信息安全 信息安全，该从哪儿入手？

　　毛一丁，曾策划推广金山、长城电脑、8848、中文之星等多家业内著名公司的产品和企业品牌，被业内公认为“中关村策划第一人”。2001年初加盟瑞星公司，誓把瑞星打造成国内信息安全领域的权威品牌。
　　因为要提高效率，所以要实施企业信息化;
　　因为实施信息化，所以企业要建内部网;
　　因为建成了内部网，所以才能进行信息化应用;
　　因为信息应用的使用，所以企业越来越离不开网络。
　　……
　　因为有电脑病毒，所以要配备杀毒软件;
　　因为有黑客攻击，所以要配备防火墙;
　　因为操作系统缺陷，所以要配备漏洞扫描产品;
　　因为要与异地之间沟通，所以出现了VPN;
　　因为要保护整个局域网，所以出现了防毒墙;
　　……
　　面对越来越广泛的应用，面对越来越多的攻击，面对纷繁复杂的安全产品，企业信息安全该从哪里入手？这是一个老生常谈、而又总是不能彻底解决的痼疾。笔者认为，还是要重新澄清以下几个问题:
　　首先需要明确，信息安全产品只是工具，真正起作用的是使用这些工具的人。只有人提高了信息安全意识，才能更好地使用安全工具。举例来说，某著名电子商务网站，因为红极一时，结果成了黑客攻击的目标，又正好赶上手头有大把的风险投资，所以火速采购了号称是世界最好的防火墙，结果安装后，网站无法访问，只能拆下来当摆设。原因很简单，网管员不会设置防火墙，尽管手头配备了最先进的安全工具，依然无法阻挡黑客的进攻。
　　其次，安全是相对的，没有绝对的安全。在配备安全产品之外，日常的安全维护也必不可少。如:某银行非常重视网络安全，投入巨资打造了一个安全的网络平台，当时看来，这套网络系统坚不可摧，但在几年后的一次安全检查中，却发现漏洞百出，新发现的操作系统漏洞没有弥补，日常的安全维护没有做到位，自认为安全的网络，因此变得不安全。笔者曾做过一个试验，安装一台电脑，不打任何补丁，直接放置在互联网上，结果几分钟后就遭到攻击直至瘫痪，由此可见日常安全维护的重要性。
　　第三，企业盲目崇洋现象仍很严重，认为国外的产品就是比国内的好，IT采购都是最好是国际名牌，贯彻的是“买贵了也别买错了”的理念。笔者对其它IT设备不做过多评价，但在安全产品采购上，应该考虑服务的因素。网络出了安全问题，是需要有专业的工程师提供技术服务的。事实上，国内的安全产品在品质上已同国外产品相差无几，而且技术支持队伍更加完备，在应急处理方面会提供更快、更多的帮助。
　　最后，企业在安全方面的投入是必需的。每家企业的情况不一样，在安全产品方面的投入也大不相同，一次采购整体安全解决方案固然好，但由于经费的限制，经常会采用分次分批采购的方式，这就有一个重点解决哪些安全问题的考虑。从目前网络安全现状来看，计算机病毒防治、黑客攻击的防范需首先要考虑，其它安全产品可陆续采购。
　　总而言之，信息安全已关系到每一个网络和每一台电脑，提高企业信息安全水平的关键还是人。采用一些常规的安全措施和手段必不可少，例如:杀毒软件的随时升级和扫描、网络权限的设定、密码的定期更换、及时弥补操作系统补丁等。当然，如果有能力采购一些专业的信息安全产品，配备有安全管理经验的网管，那样效果会更好。