一、概念討論

信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。信息安全主要包括以下五方面的內(nèi)容，即保證信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。綜合學(xué)界對(duì)信息安全管理的各種觀點(diǎn)，本文將信息安全管理界定為：國(guó)家、組織或個(gè)體為了實(shí)現(xiàn)信息安全目標(biāo)，運(yùn)用一定的手段或技術(shù)體系，對(duì)涉及信息安全的非技術(shù)因素進(jìn)行系統(tǒng)管理的活動(dòng)。可以看出，信息安全技術(shù)或信息安全管理單一作用，都不能等同于信息安全。信息安全管理只是信息安全的一個(gè)方面，是實(shí)現(xiàn)與保證信息安全的關(guān)鍵活動(dòng)。信息安全技術(shù)也是信息安全的一個(gè)方面，是實(shí)現(xiàn)與保證信息安全的技術(shù)支撐。因此保障信息安全是由信息安全技術(shù)與信息安全管理兩者共同作用來(lái)實(shí)現(xiàn)的。廣義的講，信息安全技術(shù)也是信息安全管理的組成部分，但本文僅討論非技術(shù)因素的信息安全管理，而非技術(shù)因素主要是人的因素引發(fā)的信息安全問(wèn)題。

二、信息安全管理現(xiàn)狀

當(dāng)前在信息安全領(lǐng)域，許多觀點(diǎn)將信息安全等同于信息安全技術(shù)，而信息安全管理則被隱藏了。事實(shí)上，信息安全管理與信息安全技術(shù)都是信息安全的組成部分，是實(shí)現(xiàn)與保障信息安全的關(guān)鍵活動(dòng)和技術(shù)支撐。因此，保障信息安全，不能僅依靠信息安全技術(shù)一條腿走路，而要信息安全管理與信息安全技術(shù)共同發(fā)展，并由信息安全管理起引領(lǐng)規(guī)劃作用。目前信息安全方面的主要問(wèn)題是——

一是過(guò)于偏重外部。長(zhǎng)期以來(lái)人們對(duì)信息安全不論從認(rèn)識(shí)還是在執(zhí)行上都偏重于外部攻擊防范，從早期的國(guó)際信息安全年會(huì)到中國(guó)信息安全技術(shù)大會(huì)的各類介紹，再到媒體渲染以及廣告效應(yīng)，由于理論與認(rèn)識(shí)的原因，由于市場(chǎng)賣點(diǎn)與企業(yè)自身經(jīng)濟(jì)利益等原因，都將眼球和注意力吸引到了信息安全技術(shù)攻防戰(zhàn)上，對(duì)外來(lái)威脅進(jìn)行了夸大，從而使信息用戶對(duì)信息安全的焦點(diǎn)集聚在外來(lái)威脅的防護(hù)上?？v觀信息發(fā)展歷程，在信息應(yīng)用的實(shí)際操作上，早期建設(shè)的重點(diǎn)也放在了信息加密、數(shù)據(jù)備份、病毒防護(hù)方面，發(fā)展到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測(cè)和身份認(rèn)證等。但事實(shí)上不論早期的“力拓間諜案”、“某保險(xiǎn)公司80萬(wàn)客戶信息泄露案，”還是近期的“棱鏡門”、今年年初的“希拉里郵件門”等一系列信息安全事件的出現(xiàn)，使人們?cè)俅握J(rèn)識(shí)到人的因素與人防、物防、技防、制防的安全管理策略是不可分割的。

　　二是單純重視技術(shù)。由于信息系統(tǒng)的工作是在人的操控下進(jìn)行的，故單獨(dú)的依靠信息安全技術(shù)去解決信息安全問(wèn)題是不全面的。但是現(xiàn)在更多的信息安全產(chǎn)品研發(fā)公司基于市場(chǎng)等原因不斷地推出新的信息安全技術(shù)產(chǎn)品，但是對(duì)最終解決人機(jī)連接不斷裂問(wèn)題上卻少有建樹。而作為非專業(yè)信息安全技術(shù)開發(fā)企業(yè)來(lái)說(shuō)，信