少花錢多辦事:經費削減下的企業安全
在英國,前不久“政府公共債務創歷史新高”成了討論最多的話題。雖然這一說法引起了一些專家的質疑,表示債務并沒有1920年和1960年時的水平高,那是政府負債率已經超過了100%GDP。事實上,這只是個公開記錄的問題,在二戰后,由于經濟危機和政治危機,英國政府的負債率一度高達250%。而另一讓政客們惱火的評論是說“英國政府的債務是全球最糟糕的。”不管怎樣,我們要面對現實,相信首相不會有意誤導民眾的,對吧?不論目前英國的債務是否是歷史最高,也不管是不是全球最差的債務情況,事實是英國每年所支付的債務利息就高達430億英鎊,這是英格蘭全部學校一年的投入資金。因此不能再繼續這樣下去了,“政府必須瘦身”,再也不能過拆東墻補西墻的日子了。
事實上,一些削減計劃已經實施了,更多的計劃將接踵而至。去年10月20日,財政大臣George Osborne 給出了政府各個部門直到2014年的固定財務經費計劃。在講話中他表示,在未來四年,所有政府部門的平均預算將縮減19%。政府福利預算將削減70億英鎊,政策基金每年削減4個百分點。面對這個計劃,我并不想說英國是個自私的國家,但是每個英國人都會想“這個計劃對我會有什么影響?”
作為個人來說,這當然是個很重要的問題,但是現在還是讓我們以一個IT部門經理的角色來思考這個問題吧,即目前面臨的預算壓力更大了,該如何利用更少的經費維持原先的服務水平呢?可能僅僅有少數幸運的企業沒有受到政府削減預算所帶來的影響。
那么,有沒有可能在降低成本的同時實現相同品質的IT服務呢?
如果我說沒可能,那是不是太令人失望了?所幸,答案是肯定的。不過在縮減個部門經費的時候要謹慎選擇,不要影響到企業的關鍵任務。
舉個例子,現在大部分企業所使用的電腦系統都是Windows平臺。微軟也在前段時間推出新一代Windows平臺。新平臺的功能和界面都要好于舊版本的系統,但是企業真的需要立刻購買新版本操作系統么?升級上千臺終端的操作系統將耗費巨大的成本,這還沒算上購買操作系統的成本,只是安裝和重新培訓員工如何使用新系統。而且這個工作可能會涉及到聘請外部的培訓講師或者更新硬件設備。推遲操作系統升級項目一兩年,目前看來可以有效的緩解預算壓力,除非新版操作系統帶有企業非常急需的安全功能。同樣,推遲對硬件設備的升級可以有效的實現中期成本節約。雖然最終該升級的還是要升級,但是可以盡量的推遲到經濟條件更寬松的時候。減少外部咨詢顧問支出,是降低成本中的大頭。這并不意味著那些必須外部咨詢顧問參與的工作就無法完成了。實際上,企業可以讓咨詢顧問分擔預算減少所帶來的壓力,即重新協商咨詢費用,提高顧問的效率,降低每小時的咨詢成本。如果與顧問有長期合作關系,這個方案應該是可以實現的。
很明顯,上面說到的那些項目都是可以進行預算裁剪的,各個企業也可以想想自己的實際情況,看看那些項目可以推遲或適當改變。但是有一個領域,在縮減費用時一定要謹慎,就是IT安全領域。近日,英國政府表示“敵對勢力正在攻擊英國網絡”,而這將成為英國國家安全方面的重大威脅。任何企業如果打算在IT安全方面削減預算,一定要確保網絡安全足夠強壯,削減預算不會造成安全漏洞。英國政府也表示,會在網絡安全領域投入更多資金,總費用大約5億英鎊。但是好像因此獲益的企業并不多。
不過,在安全領域還是可以做一些適當的經費削減,從而減輕短期或中期的預算壓力同時也不會增加IT安全風險。比如,如今的企業都會將安全解決方案應用于桌面級和網絡級。
· 對于桌面級的安全解決方案來說,不能有任何經費削減。反病毒軟件必須保持及時更新,因為任何病毒的感染對企業來說都會帶來巨大的損失,這還不包括解決問題所損失的時間和數據泄漏風險等。
· 對于網絡級的安全方案來說,最重要的是確保企業的防火墻/IDS/IPS/UTM 工作正常,因為這是企業的第一道防御屏障。
由于廠商一直在鼓吹最新推出的產品有多么高科技多么安全,因此很多企業以前都是花大筆經費購買最先進的軟件或設備。而實際上,讓現有網絡工作的更安全更有效率,同時也可以延長設備使用周期的方法有很多。要實現這個目的,首先需要有一個可用的IP過濾測試方案。這類工具可以測試企業網絡的安全性,并將發現的潛在問題告知管理員。更好一些的工具還會直接給管理員提供解決安全問題的方案。在解決了IPS/IDS/UTM/ 防火墻之類的設備存在的問題后,企業就可以推遲更換此類設備的時間了。此類檢查應該定期進行,并且應該在相當大的范圍內進行。通過此類工具的使用,企業也可以降低聘用第三方進行外部滲透測試的成本,而后者不但耗時,而且價格昂貴。
通過IP過濾測試,企業可以明顯減少用于網絡測試的時間,從而將時間用于其它類型的測試,由于企業的技術人員可以進行此類測試,因此減少了支付給第三方技術顧問的經費。這是個省錢多辦事的好方法。
我們很難從一大堆虛構的故事中找出真實的部分,尤其是當這些故事是從政客嘴里講出來的時候。但是我們能看清一點,即在當前的經濟環境下,經費裁剪是不可避免的事實。另一個事實是,要提高安全性肯定需要投資,但是完全可以少花錢多辦事。
原文出處:http://security.zdnet.com.cn/security_zone/2011/1011/2060694.shtml
