我欲封天耳根小说,懒人听书,好看的玄幻小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

從管理角度思考內(nèi)網(wǎng)安全系統(tǒng)的部署

以數(shù)據(jù)安全管理為核心的內(nèi)網(wǎng)安全思想已逐步得到市場的認可。除了傳統(tǒng)的軍隊、軍工等涉密單位之外，因為全球化競爭的加劇和企業(yè)知識產(chǎn)權保護意識的增強，數(shù)據(jù)保密工作在更廣泛的領域正得到普及和重視。大量的企業(yè)、設計院所近年來基于運營管理的需要，嘗試選擇部署了一些內(nèi)網(wǎng)安全產(chǎn)品，已期實現(xiàn)對敏感數(shù)據(jù)的全程風險管理。然而，從系統(tǒng)部署過程中反饋的問題和最終應用的效果分析，大量的項目并沒有達到管理者預期的目標，個別項目甚至淪為了企業(yè)信息化的負面“典型”。

一、定位數(shù)據(jù)安全風險管理

　　在討論數(shù)據(jù)安全類軟件應用過程中存在的問題之前，有必要對數(shù)據(jù)安全軟件的價值屬性進行準確的定位。針對當前市場上玲瑯滿目的各種內(nèi)網(wǎng)安全軟件，系統(tǒng)的稱呼、技術標準等等都缺乏相關的標準規(guī)范，既有“洋務派”的舶來品，也有本土企業(yè)力推的一些模糊概念，還存在草根的系列說法。這種全行業(yè)的規(guī)范缺失，很大程度上導致市場的無序化。Chinasec數(shù)據(jù)安全專家認為，當前企業(yè)在數(shù)據(jù)保密領域所做的一切，可以歸結(jié)為“數(shù)據(jù)安全風險管理”的范疇。這里面包含了多方面重要的內(nèi)容。首先，內(nèi)網(wǎng)安全關注的核心對象是數(shù)據(jù)，更精確的講涉及的是組織的高度敏感性或者具備重大價值性的數(shù)據(jù)。其次系統(tǒng)關注的是這些價值數(shù)據(jù)在IT環(huán)境里的風險，這些風險包括數(shù)據(jù)遺失、損壞、篡改等廣泛的涉及泄密方面的內(nèi)容。最后，安全系統(tǒng)所提供的是一種管理手段和管理工具，通過系統(tǒng)的部署，致力于從管理的角度幫助組織解決面臨的數(shù)據(jù)風險問題。著眼于從管理的角度思考內(nèi)網(wǎng)安全系統(tǒng)的部署，則大量的問題得以理順，進而得到用戶、系統(tǒng)供應商和集成商的共同認可，在一個共同的認知范圍內(nèi)思考相關的問題。#p#

二、當前系統(tǒng)應用過程中暴露的問題

　　在賽迪傳媒組織的一次行業(yè)論壇會議上，以Chinasec為首的幾家內(nèi)網(wǎng)安全廠商紛紛對當前內(nèi)網(wǎng)安全系統(tǒng)部署過程中暴露的問題給予了總結(jié)。專家們普遍認為，當前內(nèi)網(wǎng)安全系統(tǒng)應用過程中存在的問題與ERP系統(tǒng)推廣前期遇到的問題及其相似。用戶期望值高，重視度不夠，項目結(jié)案完整的少。更大的問題在于ERP是一項高度業(yè)務相關系統(tǒng)，其市場價值始終得到認可，而信息安全系統(tǒng)作為業(yè)務輔助系統(tǒng)，其市場價值始終處于附屬的地位。概括而言，主要的問題集中體現(xiàn)在以下多個方面：

　　對部署內(nèi)網(wǎng)安全系統(tǒng)在組織內(nèi)的定位模糊。大量的客戶僅僅將其作為一個小型的軟件工具對待，認為其不過是一個監(jiān)控內(nèi)部網(wǎng)絡和約束員工的網(wǎng)絡管理工具?；诖苏J識，在系統(tǒng)的統(tǒng)籌管理和投入等方面普遍缺乏前瞻性考慮。

　　缺乏系統(tǒng)的規(guī)劃。正因為不重視，兼以大量的企業(yè)信息中心人員的業(yè)務能力有限，缺乏大型信息化項目的組織管理能力，同時又沒有足夠的資金外聘專業(yè)的機構參與內(nèi)部信息安全體系的規(guī)劃，因此系統(tǒng)的立項、采購和后續(xù)的部署等管理環(huán)節(jié)都非常缺乏。常見的現(xiàn)象是拍腦袋決策，拍胸脯承諾，最終拍屁股走人。

