【51CTO.com原創(chuàng)稿件】看到廉哥那日冒著暴雨加臺風(fēng)去圖書館查閱資料，同事妹紙奚落道：“現(xiàn)在都是網(wǎng)絡(luò)時代了，你還老跑圖書館看那些過氣的資料，而且還是電腦方面的…”。看來，我倆的確是“從彼此的全世界路過”了。她怎會知道：就是圖書館里前人總結(jié)成文的資料和當(dāng)前網(wǎng)絡(luò)上前沿知識技能間存在著“斷點”，所以需要我這個一個小小電焊工，用我自己的經(jīng)驗作為“助熔劑”把它們?nèi)酆系揭黄穑ㄟ^二次加工，再分享出來。這叫“回首與前瞻的普拉斯(加號)”。

[[174568]]

閑言少敘，書接上回，我們繼續(xù)開聊。

網(wǎng)絡(luò)/系統(tǒng)/應(yīng)用

這些部門的人員主要運用專業(yè)技術(shù)來維護(hù)企業(yè)的信息安全，保持整個IT服務(wù)系統(tǒng)在健康穩(wěn)定的狀態(tài)下運作。

1. 從IT軟/硬件系統(tǒng)的設(shè)計、架設(shè)和維護(hù)方面對服務(wù)器，網(wǎng)絡(luò)，存儲設(shè)備，數(shù)據(jù)庫，目錄服務(wù)，中間件，網(wǎng)站以及各種應(yīng)用程序(包括財務(wù)/人事軟件)等進(jìn)行信息安全的管控。

一句話，這里是技術(shù)“大咖”的江湖，技術(shù)實力直接決定系統(tǒng)的安全等級。有興趣的朋友可以參考我前面第一part的系列漫談。批判式的接受哦。

2. 充當(dāng)“二線”人員，去處理由服務(wù)臺和“一線”運維和支持人員提升上來的安全事故。

說白了，就是充當(dāng)應(yīng)急處理小組，處理各種Troubleshoot之類的工作。

3. 及時更新各個服務(wù)器和網(wǎng)絡(luò)設(shè)備的系統(tǒng)補丁和病毒庫等。

“做好更新”應(yīng)該是IT運維的basic也是best practice，但我們也提防諸如微軟的有些補丁包會發(fā)生“烏龍”事件。比如我哥們他們單位去年底就發(fā)生了系統(tǒng)打好Office補丁后，Outlook 2013發(fā)出去的多附件的Word類型文件其內(nèi)容與文件名相互混淆的現(xiàn)象。沒辦法，IT只有打上針對補丁的補丁了。當(dāng)然，若干年前賽門鐵克誤刪啟動文件的事件，也必要在這兒重提了。

4. 根據(jù)企業(yè)的安全策略監(jiān)控網(wǎng)絡(luò)和系統(tǒng)資源的濫用與誤用情況，如有需要可以對員工運用即時通訊工具的聊天記錄等進(jìn)行敏感信息的偵察。

具體操作的可行性，一定要事先和公司的法務(wù)溝通哦，以免人家告你侵犯隱私，neng死你。另外，在實施上，最好是用第三方成品的監(jiān)控分析軟件。盡職免責(zé)是很重要的。

管理決策

IT管理決策層多由一個首席信息官和IT各子部門的帶頭人組成。正如亞歷山大大帝說過：“由獅子率領(lǐng)的羊，遠(yuǎn)勝由羊率領(lǐng)的獅子”。在實操中，往往他們與其他業(yè)務(wù)部門的代表一起組成信息安全委員會，履行如下職責(zé)：

