以数据安全管理为核心的内网安全思想已逐步得到市场的认可。除了传统的军队、军工等涉密单位之外,因为全球化竞争的加剧和企业知识产权保护意识的增强,数据保密工作在更广泛的领域正得到普及和重视。大量的企业、设计院所近年来基于运营管理的需要,尝试选择部署了一些内网安全产品,已期实现对敏感数据的全程风险管理
以数据安全管理为核心的内网安全思想已逐步得到市场的认可。除了传统的军队、军工等涉密单位之外,因为全球化竞争的加剧和企业知识产权保护意识的增强,数据保密工作在更广泛的领域正得到普及和重视。大量的企业、设计院所近年来基于运营管理的需要,尝试选择部署了一些内网安全产品,已期实现对敏感数据的全程风险管理。然而,从系统部署过程中反馈的问题和最终应用的效果分析,大量的项目并没有达到管理者预期的目标,个别项目甚至沦为了企业信息化的负面“典型”。
在讨论数据安全类软件应用过程中存在的问题之前,有必要对数据安全软件的价值属性进行准确的定位。针对当前市场上玲琅满目的各种内网安全软件,系统的称呼、技术标准等等都缺乏相关的标准规范,既有“洋务派”的舶来品,也有本土企业力推的一些模糊概念,还存在草根的系列说法。这种全行业的规范缺失,很大程度上导致市场的无序化。Chinasec数据安全专家认为,当前企业在数据保密领域所做的一切,可以归结为“数据安全风险管理”的范畴。这里面包含了多方面重要的内容。首先,内网安全关注的核心对象是数据,更精确的讲涉及的是组织的高度敏感性或者具备重大价值性的数据。其次系统关注的是这些价值数据在IT环境里的风险,这些风险包括数据遗失、损坏、篡改等广泛的涉及泄密方面的内容。最后,安全系统所提供的是一种管理手段和管理工具,通过系统的部署,致力于从管理的角度帮助组织解决面临的数据风险问题。着眼于从管理的角度思考内网安全系统的部署,则大量的问题得以理顺,进而得到用户、系统供应商和集成商的共同认可,在一个共同的认知范围内思考相关的问题。
在一次行业论坛会议上,以Chinasec为首的几家内网安全厂商纷纷对当前内网安全系统部署过程中暴露的问题给予了总结。专家们普遍认为,当前内网安全系统应用过程中存在的问题与ERP系统推广前期遇到的问题及其相似。用户期望值高,重视度不够,项目结案完整的少。更大的问题在于ERP是一项高度业务相关系统,其市场价值始终得到认可,而信息安全系统作为业务辅助系统,其市场价值始终处于附属的地位。概括而言,主要的问题集中体现在以下多个方面:
对部署内网安全系统在组织内的定位模糊。大量的客户仅仅将其作为一个小型的软件工具对待,认为其不过是一个监控内部网络和约束员工的网络管理工具。基于此认识,在系统的统筹管理和投入等方面普遍缺乏前瞻性考虑。
缺乏系统的规划。正因为不重视,兼以大量的企业信息中心人员的业务能力有限,缺乏大型信息化项目的组织管理能力,同时又没有足够的资金外聘专业的机构参与内部信息安全体系的规划,因此系统的立项、采购和后续的部署等管理环节都非常缺乏。常见的现象是拍脑袋决策,拍胸脯承诺,最终拍屁股走人。
缺乏管理层面的结合。重点体现在没有关键的管理人员参与,同时没有从管理的高度审视系统对业务的影响。以Chinasec实施的大量案例分析,除了少量上市公司和行业标杆企业外,大量客户仅仅是安排信息中心技术人员负责选型、测试、采购并部署。以这些人员在机构的驱动能力,必然远不能满足内网安全系统与内部业务管理相结合的需要,导致项目在推进过程中阻力重重。
没有实行风险分类,试图一蹴而就。一些因为安全事件驱动,仓促决策的企业在此方面表现尤为明显。因为缺乏对内网安全的充分了解和组织管理目标的认知,很多客户长期对此表现冷漠,一旦出现安全事件后,则又表现得异常的急切,试图在一朝一夕之间建成罗马。这种草率的做法导致的后果非常严重。从业内多家内网安全企业反馈的情况分析,基本上每家企业都会遇到不少类似的案例。
需求矛盾,平衡点的把握缺乏共识。安全与可用性之间始终是一对博弈的矛盾体。追求安全必然要牺牲一定的可行性。从专业角度分析,安全赋予企业和个体的就是一种约束,只不过这种约束的目的是正面的、积极的。正因为如此,企业在构建内部安全体系的过程中,需要有清醒的认识。在此前提下,安全管理团队能做的工作是如何与业务单位沟通,探讨建立一个合适的安全平衡点,以最大程度兼顾安全与可用的问题,尽可能使安全成为业务的促进者而非阻碍者。
克服上述内网安全项目实施过程中存在的问题,需要系统的规划项目的全过程。Chinasec内网安全专家基于长期的项目实施经验,向笔者谈了几点体会。
内网安全与传统的网络安全很大的差异性在于更多的关注内容的安全风险管理,可以理解为更多侧重于内容安全领域。项目实施过程中会不可避免涉及到组织管理流程的变更、岗位职能的重新定义。因此需要从管理咨询的角度重新梳理企业现有的组织结构设计和业务流程,使得信息安全风险管理融入组织业务流程中。“更多的将其作为管理的内容对待,而非单纯视为技术性问题”,Chinasec技术顾问特别重申了内网安全项目的管理属性。
内网安全从价值形态角度分析,是一个“业务相关”的系统。一些厂商所极力宣称的“业务无关”性更多意义上是一个技术实现上的概念。因为内网安全的核心是数据的风险管理,而数据随业务系统而生,后续流转、交换都与业务密切相关。因此从应用形态上讲,内网安全系统必然是一个“业务高度相关”的系统。让业务部门尽早参与到项目中来,有助于加强与业务部门的沟通,取得业务部门对系统实施的认同,尽早规避相关的实施阻力,避免让系统成为IT技术部门独立运作的内容。
传统有关“三分技术,七分管理”的安全思想,在内网安全的应用领域体现尤为明显。因为内网安全所涉及的主体,需要实现的安全目标等与组织的管理结合度更高,相应的对于管理的依存度也更高。从Chinasec参与实施的上千个典型案例分析,缺乏管理配套支持的项目,大多推进得异常艰难,系统应用的效果也不佳。
业务创新始终是组织发展的主导性问题。作为信息安全管理部门的职能,应该立足于服务组织的业务创新职能要求。
凡本网内容请注明来源:T媒体()”的所有原创作品,版权均属于易信视界(北京)信息科技有限公司所有,未经本网书面授权,不得转载、摘编或以其它方式使用上述作品。
本网书面授权使用作品的,应在授权范围内使用,并按双方协议注明作品来源。违反上述声明者,易信视界(北京)信息科技有限公司将追究其相关法律责任。