以數(shù)據(jù)安全管理為核心的內(nèi)網(wǎng)安全思想已逐步得到市場的認可。除了傳統(tǒng)的軍隊�����、軍工等涉密單位之外,因為全球化競爭的加劇和企業(yè)知識產(chǎn)權(quán)保護意識的增強�,數(shù)據(jù)保密工作在更廣泛的領(lǐng)域正得到普及和重視。大量的企業(yè)�����、設(shè)計院所近年來基于運營管理的需要�����,嘗試選擇部署了一些內(nèi)網(wǎng)安全產(chǎn)品����,已期實現(xiàn)對敏感數(shù)據(jù)的全程風險管理。然而�����,從系統(tǒng)部署過程中反饋的問題和最終應用的效果分析��,大量的項目并沒有達到管理者預期的目標���,個別項目甚至淪為了企業(yè)信息化的負面“典型”�����。
一���、定位數(shù)據(jù)安全風險管理
在討論數(shù)據(jù)安全類軟件應用過程中存在的問題之前��,有必要對數(shù)據(jù)安全軟件的價值屬性進行準確的定位�。針對當前市場上玲瑯滿目的各種內(nèi)網(wǎng)安全軟件�����,系統(tǒng)的稱呼�、技術(shù)標準等等都缺乏相關(guān)的標準規(guī)范,既有“洋務派”的舶來品����,也有本土企業(yè)力推的一些模糊概念,還存在草根的系列說法��。這種全行業(yè)的規(guī)范缺失�,很大程度上導致市場的無序化。Chinasec數(shù)據(jù)安全專家認為�����,當前企業(yè)在數(shù)據(jù)保密領(lǐng)域所做的一切��,可以歸結(jié)為“數(shù)據(jù)安全風險管理”的范疇�����。這里面包含了多方面重要的內(nèi)容。首先�����,內(nèi)網(wǎng)安全關(guān)注的核心對象是數(shù)據(jù)����,更精確的講涉及的是組織的高度敏感性或者具備重大價值性的數(shù)據(jù)��。其次系統(tǒng)關(guān)注的是這些價值數(shù)據(jù)在IT環(huán)境里的風險����,這些風險包括數(shù)據(jù)遺失、損壞��、篡改等廣泛的涉及泄密方面的內(nèi)容����。最后,安全系統(tǒng)所提供的是一種管理手段和管理工具�����,通過系統(tǒng)的部署��,致力于從管理的角度幫助組織解決面臨的數(shù)據(jù)風險問題。著眼于從管理的角度思考內(nèi)網(wǎng)安全系統(tǒng)的部署����,則大量的問題得以理順,進而得到用戶�、系統(tǒng)供應商和集成商的共同認可,在一個共同的認知范圍內(nèi)思考相關(guān)的問題�。#p#
二、當前系統(tǒng)應用過程中暴露的問題
在賽迪傳媒組織的一次行業(yè)論壇會議上�,以Chinasec為首的幾家內(nèi)網(wǎng)安全廠商紛紛對當前內(nèi)網(wǎng)安全系統(tǒng)部署過程中暴露的問題給予了總結(jié)。專家們普遍認為��,當前內(nèi)網(wǎng)安全系統(tǒng)應用過程中存在的問題與ERP系統(tǒng)推廣前期遇到的問題及其相似����。用戶期望值高,重視度不夠����,項目結(jié)案完整的少。更大的問題在于ERP是一項高度業(yè)務相關(guān)系統(tǒng)�����,其市場價值始終得到認可,而信息安全系統(tǒng)作為業(yè)務輔助系統(tǒng)��,其市場價值始終處于附屬的地位���。概括而言���,主要的問題集中體現(xiàn)在以下多個方面:
對部署內(nèi)網(wǎng)安全系統(tǒng)在組織內(nèi)的定位模糊。大量的客戶僅僅將其作為一個小型的軟件工具對待�����,認為其不過是一個監(jiān)控內(nèi)部網(wǎng)絡(luò)和約束員工的網(wǎng)絡(luò)管理工具��?�;诖苏J識���,在系統(tǒng)的統(tǒng)籌管理和投入等方面普遍缺乏前瞻性考慮。
缺乏系統(tǒng)的規(guī)劃����。正因為不重視,兼以大量的企業(yè)信息中心人員的業(yè)務能力有限�����,缺乏大型信息化項目的組織管理能力,同時又沒有足夠的資金外聘專業(yè)的機構(gòu)參與內(nèi)部信息安全體系的規(guī)劃����,因此系統(tǒng)的立項、采購和后續(xù)的部署等管理環(huán)節(jié)都非常缺乏�。常見的現(xiàn)象是拍腦袋決策,拍胸脯承諾�����,最終拍屁股走人��。