1. 信息安全相關(guān)項目和服務(wù)變更的發(fā)起、規(guī)劃和管理。

在當(dāng)前各個企業(yè)里，各類管理人員基本上都受過項目管理的相關(guān)培訓(xùn)甚至已持有證書。因此在日常運行中融入項目制是司空見慣的。好的管理者要在項目的起始階段發(fā)揮重要作用。我只談我的一點感受：因為套用“馬斯洛需求層次”信息安全項目不同于一般的IT項目，它解決的不是“能不能用”的問題，而是“用著放不放心”的問題。因此任何信息安全相關(guān)的發(fā)起都要體現(xiàn)對業(yè)務(wù)的好處或是提升的價值。而且這種價值要能在企業(yè)內(nèi)部，至少是企業(yè)所有者所認(rèn)可和意識到的。而這將是你后期工作的根基。說過分一點：所有以業(yè)務(wù)為敵的信息安全項目都將以失敗告終。與其最后扼腕嘆息、名聲掃地，不如一開始就不要開展。

說到發(fā)起、規(guī)劃，我的腦子里突然想起柳傳志提到過的管理三要素：搭班子，定戰(zhàn)略，帶隊伍。而定戰(zhàn)略時要有一定的前瞻性，凡是周全考慮。IT技術(shù)日新月異，千萬不可禁錮發(fā)展的空間。很多系統(tǒng)初始設(shè)計的局限性是滯后才體現(xiàn)的。比如說最新技術(shù)可能帶有一些自身的安全漏洞，而這些與生俱來的fault可能會被另一種技術(shù)所迅速迭代了。所以我們不要盲從最新的技術(shù)，“且行且珍惜”，不然還會導(dǎo)致IT部門人員長期處于“布朗運動”的狀態(tài)，“累成狗”似的。可見，雖然身處發(fā)展前沿的IT框架下，我們信息安全管理者還是不要過于fashion，淡定，淡定啊!

2. 定期對整個系統(tǒng)進(jìn)行風(fēng)險識別、分析、評估和管理。

我們所規(guī)劃和維護(hù)的系統(tǒng)不能流于形式成為one-time job。就算一開始構(gòu)建得固若金湯，時過境遷，技術(shù)發(fā)展，內(nèi)外漏洞在不知不覺中滋長。因此不可小看定期評估與審計這種舶來品，曾子他老人家不是也經(jīng)常“日三省乎己”嗎?定期給自己的系統(tǒng)“抓虱子”吧，以免“千里之堤毀于蟻穴”。

3. 制定針對企業(yè)整體信息安全管理體系框架描述的信息安全的方針和手冊，完善并更新各種安全管理和操作的具體流程。

還記得《杜拉拉升職記》里提到的嗎：“你是先邁左腳，還是先邁右腳，都能在SOP(標(biāo)準(zhǔn)作業(yè)程序)里面找到答案”。所以說“雖然是人總會犯錯”，霸特，標(biāo)準(zhǔn)化流程化可以把各種誤操作降到最低。

4. 對供應(yīng)商和外包商進(jìn)行安全管理并對其合同進(jìn)行風(fēng)險約束。

正所謂“手中有糧心中不慌”，有了和他們的合同，你會覺得自己手中的硬件和服務(wù)資源充沛了許多。而且他們也無形中會有“一榮俱榮，一損俱損”的行業(yè)名聲連帶感。

5. 為信息安全的操作和管理提供支持，調(diào)配資源并定期審查這個系統(tǒng)的安全達(dá)標(biāo)情況。

我曾聽到過一位IT管理決策者向我坦言，他從基層人員慢慢自我提升上來，回首走過的路，發(fā)現(xiàn)以前做底層操作實施人員的時候，僅僅機器打交到反而是最簡單的，因為有明確的對與錯。而越往上走，越多的要和人打交，他發(fā)現(xiàn)可以遵循的“手冊”越少，面對形形色色的人員，特別是理科IT男的時候，要想實現(xiàn)“支持，調(diào)配資源”，真是好難，好難啊!(我這里可沒有詆毀wuli理科IT男的意思，雖然我自己也是。)而且因為你是領(lǐng)導(dǎo)，我們常說的要負(fù)有“領(lǐng)導(dǎo)責(zé)任”，所以該出來為屬下頂子彈或背鍋的時候，你可千萬別含糊哦。 “人在江湖飄、哪有不挨刀”的?

