以數(shù)據(jù)安全管理為核心的內(nèi)網(wǎng)安全思想已逐步得到市場的認(rèn)可。除了傳統(tǒng)的軍隊、軍工等涉密單位之外，因為全球化競爭的加劇和企業(yè)知識產(chǎn)權(quán)保護意識的增強，數(shù)據(jù)保密工作在更廣泛的領(lǐng)域正得到普及和重視。大量的企業(yè)、設(shè)計院所近年來基于運營管理的需要，嘗試選擇部署了一些內(nèi)網(wǎng)安全產(chǎn)品，已期實現(xiàn)對敏感數(shù)據(jù)的全程風(fēng)險管理。然而，從系統(tǒng)部署過程中反饋的問題和最終應(yīng)用的效果分析，大量的項目并沒有達到管理者預(yù)期的目標(biāo)，個別項目甚至淪為了企業(yè)信息化的負(fù)面“典型”。

一、定位數(shù)據(jù)安全風(fēng)險管理

　　在討論數(shù)據(jù)安全類軟件應(yīng)用過程中存在的問題之前，有必要對數(shù)據(jù)安全軟件的價值屬性進行準(zhǔn)確的定位。針對當(dāng)前市場上玲瑯滿目的各種內(nèi)網(wǎng)安全軟件，系統(tǒng)的稱呼、技術(shù)標(biāo)準(zhǔn)等等都缺乏相關(guān)的標(biāo)準(zhǔn)規(guī)范，既有“洋務(wù)派”的舶來品，也有本土企業(yè)力推的一些模糊概念，還存在草根的系列說法。這種全行業(yè)的規(guī)范缺失，很大程度上導(dǎo)致市場的無序化。Chinasec數(shù)據(jù)安全專家認(rèn)為，當(dāng)前企業(yè)在數(shù)據(jù)保密領(lǐng)域所做的一切，可以歸結(jié)為“數(shù)據(jù)安全風(fēng)險管理”的范疇。這里面包含了多方面重要的內(nèi)容。首先，內(nèi)網(wǎng)安全關(guān)注的核心對象是數(shù)據(jù)，更精確的講涉及的是組織的高度敏感性或者具備重大價值性的數(shù)據(jù)。其次系統(tǒng)關(guān)注的是這些價值數(shù)據(jù)在IT環(huán)境里的風(fēng)險，這些風(fēng)險包括數(shù)據(jù)遺失、損壞、篡改等廣泛的涉及泄密方面的內(nèi)容。最后，安全系統(tǒng)所提供的是一種管理手段和管理工具，通過系統(tǒng)的部署，致力于從管理的角度幫助組織解決面臨的數(shù)據(jù)風(fēng)險問題。著眼于從管理的角度思考內(nèi)網(wǎng)安全系統(tǒng)的部署，則大量的問題得以理順，進而得到用戶、系統(tǒng)供應(yīng)商和集成商的共同認(rèn)可，在一個共同的認(rèn)知范圍內(nèi)思考相關(guān)的問題。#p#

二、當(dāng)前系統(tǒng)應(yīng)用過程中暴露的問題

　　在賽迪傳媒組織的一次行業(yè)論壇會議上，以Chinasec為首的幾家內(nèi)網(wǎng)安全廠商紛紛對當(dāng)前內(nèi)網(wǎng)安全系統(tǒng)部署過程中暴露的問題給予了總結(jié)。專家們普遍認(rèn)為，當(dāng)前內(nèi)網(wǎng)安全系統(tǒng)應(yīng)用過程中存在的問題與ERP系統(tǒng)推廣前期遇到的問題及其相似。用戶期望值高，重視度不夠，項目結(jié)案完整的少。更大的問題在于ERP是一項高度業(yè)務(wù)相關(guān)系統(tǒng)，其市場價值始終得到認(rèn)可，而信息安全系統(tǒng)作為業(yè)務(wù)輔助系統(tǒng)，其市場價值始終處于附屬的地位。概括而言，主要的問題集中體現(xiàn)在以下多個方面：

　　對部署內(nèi)網(wǎng)安全系統(tǒng)在組織內(nèi)的定位模糊。大量的客戶僅僅將其作為一個小型的軟件工具對待，認(rèn)為其不過是一個監(jiān)控內(nèi)部網(wǎng)絡(luò)和約束員工的網(wǎng)絡(luò)管理工具。基于此認(rèn)識，在系統(tǒng)的統(tǒng)籌管理和投入等方面普遍缺乏前瞻性考慮。

　　缺乏系統(tǒng)的規(guī)劃。正因為不重視，兼以大量的企業(yè)信息中心人員的業(yè)務(wù)能力有限，缺乏大型信息化項目的組織管理能力，同時又沒有足夠的資金外聘專業(yè)的機構(gòu)參與內(nèi)部信息安全體系的規(guī)劃，因此系統(tǒng)的立項、采購和后續(xù)的部署等管理環(huán)節(jié)都非常缺乏。常見的現(xiàn)象是拍腦袋決策，拍胸脯承諾，最終拍屁股走人。

