從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測(cè)、身份認(rèn)證等等，新技術(shù)層出不窮，單純依靠技術(shù)和產(chǎn)品保障企業(yè)信息安全雖然起到了一定效果，但是復(fù)雜多變的安全威脅和隱患靠產(chǎn)品難以消除。我們認(rèn)為：“企業(yè)要把網(wǎng)絡(luò)安全提升到管理的高度上實(shí)施，然后落實(shí)到技術(shù)層次上做好保障。”

網(wǎng)絡(luò)安全管理體系應(yīng)該如何架構(gòu)?BS7799安全管理體系標(biāo)準(zhǔn)無(wú)疑是一個(gè)很好的幫助。它最早由英國(guó)商務(wù)部推動(dòng)，由BSI將其發(fā)展成為標(biāo)準(zhǔn)。BS7799共分兩部分，第一部分是信息安全管理實(shí)踐指南，第二部分是信息安全管理體系規(guī)范。換言之，第二部分告訴我們應(yīng)該做什么，第一部分則提供了一些如何做或者好做法的指導(dǎo)。

(2)網(wǎng)絡(luò)行為規(guī)范化管理

網(wǎng)絡(luò)行為的根本立足點(diǎn)，不是對(duì)設(shè)備的保護(hù)，也不是對(duì)數(shù)據(jù)的看守，而是規(guī)范企業(yè)員工網(wǎng)絡(luò)行為，這已經(jīng)上升到了對(duì)人的管理的階段，通過(guò)技術(shù)設(shè)備和規(guī)章制度的結(jié)合來(lái)指導(dǎo)、規(guī)范員工正確使用單位的網(wǎng)絡(luò)資源。

網(wǎng)絡(luò)安全的根本政策，一定要包含內(nèi)部的安全管理規(guī)范。許多企業(yè)花大成本買(mǎi)最好的防火墻，黑客或是熟悉該企業(yè)網(wǎng)絡(luò)環(huán)境的離職員工，還是有辦法繞過(guò)從墻外進(jìn)來(lái)，這是因?yàn)闆](méi)有一套軟件可以在沒(méi)有網(wǎng)絡(luò)安全管理策略之下發(fā)揮作用。防火墻、防毒墻都是提供服務(wù)的工具之一，人，才是網(wǎng)絡(luò)安全最大的關(guān)鍵。CIO必須為網(wǎng)絡(luò)安全建立一套監(jiān)督與使用的管理程序，并且徹底實(shí)行。

(3)安全意識(shí)最重要

面對(duì)不斷襲來(lái)的安全威脅，除了購(gòu)買(mǎi)安全產(chǎn)品以外，我們還應(yīng)該做些什么呢?這里需要指出：“安全意識(shí)最重要”。

安全設(shè)施的建立只是企業(yè)信息安全的第一步，如何在安全體系中有效徹底的貫徹安全制度，以及不斷深化全員安全意識(shí)才是關(guān)鍵所在。光依靠技術(shù)不能完全解決安全問(wèn)題，因?yàn)檫^(guò)了一段時(shí)間，一些先進(jìn)的技術(shù)可能就過(guò)時(shí)了，所以CIO應(yīng)該有安全意識(shí)，重視自己企業(yè)的安全措施。加強(qiáng)安全意識(shí)的培訓(xùn)，首先要集團(tuán)的領(lǐng)導(dǎo)認(rèn)識(shí)到網(wǎng)絡(luò)安全問(wèn)題，另外也要對(duì)技術(shù)人員加強(qiáng)培訓(xùn)，統(tǒng)一認(rèn)識(shí)。

這些安全措施包括，培養(yǎng)員工的安全意識(shí)，養(yǎng)成良好的上網(wǎng)習(xí)慣，比如及時(shí)打好系統(tǒng)補(bǔ)丁、不要瀏覽不良網(wǎng)站、不隨意下載安裝來(lái)歷不明的軟件等等;對(duì)相關(guān)的技術(shù)管理人員進(jìn)行技能培訓(xùn)，對(duì)于重要數(shù)據(jù)一定要做好數(shù)據(jù)備份，否則會(huì)導(dǎo)致災(zāi)難性的后果。

其它確保網(wǎng)絡(luò)安全的有效措施

現(xiàn)在網(wǎng)絡(luò)安全可以說(shuō)是關(guān)系到企業(yè)命運(yùn)的大事，不管愿意不愿意CIO其中的一個(gè)職責(zé)就是要保證網(wǎng)絡(luò)安全。如果公司的信息系統(tǒng)脆弱不堪，CIO必須對(duì)此負(fù)責(zé)。那么，CIO應(yīng)該制定什么措施來(lái)履行這個(gè)職責(zé)呢?

