讓安全與管理比翼雙飛
隨着計算機技術的飛速發展,市場競爭的日益激烈,各大企業都將企業信息化作爲提高企業核心競爭力的一個手段。由於信息系統本身的脆弱性和複雜性,企業在大張旗鼓地增加科技投入的不同階段,遇到了不同的難題。大量的信息安全和管理問題,伴隨着計算機應用的拓展不斷涌現。
左右爲難的企業信息化
左右爲難的企業信息化
●向左走——安全問題
現在的IT世界已經不像以前那麼單純。虛擬的世界跟現實世界越來越接近,很多現實當中不好的地方,在虛擬世界都會出現,所以企業在安全方面投入越來越大。
讓我們來看一下安全防護的流程。一開始企業可能會花高價引進一批具備各種功能的安全軟件,然後把它們分別安裝到企業的桌面計算機上去。企業用戶並沒有就此養成定期升級和下載補丁的習慣。半年過去以後,原來幾百臺的裝機量可能因爲重裝系統等原因,只有在幾十臺機器上仍然正常運行着這些安全軟件。
試問,就算這些安全軟件的功能再強大,企業的IT系統安全是否真正得到保證了呢?答案顯然是否定的。因此,真正的系統安全絕不僅僅來自於技術和產品,它的實現還需要結合管理思想的安全方案。
●向右走——管理問題
隨着IT業的日益成熟,在整個IT費用中,硬件佔的比例越來越小,而管理和支持佔的比例不斷增大。管理、支持和軟件加起來佔了IT費用的70%,而當中只有6%是軟件的購買成本,最大的IT費用成本就是運維、管理和支持。
企業面臨的挑戰很多。在基礎架構方面,尤其在中國,國民經濟高速增長,IT投入越來越多。從過去有一個數據庫,到現在有很多的東西,比如CRM和ERP等,管理成本越來越高,也非常麻煩。企業IT投入的不斷增加導致了很多新問題,比如異構系統不兼容性的問題,還有現有平臺和將來平臺的兼容問題,過去IT的投入將來還可不可以用等。
走出被動防禦的“盲區”
未來安全問題不再是過去簡簡單單的一個病毒或者一個***,它將朝着更多元化的方向發展。對於企業而言,無論是數據失竊、郵件泄密還是網絡癱瘓,都將帶來巨大的損失。
越來越多的企業已經從被動式接受轉變爲主動防範。這種變化包含兩層意思:
一方面是企業意識的轉變。最初輕視信息安全,認爲安全管理是額外的投入,不能帶來任何收益,是IT建設的附屬品;之後開始接觸信息安全理念、產品以及技術,被動接受安全體系的建設,整個行業呈現出一片空前的信息安全建設熱潮;再到後來,泡沫逐漸消退,企業更加清醒地看待信息安全問題,隨着整個IT環境的變化以及需求的日益增強,企業開始認識到信息安全作爲企業生存與發展的重要支撐,必須走出固有的圈子,變被動爲主動,將其提升到與信息化建設同等重要的高度。全民動員,加大投資力度,從領導到基層共同參與安全網絡構建。這時,安全建設才真正成爲企業成長的助推器,完成了從企業發展的絆腳石到催化劑的轉變。
另一方面,信息安全“三分技術,七分管理”,安全與管理是企業信息安全的核心,企業建立了安全管理體系後,安全技術才能充分發揮它應有的作用。安全管理首先要建立一個健全、務實、有效的安全組織架構,明確架構成員的安全職責,這是企業安全管理得以實施、推廣的基礎;其次必須建立完善、可操作性強的安全管理制度,並嚴格執行。責權不明、管理混亂、安全管理制度不健全及缺乏可操作性等,都可能會引起安全管理的風險。如一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地,或者員工有意無意泄漏他們所知道的一些重要信息,而在管理上卻沒有相應制度來約束。所以需要一個管理、技術、人的參與三者融爲一體,有主觀意識參與的全方位解決方案做催化劑。