實現(xiàn)內(nèi)網(wǎng)安全，究竟是"管理為先"還是"技術(shù)為先"？對此，筆者近期采訪了知名業(yè)界專家、企業(yè)代表、廠商專家，集結(jié)三方專家與您一起探討"內(nèi)網(wǎng)安全，何馬當(dāng)先"？

常言道"三分技術(shù)、七分管理"，但是有人說"四分技術(shù)、六分管理"，更有人說"二分技術(shù)、八分管理"。無論是技術(shù)多一分，還是管理多一分，可以看到大家對管理的偏重。三一重工股份有限公司研究總院信息化經(jīng)理譚俊峰十分重視管理，他覺得實現(xiàn)內(nèi)網(wǎng)安全需要"二分技術(shù)、八分管理"。在大企業(yè)中，技術(shù)解決的是局部問題。內(nèi)部的很多問題在于溝通、體制執(zhí)行不到位等，而非技術(shù)本身的問題。在推廣方面，一個技術(shù)很難在大企業(yè)里全面推廣，而管理則無界。所以在安全與管理的選擇上，管理應(yīng)當(dāng)先于技術(shù)。

如此看來，技術(shù)是管理的輔助手段，管理更為重要，但是，凡事都沒有絕對。例如安裝移動存儲介質(zhì)管理系統(tǒng)對U盤、移動硬盤進(jìn)行管理，這比通過管理手段去建表格去讓使用者登記要現(xiàn)實得多，并且這個產(chǎn)品可以在較短時間內(nèi)實施完畢，即刻解決企業(yè)難題。在這樣的情景中，技術(shù)就顯得比管理重要。游俠安全網(wǎng)站長張百川雖然贊同傳統(tǒng)的"三分技術(shù)、七分管理"的說法，但是，他認(rèn)為這種說法不能一概而論。所有企業(yè)的情況不一樣，并不是所有企業(yè)都建立了完善的管理體系。企業(yè)難免在短期內(nèi)無法運(yùn)用管理手段去解決一些問題，在有些需要"救火"的情景中，運(yùn)用技術(shù)手段則可以起到立竿見影的效果。

信息安全專家李洋博士表示技術(shù)與管理，孰重孰輕，的確不好辨明，不能一概而論，企業(yè)需要"兩手抓"。"管理是從宏觀上的把控，技術(shù)是實在的落地；技術(shù)以管理為指導(dǎo)，管理以技術(shù)為落腳點(diǎn)，因此兩手都要要抓。"從安全的一些標(biāo)準(zhǔn)實現(xiàn)上來看，比如ISO270001等，都是從管理入手，而后落地到相應(yīng)的技術(shù)上。制造業(yè)信息化專家黃培博士進(jìn)一步點(diǎn)明了管理與技術(shù)"兩手抓"的關(guān)系。"在企業(yè)的安全體系中，管理體系是主干，嚴(yán)格的管理制度、明確的職責(zé)劃分、合理的人員配置能夠堵住大部分的漏洞，大幅度降低安全風(fēng)險。在執(zhí)行的部分，技術(shù)就很重要了，企業(yè)需要一些安全技術(shù)來保證制度的執(zhí)行，兩相結(jié)合之下，企業(yè)就能構(gòu)建起一個較好的內(nèi)網(wǎng)安全體系。"鄭州三全食品股份有限公司CIO周湘清對于管理與技術(shù)的關(guān)系也有獨(dú)到看法，他認(rèn)為管理是震懾、技術(shù)是防范。技術(shù)防范突發(fā)問題，而管理上的體制保證技術(shù)的落實和人為泄漏等方面對安全的威脅。

事實證明，幾乎絕大部分技術(shù)存在的目的，都是為了解決實際出現(xiàn)的管理問題，甚至是部分管理流程的固化結(jié)果。技術(shù)的存在使得管理的初衷能夠最終落地，而管理手段的存在，又在一定程度上彌補(bǔ)了純粹依賴技術(shù)的僵硬性。二者都是缺一不可，不能簡單用比例說明白。溢信科技產(chǎn)品總監(jiān)黃凱的看法是，技術(shù)和管理在內(nèi)網(wǎng)安全管理中所占的比例各自是多少，誰當(dāng)先？這都是因企業(yè)而異的問題，沒有完全標(biāo)準(zhǔn)的答案。以內(nèi)網(wǎng)安全管理為例，企業(yè)可能為了滿足數(shù)據(jù)保密、企業(yè)規(guī)范化管理、行為管理、系統(tǒng)運(yùn)維等多種需求部署內(nèi)網(wǎng)安全產(chǎn)品，而透明加密、防水墻、強(qiáng)審計、權(quán)限控制等技術(shù)就是為了滿足上述的管理需要而產(chǎn)生的技術(shù)手段。再例如，很多桌面安全產(chǎn)品都需要在用戶的機(jī)器上安裝客戶端，但由于國內(nèi)的用戶IT意識的不足，即使政策層面對此進(jìn)行了明確，很多用戶還是會不愿意安裝或者偷偷卸掉，這時為了防止管理失效可以部署網(wǎng)關(guān)準(zhǔn)入控制設(shè)備以使其與客戶端聯(lián)動，涉及到用戶能否上網(wǎng)和使用內(nèi)網(wǎng)資源的時候，用戶就沒有了選擇。這些都是技術(shù)實現(xiàn)管理的鮮活例子，在這些例子中，技術(shù)與管理的比例并不能測算出來，簡單的比例也說明不了二者之間的聯(lián)系。

管理和技術(shù)誰為先的問題已經(jīng)討論了多年，在筆者多年對企業(yè)的走訪中發(fā)現(xiàn)，不同企業(yè)對管理為先還是技術(shù)為先的選擇大為不同。如上文溢信科技產(chǎn)品總監(jiān)黃凱所說的那樣，這個問題本沒有標(biāo)準(zhǔn)的答案。筆者認(rèn)為，糾結(jié)管理為先或者技術(shù)為先并沒有必要，對技術(shù)的貶低或者熱捧，對管理的漠視和過分看重都是不恰當(dāng)?shù)摹?/p>

在中國的特殊的國情下，用戶自覺遵從管理制度的意識仍然有待提高，很多時候，各項管理措施都要靠各種技術(shù)手段保證來落到實處，以防止管理被各種人際關(guān)系所架空。但另外一方面，單純靠技術(shù)手段粗暴的進(jìn)行管理，而不考慮用戶的接受能力，以及對企業(yè)整體文化可能產(chǎn)生的不利影響，也有可能使得技術(shù)被消極對待，最終遭遇阻力甚至被閑置或棄用。管理者在考慮某項問題的對策時，應(yīng)該以解決問題為基本出發(fā)點(diǎn)，綜合利用技術(shù)手段和管理規(guī)章相配合，最終使問題得到合理的解決?？傊?，企業(yè)對管理和技術(shù)的運(yùn)用，應(yīng)地、應(yīng)時比重可能都會不同，最重要是企業(yè)著眼于問題本身來把握。只要企業(yè)清楚認(rèn)識到"兩手抓"，相信神馬當(dāng)先，都是浮云--重要的不是誰當(dāng)先，重要的是二者要結(jié)合起來。

技術(shù)和管理都要抓，成本自然不在話下。那么安全的投資回報到底怎么算，安全到底是"花錢"還是"掙錢"，請關(guān)注"內(nèi)網(wǎng)安全"十年之"辯"系列之三 " 。