二、当前系统应用过程中暴露的问题

　　在赛迪传媒组织的一次行业论坛会议上，以Chinasec为首的几家内网安全厂商纷纷对当前内网安全系统部署过程中暴露的问题给予了总结。专家们普遍认为，当前内网安全系统应用过程中存在的问题与ERP系统推广前期遇到的问题及其相似。用户期望值高，重视度不够，项目结案完整的少。更大的问题在于ERP是一项高度业务相关系统，其市场价值始终得到认可，而信息安全系统作为业务辅助系统，其市场价值始终处于附属的地位。概括而言，主要的问题集中体现在以下多个方面：

　　对部署内网安全系统在组织内的定位模糊。大量的客户仅仅将其作为一个小型的软件工具对待，认为其不过是一个监控内部网络和约束员工的网络管理工具。基于此认识，在系统的统筹管理和投入等方面普遍缺乏前瞻性考虑。

　　缺乏系统的规划。正因为不重视，兼以大量的企业信息中心人员的业务能力有限，缺乏大型信息化项目的组织管理能力，同时又没有足够的资金外聘专业的机构参与内部信息安全体系的规划，因此系统的立项、采购和后续的部署等管理环节都非常缺乏。常见的现象是拍脑袋决策，拍胸脯承诺，最终拍屁股走人。

　　缺乏管理层面的结合。重点体现在没有关键的管理人员参与，同时没有从管理的高度审视系统对业务的影响。以Chinasec实施的大量案例分析，除了少量上市公司和行业标杆企业外，大量客户仅仅是安排信息中心技术人员负责选型、测试、采购并部署。以这些人员在机构的驱动能力，必然远不能满足内网安全系统与内部业务管理相结合的需要，导致项目在推进过程中阻力重重。

　　没有实行风险分类，试图一蹴而就。一些因为安全事件驱动，仓促决策的企业在此方面表现尤为明显。因为缺乏对内网安全的充分了解和组织管理目标的认知，很多客户长期对此表现冷漠，一旦出现安全事件后，则又表现得异常的急切，试图在一朝一夕之间建成罗马。这种草率的做法导致的后果非常严重。从业内多家内网安全企业反馈的情况分析，基本上每家企业都会遇到不少类似的案例。

　　需求矛盾，平衡点的把握缺乏共识。安全与可用性之间始终是一对博弈的矛盾体。追求安全必然要牺牲一定的可行性。从专业角度分析，安全赋予企业和个体的就是一种约束，只不过这种约束的目的是正面的、积极的。正因为如此，企业在构建内部安全体系的过程中，需要有清醒的认识。在此前提下，安全管理团队能做的工作是如何与业务单位沟通，探讨建立一个合适的安全平衡点，以最大程度兼顾安全与可用的问题，尽可能使安全成为业务的促进者而非阻碍者。