內網安全,何馬當先?
實現內網安全,究竟是"管理為先"還是"技術為先"?對此,筆者近期采訪了知名業(yè)界專家、企業(yè)代表、廠商專家,集結三方專家與您一起探討"內網安全,何馬當先"?
常言道"三分技術、七分管理",但是有人說"四分技術、六分管理",更有人說"二分技術、八分管理"。無論是技術多一分,還是管理多一分,可以看到大家對管理的偏重。三一重工股份有限公司研究總院信息化經理譚俊峰十分重視管理,他覺得實現內網安全需要"二分技術、八分管理"。在大企業(yè)中,技術解決的是局部問題。內部的很多問題在于溝通、體制執(zhí)行不到位等,而非技術本身的問題。在推廣方面,一個技術很難在大企業(yè)里全面推廣,而管理則無界。所以在安全與管理的選擇上,管理應當先于技術。
如此看來,技術是管理的輔助手段,管理更為重要,但是,凡事都沒有絕對。例如安裝移動存儲介質管理系統(tǒng)對U盤、移動硬盤進行管理,這比通過管理手段去建表格去讓使用者登記要現實得多,并且這個產品可以在較短時間內實施完畢,即刻解決企業(yè)難題。在這樣的情景中,技術就顯得比管理重要。游俠安全網站長張百川雖然贊同傳統(tǒng)的"三分技術、七分管理"的說法,但是,他認為這種說法不能一概而論。所有企業(yè)的情況不一樣,并不是所有企業(yè)都建立了完善的管理體系。企業(yè)難免在短期內無法運用管理手段去解決一些問題,在有些需要"救火"的情景中,運用技術手段則可以起到立竿見影的效果。
信息安全專家李洋博士表示技術與管理,孰重孰輕,的確不好辨明,不能一概而論,企業(yè)需要"兩手抓"。"管理是從宏觀上的把控,技術是實在的落地;技術以管理為指導,管理以技術為落腳點,因此兩手都要要抓。"從安全的一些標準實現上來看,比如ISO270001等,都是從管理入手,而后落地到相應的技術上。制造業(yè)信息化專家黃培博士進一步點明了管理與技術"兩手抓"的關系。"在企業(yè)的安全體系中,管理體系是主干,嚴格的管理制度、明確的職責劃分、合理的人員配置能夠堵住大部分的漏洞,大幅度降低安全風險。在執(zhí)行的部分,技術就很重要了,企業(yè)需要一些安全技術來保證制度的執(zhí)行,兩相結合之下,企業(yè)就能構建起一個較好的內網安全體系。"鄭州三全食品股份有限公司CIO周湘清對于管理與技術的關系也有獨到看法,他認為管理是震懾、技術是防范。技術防范突發(fā)問題,而管理上的體制保證技術的落實和人為泄漏等方面對安全的威脅。
事實證明,幾乎絕大部分技術存在的目的,都是為了解決實際出現的管理問題,甚至是部分管理流程的固化結果。技術的存在使得管理的初衷能夠最終落地,而管理手段的存在,又在一定程度上彌補了純粹依賴技術的僵硬性。二者都是缺一不可,不能簡單用比例說明白。溢信科技產品總監(jiān)黃凱的看法是,技術和管理在內網安全管理中所占的比例各自是多少,誰當先?這都是因企業(yè)而異的問題,沒有完全標準的答案。以內網安全管理為例,企業(yè)可能為了滿足數據保密、企業(yè)規(guī)范化管理、行為管理、系統(tǒng)運維等多種需求部署內網安全產品,而透明加密、防水墻、強審計、權限控制等技術就是為了滿足上述的管理需要而產生的技術手段。再例如,很多桌面安全產品都需要在用戶的機器上安裝客戶端,但由于國內的用戶IT意識的不足,即使政策層面對此進行了明確,很多用戶還是會不愿意安裝或者偷偷卸掉,這時為了防止管理失效可以部署網關準入控制設備以使其與客戶端聯動,涉及到用戶能否上網和使用內網資源的時候,用戶就沒有了選擇。這些都是技術實現管理的鮮活例子,在這些例子中,技術與管理的比例并不能測算出來,簡單的比例也說明不了二者之間的聯系。
管理和技術誰為先的問題已經討論了多年,在筆者多年對企業(yè)的走訪中發(fā)現,不同企業(yè)對管理為先還是技術為先的選擇大為不同。如上文溢信科技產品總監(jiān)黃凱所說的那樣,這個問題本沒有標準的答案。筆者認為,糾結管理為先或者技術為先并沒有必要,對技術的貶低或者熱捧,對管理的漠視和過分看重都是不恰當的。
在中國的特殊的國情下,用戶自覺遵從管理制度的意識仍然有待提高,很多時候,各項管理措施都要靠各種技術手段保證來落到實處,以防止管理被各種人際關系所架空。但另外一方面,單純靠技術手段粗暴的進行管理,而不考慮用戶的接受能力,以及對企業(yè)整體文化可能產生的不利影響,也有可能使得技術被消極對待,最終遭遇阻力甚至被閑置或棄用。管理者在考慮某項問題的對策時,應該以解決問題為基本出發(fā)點,綜合利用技術手段和管理規(guī)章相配合,最終使問題得到合理的解決。總之,企業(yè)對管理和技術的運用,應地、應時比重可能都會不同,最重要是企業(yè)著眼于問題本身來把握。只要企業(yè)清楚認識到"兩手抓",相信神馬當先,都是浮云--重要的不是誰當先,重要的是二者要結合起來。
技術和管理都要抓,成本自然不在話下。那么安全的投資回報到底怎么算,安全到底是"花錢"還是"掙錢",請關注"內網安全"十年之"辯"系列之三 " 。
