信息安全规划指导2004年 08月11日信息安全是一个广泛的主题,它涉及到许多不同的信息领域(物理设备、网络、系统平台、应用系统等),每个领域都有其相关的风险、威胁及解决方法。当我们讨论信息安全的时候,经常只关心黑客和操作系统的漏洞。尽管它们是安全的重要部分,但其只是安全广义概念上的两个组件而已。对于通过网络连接起来的企业组织来说风险与威胁是没有终止的。信息安全是一个动态发展的过程,不仅仅是纯粹的技术,仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息安全建设是一项复杂的系统工程,要从观念上进行转变,规划、管理、技术等多种因素相结合使之成为一个可持续的动态发展的过程。 绝对的信息安全是不存在的,每个网络环境都有一定程度的漏洞和风险。这种程度是可以接受的。信息安全问题的解决只能通过一系列的规划和措施,把风险降低到可被接受的程度,同时采取适当的机制使风险保持在此程度之内。当信息系统发生变化时应当重新规划和实施来适应新的安全需求。信息系统的安全往往取决于系统中最薄弱的环节:人。人是信息安全中最关键的因素,同时也应该清醒的认识到人也是信息