缺乏管理層面的結(jié)合�。重點體現(xiàn)在沒有關(guān)鍵的管理人員參與,同時沒有從管理的高度審視系統(tǒng)對業(yè)務的影響�����。以Chinasec實施的大量案例分析���,除了少量上市公司和行業(yè)標桿企業(yè)外����,大量客戶僅僅是安排信息中心技術(shù)人員負責選型、測試�、采購并部署。以這些人員在機構(gòu)的驅(qū)動能力����,必然遠不能滿足內(nèi)網(wǎng)安全系統(tǒng)與內(nèi)部業(yè)務管理相結(jié)合的需要,導致項目在推進過程中阻力重重�。
沒有實行風險分類,試圖一蹴而就�。一些因為安全事件驅(qū)動,倉促決策的企業(yè)在此方面表現(xiàn)尤為明顯��。因為缺乏對內(nèi)網(wǎng)安全的充分了解和組織管理目標的認知�����,很多客戶長期對此表現(xiàn)冷漠����,一旦出現(xiàn)安全事件后����,則又表現(xiàn)得異常的急切,試圖在一朝一夕之間建成羅馬����。這種草率的做法導致的后果非常嚴重���。從業(yè)內(nèi)多家內(nèi)網(wǎng)安全企業(yè)反饋的情況分析,基本上每家企業(yè)都會遇到不少類似的案例����。
需求矛盾,平衡點的把握缺乏共識�。安全與可用性之間始終是一對博弈的矛盾體。追求安全必然要犧牲一定的可行性�。從專業(yè)角度分析,安全賦予企業(yè)和個體的就是一種約束���,只不過這種約束的目的是正面的�、積極的�。正因為如此,企業(yè)在構(gòu)建內(nèi)部安全體系的過程中�����,需要有清醒的認識���。在此前提下�,安全管理團隊能做的工作是如何與業(yè)務單位溝通,探討建立一個合適的安全平衡點�,以最大程度兼顧安全與可用的問題,盡可能使安全成為業(yè)務的促進者而非阻礙者����。#p#
三、從管理的角度重新審視現(xiàn)存的問題
克服上述內(nèi)網(wǎng)安全項目實施過程中存在的問題�����,需要系統(tǒng)的規(guī)劃項目的全過程���。Chinasec內(nèi)網(wǎng)安全專家基于長期的項目實施經(jīng)驗����,向筆者談了幾點體會����。
1�����、 從管理的角度重視內(nèi)網(wǎng)安全
內(nèi)網(wǎng)安全與傳統(tǒng)的網(wǎng)絡(luò)安全很大的差異性在于更多的關(guān)注內(nèi)容的安全風險管理�,可以理解為更多側(cè)重于內(nèi)容安全領(lǐng)域��。項目實施過程中會不可避免涉及到組織管理流程的變更���、崗位職能的重新定義。因此需要從管理咨詢的角度重新梳理企業(yè)現(xiàn)有的組織結(jié)構(gòu)設(shè)計和業(yè)務流程��,使得信息安全風險管理融入組織業(yè)務流程中�����?�!案嗟膶⑵渥鳛楣芾淼膬?nèi)容對待��,而非單純視為技術(shù)性問題”�����,Chinasec技術(shù)顧問特別重申了內(nèi)網(wǎng)安全項目的管理屬性����。
2、 組建業(yè)務部門參與的項目小組
內(nèi)網(wǎng)安全從價值形態(tài)角度分析�,是一個“業(yè)務相關(guān)”的系統(tǒng)。一些廠商所極力宣稱的“業(yè)務無關(guān)”性更多意義上是一個技術(shù)實現(xiàn)上的概念�。因為內(nèi)網(wǎng)安全的核心是數(shù)據(jù)的風險管理�����,而數(shù)據(jù)隨業(yè)務系統(tǒng)而生�����,后續(xù)流轉(zhuǎn)�����、交換都與業(yè)務密切相關(guān)���。因此從應用形態(tài)上講,內(nèi)網(wǎng)安全系統(tǒng)必然是一個“業(yè)務高度相關(guān)”的系統(tǒng)�����。讓業(yè)務部門盡早參與到項目中來���,有助于加強與業(yè)務部門的溝通,取得業(yè)務部門對系統(tǒng)實施的認同����,盡早規(guī)避相關(guān)的實施阻力��,避免讓系統(tǒng)成為IT技術(shù)部門獨立運作的內(nèi)容�。
3����、 針對風險,從管理與技術(shù)的層面探討科學的解決方法
新聞名稱:從管理角度思考內(nèi)網(wǎng)安全系統(tǒng)的部署
分享路徑:
http://uogjgqi.cn/article/cdiojgs.html
