CIO:让老板像重视安全生产一样对待信息安全
作者:
朱小兵 来源:
CCW 发布时间:2006年05月08日 点击数:
现实物理世界的安全观念,可以而且有必要延伸到虚拟的信息世界。
以防为主
10多年前,笔者从大学毕业,进入北京酒仙桥地区的一家大型国有电子制造企业工作。
刚开始的半年内,工厂针对我们这批新鲜血液们进行了大量的培训,其中很重要的一项内容就是安全生产意识和技能培训。而在这一环节的训练中,师傅们给我们讲了一个血的教训,动力分厂的一名工人因为在氢气站填充气罐时,竟然违反严禁烟火的规定擅自吸烟,结果引发爆炸,他的残骸最远的一块飞到了1公里之外。这个惨剧不仅教我们立刻记住了红黄蓝等不同颜色的管道所输送的气体种类,更在脑海中留下四个精练的大字:以防为主。
以防为主,作为应对安全问题的基本观念,在传统行业的安全工作当中被普遍作为铁律所遵循。事实证明,一旦偏离此基本轨道,必生祸端。当前频发的矿难问题,就是典型例证。
以防为主,是一种积极发防御思路,即主动防御,防患于未然。这与当前在信息安全世界提倡的主动防护策略完全一致。只不过,目前所谓的主动防护策略,更多是从纯技术角度提出的,而且还是由信息安全解决方案供应商鼓吹,用户处于被动接受的角色。
令人担忧的是,不少用户对于信息安全问题的熟视无睹。EMC公司产品经理罗建不久前在一次公开演讲中说:“我在20多年的IT从业经验中,跟用户接触很多,但是真把信息安全当作一件大事来抓的,还真是不多。即便是考虑了安全,以前也主要是考虑备份、容灾、防火墙等,都主要是从技术角度考虑,真正从管理的角度考虑的较少。”这是罗建先生个人感触,虽然这并不表明所有用户都不重视信息安全的建设与防护,但是面对现状,这种悲观的论调与盲目的乐观更为及时。
何以用户会对信息安全麻木不仁?一则因为我们总体仍处于信息化的初级阶段,用户的注意力更多集中于IT系统的建设和应用;二则即便有些用户预见到信息安全的威胁,但在成本以及侥幸心理等因素作用下,将安全防范工作暂时搁置起来。
其实,信息安全问题已经给许多CIO的巨大压力,尤其是企业的业务越来越依赖于IT系统的时候。摆在这些CIO面前的重要挑战就是,如何说服老板乃至企业上下形成诸如现实物理世界的安全观念,像重视安全生产一样重视信息系统的安全。
今天,已经没有任何组织或个人敢于担保绝对的信息安全。我们必须承认,安全威胁自我们选择进入信息社会的那天起就已存在,不可逆转。我们更必须承认,应对信息安全威胁将是一场没有终点的持久战。因此,我们必须像防火防盗那样时刻提醒自己:安全第一,以防为主。
