從管理角度思考內網安全系統的部署
以數據安全管理為核心的內網安全思想已逐步得到市場的認可。除了傳統的軍隊、軍工等涉密單位之外,因為全球化競爭的加劇和企業知識產權保護意識的增強,數據保密工作在更廣泛的領域正得到普及和重視。大量的企業、設計院所近年來基于運營管理的需要,嘗試選擇部署了一些內網安全產品,已期實現對敏感數據的全程風險管理。然而,從系統部署過程中反饋的問題和最終應用的效果分析,大量的項目并沒有達到管理者預期的目標,個別項目甚至淪為了企業信息化的負面“典型”。
一、定位數據安全風險管理
在討論數據安全類軟件應用過程中存在的問題之前,有必要對數據安全軟件的價值屬性進行準確的定位。針對當前市場上玲瑯滿目的各種內網安全軟件,系統的稱呼、技術標準等等都缺乏相關的標準規范,既有“洋務派”的舶來品,也有本土企業力推的一些模糊概念,還存在草根的系列說法。這種全行業的規范缺失,很大程度上導致市場的無序化。Chinasec數據安全專家認為,當前企業在數據保密領域所做的一切,可以歸結為“數據安全風險管理”的范疇。這里面包含了多方面重要的內容。首先,內網安全關注的核心對象是數據,更精確的講涉及的是組織的高度敏感性或者具備重大價值性的數據。其次系統關注的是這些價值數據在IT環境里的風險,這些風險包括數據遺失、損壞、篡改等廣泛的涉及泄密方面的內容。最后,安全系統所提供的是一種管理手段和管理工具,通過系統的部署,致力于從管理的角度幫助組織解決面臨的數據風險問題。著眼于從管理的角度思考內網安全系統的部署,則大量的問題得以理順,進而得到用戶、系統供應商和集成商的共同認可,在一個共同的認知范圍內思考相關的問題。#p#
二、當前系統應用過程中暴露的問題
在賽迪傳媒組織的一次行業論壇會議上,以Chinasec為首的幾家內網安全廠商紛紛對當前內網安全系統部署過程中暴露的問題給予了總結。專家們普遍認為,當前內網安全系統應用過程中存在的問題與ERP系統推廣前期遇到的問題及其相似。用戶期望值高,重視度不夠,項目結案完整的少。更大的問題在于ERP是一項高度業務相關系統,其市場價值始終得到認可,而信息安全系統作為業務輔助系統,其市場價值始終處于附屬的地位。概括而言,主要的問題集中體現在以下多個方面:
對部署內網安全系統在組織內的定位模糊。大量的客戶僅僅將其作為一個小型的軟件工具對待,認為其不過是一個監控內部網絡和約束員工的網絡管理工具。基于此認識,在系統的統籌管理和投入等方面普遍缺乏前瞻性考慮。
缺乏系統的規劃。正因為不重視,兼以大量的企業信息中心人員的業務能力有限,缺乏大型信息化項目的組織管理能力,同時又沒有足夠的資金外聘專業的機構參與內部信息安全體系的規劃,因此系統的立項、采購和后續的部署等管理環節都非常缺乏。常見的現象是拍腦袋決策,拍胸脯承諾,最終拍屁股走人。
缺乏管理層面的結合。重點體現在沒有關鍵的管理人員參與,同時沒有從管理的高度審視系統對業務的影響。以Chinasec實施的大量案例分析,除了少量上市公司和行業標桿企業外,大量客戶僅僅是安排信息中心技術人員負責選型、測試、采購并部署。以這些人員在機構的驅動能力,必然遠不能滿足內網安全系統與內部業務管理相結合的需要,導致項目在推進過程中阻力重重。
沒有實行風險分類,試圖一蹴而就。一些因為安全事件驅動,倉促決策的企業在此方面表現尤為明顯。因為缺乏對內網安全的充分了解和組織管理目標的認知,很多客戶長期對此表現冷漠,一旦出現安全事件后,則又表現得異常的急切,試圖在一朝一夕之間建成羅馬。這種草率的做法導致的后果非常嚴重。從業內多家內網安全企業反饋的情況分析,基本上每家企業都會遇到不少類似的案例。
需求矛盾,平衡點的把握缺乏共識。安全與可用性之間始終是一對博弈的矛盾體。追求安全必然要犧牲一定的可行性。從專業角度分析,安全賦予企業和個體的就是一種約束,只不過這種約束的目的是正面的、積極的。正因為如此,企業在構建內部安全體系的過程中,需要有清醒的認識。在此前提下,安全管理團隊能做的工作是如何與業務單位溝通,探討建立一個合適的安全平衡點,以最大程度兼顧安全與可用的問題,盡可能使安全成為業務的促進者而非阻礙者。#p#
三、從管理的角度重新審視現存的問題
克服上述內網安全項目實施過程中存在的問題,需要系統的規劃項目的全過程。Chinasec內網安全專家基于長期的項目實施經驗,向筆者談了幾點體會。
1、 從管理的角度重視內網安全
內網安全與傳統的網絡安全很大的差異性在于更多的關注內容的安全風險管理,可以理解為更多側重于內容安全領域。項目實施過程中會不可避免涉及到組織管理流程的變更、崗位職能的重新定義。因此需要從管理咨詢的角度重新梳理企業現有的組織結構設計和業務流程,使得信息安全風險管理融入組織業務流程中。“更多的將其作為管理的內容對待,而非單純視為技術性問題”,Chinasec技術顧問特別重申了內網安全項目的管理屬性。
2、 組建業務部門參與的項目小組
內網安全從價值形態角度分析,是一個“業務相關”的系統。一些廠商所極力宣稱的“業務無關”性更多意義上是一個技術實現上的概念。因為內網安全的核心是數據的風險管理,而數據隨業務系統而生,后續流轉、交換都與業務密切相關。因此從應用形態上講,內網安全系統必然是一個“業務高度相關”的系統。讓業務部門盡早參與到項目中來,有助于加強與業務部門的溝通,取得業務部門對系統實施的認同,盡早規避相關的實施阻力,避免讓系統成為IT技術部門獨立運作的內容。
3、 針對風險,從管理與技術的層面探討科學的解決方法
【編輯推薦】
