文/李颖和

人类历史的发展是以加速度进行的。继工业革命之后，信息技术革命更加速了这一进程，并带来巨大而深远的变革。从鸿雁传书到即时通信，信息能在第一时间发布到世界各地；从结绳记事到数字化存储，图书馆可以微缩到一个存储机柜，无纸化成为现实。互联网信息交互已成为人们获取信息主要来源，足不出户可以览尽天下事。信息技术变革以惊人的力量改变了人们的工作和生活方式。从本质上讲，信息化实现了社会化资源共享的质变，并不断推动社会向前发展。

IT信息系统已成为人们工作和生活的基础平台，人们对IT信息系统的依赖性日趋增强。但同时，安全越来越成为核心问题，成为阻碍IT业务发展的关键因素：病毒的泛滥影响了正常的业务开展，垃圾流量占用了宽带资源，无所不在的网络钓鱼造成大量信息的泄露，自然灾害威胁着IT信息系统的物理安全。。。如何保障IT信息系统的安全成为最急迫的任务。

回顾近二十年的IT信息系统发展历史，最初的安全问题主要是单机病毒感染，通过移动介质传播。随着网络的普及，出现了网络攻击、垃圾邮件等种类繁多的安全威胁，病毒的传播途径转为通过网络传播。现在，伴随网络发展出现的安全威胁有两个明显的特征：一是传播速度快，二是规模激增，由此带来的危害也越来越大。

网络上为什么会有安全威胁？首先是利益驱使：间谍软件，垃圾邮件是以获利为目的，网络攻击等行为以破坏他人为目的，背后都是利益的原因。除此之外，当前网络行为大多为匿名行为，在虚拟身份的掩护下，破坏行为变得肆无忌惮。当前网络缺乏秩序，缺乏有效的管理控制。因此要全面解决安全威胁问题，要从技术手段和管理政策上两方面入手。

从技术角度看，以计算、传输和存储为核心的技术构建了IT信息系统，保障IT信息系统的安全就是保障计算安全，传输安全和存储安全。这涉及到终端、网络、业务、存储和管理五个环节流程。根据木桶理论，IT信息系统的安全性取决于最薄弱的环节，因此保证全流程各个环节的安全性，也就是保证系统安全的完整性。

IT信息系统的安全是系统工程，各个环节流程不能割裂进行，在系统设计时要统一规划。“简单叠加”的建设模式不能成为有效的系统。因为安全风险并不是孤立出现的，往往需要从系统的多个层面进行综合防护才能有效解决。同时系统内的设备之间需要进行有效联动，包括网络设备与安全设备之间，以及与管理设备之间的智能联动，才能实时地解决各种系统的安全威胁。除此之外，还需要有对整体安全事件统一分析管理的能力，对安全和网络以及其它业务系统的设备统一管理的能力，这就需要一个安全解决方案来解决这些系统问题。

在保证IT信息系统安全性的前提下，还要考虑成本和效率。举例来说：终端安全可以通过安全软件和操作系统补丁进行安全加固，但是如何保证大量的终端执行安全措施是个难解问题。一种办法是通过管理员监控，但需要花费大量的人力成本；还有一种办法可以通过技术手段解决，即进行终端安全准入控制，检测符合安全策略要求的终端才能接入到网络，并实时检测，发现终端有安全威胁时通过联动技术强制终端下网。终端安全和网络安全要建立联动机制，才能提升效率。同样的道理，网络安全、业务安全以及存储安全几者之间需要统一考虑。而统一的管理更为重要，它能够极大地减少管理成本并提高管理效率。

在业务为王的信息社会，业务效率是核心竞争力，如何在安全的基础上，不断优化提升业务效率，是广义上的网络安全目标。业务优化是提升网络信息传输效率和IT应用运行速度，保证网络以最优的速度进行传输，甚至超越物理带宽的限制。优化技术包括：TCP加速、缓存、压缩和负载均衡等。通过优化技术的实施，可以有效进行业务提速，在同等情况下，网页、数据库的访问速度可加快十数倍。

技术是手段，要真正达到安全IT目标，还要配合管理法规的实施。网络只有遵从管理回归到现实社会，才能恢复秩序性。国家针对信息安全发布了等级保护制度，制定了信息安全产品或系统的检测、评估以及定级标准，强制要求遵循“安全作为网络的第一要素、安全的网络作为必要条件”的原则对现有信息系统进行改造或新建，明确要求信息系统从建设之初就应该以安全为核心，也明确提出了各类网络系统需要达到的安全目标。等级保护制度成为IT安全建设的指导政策，发挥着越来越大的作用。

从历史发展的观点看，安全技术和管理方案随着IT信息系统的发展而发展，并不断趋于完善。通过技术创新和管理规范的实施，才能实现IT信息系统的真正安全。而安全的IT信息系统还需要更高的效率和更低的成本，才能达到最优化的IT目标。