最佳答案從大的方面講，信息安全主要包括：運(yùn)行安全（主要是由網(wǎng)絡(luò)和計(jì)算機(jī)構(gòu)成的平臺(tái)）、交易安全（傳輸過(guò)程中的數(shù)據(jù)安全）、內(nèi)容安全、個(gè)人或單位隱私保護(hù)。幾年前，談?wù)撔畔踩€僅限于政府部門內(nèi)部，而且所涉及的也大多是內(nèi)容安全、防止泄密等。但近幾年，在新經(jīng)濟(jì)的環(huán)境下，所有人的生活已與網(wǎng)絡(luò)形成了非常緊密的聯(lián)系，隨著安全問(wèn)題越來(lái)越引起政府和企業(yè)的關(guān)注，各種安全技術(shù)和產(chǎn)品也不斷涌現(xiàn)出來(lái)。但值得思考的是，為什么在強(qiáng)大的防御技術(shù)的保護(hù)下，信息的安全問(wèn)題反而越來(lái)越多，入侵與反入侵技術(shù)總是在上演“道高一尺，魔高一丈”的活?。吭谥袊?guó)，信息安全應(yīng)用的最大隱患到底在哪里？其癥結(jié)究竟是什么？
管理：信息安全應(yīng)用的最大漏洞
據(jù)統(tǒng)計(jì)，在美國(guó)被中國(guó)黑客攻擊的網(wǎng)站中，政府網(wǎng)站占3％，而在中國(guó)遭到美國(guó)黑客攻擊的網(wǎng)站中，政府網(wǎng)站竟占37％還多。這個(gè)數(shù)字充分說(shuō)明，中國(guó)的政府網(wǎng)站應(yīng)該進(jìn)行的管理沒(méi)有到位。其實(shí)，美國(guó)人所采用的攻擊手段并不高明，其中許多技術(shù)漏洞都是被中國(guó)人最早發(fā)現(xiàn)并公布的，但正是由于在管理上沒(méi)有得到足夠的重視，才讓別人利用簡(jiǎn)單的技術(shù)鉆了空子。

提高安全管理意識(shí)已刻不容緩。中國(guó)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室主任白碩先生在接受記者采訪時(shí)說(shuō)：“目前，中國(guó)的信息安全在技術(shù)上的最大隱患是，操作系統(tǒng)、微電子芯片、路由器等核心技術(shù)都掌握在別人手里，這是一個(gè)極為嚴(yán)重的問(wèn)題。像中國(guó)這樣一個(gè)大國(guó)，沒(méi)有自己的核心技術(shù)，就好像所有的信息系統(tǒng)都建筑在沙灘上一樣，稍有風(fēng)吹草動(dòng)，我們就會(huì)失去平衡。盡管不久前中國(guó)國(guó)防科技大學(xué)推出了自主研制的核心路由器，中科院軟件所也有了相應(yīng)的安全操作系統(tǒng)軟件推出，但這些剛剛起步的技術(shù)離可用還有一段距離，況且面對(duì)著如此具大的應(yīng)用市場(chǎng)，這一點(diǎn)突破仍然是杯水車薪?！?