　　缺乏管理層面的結(jié)合。重點體現(xiàn)在沒有關鍵的管理人員參與，同時沒有從管理的高度審視系統(tǒng)對業(yè)務的影響。以Chinasec實施的大量案例分析，除了少量上市公司和行業(yè)標桿企業(yè)外，大量客戶僅僅是安排信息中心技術人員負責選型、測試、采購并部署。以這些人員在機構的驅(qū)動能力，必然遠不能滿足內(nèi)網(wǎng)安全系統(tǒng)與內(nèi)部業(yè)務管理相結(jié)合的需要，導致項目在推進過程中阻力重重。

　　沒有實行風險分類，試圖一蹴而就。一些因為安全事件驅(qū)動，倉促決策的企業(yè)在此方面表現(xiàn)尤為明顯。因為缺乏對內(nèi)網(wǎng)安全的充分了解和組織管理目標的認知，很多客戶長期對此表現(xiàn)冷漠，一旦出現(xiàn)安全事件后，則又表現(xiàn)得異常的急切，試圖在一朝一夕之間建成羅馬。這種草率的做法導致的后果非常嚴重。從業(yè)內(nèi)多家內(nèi)網(wǎng)安全企業(yè)反饋的情況分析，基本上每家企業(yè)都會遇到不少類似的案例。

　　需求矛盾，平衡點的把握缺乏共識。安全與可用性之間始終是一對博弈的矛盾體。追求安全必然要犧牲一定的可行性。從專業(yè)角度分析，安全賦予企業(yè)和個體的就是一種約束，只不過這種約束的目的是正面的、積極的。正因為如此，企業(yè)在構建內(nèi)部安全體系的過程中，需要有清醒的認識。在此前提下，安全管理團隊能做的工作是如何與業(yè)務單位溝通，探討建立一個合適的安全平衡點，以最大程度兼顧安全與可用的問題，盡可能使安全成為業(yè)務的促進者而非阻礙者。#p#

三、從管理的角度重新審視現(xiàn)存的問題

　　克服上述內(nèi)網(wǎng)安全項目實施過程中存在的問題，需要系統(tǒng)的規(guī)劃項目的全過程。Chinasec內(nèi)網(wǎng)安全專家基于長期的項目實施經(jīng)驗，向筆者談了幾點體會。

　　1、從管理的角度重視內(nèi)網(wǎng)安全

　　內(nèi)網(wǎng)安全與傳統(tǒng)的網(wǎng)絡安全很大的差異性在于更多的關注內(nèi)容的安全風險管理，可以理解為更多側(cè)重于內(nèi)容安全領域。項目實施過程中會不可避免涉及到組織管理流程的變更、崗位職能的重新定義。因此需要從管理咨詢的角度重新梳理企業(yè)現(xiàn)有的組織結(jié)構設計和業(yè)務流程，使得信息安全風險管理融入組織業(yè)務流程中?！案嗟膶⑵渥鳛楣芾淼膬?nèi)容對待，而非單純視為技術性問題”，Chinasec技術顧問特別重申了內(nèi)網(wǎng)安全項目的管理屬性。

　　2、組建業(yè)務部門參與的項目小組

　　內(nèi)網(wǎng)安全從價值形態(tài)角度分析，是一個“業(yè)務相關”的系統(tǒng)。一些廠商所極力宣稱的“業(yè)務無關”性更多意義上是一個技術實現(xiàn)上的概念。因為內(nèi)網(wǎng)安全的核心是數(shù)據(jù)的風險管理，而數(shù)據(jù)隨業(yè)務系統(tǒng)而生，后續(xù)流轉(zhuǎn)、交換都與業(yè)務密切相關。因此從應用形態(tài)上講，內(nèi)網(wǎng)安全系統(tǒng)必然是一個“業(yè)務高度相關”的系統(tǒng)。讓業(yè)務部門盡早參與到項目中來，有助于加強與業(yè)務部門的溝通，取得業(yè)務部門對系統(tǒng)實施的認同，盡早規(guī)避相關的實施阻力，避免讓系統(tǒng)成為IT技術部門獨立運作的內(nèi)容。

　　3、針對風險，從管理與技術的層面探討科學的解決方法

文章名稱：從管理角度思考內(nèi)網(wǎng)安全系統(tǒng)的部署
分享地址：http://m.fisionsoft.com.cn/article/cdiojgs.html

新聞中心

其他資訊