当前位置:安全行业动态 → 正文

在中国,企业IT安全牌应该怎么打?

责任编辑:editor006 作者: 张程程 |来源:企业网D1Net  2015-01-29 14:11:56 本文摘自:51CTO

西方有个段子叫“Dealt bad cards,played them well”,中文大意是“起了手臭牌,好好打就是了”,这句话拿来形容企业IT安全,特别是中国企业IT安全,特别熨帖。

在中国,企业IT安全牌应该怎么打?

和那些步子迈得比较大的前沿技术相称起来,安全技术的发展往往是不同步的,且平心而论,照比先进国家的IT安全建设,我们国家从意识、技术及法律方面都尚处于学生时代。而野蛮生长的网络犯罪更是不断敲打着各行各业的脆弱神经,实是防不胜防。

那么,就这么弃疗了?

显然不可能的。企业是社会创新的主力,也是最有能力对网络恶势力进行喊话的一方。面对技术发展不均衡、网络攻击常态化等诸多不利因素,企业所应做的就是尽可能利用现有资源,将拿到手的烂牌出好。其他的,尽人事,听天命。

折腾好过温水煮青蛙

首要一个就是关于企业安全风险意识的话题。老实讲,棱镜门事件引发的蝴蝶效应让网络安全上升到国家高度,而国内企业,特别是银行、电信等支柱行业领域的大企则已对安全问题分外敏感,这与国家主唱的自主可控密不可分,当然,也是一件件突发安全事件折腾教育的结果。总之,企业开始关注IT安全,这是一个好现象。

但还不够。在中国,开始关注是一回事儿,实际部署则又是另一回事儿。因为企业安全风险管理不是个立竿见影的活儿,若非出了事故,很难了解安全短板所在,自然也无从评判安全管理的效果。传统IT安全问题可以通过设备采购填补不足,但现在,已不能再孤立地看待安全问题了,盲目堆叠可能还会适得其反,影响效率,更何况你不能置那些财不大气不粗的企业于不顾。安全事件的发生会让需求变得明显,好过企业在威胁中不知不觉。

投资硬件安全还是软件安全

是硬件安全问题重要还是软件安全问题重要?其实都不是,没有安全问题比较重要。企业在安全事故中发现安全需求,才能更好地根据需求去拟定更有针对性的安全策略,做出更为理性的资源采购(这里的资源包括硬件和软件)。不过这里有个不平衡的问题,大型企业进行的硬件安全投资一般不在小企业的接受范围内。且随着硬件发展趋近峰值,开发者更倾向于寻求尚有发展前景的软件安全。

此外,技术的发展也给小企业带来一种介于中间道路的模式。过去一年,国内外均有大型互联网公司推出基于自身的计算、安全等资源的出租服务,一方面无需企业大动干戈,另一方面也可以享受到足够的服务和安全保障。且随着技术更迭速度的加快及市场环境的变化,硬件安全的价格将会拉低,这给企业的安全投资留了很大的余地。

注重人的因素 安全“联产承包”

现在中国的企业都在讲互联网化,抛去技术革新盈利模式这另一个领域的话题不谈,无非是线下与线上的资源整合,但追本溯源,企业构成自始至终都没有变——依旧是人。人是承担具体运作的主体,若有安全事故发生时,自然也应成为承担责任的主体。且在对事故进行事后分析时,恰恰发现很多时候是人为管理失误造成的;那么在机器学习大规模来临前,企业还是要重视对安全管理团队的培训及建设。

在这方面,先进国家已走得相对平稳。其企业除首席信息官(CIO)外,另设首席信息安全官(CISO),专门管理企业IT安全。这项职位不是空头将军,由其率领的安全团队对整个企业IT安全负责,出了事,也是责任到户,专项承担。反观国内企业,不少CIO的权责难分,更遑论CISO了。对于国内企业来说,将安全权责落到人头上是一个有待进行的重要课题。

若把国家、企业到用户整个生态系统的形成比作外循环,那么从安全战略制定、到采购再到安全维护则是企业内循环,短期内改变外循环很难,但企业可以从改变内循环开始,从而反哺外循环。有些安全损害是可以避免的,对企业来说,应当把那些能避免的先避免了,剩下的,交给时间。

关键字:IT安全策略安全建设

本文摘自:51CTO

x 在中国,企业IT安全牌应该怎么打? 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

在中国,企业IT安全牌应该怎么打?