那么，如何解決當(dāng)前的問(wèn)題?在只能采用國(guó)外產(chǎn)品的情況下如何保證信息的安全？怎樣在現(xiàn)有條件下，對(duì)一些疑點(diǎn)進(jìn)行修補(bǔ)呢？白碩先生認(rèn)為，一個(gè)最直接、最有效的方法就是拉緊管理這根線，用嚴(yán)密的制度彌補(bǔ)技術(shù)上的不足。近幾年，我國(guó)的政府機(jī)構(gòu)為了加強(qiáng)對(duì)信息安全的保障，實(shí)行了內(nèi)網(wǎng)與外網(wǎng)分離的策略，但這種隔離從嚴(yán)格意義上講只能防外而不能防內(nèi)。事實(shí)上，不管多么先進(jìn)的安全技術(shù)，都抵擋不住從內(nèi)部攻破，先進(jìn)技術(shù)解決不了人的問(wèn)題，“家賊難防”是盡人皆懂的道理。北京郵電大學(xué)信息安全中心楊義先生曾說(shuō)過(guò)，信息安全在管理方面還存在幾個(gè)問(wèn)題：一是CA(數(shù)字證書認(rèn)證中心)的建設(shè)，目前全國(guó)共建立了不下20個(gè)CA認(rèn)證機(jī)構(gòu)，其實(shí)有一個(gè)就足夠了；二是目前的安全問(wèn)題，包括病毒、網(wǎng)絡(luò)安全、加密等，也分屬很多部門管理，各有各的標(biāo)準(zhǔn)。建議設(shè)立一個(gè)統(tǒng)一的部門，把認(rèn)證及所有安全問(wèn)題統(tǒng)一管起來(lái)，以保證擁有一個(gè)標(biāo)準(zhǔn)的控制手段。

投資失衡：信息安全應(yīng)用的隱患之一
信息安全在技術(shù)與管理上的比重失調(diào)還明顯地體現(xiàn)在投入上。目前在中國(guó)，大多數(shù)企、事業(yè)單位在建立信息系統(tǒng)時(shí)，安全建設(shè)方面的投入均不足整個(gè)系統(tǒng)的5％，而國(guó)外在這方面的投入一般都在10％～15％。如果對(duì)這5％的投入進(jìn)行具體分析，其中用于購(gòu)買硬件設(shè)備的投資已基本接近發(fā)達(dá)國(guó)家的水平，而購(gòu)買服務(wù)和管理的投資幾乎為零，因而從信息系統(tǒng)建設(shè)一開始就已經(jīng)給安全帶來(lái)了極大的隱患。
那么，企、事業(yè)單位在IT投資時(shí)，安全管理方面的資金應(yīng)該投到哪些方面呢？在一個(gè)信息化系統(tǒng)中，屬于管理的問(wèn)題有很多，在某些情況下，與信息化配套的管理機(jī)制不可能自發(fā)地產(chǎn)生，這時(shí)安全管理就必須進(jìn)行購(gòu)買，也就是花錢買管理。企業(yè)或事業(yè)單位應(yīng)該與一些專業(yè)從事安全管理的公司進(jìn)行合作，共同建立起一套管理體系，包括質(zhì)量管理體系、文檔管理體系、組織體系、監(jiān)督檢查機(jī)制等，要根據(jù)各單位具體的安全需求配置安全級(jí)別。單位中需要管理的事務(wù)很多，如果管理機(jī)制得不到很好的慣徹，安全是無(wú)從談起的。

另一個(gè)資金投向應(yīng)該是安全服務(wù)。信息技術(shù)在不斷地發(fā)展，安全問(wèn)題也將隨著網(wǎng)絡(luò)應(yīng)用的不斷深化而變化出更多的新內(nèi)容，安全漏洞防不勝防。然而，目前對(duì)于中國(guó)的許多企、事業(yè)單位來(lái)說(shuō)，最為困難的還是缺少能夠全面承擔(dān)起各種安全系統(tǒng)管理重任的人才，在這種情況下，唯一的變通方法就是花錢買服務(wù)。但是，目前在中國(guó)，各單位在安全服務(wù)方面的投入也基本為零。
技術(shù)分布失衡：信息安全應(yīng)用的隱患之二
白碩先生認(rèn)為，目前在國(guó)內(nèi)市場(chǎng)上，保障網(wǎng)絡(luò)安全的產(chǎn)品不是太少，而是太多了。但從分布上看，少數(shù)類型的產(chǎn)品又過(guò)于集中。例如防火墻，現(xiàn)在許多廠商都在做防火墻，已經(jīng)造成一種水平不高的重復(fù)，從宏觀上看這并不是一種理想的技術(shù)格局。網(wǎng)絡(luò)安全保障具有非常多的環(huán)節(jié)，包括預(yù)防（漏洞掃描、風(fēng)險(xiǎn)評(píng)估等）、實(shí)時(shí)檢測(cè)、審計(jì)、記錄取證、災(zāi)難恢復(fù)以及對(duì)于攻擊的響應(yīng)手段等，但目前這些安全環(huán)節(jié)在產(chǎn)品開發(fā)上并沒(méi)有得到合理的分布，如安全中的必要環(huán)節(jié)審計(jì)、取證、備份和災(zāi)難恢復(fù)等產(chǎn)品數(shù)量偏少，而且沒(méi)有過(guò)硬的技術(shù)。