(1)明確崗位職責(zé)，保障網(wǎng)絡(luò)安全

CIO重要責(zé)任之一是保障本公司網(wǎng)絡(luò)的安全、完整與可用性。這項(xiàng)工作不能外包出去，也責(zé)無(wú)旁貸，因此要在崗位職能上明確規(guī)定。CIO要有特許權(quán)，只要檢測(cè)到網(wǎng)絡(luò)安全違反行為，就要收集、分析與調(diào)查事件。例如職責(zé)上明確規(guī)定負(fù)責(zé)安全協(xié)調(diào)，確保影響網(wǎng)絡(luò)安全的職能是集成在業(yè)務(wù)流程過(guò)程中而不是獨(dú)立的任務(wù)。同時(shí)要進(jìn)行評(píng)估網(wǎng)絡(luò)安全受到危及或有受到危及之嫌的每一個(gè)事件，并把網(wǎng)絡(luò)安全的質(zhì)量、健全性和可靠性通知和報(bào)告高層管理人員。此外，CIO還應(yīng)該指導(dǎo)開(kāi)發(fā)人員，確保網(wǎng)絡(luò)安全成為IT系統(tǒng)設(shè)計(jì)不可或缺的一部分。

(2)力爭(zhēng)在網(wǎng)絡(luò)安全投入足夠預(yù)算

CIO要力爭(zhēng)并確保足夠資金投資于IT系統(tǒng)的安全項(xiàng)目。密切關(guān)注公司要為網(wǎng)絡(luò)安全劃撥一定金額的預(yù)算，以承擔(dān)安全成本，例如防病毒軟件、防火墻服務(wù)器、加密軟件、入侵檢測(cè)系統(tǒng)、集中安全管理等成本。公司高層主管有時(shí)會(huì)認(rèn)為CIO對(duì)網(wǎng)絡(luò)安全過(guò)于大驚小怪。但CIO要清醒認(rèn)識(shí)到：“至關(guān)重要的計(jì)算機(jī)設(shè)施出現(xiàn)安全問(wèn)題造成嚴(yán)重?fù)p害的故障只是個(gè)時(shí)間問(wèn)題。對(duì)于網(wǎng)絡(luò)安全，生于憂(yōu)患，死于安樂(lè)的意識(shí)并不是傳說(shuō)中的事情，擔(dān)憂(yōu)有人對(duì)公司的網(wǎng)絡(luò)構(gòu)成危害的心態(tài)，并非總是基于想象中的恐懼。如果你想到有競(jìng)爭(zhēng)對(duì)手希望你公司遭到危害，那么謹(jǐn)小慎微對(duì)生存而言也許絕對(duì)必要。

(3)定期進(jìn)行網(wǎng)絡(luò)安全檢討會(huì)議

在明確了網(wǎng)絡(luò)安全目標(biāo)之后，CIO應(yīng)當(dāng)就網(wǎng)絡(luò)安全問(wèn)題定期地舉行檢討會(huì)議。一旦安全會(huì)議檢查到現(xiàn)有的業(yè)務(wù)運(yùn)作存在網(wǎng)絡(luò)安全問(wèn)題，或評(píng)估以往安全措施的執(zhí)行情況存在問(wèn)題時(shí)，CIO就需要設(shè)立一個(gè)解決網(wǎng)絡(luò)安全的時(shí)間框架。每月進(jìn)行安全討論聽(tīng)上去好像很多，尤其當(dāng)公司各安全團(tuán)隊(duì)是散布在不同的地區(qū)，但是CIO從中所獲得的回報(bào)是在當(dāng)月接下來(lái)的日子中可以確保公司網(wǎng)絡(luò)安全，以確保公司業(yè)務(wù)能處理日常工作。