　　缺乏管理層面的結(jié)合。重點體現(xiàn)在沒有關(guān)鍵的管理人員參與，同時沒有從管理的高度審視系統(tǒng)對業(yè)務(wù)的影響。以Chinasec實施的大量案例分析，除了少量上市公司和行業(yè)標(biāo)桿企業(yè)外，大量客戶僅僅是安排信息中心技術(shù)人員負(fù)責(zé)選型、測試、采購并部署。以這些人員在機構(gòu)的驅(qū)動能力，必然遠不能滿足內(nèi)網(wǎng)安全系統(tǒng)與內(nèi)部業(yè)務(wù)管理相結(jié)合的需要，導(dǎo)致項目在推進過程中阻力重重。

　　沒有實行風(fēng)險分類，試圖一蹴而就。一些因為安全事件驅(qū)動，倉促決策的企業(yè)在此方面表現(xiàn)尤為明顯。因為缺乏對內(nèi)網(wǎng)安全的充分了解和組織管理目標(biāo)的認(rèn)知，很多客戶長期對此表現(xiàn)冷漠，一旦出現(xiàn)安全事件后，則又表現(xiàn)得異常的急切，試圖在一朝一夕之間建成羅馬。這種草率的做法導(dǎo)致的后果非常嚴(yán)重。從業(yè)內(nèi)多家內(nèi)網(wǎng)安全企業(yè)反饋的情況分析，基本上每家企業(yè)都會遇到不少類似的案例。

　　需求矛盾，平衡點的把握缺乏共識。安全與可用性之間始終是一對博弈的矛盾體。追求安全必然要犧牲一定的可行性。從專業(yè)角度分析，安全賦予企業(yè)和個體的就是一種約束，只不過這種約束的目的是正面的、積極的。正因為如此，企業(yè)在構(gòu)建內(nèi)部安全體系的過程中，需要有清醒的認(rèn)識。在此前提下，安全管理團隊能做的工作是如何與業(yè)務(wù)單位溝通，探討建立一個合適的安全平衡點，以最大程度兼顧安全與可用的問題，盡可能使安全成為業(yè)務(wù)的促進者而非阻礙者。#p#

三、從管理的角度重新審視現(xiàn)存的問題

　　克服上述內(nèi)網(wǎng)安全項目實施過程中存在的問題，需要系統(tǒng)的規(guī)劃項目的全過程。Chinasec內(nèi)網(wǎng)安全專家基于長期的項目實施經(jīng)驗，向筆者談了幾點體會。

　　1、 從管理的角度重視內(nèi)網(wǎng)安全

　　內(nèi)網(wǎng)安全與傳統(tǒng)的網(wǎng)絡(luò)安全很大的差異性在于更多的關(guān)注內(nèi)容的安全風(fēng)險管理，可以理解為更多側(cè)重于內(nèi)容安全領(lǐng)域。項目實施過程中會不可避免涉及到組織管理流程的變更、崗位職能的重新定義。因此需要從管理咨詢的角度重新梳理企業(yè)現(xiàn)有的組織結(jié)構(gòu)設(shè)計和業(yè)務(wù)流程，使得信息安全風(fēng)險管理融入組織業(yè)務(wù)流程中。“更多的將其作為管理的內(nèi)容對待，而非單純視為技術(shù)性問題”，Chinasec技術(shù)顧問特別重申了內(nèi)網(wǎng)安全項目的管理屬性。

　　2、 組建業(yè)務(wù)部門參與的項目小組

　　內(nèi)網(wǎng)安全從價值形態(tài)角度分析，是一個“業(yè)務(wù)相關(guān)”的系統(tǒng)。一些廠商所極力宣稱的“業(yè)務(wù)無關(guān)”性更多意義上是一個技術(shù)實現(xiàn)上的概念。因為內(nèi)網(wǎng)安全的核心是數(shù)據(jù)的風(fēng)險管理，而數(shù)據(jù)隨業(yè)務(wù)系統(tǒng)而生，后續(xù)流轉(zhuǎn)、交換都與業(yè)務(wù)密切相關(guān)。因此從應(yīng)用形態(tài)上講，內(nèi)網(wǎng)安全系統(tǒng)必然是一個“業(yè)務(wù)高度相關(guān)”的系統(tǒng)。讓業(yè)務(wù)部門盡早參與到項目中來，有助于加強與業(yè)務(wù)部門的溝通，取得業(yè)務(wù)部門對系統(tǒng)實施的認(rèn)同，盡早規(guī)避相關(guān)的實施阻力，避免讓系統(tǒng)成為IT技術(shù)部門獨立運作的內(nèi)容。

　　3、 針對風(fēng)險，從管理與技術(shù)的層面探討科學(xué)的解決方法

【編輯推薦】

1. MD5哈希漏洞成為高危Web安全漏洞
2. Web安全技術(shù)與防火墻
3. WedgeNetworks打造全球最佳Web安全網(wǎng)關(guān)