而說到定期審查達(dá)標(biāo)情況，除了policy的貫徹，第一手?jǐn)?shù)據(jù)還是來自于各種記錄(logs)。而不管是外審、內(nèi)審還是自己審，看的都是各種運營中的記錄哦。相信不少看官和我一樣是從微軟的Windows意識到log的魅力和重要性的吧?衍生這個概念，其實我們在做任何項目、任何系統(tǒng)的時候都要牢記記錄(包括各種check point data)。這又要說會到ITIL里提到的配置管理數(shù)據(jù)庫了，所以說如果你不夠前瞻性，那么就做好記錄，步步為營吧。那句話怎么說的“雷鋒叔叔只是把做的好事都記在日記本里了。”你該知道學(xué)習(xí)雷鋒有多么重要了吧?

外包人員

話說我們公司前幾年有個電話系統(tǒng)服務(wù)公司，他們會定期派服務(wù)工程師來我處維護(hù)，每次我都會拿出可樂雪碧等招待他們，記得有幾次一個毛頭小伙子，順手欲把開瓶喝了一半的可樂帶進(jìn)機房，被我制止了。不了過了一段時間，我居然在同行口中聽聞到了說我們公司摳門，連一口水都不給外包人員喝的謠言。這頓時讓我有種“我將真心照明月，奈何明月照溝渠”的心塞。

其實，企業(yè)在不增加固定人員成本的情況下，根據(jù)與第三方簽署的服務(wù)合同，外包人員定期以直接(如上門)或者是間接(如遠(yuǎn)程)的方式提供專業(yè)技術(shù)服務(wù)，這大概是時下“分享經(jīng)濟(jì)”早年的雛形吧。當(dāng)然，外包人員對于信息安全來說是把“雙刃劍”。從管理學(xué)來說，將信息安全的風(fēng)險進(jìn)行了分?jǐn)偤娃D(zhuǎn)嫁;而從運維角度看，卻可能有些技術(shù)斷層和重復(fù)投入(別急，下文有解釋)的可能。可見外包人員在對企業(yè)提供服務(wù)的同時應(yīng)當(dāng)做到如此幾點以保證該企業(yè)的信息安全：

1. 上門服務(wù)前，先聯(lián)系并告知企業(yè)接口人到訪的具體時間和工作內(nèi)容概述。

2. 出入企業(yè)辦公區(qū)域時應(yīng)接受必要的安全檢查。

3. 技術(shù)操作的全程接受接口人的陪同和值守(此處特指非常駐服務(wù)人員)。

4. 操作之前出示施工單;完成后填寫并提交接口人簽署完工單。

5. 有義務(wù)和責(zé)任不泄漏并保護(hù)該企業(yè)的信息和知識產(chǎn)權(quán)。

6. 建立例會制度，及時溝通和解決服務(wù)過程中雙方發(fā)現(xiàn)或碰到的問題。

我們再從業(yè)績考核的角度來看看。對于甲方來說，應(yīng)該注重的是下述兩點：

1. 進(jìn)場服務(wù)外包人員的服務(wù)時間的量化管理;

2. 人員的工作完成效率和滿意度評審。

作為甲方，應(yīng)當(dāng)在服務(wù)合同簽署之際就考慮制定短期甚至是中長期的對外包人員的類KPI考核標(biāo)準(zhǔn)，并保證執(zhí)行的客觀性。這邊有了第一手的數(shù)據(jù)，不但是對企業(yè)內(nèi)部管理層負(fù)責(zé)，對于各類外包商的整體“形象”也會有綜合評判。

說到評判外包商，每年甲方在談外包合同也要注意技巧，因為畢竟服務(wù)人員是由外包商所提供的，特別是那些按次服務(wù)，且到場人員不固定的合同，如果談合同的時候甲方只想著壓低價錢，所派過來的人員素質(zhì)和水平是可想而知的。我個人經(jīng)驗覺得根據(jù)整體行業(yè)或經(jīng)濟(jì)形勢給定一個增長幅度，再按照實際服務(wù)效果的反饋給予適當(dāng)?shù)募訙p足矣。這樣提供商也會在簽合同的時候心服口服的。

