玻璃棉毡厂家
免费服务热线

Free service

hotline

010-00000000
玻璃棉毡厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

网络信息安全暗伤累累期待CSO的出现新日

发布时间:2020-01-15 12:29:04 阅读: 来源:玻璃棉毡厂家

前几天,一种被人们称作“冲击波”的蠕虫病毒掀起了一场至今也另人心悸的互联网风暴。

但那只是表象,从过去的防止外部病毒攻击,到如今的网络内部管理日益受到重视,

特别是随着许多企业、政府、金融、能源等行业纷纷建设了Intarnet网络,再加上Internet天生存在的漏洞,使得网络信息安全问题在今天成为了一个异常严峻的课题。

信息安全的“暗伤”

记者在日前的走访中发现,现阶段网络信息安全发展态势的确不够理想,可以用“有意识,没认识”来形象地概括。

事实上,在众多网络信息安全厂商的眼里,网络信息安全业务并不像想象的那样充满机会,反而处处布满了陷阱,而且被划上了道道“暗伤”。而在企事业单位的看法中,他们却也有自己的难言之隐。

记者致电IBM有关部门了解情况,他们理解的企事业单位在信息安全方面存在的问题或许更能说明问题:用户端没有集中管理,未实现用户终端硬件平台、软件平台标准化;没有针对用户使用计算机系统的明确的安全标准和要求;没有一个规范化的惩罚制度;安全意识培训,安全技能培训不够;没有安全检查、审计机制。

而由此所带来的结果则是:员工的安全意识淡薄;文件在网上随意共享;虽然安装了防病毒软件,依然被病毒困饶;机密信息散落在桌面或未上锁的柜子中。

作为“佐证”,记者在采访中接触到厂商的立场首先是,目前众多企事业单位虽然认识到了信息化的重要性,但要有一笔钱投入到实际的建设中,确实并不是简单的事情。即使有了钱,也会遵循搭平台(主要是硬件投资)-→主要应用(主要是相关管理软件,如ERP、CRM及电子政务管理软件等)-→其他应用(网络信息安全等)。因此,遵循了这样一套公式化的建设方案,到了后期要考虑网络信息安全等问题时,资金也基本上花光了,这是目前省内网络信息安全建设的弊端之一。

其次,现阶段企事业单位在网络信息安全的认识上有偏差。他们对支持企业运营的后台管理平台根本不加重视(包括企业流程、财务审核、信息安全等),反而把人力、物力及资金都投放到了生产工具和宣传促销上。

最后,很多企事业单位的相关负责人在提起信息安全时,就只是联想到防火墙、IDS、杀病毒、VPN等耳熟能详的产品。殊不知,要从源头上解决网络信息安全的难题,就必须要有一套完善的、成套的解决方案。

因此,很多厂商的代表常听到某些企业单位的用户抱怨:“我原来没有装防火墙的时候,什么问题都没有。现在装了防火墙,反而天天提醒、报警,这样弄得人烦躁,但又不知道怎么去根除。”

据了解,许多企事业单位本身并没有信息安全专业人员,即使有那么1-2个技术人员,也只是普通的IT人员,对信息安全知识一知半解,对信息安全产品似懂非懂,这就注定了无法将产品用好!

另外,企事业单位对信息安全产品本身的认识不足,以为凭几个网管员就可以管好整个网络的安全,而舍不得在信息安全的人员培训方面进行再投资。这其实是最大的误区。

由此,厂商的代表坚持这样的观点对记者表态:“信息安全建设的难点和困惑并不在人才、技术层面上,而在于企事单位领导的管理、观念层面上。”

谁了解用户的信息安全需求?

