以数据保护@@为核心的@@安全@@信息化建设@@@@

 

　　在信息系统建设的@@初期@@，信息安全@@的@@设计就要尽可能早的@@引入@@，从而打好坚实的@@基础@@。没有安全@@设计@@的@@信息系统@@，就好像把一@@座大楼建在了沙滩上@@，随时面临着倒塌的@@风险@@。

 

　　企业单位内网@@、外网@@，电子商务@@、政务@@平台@@是常见的@@信息系统@@，它们的@@建设都离不开安全@@保障@@。物理安全@@是要考虑的@@一@@个方面@@；其他常规的@@安全@@手段@@，如防火墙@@、入侵检测@@、杀毒等都已经比较普及@@，一@@定程度地规避了如冒用@@、入侵以及@@DDOS攻击等安全@@风险@@。但是许多信息系统的@@建设者@@，以及绝大部分信息系统的@@使用者对信息安全@@的@@认识还停留在这个阶段@@，认为做到了这些就充分了@@。他们既没有从系统工程的@@角度@@，也没有从发展的@@角度来看待安全@@问题@@。

 

　　随着信息安全@@态势的@@加速恶化@@，促使信息系统的@@使用者和建设者必须做出改变@@。以往堆积产品或者出现问题后去打补丁的@@办法@@，就显得盲目@@、笨拙@@，且大幅增加运维和升级成本@@。甚至@@有些先天性的@@安全@@缺陷@@，并非后续的@@补救措施可以根治@@。

 

　　将@@“安全@@”冠于信息化建设或者信息系统集成之上@@，还原了信息安全@@本应具有的@@基础作用和重要地位@@，这与习主席所谓@@“信息化与信息安全@@是一@@体之两翼@@”相一@@致@@，是未来信息化建设的@@方向和重点@@。可以肯定地说@@，不远的@@将@@来信息安全@@将@@对所有在建和升级的@@信息系统拥有一@@票否决权@@。

 

 

　　数据在网络空间@@的@@价值@@，最好的@@对应就是钱在现实空间@@的@@价值@@。数据就是钱@@，就是财富@@，这个认识已经逐步深入人心了@@。从信息安全@@的@@对立面来看@@，或者从贼的@@角度来看@@，这个价值就更加明确了@@。

 

　　不是所有的@@信息系统都包含数据的@@@@，例如只处理@@Y/N的@@门禁系统@@。常见的@@信息系统都或多或少地产生并存储数据@@，这些数据的@@价值@@一@@般由信息系统的@@使用者@@(如企业@@)，或者由第三@@方专业机构来认定@@(如政府@@或专家团队@@)。

 

　　不同数据的@@价值@@对应了不同的@@保护措施@@，安全@@的@@投入正相关于数据价值@@。梳理外围安全@@与核心安全@@@@，被动安全@@和主动安全@@之间的@@关系@@，用整体安全@@的@@措施@@，应对复杂多变的@@安全@@态势@@，信息系统建设者和使用者必须自始至终加以重视@@。

 

 

　　如果数据是信息系统的@@关键@@，那么保护数据的@@手段就必须处于安全@@的@@核心位置@@。以防数据泄露系统@@（DLP）为例@@，对于电商平台@@@@、企事业单位内网@@，关键部门权限的@@设立和重要数据归属权的@@保护是@@DLP系统设计的@@目标@@。DLP系统明确了数据所有者的@@地位@@；通过对管理权的@@分解以及监督权的@@设立@@，避免了超级用户的@@存在可能带来的@@巨大损失@@；在不影响工作效率的@@前提下@@，掌控数据入口@@（终端@@），堵塞了所有可能出现泄密的@@途径@@。因此@@可以说@@DLP在信息系统安全@@架构中处于核心位置@@。

 

　　DLP以及类似系统所处的@@位置和发挥的@@作用@@，决定了其他安全@@手段或工具需要与之配合@@；甚至@@，当安全@@非常突出的@@时候@@，面向应用的@@软件开发或产品集成的@@选择@@，也要与之配合@@。后者尤其重要并将@@成为一@@个趋势@@，这就好比先选择操作系统@@，然后再选择适合这个操作系统的@@软件一@@样@@。

 

　　信息系统的@@建设者或集成商尤其要树立这样的@@安全@@理念@@，并用这一@@理念来说服和引导用户@@。对于新建的@@信息系统@@，从设计阶段就要加入对安全@@考虑@@，用安全@@来统领建设和运营@@、维护的@@各个阶段@@；对于现有信息系统的@@升级改造@@，首先判断这个系统是否拥有需要保护的@@数据@@，并从数据安全@@出发@@，梳理保护手段是否有所缺失@@。

 

　　无论是新建的@@信息系统还是现有系统的@@升级改造@@，其中的@@安全@@考虑包括风险评估@@、安全@@设计@@、建设或集成@@、审计验收@@、安全@@运维等环节@@。风险评估的@@主要内容就是这个系统是否包含了数据@@，以及这些数据的@@价值@@@@。

 

 

　　政府@@的@@信息化系统按照国家等级保护要求@@，一@@般划归为三@@级或以上@@。按照这个划分要求@@，其中的@@数据属于必须采用加密手段来保护的@@@@。因此@@，即使必须进行物理隔离@@，为了防止内部人员泄密@@，一@@套类似@@DLP的@@、以密码来保护数据的@@系统应该成为标准配置@@。

 

　　对于现代企业@@，特别是从事高端制造@@、云存储服务@@、贸易@@、软件设计开发等行业的@@企业@@，考虑到自身商业利益和从业道德等因素@@，安全@@等级也不应低于政府@@三@@级等保要求@@。

 

　　安全@@信息化建设@@和安全@@系统集成对于建设者和使用者来说@@，都存在着一@@定的@@挑战@@；但是同样也应看到其中蕴含的@@机遇要远大于困难@@。

 

　　对于建设者来说@@，现有信息系统在安全@@方面的@@缺失是普遍存在的@@现状@@，要用今后很长一@@段时间来补课@@；同时@@，安全@@建设处于信息技术的@@高端@@，是否具备安全@@建设的@@能力标志了企业在行业的@@地位和议价能力@@。

 

　　对于信息系统的@@使用者来说@@，安全@@决定了生死存亡@@，这一@@点现在怎么强调也不过份@@。信息安全@@系统的@@部署@@，将@@促进内部组织结构的@@调整@@、优化和提升@@，在更高层次@@形成竞争力@@，为可持续发展提供保证@@。

 

　　最后@@，人的@@因素是决定性的@@@@；这不仅体现在企业或组织内部的@@每个人能否严格遵从安全@@管理的@@规章制度@@，主动配合措施的@@落实@@，而首先体现在主要领导者是否能有掌控安全@@的@@管理理念和远见卓识@@。安全@@在现实空间@@的@@各个行业领域都是@@“一@@把手工程@@”，毫无疑问@@，在网络空间@@的@@各个方面@@，对应的@@信息安全@@也必须是@@“一@@把手工程@@”。