從大的方面講，信息安全主要包括：運行安全（主要是由網(wǎng)絡(luò)和計算機構(gòu)成的平臺）、交易安全（傳輸過程中的數(shù)據(jù)安全）、內(nèi)容安全、個人或單位隱私保護。

幾年前，談?wù)撔畔踩€僅限于政府部門內(nèi)部，而且所涉及的也大多是內(nèi)容安全、防止泄密等。但近幾年，在新經(jīng)濟的環(huán)境下，所有人的生活已與網(wǎng)絡(luò)形成了非常緊密的聯(lián)系，隨著安全問題越來越引起政府和企業(yè)的關(guān)注，各種安全技術(shù)和產(chǎn)品也不斷涌現(xiàn)出來。但值得思考的是，為什么在強大的防御技術(shù)的保護下，信息的安全問題反而越來越多，入侵與反入侵技術(shù)總是在上演“道高一尺，魔高一丈”的活?。吭谥袊?，信息安全應(yīng)用的最大隱患到底在哪里？其癥結(jié)究竟是什么？ 管理：信息安全應(yīng)用的最大漏洞 據(jù)統(tǒng)計，在美國被中國黑客攻擊的網(wǎng)站中，政府網(wǎng)站占3％，而在中國遭到美國黑客攻擊的網(wǎng)站中，政府網(wǎng)站竟占37％還多。這個數(shù)字充分說明，中國的政府網(wǎng)站應(yīng)該進行的管理沒有到位。其實，美國人所采用的攻擊手段并不高明，其中許多技術(shù)漏洞都是被中國人最早發(fā)現(xiàn)并公布的，但正是由于在管理上沒有得到足夠的重視，才讓別人利用簡單的技術(shù)鉆了空子。 提高安全管理意識已刻不容緩。中國國家計算機網(wǎng)絡(luò)與信息安全實驗室主任白碩先生在接受記者采訪時說：“目前，中國的信息安全在技術(shù)上的最大隱患是，操作系統(tǒng)、微電子芯片、路由器等核心技術(shù)都掌握在別人手里，這是一個極為嚴重的問題。像中國這樣一個大國，沒有自己的核心技術(shù)，就好像所有的信息系統(tǒng)都建筑在沙灘上一樣，稍有風(fēng)吹草動，我們就會失去平衡。盡管不久前中國國防科技大學(xué)推出了自主研制的核心路由器，中科院軟件所也有了相應(yīng)的安全操作系統(tǒng)軟件推出，但這些剛剛起步的技術(shù)離可用還有一段距離，況且面對著如此具大的應(yīng)用市場，這一點突破仍然是杯水車薪?！?那么，如何解決當前的問題 在只能采用國外產(chǎn)品的情況下如何保證信息的安全？怎樣在現(xiàn)有條件下，對一些疑點進行修補呢？白碩先生認為，一個最直接、最有效的方法就是拉緊管理這根線，用嚴密的制度彌補技術(shù)上的不足。近幾年，我國的政府機構(gòu)為了加強對信息安全的保障，實行了內(nèi)網(wǎng)與外網(wǎng)分離的策略，但這種隔離從嚴格意義上講只能防外而不能防內(nèi)。事實上，不管多么先進的安全技術(shù)，都抵擋不住從內(nèi)部攻破，先進技術(shù)解決不了人的問題，“家賊難防”是盡人皆懂的道理。北京郵電大學(xué)信息安全中心楊義先生曾說過，信息安全在管理方面還存在幾個問題：一是CA(數(shù)字證書認證中心)的建設(shè)，目前全國共建立了不下20個CA認證機構(gòu)，其實有一個就足夠了；二是目前的安全問題，包括病毒、網(wǎng)絡(luò)安全、加密等，也分屬很多部門管理，各有各的標準。建議設(shè)立一個統(tǒng)一的部門，把認證及所有安全問題統(tǒng)一管起來，以保證擁有一個標準的控制手段。 投資失衡：信息安全應(yīng)用的隱患之一 信息安全在技術(shù)與管理上的比重失調(diào)還明顯地體現(xiàn)在投入上。目前在中國，大多數(shù)企、事業(yè)單位在建立信息系統(tǒng)時，安全建設(shè)方面的投入均不足整個系統(tǒng)的5％，而國外在這方面的投入一般都在10％～15％。如果對這5％的投入進行具體分析，其中用于購買硬件設(shè)備的投資已基本接近發(fā)達國家的水平，而購買服務(wù)和管理的投資幾乎為零，因而從信息系統(tǒng)建設(shè)一開始就已經(jīng)給安全帶來了極大的隱患。 那么，企、事業(yè)單位在IT投資時，安全管理方面的資金應(yīng)該投到哪些方面呢？在一個信息化系統(tǒng)中，屬于管理的問題有很多，在某些情況下，與信息化配套的管理機制不可能自發(fā)地產(chǎn)生，這時安全管理就必須進行購買，也就是花錢買管理。企業(yè)或事業(yè)單位應(yīng)該與一些專業(yè)從事安全管理的公司進行合作，共同建立起一套管理體系，包括質(zhì)量管理體系、文檔管理體系、組織體系、監(jiān)督檢查機制等，要根據(jù)各單位具體的安全需求配置安全級別。單位中需要管理的事務(wù)很多，如果管理機制得不到很好的慣徹，安全是無從談起的。 