安全涉及到人/技术/操作三个方面
无论什么样的安全技术都不可能十全十美,更何况,在安全技术的利用上也不可能尽善尽美。因此,仅仅靠技术手段建立起来的安全体系过于单薄,真正的安全必须是技术与管理并重。
安全管理的首先第一条就是安全管理的组织保障。安全管理的组织机构要保证安全政策的制定和执行,以及对安全问题的应急响应和支援处理。一支强有力的安全应急处理队伍是非常重要的,安全应急处理队伍由技术和管理人员组成。当信息系统受到攻击或出现安全隐患时,安全应急处理队伍能快速反应,在出现真正危机时排除安全隐患,或尽量减少因安全问题带来的损失。
很多安全问题的出现并不一定是技术上的漏洞,更多的是人为的原因。因此,安全规章制度的建立和安全意识的培养是信息化安全的重要组成部分。有了安全规章制度和安全意识的培养机制之后,对规章制度落实情况的检查是必须的。例如,有些企业对系统进行定期的模拟攻击就是一种很好的办法。
