走出信息安全的“死循环”

摘要

从数据安全阶段(强调保密通信),到网络信息安全时代(强调网络环境),再到目前的信息保障时代(强调不能被动保护,需要保护、检测、反应、恢复四个环节),可喜的是,无论政府或企业,对信息安全的认识正随着各种突发事件的增多而逐渐走向一个新的认知层面。但当安全和核心业务结合越来越紧密的时候,我们对信息安全厂商、技术和设备,包括应急预案的过度依赖,却导致信息安全建设陷入了另一种"死循环":谁都知道安全重要,谁都认为应急该做,而且东西也是越堆越多,但彼此始终未能形成一个动态连贯的链条,而是只能围绕业务系统的信息化建设左右逡巡。而要想走出这个"怪圈",显然需要将各个环节关联起来,讲求协作,讲求全生命周期的安全,讲求责任分明……