CIO的網絡安全“三大紀律”
從當前的情況來看,很多企業沒有養成主動維護系統安全的習慣,同時也缺乏安全方面良好的管理機制。對於合格的CIO來說,保證網絡系統安全的第一步,首先要做到重視安全管理,絕對不能坐等問題出現,才撲上去“救火”。
企業的快速發展,使得很多企業對於信息化也是異常重視,投入了大量的資金和人力進行信息系統的建設和維護。不過,一直有一個奇怪的現象,那就是很多企業在購買服務器、交換機、網絡存儲設備等方面一擲千金,但是對於加強企業網絡的管理安全措施方面卻不是很積極,甚至可以說有些懈怠。這應該說是一種認識上的不到位,可能會有人認爲這只是一個技術問題,實際上,網絡安全更是一個管理問題。假如一個企業忽視網絡安全管理,我們完全可以對企業的管理水平提出質疑。
從當前的情況來看,很多企業沒有養成主動維護系統安全的習慣,同時也缺乏安全方面良好的管理機制。對於合格的CIO來說,保證網絡系統安全的第一步,首先要做到重視安全管理,絕對不能坐等問題出現,才撲上去“救火”。
同樣,網絡安全當然不可能只倚靠CIO和信息化部門認識上的加強得以解決,相應的產品和技術也必不可少。譬如,防火牆等設備就如同網絡上的大閘門,通過控制訪問網絡的權限,允許特許用戶進出網絡。再配合用戶驗證、虛擬專用網和***檢測等技術和相應產品,將企業面臨的網絡風險降到最低。
這裏,我嘗試將CIO對於網絡安全管理的原則歸納爲“三大紀律”。
(1)加強體系
企業信息化建設的展開,企業業務與IT系統的連接日漸緊密,使得網絡安全成爲諸多企業的嚴峻問題。安全體系的建立,涉及到管理和技術兩個層面,而管理層面的體系建設是首當其衝的。
雖然新的技術層出不窮,但是新的威脅和***手段也是不斷出現,單純依靠技術和產品保障企業信息安全雖然起到了一定效果,但是複雜多變的安全威脅和隱患靠產品難以消除。CIO應該把網絡安全提升到管理的高度上實施,然後落實到技術層次上做好保障。
CIO應該認識到,技術上的建設和加強只是網絡安全的一方面,而且單純的實現技術不是目的,技術只是圍繞企業具體的工作業務來開展應用。從根本上來說,保障業務流程的網絡安全,從而進一步促進IT在企業應用層面的拓展,纔是企業和CIO應用安全技術最根本的目的。“三分技術、七分管理”,這句老話放在這裏是再合適不過了。
(2)規範管理
我們可以這樣說,網絡行爲的根本立足點,不是對設備的保護,也不是對數據的看守,而是規範企業內部員工的網絡行爲,這已經上升到了對人的管理的階段。
對於企業和CIO來說,勢必應該通過技術設備和規章制度的結合,來指導、規範員工正確使用公司的網絡資源。
網絡安全的根本政策,一定要包含內部的安全管理規範。舉例來說,一些企業花費頗多購買了防火牆,但是那些已經離職的前員工,還是有可能通過某些漏洞***。
對此,CIO必須爲網絡安全建立一套監督與使用的管理程序,並且在企業高層的支持下,全方位、徹底地加以執行,任何部門和個人都沒有討價還價的餘地。
(3)提高意識
光依靠技術和管理,也不能完全解決安全問題,這是因爲過了一段時間,一些先進的技術可能就過時了,或者被不懷好意的人發現了漏洞,因此CIO不能對網絡安全有絲毫的懈怠,而是應該始終有高度的安全意識,重視企業的安全措施。
面對不斷襲來的安全威脅,除了購買安全產品、制訂相應的網絡管理規範以外,企業高層和CIO都應該向員工灌輸這樣的理念:“安全意識至高無上!”沒有安全,企業運營在網絡上的業務就只能墮入“皮之不存,毛將焉附”的悲慘境地。
安全設施的建立只是企業信息安全的第一步,如何在安全體系中有效徹底的貫徹安全制度,以及不斷深化全員安全意識才是關鍵所在。對於公司的全體員工,要讓他們意識到,很多行爲會導致嚴重的安全問題,包括:忽視系統補丁、瀏覽不良網站、隨意下載和安裝來歷不明的軟件等。防微方能杜漸,網絡安全管理就是一點一滴做起來的。
相應的細化策略和辦法還有很多,但是在基本原則上都脫離不了上面的“三大紀律”,我在這裏就不一一列舉了。