江常青：配置好、管理好，才能用好

　　从最初的反病毒、防火墙、入侵检测（IDS）产品，到现在日益流行的反垃圾邮件、UTM、内容过滤等众多安全产品的出现，中国的IT产业中，很少有哪个领域的产品能够像信息安全这样丰富。但也无形中使用户在选型和使用信息安全产品过程中平添了一些烦恼。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

　　如何选型？如何用好产品？如何看待产品是否被测评认证过？我们特别采访了中国信息安全产品测评认证中心副主<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />任江常青博士。他认为，产品是否经过测评、认证，是用户在选型过程中一个最为基本的保证。经过测评认证的产品能够保证达到一定安全性,满足国际和国家标准的要求。但同样通过测评认证的同类产品，不同公司的具体产品之间还存在差异性。对于有特定安全要求的行业,用户还需要根据自己的行业和系统需要从中选择产品。

　　其次，对于最终用户，特别是网管来说，他的责任是发挥好，使用好产品的作用。其中最为重要的是产品要配置好、管理好。他表示，很多用户使用安全产品只注重最初一次的安全部署，而后就不管它了。而安全的问题是动态变化的，用户系统的安全需求也是变化的，这些产品需要根据这些变化而变化，比如防火墙策略要变化，入侵检测规则要更新等。使用不当也是安全问题产生的一个重要因素。

　　第三，但是一个企业会采购各种的信息安全产品，如果要求最终用户全面掌握各种产品，个个变成信息安全专家，也是有难度的。而且由于现在人才资源的不足和行业工资上涨，除了大组织机构能培养和留住信息安全专业人才外，更多的要靠购买信息安全服务来解决这个问题，以发挥安全产品的效益。

　　信息安全服务除了传统的工程集成外，现在用户需要的更多更迫切是安全运维，安全咨询等。这也是目前企业发展所必需的。目前，已经越来越多的企业开始重视安全服务的重要性。

　　安全服务的资质认证是中国信息安全产品测评认证中心开展的四类业务之一，目前接受这个认证的企业已超过了100家。比2003年时不余10家的数字相比已经有了很大的提升。“这说明用户和企业对安全服务的认识和需求也在开始变化。”

　　日历即将翻过新的一篇，令江博士感到欣慰的是，如果说几年前用户把拥有单个或几个信息安全产品就已经满足的话，2006年这种状况已经得到了显著的改进。“谈到信息安全，大多数企业和机构都会从构架安全保障体系角度开始考虑问题，包括技术、管理、人员、服务。”

　　究其原因，他认为一方面是源于用户对安全有了更为全面的认识，另外一方面，以2003年的两半27号文件为代表的国家相关政策，以及《电子签名法》、《个人信息数据保护法》、《政府信息公开条例》等法律的颁布，也在很大程度上帮助用户提升了安全水平。

　　此外，随着电子商务、行业信息化等进程加快，以业务和应用的安全将成为下一个信息安全关注的重点。

附：江常青个人简介
　　中国信息安全产品测评认证中心副主任。主要研究方向为信息系统安全分析、设计、测试与评估。曾主持研究开发GB/T 20274《信息系统安全保障评估框架》等标准。

标签： 安全 标准 电子商务 防火墙 防火墙策略 企业 问题 信息安全 信息化 行业 选择 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。