主题：做信息安全必修“五步绝招”

　　无独有偶，近日美国《Network World》根据其多年的经验，总结出了做信息安全最容易忽视的若干问题。记者发现，其中很多内容和国内用户与厂商在技术实施、应用部署中的经验类似。为此，记者也联络了国内的大型用户和安全厂商，从五大方面总结了企业建设信息安全的重点要素，以飨读者。

　　第一招：确定安全架构

　　安全架构是信息安全最重要的蓝图，位列“五绝”之首。往大了说，它确定了企业的总体安全观与各项规章;往小了看，则包含了对存储、传输、边界、子网、用户行为的管理。

　　什么是安全架构

　　记者留意到美国《Network World》总结了过去25年间对信息安全的调查报告，其中有一个现象非常有趣：在25年的时间里，大量的企业开展了对安全的关注、投入、资源配置、培训，甚至是开展了相关的认证。但非常不幸，越来越多的企业IT主管表示，每天接触到的IT安全被侵害的现象逐渐增多。

　　“问题在于，面对统一的且有组织的IT威胁，大部分企业缺乏一个广泛的IT安全架构来应对。”新华人寿的IT经理谈到此问题的时候，感悟颇多。“安全的实施与企业在不同时期的关注重点有关，企业成长阶段，其IT核心在于保证业务的发展，因此安全必然是处于二线位置。而当企业成熟以后，需要对IT与业务进行整合，在这个过程中，安全的重要性才会凸显。”

　　换句话说，一个企业不仅业务上经历了由小变大的过程，IT安全同样会遵循这样的过程，因此建立一个好的IT安全架构，就是企业走向成熟的标志。

　　“一个架构代表了一个蓝图，它涵盖了在IT环境中的资源最佳配置与部署，并且其首要目标，就是支持企业的业务运作。相应的，一个安全架构是一种规划，它描述了安全服务作为一个系统，帮助企业满足需求的过程。”

　　事实上，记者曾经见到过IBM公司的策略与架构部门给国内用户规划过相关的安全架构，他们的分析师曾透露，安全架构的设计原理就是要求贯彻一整套安全服务，并且这种服务的各种行为(包括性能)，都是为了去处理针对企业IT环境的各种威胁。

　　实施的必要条件

　　一套行之有效的安全架构，可以帮助企业以一种高效的方式应对安全挑战。不过相应的，企业需要考虑以下两点因素：

　　第一，安全架构必需全面。

　　早在2年前，光大银行的一位IT负责人就向记者透露过，银行业对于IT安全的重视，并非与生俱来。他们一样经历了从无到有，经历了一个相当相当漫长时期的业务发展与技术支持过程。在这个复杂的过程中，经历了对金融机构各个环节的安全修补与技术考虑，慢慢才形成了今天的接近完整的IT安全架构。

　　同样的道理，美国《Network World》的安全编辑在阐述此问题的时候，着重强调了安全架构的全面性，甚至他们将企业管理、通信、IT、无线电、员工行为和其他一些自然因素都归结到其中。

　　显然，IT硬件、网络组件都必须安全。当然，所有的软件同样必须是安全的，并且企业的员工也都是可以信赖的。要知道，根据IDC连续两年的统计，70%(甚至更多)的安全风险都是发源于企业内部。

　　第二，配套的政策规章。

　　“政策规章”并非是一个中国特色，它在外企通常被解释为“企业政策说明书”，它描写了如何实现和坚持一个安全架构。之所以把“政策”摆在“规章”的前面，就是因为即便在合适的地方、有适合的安全架构，仍然会存在政策性失败的风险。

　　需要指出的是，配套完善的政策规章不仅仅是一个企业的内部制度，有些时候，它还必须包含一系列的技术概念。因为很多技术层次上的东西，只有与企业制度相联系，才可以真正确保安全。

　　记者的看法是，对于技术与规章的结合，美国同行的确比我们高明一些。举例来说，很多美国IT人员认为，一个强壮的安全架构必须以多重边界保护的概念为基础，但同时必须表示出在相关企业中权力划分的思路。说实话，这种思路非常狡猾，不仅仅是因为它分层次的架构，更多是因为分层具备了在权力定义上的优势和企业业务上的不重叠。