另一個資金投向應(yīng)該是安全服務(wù)。信息技術(shù)在不斷地發(fā)展，安全問題也將隨著網(wǎng)絡(luò)應(yīng)用的不斷深化而變化出更多的新內(nèi)容，安全漏洞防不勝防。然而，目前對于中國的許多企、事業(yè)單位來說，最為困難的還是缺少能夠全面承擔起各種安全系統(tǒng)管理重任的人才，在這種情況下，唯一的變通方法就是花錢買服務(wù)。但是，目前在中國，各單位在安全服務(wù)方面的投入也基本為零。 技術(shù)分布失衡：信息安全應(yīng)用的隱患之二 白碩先生認為，目前在國內(nèi)市場上，保障網(wǎng)絡(luò)安全的產(chǎn)品不是太少，而是太多了。但從分布上看，少數(shù)類型的產(chǎn)品又過于集中。例如防火墻，現(xiàn)在許多廠商都在做防火墻，已經(jīng)造成一種水平不高的重復(fù)，從宏觀上看這并不是一種理想的技術(shù)格局。網(wǎng)絡(luò)安全保障具有非常多的環(huán)節(jié)，包括預(yù)防（漏洞掃描、風(fēng)險評估等）、實時檢測、審計、記錄取證、災(zāi)難恢復(fù)以及對于攻擊的響應(yīng)手段等，但目前這些安全環(huán)節(jié)在產(chǎn)品開發(fā)上并沒有得到合理的分布，如安全中的必要環(huán)節(jié)審計、取證、備份和災(zāi)難恢復(fù)等產(chǎn)品數(shù)量偏少，而且沒有過硬的技術(shù)。 作為政府的信息安全管理部門，信息產(chǎn)業(yè)部計算機網(wǎng)絡(luò)與信息安全中心目前非常關(guān)注安全產(chǎn)品和服務(wù)的標準及立法等問題(即對于安全產(chǎn)品及服務(wù)的合格認證)。不久他們將召開一次關(guān)于網(wǎng)絡(luò)安全服務(wù)試點選擇的會議，并將出臺一系列具有長遠規(guī)劃的安全法規(guī)和政策，力圖讓人們看到國家信息安全發(fā)展的脈絡(luò)。而對于標準，他們希望改變現(xiàn)有的工作模式。過去的方法是，由國家下達一個標準化研究任務(wù)，一些專門從事標準研究的機構(gòu)就開始制定工作，現(xiàn)在看來這種方式已經(jīng)不適應(yīng)時代的發(fā)展，因為專職研究機構(gòu)距離研制安全產(chǎn)品的第一線還有相當大的距離，因此對于一些策略的理解還存在很大差距。信息產(chǎn)業(yè)部希望，將這種研究方式轉(zhuǎn)化成以企業(yè)為主的標準研究方式，把一些真正有實力的大型企業(yè)聯(lián)合起來，共同承擔標準的制定工作。 追求安全不應(yīng)該制約發(fā)展 安全問題是現(xiàn)代經(jīng)濟發(fā)展的最大障礙，但是不是因為安全問題得不到很好的解決，國家和企業(yè)就必須放慢發(fā)展的步伐呢？在討論安全與發(fā)展的關(guān)系之前，我們需要搞清楚的是，什么樣的系統(tǒng)是安全的系統(tǒng)。一個商業(yè)系統(tǒng)，永遠也做不到政府和軍方那樣的安全程度。招商銀行總行電腦部周天虹說：“在商業(yè)系統(tǒng)內(nèi)部，安全是一個相對的概念，因為我們無法追求絕對安全。什么叫相對安全？首先，安全問題所帶來的損失是商業(yè)企業(yè)能夠承受的。例如信用卡業(yè)務(wù)，它的風(fēng)險很大，但是銀行仍然在大規(guī)模地開展這項業(yè)務(wù)，這是由于信用卡風(fēng)險大同時利潤也很大，招商銀行大約30％的利潤都來自信用卡；第二，一定要確保不給客戶造成損失，這是在任何銀行系統(tǒng)中都必須遵循的一個硬指標。一旦出現(xiàn)問題，只要有證據(jù)顯示責(zé)任不在客戶，銀行必須承擔損失。有了這兩條原則，銀行就可以求發(fā)展。” 信息安全是一個綜合性的問題，從政府部門的角度看，安全與發(fā)展也是一個辯證的關(guān)系。政府機構(gòu)對于安全的需求也是分等級、分層次的，只要不突破安全底線，還是要邊發(fā)展邊完善。目前保障安全的技術(shù)已經(jīng)很多了，其中用戶的身份識別就是一個極為重要的方面，此外還有服務(wù)器端的管理，如安裝監(jiān)測軟件、防火墻等等。但最關(guān)鍵的一點還是如何使用這些技術(shù)，使系統(tǒng)既安全又好用?？偟膩碚f，一個系統(tǒng)是不是安全，絕不是單純的技術(shù)問題，對于業(yè)務(wù)的管理已影響到了信息安全應(yīng)用的方方面面，如事后監(jiān)督、實時監(jiān)控等。如果從管理和技術(shù)兩方面都能夠做到萬無一失，我們就可以得到一個相對安全的環(huán)境。