从管理的角度完善企业信息安全

    【IT168 专稿】企业从信息安全的管理上来说，有两种办法。一种是管理的方法，一种就是技术手段。

    目前信息安全的技术手段很多，如防病毒软件、防火墙，以及文档安全保护等都为技术手段。俗话说“七分管理，三分技术”。大家讲的安全技术，实际上在真正实施过程中，只可能用我们三分的精力，而七分的精力都会放到如何做到管理到位。安全管理内容非常多，涉及到各个方面。

    怎么安全体系，确保企业整个业务的连续性呢？在整个领域里面，从管理的思路来看，最重要因素就是“人”。人什么时候都是最重要的。人，我们怎么去管呢？通过政策，通过一些法律法规要求他，建立这种制度，用制度来约制这个人。因为人是不停在走，每个企业经常岗位上会有一定的交替，需要一些制度去管理，政策出来以后，就需要一些技术来保障，保障这个制度的执行，保障这个制度能真正对人起到作用。

    这是一种管理的思想。从这种思想出发，我们需要建立一套完整的安全体系。这个安全体系不是简单的将安全产品进行堆积，而是需要一个系统的建设，让它变成一个体系，且让这个体系能转起来。

    在安全的管理平台上，其中最重要一点就是要把安全的控制从一个黑盒子的过程，变成一个透明的玻璃盒子。这个怎么理解呢？就是一个防火墙，它在做一些事情，当然我们一般的人，其实看不到的，就像我们自己在用电脑一样，我们其实看不到防火墙在干什么，但是管理者需要知道这个事情，我们有一个办法，比如我可以登录上去，登录到这个防火墙上，看看它的配置策略怎么样，它是怎么配置的，然后再看看它的日至，它有什么攻击，被它过滤掉了，它经过什么操作。这些过程就是从不透明到透明的过程。当然还有很多相关的管理技术，都存在这样的问题。对于我们用户来看是一个黑盒子，我们想办法把它变透明，这样在整个管理过程中，包括企业的运维过程中，就会发现这样的机制会保障一个安全的运营。

    将企业的资产、风险、事件这三个要素与员工进行一一对应。即企业的资产状况怎么样，发生了哪些风险，包括出现了什么事件，这些都应该跟员工是一一的对应关系。只有这样的话，我们才能找到人。所有的过程、技术其实都是为了管理“人”，因为还是人的因素造成不安全，信息的不安全。一旦绑定以后，用户会发现企业所有的事情是跟员工绑在一起的。

    那么我们如何建立这个平台的架构呢？

    一些基本的产品、方法，有应用安全管理、网络安全管理，还有终端安全管理都要跟人绑定在一起，绑定完了以后，要使其成为统一化、可管理的系统。

    在安全问题中，监控非常重要，这可以让我们要能够及时上报事件。监控完成以后，需要审计。刚才在那个体系里面，有一个很重要的一点，就是它有一定的制度约束，所以这时候审计也是非常重要的一个事情。审计应该有一个统一的业务呈现的界面。就是上述提到的统一问题。为什么叫统一的安全管理平台？从统一的安全角度看，就透过一个入口，我们能看到所有安全的问题。

    这是安全管理具备两个维度。一个是技术维度，包括终端安全还有主机安全的一个管理。终端和主机之间通常会发生一个关系，这时候就会出现网络安全方面的需求。这个需求出来以后，它们之间有很多的交互，所以有一个数据安全的管理。数据安全出现以后，又会出现一些边界，所以有安全边界的管理，也要在这个体系下面体现。另一个维度是员工的行为管理，各个点上都会有员工的行为发生。

    安全管理实现的目标是什么呢？

    首先是一个整合。将全面的不同层面的安全产品进行系统整合，构建完整的安全体系。

    第二个就是一个融合，即将管理和技术进行融合，变成企业整体的信息安全。从管理上，技术上，变成了我们最终实现的一个手段、方法。

    最后一个是联动。企业已经实现了这些管理的机制，后续重要的步骤就是实现它，真正让它起效，使整个安全体系是智能的，安全的。可以抵御未知的安全威胁。

    目前企业在实施信息化安全时，可能面临的一些问题——

    外部威胁。这个威胁不仅仅是技术上的威胁，包括人为因素。现在各个公司竞争比较激烈，大家都严防自己的信息泄漏。企业负责人对安全的重视程度，是真正影响到这个企业是不是能真正实施这种安全，是不是真正能达到现在ISO2701的这种要求。

    所以我列了有三项，这些都是我们现在中国的企业面临的信息安全的一些问题。

    在安全管理平台实施过程中，需要注意四个环节。

    首先是终端安全。网络终端不能有病毒。

    其次应用系统是不是安全，这包括审计系统有没有建立起来，这些都是基本的要求。

    再次，综合管理要求把安全因素和员工进行完全对应绑定，并将众多产品进行推移整合。让各种各样的产品，不再是孤立的点，形成一套统一体系。

    最后一个就是持续改进。

    持续改进问题值得我们着重关注。因为它涉及到很多方面，不仅仅是我们的体系改进，管理方法的改进。重要的改进还有我们的终端安全是不是在更新，我们的技术是不是在更新。这个持续改进过程，从底下的基础技术，到管理层面，包括我们所搭建的安全管理信息平台，需具备各种监控手段、上报已经分析的能力，然而这些都需要持续演进的过程，所以企业对起信息安全进行一个总体的系统规划。

    在企业信息化发展过程中，若用从统一的角度来看，无论是统一通讯也好，还有安全也好，都需要有一种比较统一的机制去管理。因为对于企业的管理者来说，希望是一种统一的管理方式。通讯是通讯的管理方式，安全也有它安全的管理方式。企业为了更好的提高这种效率，高效的运转，安全需要一种管理的机制，通讯也是一种管理的机制。二者不同的就是处于两个维度上，但是最终目标是一致的——在统一架构下，为企业的信息化提供更好安全保障。