企業(yè)管理軟件安全問題和管理問題兩手抓

        由于信息系統(tǒng)本身的脆弱性和復(fù)雜性，企業(yè)在大張旗鼓地增加科技投入的不同階段，遇到了不同的難題。大量的信息安全和管理問題，伴隨著計算機應(yīng)用的拓展不斷涌現(xiàn)左右為難的企業(yè)信息化。

1.安全問題

        現(xiàn)在的IT世界已經(jīng)不像以前那么單純。虛擬的世界跟現(xiàn)實世界越來越接近，很多現(xiàn)實當(dāng)中不好的地方，在虛擬世界都會出現(xiàn)，所以企業(yè)在安全方面投入越來越大。讓我們來看一下安全防護的流程。一開始企業(yè)可能會花高價引進一批具備各種功能的安全軟件，然后把它們分別安裝到企業(yè)的桌面計算機上去。企業(yè)用戶并沒有就此養(yǎng)成定期升級和下載補丁的習(xí)慣。半年過去以后，原來幾百臺的裝機量可能因為重裝系統(tǒng)等原因，只有在幾十臺機器上仍然正常運行著這些安全軟件。試問，就算這些安全軟件的功能再強大，企業(yè)的IT系統(tǒng)安全是否真正得到保證了呢?答案顯然是否定的。因此，真正的系統(tǒng)安全絕不僅僅來自于技術(shù)和產(chǎn)品，它的實現(xiàn)還需要結(jié)合管理思想的安全方案。

2.管理問題

        隨著IT業(yè)的日益成熟，在整個IT費用中，硬件占的比例越來越小，而管理和支持占的比例不斷增大。管理、支持和軟件加起來占了IT費用的70%，而當(dāng)中只有6%是軟件的購買成本，最大的IT費用成本就是運維、管理和支持。企業(yè)面臨的挑戰(zhàn)很多。在基礎(chǔ)架構(gòu)方面，尤其在中國，國民經(jīng)濟高速增長，IT投入越來越多。從過去有一個數(shù)據(jù)庫，到現(xiàn)在有很多的東西，比如CRM和ERP等，管理成本越來越高，也非常麻煩。企業(yè)IT投入的不斷增加導(dǎo)致了很多新問題，比如異構(gòu)系統(tǒng)不兼容性的問題，還有現(xiàn)有平臺和將來平臺的兼容問題，過去IT的投入將來還可不可以用等。

 3.走出被動防御的“盲區(qū)”

         未來安全問題不再是過去簡簡單單的一個病毒或者一個黑客，它將朝著更多元化的方向發(fā)展。對于企業(yè)而言，無論是數(shù)據(jù)失竊、郵件泄密還是網(wǎng)絡(luò)癱瘓，都將帶來巨大的損失。越來越多的企業(yè)已經(jīng)從被動式接受轉(zhuǎn)變?yōu)橹鲃臃婪?。這種變化包含兩層意思：一方面是企業(yè)意識的轉(zhuǎn)變。最初輕視信息安全，認(rèn)為安全管理是額外的投入，不能帶來任何收益，是IT建設(shè)的附屬品；之后開始接觸信息安全理念、產(chǎn)品以及技術(shù)，被動接受安全體系的建設(shè)，整個行業(yè)呈現(xiàn)出一片空前的信息安全建設(shè)熱潮；再到后來，泡沫逐漸消退，企業(yè)更加清醒地看待信息安全問題，隨著整個IT環(huán)境的變化以及需求的日益增強，企業(yè)開始認(rèn)識到信息安全作為企業(yè)生存與發(fā)展的重要支撐，必須走出固有的圈子，變被動為主動，將其提升到與信息化建設(shè)同等重要的高度。全民動員，加大投資力度，從領(lǐng)導(dǎo)到基層共同參與安全網(wǎng)絡(luò)構(gòu)建。這時，安全建設(shè)才真正成為企業(yè)成長的助推器，完成了從企業(yè)發(fā)展的絆腳石到催化劑的轉(zhuǎn)變。

        另一方面，信息安全“三分技術(shù)，七分管理”，安全與管理是企業(yè)信息安全的核心，企業(yè)建立了安全管理體系后，安全技術(shù)才能充分發(fā)揮它應(yīng)有的作用。安全管理首先要建立一個健全、務(wù)實、有效的安全組織架構(gòu)，明確架構(gòu)成員的安全職責(zé)，這是企業(yè)安全管理得以實施、推廣的基礎(chǔ)；其次必須建立完善、可操作性強的安全管理制度，并嚴(yán)格執(zhí)行。責(zé)權(quán)不明、管理混亂、安全管理制度不健全及缺乏可操作性等，都可能會引起安全管理的風(fēng)險。如一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地，或者員工有意無意泄漏他們所知道的一些重要信息，而在管理上卻沒有相應(yīng)制度來約束。所以需要一個管理、技術(shù)、人的參與三者融為一體，有主觀意識參與的全方位解決方案做催化劑。