在信息系統(tǒng)建設的初期，信息安全的設計就要盡可能早的引入，從而打好堅實的基礎。沒有安全設計的信息系統(tǒng)，就好像把一座大樓建在了沙灘上，隨時面臨著倒塌的風險。

 

　　企業(yè)單位內(nèi)網(wǎng)、外網(wǎng)，電子商務、政務平臺是常見的信息系統(tǒng)，它們的建設都離不開安全保障。物理安全是要考慮的一個方面；其他常規(guī)的安全手段，如防火墻、入侵檢測、殺毒等都已經(jīng)比較普及，一定程度地規(guī)避了如冒用、入侵以及DDOS攻擊等安全風險。但是許多信息系統(tǒng)的建設者，以及絕大部分信息系統(tǒng)的使用者對信息安全的認識還停留在這個階段，認為做到了這些就充分了。他們既沒有從系統(tǒng)工程的角度，也沒有從發(fā)展的角度來看待安全問題。

 

　　隨著信息安全態(tài)勢的加速惡化，促使信息系統(tǒng)的使用者和建設者必須做出改變。以往堆積產(chǎn)品或者出現(xiàn)問題后去打補丁的辦法，就顯得盲目、笨拙，且大幅增加運維和升級成本。甚至有些先天性的安全缺陷，并非后續(xù)的補救措施可以根治。

 

　　將“安全”冠于信息化建設或者信息系統(tǒng)集成之上，還原了信息安全本應具有的基礎作用和重要地位，這與習主席所謂“信息化與信息安全是一體之兩翼”相一致，是未來信息化建設的方向和重點。可以肯定地說，不遠的將來信息安全將對所有在建和升級的信息系統(tǒng)擁有一票否決權(quán)。

 

 

　　數(shù)據(jù)在網(wǎng)絡空間的價值，最好的對應就是錢在現(xiàn)實空間的價值。數(shù)據(jù)就是錢，就是財富，這個認識已經(jīng)逐步深入人心了。從信息安全的對立面來看，或者從賊的角度來看，這個價值就更加明確了。

 

　　不是所有的信息系統(tǒng)都包含數(shù)據(jù)的，例如只處理Y/N的門禁系統(tǒng)。常見的信息系統(tǒng)都或多或少地產(chǎn)生并存儲數(shù)據(jù)，這些數(shù)據(jù)的價值一般由信息系統(tǒng)的使用者(如企業(yè))，或者由第三方專業(yè)機構(gòu)來認定(如政府或?qū)＜覉F隊)。

 

　　不同數(shù)據(jù)的價值對應了不同的保護措施，安全的投入正相關于數(shù)據(jù)價值。梳理外圍安全與核心安全，被動安全和主動安全之間的關系，用整體安全的措施，應對復雜多變的安全態(tài)勢，信息系統(tǒng)建設者和使用者必須自始至終加以重視。

 

 

　　如果數(shù)據(jù)是信息系統(tǒng)的關鍵，那么保護數(shù)據(jù)的手段就必須處于安全的核心位置。以防數(shù)據(jù)泄露系統(tǒng)（DLP）為例，對于電商平臺、企事業(yè)單位內(nèi)網(wǎng)，關鍵部門權(quán)限的設立和重要數(shù)據(jù)歸屬權(quán)的保護是DLP系統(tǒng)設計的目標。DLP系統(tǒng)明確了數(shù)據(jù)所有者的地位；通過對管理權(quán)的分解以及監(jiān)督權(quán)的設立，避免了超級用戶的存在可能帶來的巨大損失；在不影響工作效率的前提下，掌控數(shù)據(jù)入口（終端），堵塞了所有可能出現(xiàn)泄密的途徑。因此可以說DLP在信息系統(tǒng)安全架構(gòu)中處于核心位置。

 

　　DLP以及類似系統(tǒng)所處的位置和發(fā)揮的作用，決定了其他安全手段或工具需要與之配合；甚至，當安全非常突出的時候，面向應用的軟件開發(fā)或產(chǎn)品集成的選擇，也要與之配合。后者尤其重要并將成為一個趨勢，這就好比先選擇操作系統(tǒng)，然后再選擇適合這個操作系統(tǒng)的軟件一樣。

 

　　信息系統(tǒng)的建設者或集成商尤其要樹立這樣的安全理念，并用這一理念來說服和引導用戶。對于新建的信息系統(tǒng)，從設計階段就要加入對安全考慮，用安全來統(tǒng)領建設和運營、維護的各個階段；對于現(xiàn)有信息系統(tǒng)的升級改造，首先判斷這個系統(tǒng)是否擁有需要保護的數(shù)據(jù)，并從數(shù)據(jù)安全出發(fā)，梳理保護手段是否有所缺失。

 

　　無論是新建的信息系統(tǒng)還是現(xiàn)有系統(tǒng)的升級改造，其中的安全考慮包括風險評估、安全設計、建設或集成、審計驗收、安全運維等環(huán)節(jié)。風險評估的主要內(nèi)容就是這個系統(tǒng)是否包含了數(shù)據(jù)，以及這些數(shù)據(jù)的價值。

 

 

　　政府的信息化系統(tǒng)按照國家等級保護要求，一般劃歸為三級或以上。按照這個劃分要求，其中的數(shù)據(jù)屬于必須采用加密手段來保護的。因此，即使必須進行物理隔離，為了防止內(nèi)部人員泄密，一套類似DLP的、以密碼來保護數(shù)據(jù)的系統(tǒng)應該成為標準配置。

 

　　對于現(xiàn)代企業(yè)，特別是從事高端制造、云存儲服務、貿(mào)易、軟件設計開發(fā)等行業(yè)的企業(yè)，考慮到自身商業(yè)利益和從業(yè)道德等因素，安全等級也不應低于政府三級等保要求。

 

　　安全信息化建設和安全系統(tǒng)集成對于建設者和使用者來說，都存在著一定的挑戰(zhàn)；但是同樣也應看到其中蘊含的機遇要遠大于困難。

 

　　對于建設者來說，現(xiàn)有信息系統(tǒng)在安全方面的缺失是普遍存在的現(xiàn)狀，要用今后很長一段時間來補課；同時，安全建設處于信息技術(shù)的高端，是否具備安全建設的能力標志了企業(yè)在行業(yè)的地位和議價能力。

 

　　對于信息系統(tǒng)的使用者來說，安全決定了生死存亡，這一點現(xiàn)在怎么強調(diào)也不過份。信息安全系統(tǒng)的部署，將促進內(nèi)部組織結(jié)構(gòu)的調(diào)整、優(yōu)化和提升，在更高層次形成競爭力，為可持續(xù)發(fā)展提供保證。

 

　　最后，人的因素是決定性的；這不僅體現(xiàn)在企業(yè)或組織內(nèi)部的每個人能否嚴格遵從安全管理的規(guī)章制度，主動配合措施的落實，而首先體現(xiàn)在主要領導者是否能有掌控安全的管理理念和遠見卓識。安全在現(xiàn)實空間的各個行業(yè)領域都是“一把手工程”，毫無疑問，在網(wǎng)絡空間的各個方面，對應的信息安全也必須是“一把手工程”。