责任编辑:editor006 作者: 张程程 |来源:企业网D1Net  2015-01-29 14:11:56 本文摘自:51CTO

西方有个段子叫“Dealt bad cards,played them well”,中文大意是“起了手臭牌,好好打就是了”,这句话拿来形容企业IT安全,特别是中国企业IT安全,特别熨帖。

在中国,企业IT安全牌应该怎么打?

和那些步子迈得比较大的前沿技术相称起来,安全技术的发展往往是不同步的,且平心而论,照比先进国家的IT安全建设,我们国家从意识、技术及法律方面都尚处于学生时代。而野蛮生长的网络犯罪更是不断敲打着各行各业的脆弱神经,实是防不胜防。

那么,就这么弃疗了?

显然不可能的。企业是社会创新的主力,也是最有能力对网络恶势力进行喊话的一方。面对技术发展不均衡、网络攻击常态化等诸多不利因素,企业所应做的就是尽可能利用现有资源,将拿到手的烂牌出好。其他的,尽人事,听天命。

折腾好过温水煮青蛙

首要一个就是关于企业安全风险意识的话题。老实讲,棱镜门事件引发的蝴蝶效应让网络安全上升到国家高度,而国内企业,特别是银行、电信等支柱行业领域的大企则已对安全问题分外敏感,这与国家主唱的自主可控密不可分,当然,也是一件件突发安全事件折腾教育的结果。总之,企业开始关注IT安全,这是一个好现象。

但还不够。在中国,开始关注是一回事儿,实际部署则又是另一回事儿。因为企业安全风险管理不是个立竿见影的活儿,若非出了事故,很难了解安全短板所在,自然也无从评判安全管理的效果。传统IT安全问题可以通过设备采购填补不足,但现在,已不能再孤立地看待安全问题了,盲目堆叠可能还会适得其反,影响效率,更何况你不能置那些财不大气不粗的企业于不顾。安全事件的发生会让需求变得明显,好过企业在威胁中不知不觉。

投资硬件安全还是软件安全

是硬件安全问题重要还是软件安全问题重要?其实都不是,没有安全问题比较重要。企业在安全事故中发现安全需求,才能更好地根据需求去拟定更有针对性的安全策略,做出更为理性的资源采购(这里的资源包括硬件和软件)。不过这里有个不平衡的问题,大型企业进行的硬件安全投资一般不在小企业的接受范围内。且随着硬件发展趋近峰值,开发者更倾向于寻求尚有发展前景的软件安全。

此外,技术的发展也给小企业带来一种介于中间道路的模式。过去一年,国内外均有大型互联网公司推出基于自身的计算、安全等资源的出租服务,一方面无需企业大动干戈,另一方面也可以享受到足够的服务和安全保障。且随着技术更迭速度的加快及市场环境的变化,硬件安全的价格将会拉低,这给企业的安全投资留了很大的余地。

注重人的因素 安全“联产承包”

现在中国的企业都在讲互联网化,抛去技术革新盈利模式这另一个领域的话题不谈,无非是线下与线上的资源整合,但追本溯源,企业构成自始至终都没有变——依旧是人。人是承担具体运作的主体,若有安全事故发生时,自然也应成为承担责任的主体。且在对事故进行事后分析时,恰恰发现很多时候是人为管理失误造成的;那么在机器学习大规模来临前,企业还是要重视对安全管理团队的培训及建设。

在这方面,先进国家已走得相对平稳。其企业除首席信息官(CIO)外,另设首席信息安全官(CISO),专门管理企业IT安全。这项职位不是空头将军,由其率领的安全团队对整个企业IT安全负责,出了事,也是责任到户,专项承担。反观国内企业,不少CIO的权责难分,更遑论CISO了。对于国内企业来说,将安全权责落到人头上是一个有待进行的重要课题。

若把国家、企业到用户整个生态系统的形成比作外循环,那么从安全战略制定、到采购再到安全维护则是企业内循环,短期内改变外循环很难,但企业可以从改变内循环开始,从而反哺外循环。有些安全损害是可以避免的,对企业来说,应当把那些能避免的先避免了,剩下的,交给时间。

关键字:IT安全策略安全建设

本文摘自:51CTO

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^