信息安全投入不可低于5％

2001-12-12　来源：光明日报　本报记者 钟晓军 我有话说

近日，中国人民银行发布了首批通过国家信息安全测评认证中心测评、经人民银行认定的防火墙推荐产品名单。一种名叫LinkTru s t Cyb e rW a ll的防火墙名列其中。它的研发单位是安氏互联网安全系统（中国）有限公司。

随着中国入世和中国信息化工作的深化，更多的机关企业将面临着如何解决信息安全的问题。怎样初步建立起一个信息安全系统呢？记者为此采访了安氏公司CTO潘柱廷。

核心是“利益”

中国的信息安全工作做了多年，可是一些企业的信息系统仍是“纸糊的老虎”。潘柱廷认为：信息安全的核心问题仍然是一个“资产问题”。正如在现实生活中一样，资产聚集的地方就需要进行安全保护工作。中国企业整体的信息化程度偏低，在网络上的业务量不是很大，企业自然不会拿出钱来保护没有什么价值的东西。今年的电脑病毒已呈现出“病毒和黑客手法相结合”、“网络成为主要传播渠道”、“利用电子邮件传播”等几个特点，这是以IT应用更加广泛为前提的。而中国的企业会随着信息化程度的提高，逐步加强对信息安全的重视。

三分技术七分管理

怎样建立起信息安全系统呢？潘柱廷认为“三分靠技术，七分靠管理”。在国际上，对信息安全工作制度的管理有一套通行的尺度——ISO（国际标准化组织）17799。这个标准来源于BSI（英国标准化组织）7799，因为其管理的科学性，被ISO纳入为国际标准。I－SO17799将信息安全的管理分为十大类，其中只有“操作、通讯”、“访问控制”、“开发维护”可以通过技术的手段来实现。而其余包括“策略”、“组织”、“资产分布”、“个人安全”、“环境”、“业务连续性”、“符合（法律、政策）性”7个类别都是需要通过企业管理来实现。潘柱廷解释说：这与“三分技术、七分管理”的说法只是巧合。不过，它们都强调了管理对于信息安全工作的重要。

对于怎样建立技术组织，潘柱廷的建议是：从标准起步，吸取经验和教训；从面对的急迫问题入手；从最容易的做起；充分利用技术团队包括你的设备供应商。

不可低于5％的投入

信息安全系统的建立需要一步步来做，不能急于求成。可对于安全问题比较紧急的企业，企业也有一些“速成”的方法：进行自身安全评估，建立一个IT组织，聘请IT专家，举行定期交流会等等。不过，潘柱廷强调这些方法只是短期行为，只可应对一时，不能应用一世。

信息安全工作投入多少是企业关注的问题。国际的一般作法是信息安全的投入要占到企业信息建设投入的15％。潘柱廷说：“这个数字对于国内企业还很难达到，但若要保证信息安全，这个数字最低不可低于5％。”