长期以来包括Internet在内的各种媒体关于信息安全的报道，大量充斥着“黑客”、“病毒”“防火墙”“入侵检测系统”等技术性很强的字眼，但实际上将近80%的安全事件是由内部人员直接或间接引起的。
    与二十年前大型计算机要受到严密看守，由技术专家管理的情况相比，今天计算机技术已唾手可得，无处不在。今天的计算机使用者大都很少受到严格的培训，每天都在以不安全的方式处理着企业的大量重要信息，而且企业的贸易伙伴、咨询顾问、合作单位等外部人员都以不同的方式使用着企业的信息系统，他们都对企业的信息系统构成了潜在的威胁。比如，仅仅是员工为了方便记忆系统登录口令而粘贴在桌面或计算机屏幕边的一张便条，就足以毁掉花费了大量人力物力建立起来的信息安全系统。

许多对企业心存不满的员工把 “黑”掉企业网站，偷窃并散布客户敏感信息，为竞争对手提供机密的技术与商业数据，甚至破坏关键计算机系统作为对企业的报复行为，使企业蒙受了巨大的损失。因为这些员工非常了解企业的薄弱点，一般企业的安全系统对内部员工几乎是不设防的。让我们看一组数据。在信息业高达发达的美国，在最近一次对600名CIO的调查表明：

Ø 将近三分之二（66%）的被调查者说，他们公司没有完整的安全政策
Ø 只有不到三分之一（32%）的被调查者说，他们公司要求员工熟悉安全政策与指南
Ø 只有23%的被调查者说，他们公司的员工得到过信息安全的培训
在国内，大部分企业对信息安全的理解还只停留在技术层面上，以为企业外部网建立了防火墙能防黑客，内部网能杀病毒就达到安全要求了。最近国内的几次安全事件，如亚信的电信方案被盗版，华为与美国思科及上海沪科的知识产权诉讼案都生动地告诉我们，在信息安全中最活跃的因素是人，人的因素比技术因素更重要。

对人的管理包括法律、法规与安全政策的约束，安全指南的帮助，安全意识的提高，安全技能的培训，人力资源管理措施以及企业文化熏陶，这些是建立成功的信息安全体系的基础，我们把信息安全中对人的有效管理称为“人力防火墙”。从一个组织产生、管理、传播及保护信息的各个环节来看，都是人在起决定性作用，我们应当把这个幕后主角 “人”纳入信息安全的定义中去，把建立“人力防火墙”看作是实现有效信息安全的基础。“人力防火墙”并不是要代替传统的技术手段，它只是一种人的原有价值的回归。通过建立“人力防火墙”，不仅建立起一套有效的管理体系，而且还能形成“信息安全，人人有责”的企业文化氛围，从而使员工成为企业信息安全的一道“最可靠防线”，实现组织信息系统的长治久安。

五、根据风险评估的结果，综合利用各种信息安全技术与产品，在统一的IT服务管理平台上(ITIL)，以“适度防范”为原则，建立有效的“技术防火墙”，这是实现信息安全管理的可靠外部保证措施。

　　由于信息系统的复杂性，信息系统的安全是不能离开技术保障手段的。蓬勃发展的国际安全产品市场每年以25%的发展速度递增，国内更是达到了60%以上的增长速度，令人眼花缭乱的安全产品与技术的为客户带来了选择的多样性，同时也带来了选择的复杂性，用户往往在厂商的铺天盖地的宣传中无所适从。市场呼唤独立的第三方安全咨询公司为客户提供客观的评估与全面完整的信息安全方案，为企业设计健壮的“技术防火墙”。

所谓“技术防火墙”是指在风险评估的基础上，综合利用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保证企业的信息系统的机密性、完整性和可靠性。

建立“技术防火墙”要注意的几个问题：

1、以风险评估为基础，以“适度防范”为原则
安全产品的选择不能纯粹以技术为标准，要考虑成本和投资回报，过高的安全成本就会使安全失去意义。实现信息安全的过程其实是对风险进行管理的过程，其本质是对风险进行评估、控制并最终减轻风险后果，其重点是以“适度防范”的原则指导组织采用必要安全强度的保护措施以满足其业务安全的需求，用最小成本将信息系统的残留风险降低到组织可以接受的水平。

2、技术结构方面，应该具备评估，保护，检测，反应和恢复的五种技术能力。实 现ISO 7498-2所定义的鉴别，访问控制，数据完整性，数据保密性，抗抵赖五类安全功能。随着安全技术日新月异的发展，现在已经有更多的安全机制来提供这样五类安全技术，可以通过不同的产品和技术手段，来实现组织各种安全功能的要求。

3、安全产品要建立在统一的IT服务管理平台上，遵循相同的标准，降低管理的复杂性。

随着企业的IT应用的深入和规模的扩大，技术管理难度越来越大，用户的负担越来越重，企业提出了简化管理的要求；根据信息安全的特点，多种安全产品的应用将跨越多个部门甚至多个企业，密集分布的安全产品增加了管理的难度，同时安全完备性也要求实现集成化安全管理和安全信息共享机制，以集中管理安全控制、安全策略、安全配置、安全事件审计、安全事故应急响应，可管理的安全才是真正意义上的安全。

这就要求安全产品要建立在一个遵循相同标准的统一的IT服务管理平台上。IT基础架构库（ITIL) 是IT 服务管理最佳做法的一套全面、一致和相关的代码，由英国的中央计算机与电信局 (CCTA) 开发，己在全世界被广泛采采纳为IT服务标准。安全产品与服务应适应IT基础架构库的要求，符合ITIL简化管理、降低管理风险的基础性标准。

4、制定有效的灾难恢复与业务持续性计划
不是对所有的威胁都可以找到针对它的安全保护措施。对这类威胁可能带来的风险我们只能接受，但是要采取适当和有效的措施来减轻相关威胁实际发生时所带来的破坏后果，这些过程就是安全管理中的灾难恢复与业务持续性计划，这是组织信息安全的最后一道防线。在美国“911”恐怖袭击事件与中国的SANS暴发事件中，灾难恢复与业务持续性计划己显现出了保证企业业务持续性的重要性。