浅谈自己对信息安全理解

一、什么是信息安全

为数据处理系统建立和采用的技术、管理上的安全保护，为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。

二、信息安全是管理重要还是技术重要

信息安全俗话说7分管理3分技术。就目前很多企业来说是这样普遍的现象。有时候很多企业
更多是关注一个管理层面的东西。
对我来说：二者没有重要与不重要的，也没有绝对重要的一说。
引用邓小平爷爷的一句话不管黑猫还是白猫能够抓到老鼠的就是好猫。
二者都很重，在不同场景下应该要考虑适应当前最好的解决方案，是管理手段还是技术手段
二者关系相辅相成。
管理负责制度制定，方针策略，对整个大局的把控，确立实施技术手段，少走弯路，减少成本
技术负责落实制度，通过技术手段，推进制度的执行。
空有管理手段而不用技术手段落到实处,空中楼阁，只是图喊口号
空有技术而没有管理手段，容易走弯路，而无法解决实际问题，浪费时间浪费财力。

三、怎样做安全呢

做信息安全要明确自己的目标，不要抛开实际业务情况，忽略自己企业所处行业，不要为了安全而去做安全。切记几个误区：

1、买安全设备就是在等于做安全。

如果安全设备没有一个很好规范管理制度，安全设备很容易成为一个安全的隐患，未起到该有的作用。

有种屠龙少年终成恶龙的闹剧。

2、不考虑成本，做安全。

在做安全一定要考虑成本，和自身企业所处行业的情况，

切勿为了芝麻丢了西瓜。

3、忽略人的因素。

在保证信息安全，一定不要忽略人。即使安全的架构，最好的安全设备，也不能忽略人的因素。往往信息安全系统中，最薄弱的是人的因素。

人员信息安全培训是不可或缺的部分。

4、把信息安全归为某个人或者某个团队

信息安全不能单纯理解为一个人或者一个团队的事情。每部门都是信息安全重要的组成部分，每个人也都是组成部分。想要做好信息安全，上到公司管理层的支持，下到每个员工遵守信息安全的规章制度。

不能把信息安全做小了。

5、技术上只注重攻击手段

未知攻焉知防。在技术上我们不仅仅只是去了解如何去攻击，而不去了解我们应该怎样去防御。不要总把防御的问题丢给相关厂商，相关开发团队去解决。了解原理，并且知道如何去防御，如何去降低风险。

要做就做六边形战士。

6、自下而上的安全

切勿自下而上的做安全。尤其是管理，安全都应该自上而下的一个过程。做信息安全一定要获取高层管理支持。没有高层支持的信息安全是无法推进的。自上而下，更能够看整体情况，而非管中窥豹，所作安全只是片面的，并没有解决根本存在的风险点。制度要先行，管理把握方向，技术行政手段落实制度，形成制度落地闭环。

无大局观，无安全。

四、做信息安全会损失方便性

做信息安全会损失方便性吗?

不一定。

• 不是所有信息安全的都是牺牲了方便性。

• 之所以大家觉得会损失方便性。最核心的原因是在没有出现信息安全事件之前，做违反信息安全行为会很省时间很方便，一旦出现信息安全问题，将会耗费大量的时间和金钱来去寻找处理相关信息安全问题。反而成了一件麻烦的事情。比如：不禁用U盘，使用U盘传输文件，很方便，一旦因为U盘中毒，导致计算机中毒。会花很长时间去清理病毒，并对系统进行重装。

• 目前很多的安全产品，自动化处理流程，联动处理，不仅仅不会带来麻烦。同样还会带来方便性。

小插曲

上面只是我初入信息安全行业，结合自己实际和阅读几篇有关信息安全文章后，对信息安全浅薄的理解。如果有错误的地方，欢迎前辈指出。发此文章，只是看看未来某天自己对信息安全有没有新的看法，或者目前想法的片面性。