当然,我们不能漠视用户的实际需求。记者在走访中发现,用户目前对厂商同样有怨言,集中在厂商的宣传上商业性太浓、提供的产品并不能满足单位的实际需求及售后服务、现场咨询并没有做到位。

一位厂商代表向记者讲述了他在实际的工作中曾经遇到的事例。一位在银行负责信息安全的用户这样说,很多厂商提供的产品根本满足不了我们的实际需求,他们提供的是产品,而我们需要的是适合自己银行的安全策略,虽然众多的厂商也承诺提供策略咨询服务,但那些策略要么是站在产品立场上的咨询服务,要么是纸上谈兵,并不适合我们的网络结构,不得已,我们只能自己选择产品。

据记者了解,目前多数厂商主要是以提供产品为主(如防火墙、IDS、反病毒等),虽然也打整体解决方案的大旗,虽然也号称提供安全咨询服务,但真正了解了用户的需求毕竟是少数,他们的服务始终是建立在产品基础上的服务,为了卖产品而为用户画了一个并不能吃下的“大饼”。

有网管员向记者反映:“就说这次‘冲击波’病毒,在之前并没有厂商通知我们进行防范,进行相应的补丁下载。等到单位的机器出事了,厂商却又迫不及待地要求我们购买相应的反病毒解决方案,要么直接要求上门服务后进行一定的收费,我们对此不满意。”

提到售后服务,部分用户认为虽然很多厂商承诺了安全咨询或者产品的售后服务,且号称都是安全服务厂商,但真正能解决用户产品应用上的运行和维护服务的,目前还比较少见,对用户而言,既然我使用了你的安全产品,你就得兑现你所承诺的服务。

这样造成的后果是,用户对信息安全产品应用得不好,直接影响了信息安全产品的再推广,产品推不出去,又影响了用户实施信息安全产品的信心。最终形成“死循环”。也成了制约省内网络信息安全的主要障碍。

期待CSO的出现

网络信息安全实际上是一个体系,它涵盖了防火墙和防病毒系统、入侵检测系统、加密系统、认证系统等多种安全产品。而这些产品紧密的协同配合,才组成一个综合的、动态的安全系统,对于企事业等单位用户而言,进行信息安全的实施时,就必须整体考虑,用多种安全产品有机地集成,甚至需要采用安全策略加以研究。

朝华软件人士认为,未来网络信息安全方面的重点肯定不仅仅只局限在网络病毒上,真正的“杀手”在于黑客有目的的攻击以及企事业单位内部员工的控制管理上。网络病毒的破坏只是一时的,而且还可以预防,而其他方面的可控因素就变得难以掌握。

思科公司相关人士向记者透露,鉴于目前网络信息安全的整体情况,很多厂商在为企事业单位解决信息安全时,多采用“总体考虑,分布实施”的方法。其过程是:遇到需要解决的实际项目时,考察该单位的管理水平,资金实力、业务流程后,进行综合评估,最后拿出相应的解决方案。当然,有些单位只购买防火墙等单一产品,厂商也会尽量提供支持。

据记者了解,在具体实施的项目的质量中,各厂商都会依据国家信息安全标准来进行。即按照ISO17799标准来操作。其次,考虑到资金方面的压力,通常也会采取降低技术要求,合理安排产品组合等方式,来为用户提供最完善的信息安全解决方案。

当然,即使有了完善地信息安全方案的支持,众多企事业单位在对待信息安全时也切忌掉以轻心。这时候,我们就需要越来越多的CSO(首席安全官)的出现和成长。因为,CSO更多的是承担着信息安全管理者的重要角色。

但随着企事业单位的关键业务进入互联网,CSO们掌握着单位越来越多的核心机密的时候,CSO的地位将越发独特,越发不可替代。

不过在现实情况中,我们却看到,很多企事业单位不要说对CSO闻所未闻,甚至连CIO(首席信息官)都不甚了了。当然,这些情况必然会存在,CIO、CSO作为近些年来新出现的群体,在企事业单位越来越充当着重要的角色。兴许叫法不同,但可以看到,企事业单位对自身信息化的建设、网络信息安全的重视却在日益加强。

在线挂号平台

名医汇

网上预约挂号服务中心

预约挂号平台怎么取消