从管理角度思考内网安全系统的部署

 以数据安全管理为核心的内网安全思想已逐步得到市场的认可。除了传统的军队、军工等涉密单位之外,因为全球化竞争的加剧和企业知识产权保护意识的增强,数据保密工作在更广泛的领域正得到普及和重视。大量的企业、设计院所近年来基于运营管理的需要,尝试选择部署了一些内网安全产品,已期实现对敏感数据的全程风险管理。然而,从系统部署过程中反馈的问题和最终应用的效果分析,大量的项目并没有达到管理者预期的目标,个别项目甚至沦为了企业信息化的负面“典型”。

一、定位数据安全风险管理

  在讨论数据安全类软件应用过程中存在的问题之前,有必要对数据安全软件的价值属性进行准确的定位。针对当前市场上玲琅满目的各种内网安全软件,系统的称呼、技术标准等等都缺乏相关的标准规范,既有“洋务派”的舶来品,也有本土企业力推的一些模糊概念,还存在草根的系列说法。这种全行业的规范缺失,很大程度上导致市场的无序化。Chinasec数据安全专家认为,当前企业在数据保密领域所做的一切,可以归结为“数据安全风险管理”的范畴。这里面包含了多方面重要的内容。首先,内网安全关注的核心对象是数据,更精确的讲涉及的是组织的高度敏感性或者具备重大价值性的数据。其次系统关注的是这些价值数据在IT环境里的风险,这些风险包括数据遗失、损坏、篡改等广泛的涉及泄密方面的内容。最后,安全系统所提供的是一种管理手段和管理工具,通过系统的部署,致力于从管理的角度帮助组织解决面临的数据风险问题。着眼于从管理的角度思考内网安全系统的部署,则大量的问题得以理顺,进而得到用户、系统供应商和集成商的共同认可,在一个共同的认知范围内思考相关的问题。#p#

二、当前系统应用过程中暴露的问题

  在赛迪传媒组织的一次行业论坛会议上,以Chinasec为首的几家内网安全厂商纷纷对当前内网安全系统部署过程中暴露的问题给予了总结。专家们普遍认为,当前内网安全系统应用过程中存在的问题与ERP系统推广前期遇到的问题及其相似。用户期望值高,重视度不够,项目结案完整的少。更大的问题在于ERP是一项高度业务相关系统,其市场价值始终得到认可,而信息安全系统作为业务辅助系统,其市场价值始终处于附属的地位。概括而言,主要的问题集中体现在以下多个方面:

  对部署内网安全系统在组织内的定位模糊。大量的客户仅仅将其作为一个小型的软件工具对待,认为其不过是一个监控内部网络和约束员工的网络管理工具。基于此认识,在系统的统筹管理和投入等方面普遍缺乏前瞻性考虑。

  缺乏系统的规划。正因为不重视,兼以大量的企业信息中心人员的业务能力有限,缺乏大型信息化项目的组织管理能力,同时又没有足够的资金外聘专业的机构参与内部信息安全体系的规划,因此系统的立项、采购和后续的部署等管理环节都非常缺乏。常见的现象是拍脑袋决策,拍胸脯承诺,最终拍屁股走人。

  缺乏管理层面的结合。重点体现在没有关键的管理人员参与,同时没有从管理的高度审视系统对业务的影响。以Chinasec实施的大量案例分析,除了少量上市公司和行业标杆企业外,大量客户仅仅是安排信息中心技术人员负责选型、测试、采购并部署。以这些人员在机构的驱动能力,必然远不能满足内网安全系统与内部业务管理相结合的需要,导致项目在推进过程中阻力重重。

  没有实行风险分类,试图一蹴而就。一些因为安全事件驱动,仓促决策的企业在此方面表现尤为明显。因为缺乏对内网安全的充分了解和组织管理目标的认知,很多客户长期对此表现冷漠,一旦出现安全事件后,则又表现得异常的急切,试图在一朝一夕之间建成罗马。这种草率的做法导致的后果非常严重。从业内多家内网安全企业反馈的情况分析,基本上每家企业都会遇到不少类似的案例。

  需求矛盾,平衡点的把握缺乏共识。安全与可用性之间始终是一对博弈的矛盾体。追求安全必然要牺牲一定的可行性。从专业角度分析,安全赋予企业和个体的就是一种约束,只不过这种约束的目的是正面的、积极的。正因为如此,企业在构建内部安全体系的过程中,需要有清醒的认识。在此前提下,安全管理团队能做的工作是如何与业务单位沟通,探讨建立一个合适的安全平衡点,以最大程度兼顾安全与可用的问题,尽可能使安全成为业务的促进者而非阻碍者。#p#

三、从管理的角度重新审视现存的问题

  克服上述内网安全项目实施过程中存在的问题,需要系统的规划项目的全过程。Chinasec内网安全专家基于长期的项目实施经验,向笔者谈了几点体会。

  1、 从管理的角度重视内网安全

  内网安全与传统的网络安全很大的差异性在于更多的关注内容的安全风险管理,可以理解为更多侧重于内容安全领域。项目实施过程中会不可避免涉及到组织管理流程的变更、岗位职能的重新定义。因此需要从管理咨询的角度重新梳理企业现有的组织结构设计和业务流程,使得信息安全风险管理融入组织业务流程中。“更多的将其作为管理的内容对待,而非单纯视为技术性问题”,Chinasec技术顾问特别重申了内网安全项目的管理属性。

  2、 组建业务部门参与的项目小组

  内网安全从价值形态角度分析,是一个“业务相关”的系统。一些厂商所极力宣称的“业务无关”性更多意义上是一个技术实现上的概念。因为内网安全的核心是数据的风险管理,而数据随业务系统而生,后续流转、交换都与业务密切相关。因此从应用形态上讲,内网安全系统必然是一个“业务高度相关”的系统。让业务部门尽早参与到项目中来,有助于加强与业务部门的沟通,取得业务部门对系统实施的认同,尽早规避相关的实施阻力,避免让系统成为IT技术部门独立运作的内容。

  3、 针对风险,从管理与技术的层面探讨科学的解决方法

【编辑推荐】

  1. MD5哈希漏洞成为高危Web安全漏洞
  2. Web安全技术与防火墙
  3. WedgeNetworks打造全球最佳Web安全网关

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/127141.html<

(0)
管理的头像管理
上一篇2025-02-24 13:09
下一篇 2025-02-24 13:11

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注