作為政府的信息安全管理部門，信息產(chǎn)業(yè)部計(jì)算機(jī)網(wǎng)絡(luò)與信息安全中心目前非常關(guān)注安全產(chǎn)品和服務(wù)的標(biāo)準(zhǔn)及立法等問(wèn)題(即對(duì)于安全產(chǎn)品及服務(wù)的合格認(rèn)證)。不久他們將召開一次關(guān)于網(wǎng)絡(luò)安全服務(wù)試點(diǎn)選擇的會(huì)議，并將出臺(tái)一系列具有長(zhǎng)遠(yuǎn)規(guī)劃的安全法規(guī)和政策，力圖讓人們看到國(guó)家信息安全發(fā)展的脈絡(luò)。而對(duì)于標(biāo)準(zhǔn)，他們希望改變現(xiàn)有的工作模式。過(guò)去的方法是，由國(guó)家下達(dá)一個(gè)標(biāo)準(zhǔn)化研究任務(wù)，一些專門從事標(biāo)準(zhǔn)研究的機(jī)構(gòu)就開始制定工作，現(xiàn)在看來(lái)這種方式已經(jīng)不適應(yīng)時(shí)代的發(fā)展，因?yàn)閷Ｂ氀芯繖C(jī)構(gòu)距離研制安全產(chǎn)品的第一線還有相當(dāng)大的距離，因此對(duì)于一些策略的理解還存在很大差距。信息產(chǎn)業(yè)部希望，將這種研究方式轉(zhuǎn)化成以企業(yè)為主的標(biāo)準(zhǔn)研究方式，把一些真正有實(shí)力的大型企業(yè)聯(lián)合起來(lái)，共同承擔(dān)標(biāo)準(zhǔn)的制定工作。
追求安全不應(yīng)該制約發(fā)展
安全問(wèn)題是現(xiàn)代經(jīng)濟(jì)發(fā)展的最大障礙，但是不是因?yàn)榘踩珕?wèn)題得不到很好的解決，國(guó)家和企業(yè)就必須放慢發(fā)展的步伐呢？在討論安全與發(fā)展的關(guān)系之前，我們需要搞清楚的是，什么樣的系統(tǒng)是安全的系統(tǒng)。一個(gè)商業(yè)系統(tǒng)，永遠(yuǎn)也做不到政府和軍方那樣的安全程度。招商銀行總行電腦部周天虹說(shuō)：“在商業(yè)系統(tǒng)內(nèi)部，安全是一個(gè)相對(duì)的概念，因?yàn)槲覀儫o(wú)法追求絕對(duì)安全。什么叫相對(duì)安全？首先，安全問(wèn)題所帶來(lái)的損失是商業(yè)企業(yè)能夠承受的。例如信用卡業(yè)務(wù)，它的風(fēng)險(xiǎn)很大，但是銀行仍然在大規(guī)模地開展這項(xiàng)業(yè)務(wù)，這是由于信用卡風(fēng)險(xiǎn)大同時(shí)利潤(rùn)也很大，招商銀行大約30％的利潤(rùn)都來(lái)自信用卡；第二，一定要確保不給客戶造成損失，這是在任何銀行系統(tǒng)中都必須遵循的一個(gè)硬指標(biāo)。一旦出現(xiàn)問(wèn)題，只要有證據(jù)顯示責(zé)任不在客戶，銀行必須承擔(dān)損失。有了這兩條原則，銀行就可以求發(fā)展?！?
信息安全是一個(gè)綜合性的問(wèn)題，從政府部門的角度看，安全與發(fā)展也是一個(gè)辯證的關(guān)系。政府機(jī)構(gòu)對(duì)于安全的需求也是分等級(jí)、分層次的，只要不突破安全底線，還是要邊發(fā)展邊完善。目前保障安全的技術(shù)已經(jīng)很多了，其中用戶的身份識(shí)別就是一個(gè)極為重要的方面，此外還有服務(wù)器端的管理，如安裝監(jiān)測(cè)軟件、防火墻等等。但最關(guān)鍵的一點(diǎn)還是如何使用這些技術(shù)，使系統(tǒng)既安全又好用。總的來(lái)說(shuō)，一個(gè)系統(tǒng)是不是安全，絕不是單純的技術(shù)問(wèn)題，對(duì)于業(yè)務(wù)的管理已影響到了信息安全應(yīng)用的方方面面，如事后監(jiān)督、實(shí)時(shí)監(jiān)控等。如果從管理和技術(shù)兩方面都能夠做到萬(wàn)無(wú)一失，我們就可以得到一個(gè)相對(duì)安全的環(huán)境。