另外，從甲方企業(yè)自身來說應(yīng)當(dāng)采取兼容并包的“開門辦事”作風(fēng)。由于每個公司都有自己的管理風(fēng)格和控制流程，而企業(yè)IT主管雖談不上是“閉門造車”，外包服務(wù)提供商及其服務(wù)工程師則很少有機會參與客戶IT管理或決策。他們普遍淪為由企業(yè)IT主管傳達(dá)具體指令開展工作的“臨時工”。然而實際上，往往他們才是最了解用戶的需求、最善于給IT系統(tǒng)把脈的“痛點按摩師”。因此，我們何不多創(chuàng)造點機會將他們“請進(jìn)來”，或是凝聽或是QA，讓他們也能充分發(fā)揮主觀能動性。

當(dāng)然從員工個體來說，無論contractor和regular都是工作上的partner，愉快的一起“玩耍”很重要，不應(yīng)有什么貴賤之分。然而實際情況則是，對于駐現(xiàn)場的外包人員，常會有種蛋蛋的憂傷：一方面在服務(wù)公司出了問題時無人幫忙擔(dān)當(dāng)，team building、seminar基本沒有他們的份;另一方面，基本不進(jìn)自己母公司，就算偶爾回去辦事也處于“人我兩相忘”的狀態(tài)。還有些諸多因素，甚至是個人問題，都會導(dǎo)致外包人員一旦有改變的機會，他們很容易選擇跳槽。人員流失無疑對甲方和乙方企業(yè)都是風(fēng)險和影響。有句話說得很對“人才因為企業(yè)而進(jìn)行，卻因為老板而離開。”大家可以仔細(xì)品味一下其中的道理了。別問我怎么講得怎么仔細(xì)，哥曾經(jīng)就是光榮的一員，而且是“大寫加粗的”!

不過，我們也要警惕另外一種極端現(xiàn)象：就是那些外包界的“老炮兒”，他們反客為主，或是將技術(shù)“荒于嬉”、或是自恃牛掰，常將散漫態(tài)度帶到甲方現(xiàn)場。我就曾聽說有乙方外包人員，居然在甲方辦公室里上班期間溜輪滑，并把睡午覺叫做“與地面平行會兒”的。你這么能玩兒，“你咋不上天呢?”，這完全是在用慢性毒藥“自費武功”嘛!真心提醒這樣的外包人員，指不定哪天就有“接盤俠”的空降了。甲方不是傻瓜，丟卒保車好過全軍覆沒的道理他們清楚著呢。

總的說來，畢竟中國的外包企業(yè)實在沒法像國外那樣做得professional，由于面對簽署服務(wù)的企業(yè)增多，服務(wù)人員的流動，很難保持服務(wù)水平的一致性和延續(xù)性。所以企業(yè)自身應(yīng)當(dāng)要求外包方“完善流程，文檔儲備，實時更新，如實記錄，順暢溝通”這五個方面。

算上這一期，廉哥根據(jù)自己這些年來實際工作和操作的經(jīng)驗，花了3次和大家漫談了企業(yè)信息系統(tǒng)特別是安全治理環(huán)節(jié)中的人員管理的各個方面。正所謂“三分技術(shù)，七分管理”，管理的對象是人員，同時管理的主體還是人員;人員既是治理的基礎(chǔ)，也是治理的核心。因此只有通過動態(tài)發(fā)展的策略去“做足文章”，才能把信息安全的運維和治理做到有證可據(jù)、有約而循、有責(zé)可追、防范于未然。

有朋友可能會問：那巨廉哥接下來還和大家嘮嗑點別的什么嗎?我的回答是“確定一定以及肯定!”好了，末了，我套用的一句《機動戰(zhàn)士高達(dá)》的經(jīng)典彈屏來回答各位：“前方高能!”

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】