一、绝对化:零风险期待
信息系统本身有很大的“脆弱性”,信息系统所依赖的硬件、信息系统应用程序的IT技术(软件方面)、信息系统的构建和使用过程中存在很多风险。这种风险客观、长期存在,有有形风险(设备、环境)和无形风险(行为、伦理)。
信息系统安全管理的目标是在一定范围内控制风险,而不是绝对安全。系统服务企业承诺软件系统功能不出错,要求系统服务企业负责系统错误造成的损失和影响是不科学的。事实上,不仅是网络安全,所有类型的安全都是如此。就投资安全而言,世界上不是也有可以获得稳定收益的事业吗?
二、单方面:只关注外部威胁。
在执行信息系统安全管理时,人们的主要努力集中在外部安全威胁上,如网络渗透、黑客攻击等,但往往无视内部安全威胁。但是,IT历史上最重要的信息安全事件大部分是内部人士的错误操作或故意发动造成的。
2017年2月28日,“亚马逊AWS最稳定”的云存储服务S3发生了“超高错误率”的停机。美国许多大型网站(如Snapchat、Twitter等)因基于亚马逊的云存储服务而瘫痪了一半美国互联网。AWS后来运行了一个脚本,试图在程序员调试系统时删除少量服务器,结果正确地说明,输入错了一个字,删除了大量服务器。为了解决这个错误,亚马逊不得不重新启动整个系统,最终发生了震惊全球的Amazon S3停机4小时事件。
三、静态化:期待一次努力,永远休息。
在解决安全问题的过程中,不能一次永远工作。安全产品、安全技术需要随着攻击手段的发展不断升级,需要管理层进行日常操作和维护。否则,安全保护将成为稻草人、马奇诺防线,容易受到不断变化的攻击手段。因此,唯一的长期安全机制是持续的安全改善、不断变化的安全状况和矛盾的持续调整。
四、极端:为了安全牺牲商业目标。
信息系统的目标是支持企业组织的工作,信息系统安全管理的目标是保障信息系统的正常运行,并为企业组织实现业务目标提供信息支持。因此,保障信息系统安全不是目标,而是手段,为了信息系统的安全,不能影响信息系统的正常使用,也不能影响企业目标的实现。
五、技术化:安全是IT技术人员的工作
网络安全是一项系统工程,不仅是IT技术人员,还包括企业组织的所有方面,需要技术和管理。
例如,信息系统在设计过程中结合了多种高级加密算法,进行用户访问控制和权限管理,但如果用户没有开发好安全意识,登录系统后自由离开计算机,或将自己的用户名和密码粘贴到计算机显示器边缘,即使使用高级安全技术,信息系统的安全也无法得到保障。
ICP经营许可证办理电话:400 668 6635
有更多疑问可以添加微信咨询办理客服 点击立即咨询
