當(dāng)前很多企業(yè)沒(méi)有養(yǎng)成主動(dòng)維護(hù)系統(tǒng)安全的習(xí)慣，同時(shí)也缺乏安全方面良好的管理機(jī)制。對(duì)于合格的CIO來(lái)說(shuō)，保證網(wǎng)絡(luò)系統(tǒng)安全的第一步，首先要做到重視安全管理，絕對(duì)不能坐等問(wèn)題出現(xiàn)，才撲上去“救火”。

       同樣，網(wǎng)絡(luò)安全當(dāng)然不可能只倚靠CIO和信息化部門(mén)認(rèn)識(shí)上的加強(qiáng)得以解決，相應(yīng)的產(chǎn)品和技術(shù)也必不可少。譬如，防火墻等設(shè)備就如同網(wǎng)絡(luò)上的大閘門(mén)，通過(guò)控制訪問(wèn)網(wǎng)絡(luò)的權(quán)限，允許特許用戶進(jìn)出網(wǎng)絡(luò)。再配合用戶驗(yàn)證、虛擬專用網(wǎng)和入侵檢測(cè)等技術(shù)和相應(yīng)產(chǎn)品，將企業(yè)面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)降到最低。

        這里，我嘗試將CIO對(duì)于網(wǎng)絡(luò)安全管理的原則歸納為“三大紀(jì)律”。

        (1)加強(qiáng)體系

        企業(yè)信息化建設(shè)的展開(kāi)，企業(yè)業(yè)務(wù)與IT系統(tǒng)的連接日漸緊密，使得網(wǎng)絡(luò)安全成為諸多企業(yè)的嚴(yán)峻問(wèn)題。安全體系的建立，涉及到管理和技術(shù)兩個(gè)層面，而管理層面的體系建設(shè)是首當(dāng)其沖的。

         雖然新的技術(shù)層出不窮，但是新的威脅和攻擊手段也是不斷出現(xiàn)，單純依靠技術(shù)和產(chǎn)品保障企業(yè)信息安全雖然起到了一定效果，但是復(fù)雜多變的安全威脅和隱患靠產(chǎn)品難以消除。CIO應(yīng)該把網(wǎng)絡(luò)安全提升到管理的高度上實(shí)施，然后落實(shí)到技術(shù)層次上做好保障。

         CIO應(yīng)該認(rèn)識(shí)到，技術(shù)上的建設(shè)和加強(qiáng)只是網(wǎng)絡(luò)安全的一方面，而且單純的實(shí)現(xiàn)技術(shù)不是目的，技術(shù)只是圍繞企業(yè)具體的工作業(yè)務(wù)來(lái)開(kāi)展應(yīng)用。從根本上來(lái)說(shuō)，保障業(yè)務(wù)流程的網(wǎng)絡(luò)安全，從而進(jìn)一步促進(jìn)IT在企業(yè)應(yīng)用層面的拓展，才是企業(yè)和CIO應(yīng)用安全技術(shù)最根本的目的。“三分技術(shù)、七分管理”，這句老話放在這里是再合適不過(guò)了。

         (2)規(guī)范管理

        我們可以這樣說(shuō)，網(wǎng)絡(luò)行為的根本立足點(diǎn)，不是對(duì)設(shè)備的保護(hù)，也不是對(duì)數(shù)據(jù)的看守，而是規(guī)范企業(yè)內(nèi)部員工的網(wǎng)絡(luò)行為，這已經(jīng)上升到了對(duì)人的管理的階段。

        對(duì)于企業(yè)和CIO來(lái)說(shuō)，勢(shì)必應(yīng)該通過(guò)技術(shù)設(shè)備和規(guī)章制度的結(jié)合，來(lái)指導(dǎo)、規(guī)范員工正確使用公司的網(wǎng)絡(luò)資源。

         網(wǎng)絡(luò)安全的根本政策，一定要包含內(nèi)部的安全管理規(guī)范。舉例來(lái)說(shuō)，一些企業(yè)花費(fèi)頗多購(gòu)買(mǎi)了防火墻，但是那些已經(jīng)離職的前員工，還是有可能通過(guò)某些漏洞入侵。

        對(duì)此，CIO必須為網(wǎng)絡(luò)安全建立一套監(jiān)督與使用的管理程序，并且在企業(yè)高層的支持下，全方位、徹底地加以執(zhí)行，任何部門(mén)和個(gè)人都沒(méi)有討價(jià)還價(jià)的余地。

         (3)提高意識(shí)

         光依靠技術(shù)和管理，也不能完全解決安全問(wèn)題，這是因?yàn)檫^(guò)了一段時(shí)間，一些先進(jìn)的技術(shù)可能就過(guò)時(shí)了，或者被不懷好意的人發(fā)現(xiàn)了漏洞，因此CIO不能對(duì)網(wǎng)絡(luò)安全有絲毫的懈怠，而是應(yīng)該始終有高度的安全意識(shí)，重視企業(yè)的安全措施。

        面對(duì)不斷襲來(lái)的安全威脅，除了購(gòu)買(mǎi)安全產(chǎn)品、制訂相應(yīng)的網(wǎng)絡(luò)管理規(guī)范以外，企業(yè)高層和CIO都應(yīng)該向員工灌輸這樣的理念：“安全意識(shí)至高無(wú)上!”沒(méi)有安全，企業(yè)運(yùn)營(yíng)在網(wǎng)絡(luò)上的業(yè)務(wù)就只能墮入“皮之不存，毛將焉附”的悲慘境地。

        安全設(shè)施的建立只是企業(yè)信息安全的第一步，如何在安全體系中有效徹底的貫徹安全制度，以及不斷深化全員安全意識(shí)才是關(guān)鍵所在。對(duì)于公司的全體員工，要讓他們意識(shí)到，很多行為會(huì)導(dǎo)致嚴(yán)重的安全問(wèn)題，包括：忽視系統(tǒng)補(bǔ)丁、瀏覽不良網(wǎng)站、隨意下載和安裝來(lái)歷不明的軟件等。防微方能杜漸，網(wǎng)絡(luò)安全管理就是一點(diǎn)一滴做起來(lái)的。