机构的信息管理者也并没有真正重视信息安全问题，或者是关注点不全面，他们只关系威胁发生后他们在企业中承担的责任，却从来没有考虑过威胁发生后是否需要承担法律责任。

流程：前面对每一类威胁都已经有所提及，但还有一个关键流程，就是稽核流程或审计流程。制定了好的信息安全架构、运营标准和控制流程，到底有没有执行，执行效果怎么样，需要定期的稽核审计并提出改进方案。这是信息安全的安全报障！我想，这或许就是为什么ISO20000、COBIT、萨班斯法案等在国外被那么重视的根本原因！

推荐到鲜果： 查阅更多相关主题的帖子: IT治理 信息安全