艷照門(mén)這一多米諾骨牌式的“大事件”,絕不亞于懸念大師希區(qū)柯克筆下任何一部偵探大片綿密推演后的驚悚與余韻繞梁,。君不見(jiàn),,事件始作俑者的偵緝與追剿,迄今依然是疑竇叢生,、神龍無(wú)尾,;偶像明星轟然間的形象崩盤(pán),不啻于又為向來(lái)飽受爭(zhēng)議的娛樂(lè)生態(tài)再次抹上一層厚重的灰色,;不雅照的網(wǎng)際瘋傳與熱捧,,乃至其間司法判例超乎想象的嚴(yán)厲與絕然,所影射的恰是當(dāng)今社會(huì)倫理,、法制等諸多領(lǐng)域隱然可見(jiàn)的真空與軟肋……這些,,都為艷照門(mén)這一充滿(mǎn)誘惑的伊甸園增添了無(wú)盡的看點(diǎn)與談資。 然而,,當(dāng)我們撥開(kāi)上述攝人心魄,、意欲迷離的重重迷霧,去追溯和反思艷照門(mén)東窗事發(fā)的孽緣與原罪時(shí),,卻倏然驚覺(jué):這何嘗又不是一座不設(shè)防的伊甸園——事主疏于防范的大意乃至無(wú)意識(shí)的漠然,,或許正是艷照門(mén)自擺烏龍間自釀苦酒的致命機(jī)樞。 在黑客當(dāng)?shù)�,、木馬肆虐的信息社會(huì),,伊甸園到失樂(lè)園的距離,或許只有鼠標(biāo)輕啟間電光火石般的時(shí)間漂移與悸動(dòng)。如何在e時(shí)代的背景下為企業(yè)信息安全拉起一幕全息化的天網(wǎng),,以構(gòu)筑起堅(jiān)如磐石的防火墻,,值得企業(yè)經(jīng)營(yíng)者們戰(zhàn)略性地深思和未雨綢繆地設(shè)計(jì)與執(zhí)行。 鋼鐵是這樣煉成的:企業(yè)信息安全的天網(wǎng)編織術(shù) 所謂信息安全管理(Information Security Management,,ISM),,是組織通過(guò)維護(hù)信息的機(jī)密性、完整性和可用性等特征,,來(lái)管理和保護(hù)組織所擁有的信息資產(chǎn)的一項(xiàng)體制。當(dāng)下,,信息安全事件頻發(fā)對(duì)于企業(yè)影響的直接體現(xiàn),,就在于IT服務(wù)管理需求的增長(zhǎng)與凸現(xiàn),以及IT部門(mén)角色的轉(zhuǎn)變及戰(zhàn)略地位的提升,。然而,,令信息安全管理者們倍覺(jué)尷尬的是,一方面,,其職責(zé)以實(shí)現(xiàn)企業(yè)信息安全的零風(fēng)險(xiǎn)為使命,,不可能像銷(xiāo)售經(jīng)理們那樣,可以憑借外顯的銷(xiāo)售額增長(zhǎng)作為其自詡的資本,;另一方面,,頗具諷刺和悖論意味的是,信息安全管理的價(jià)值卻往往只有在安全事例發(fā)生之后才能得到充分的證明與認(rèn)同,。“9·11”事件中,,當(dāng)Morgan Stanley 集團(tuán)和American Express等公司能在世貿(mào)中心遭受攻擊后數(shù)小時(shí)內(nèi)迅速恢復(fù)服務(wù)時(shí),沒(méi)有人懷疑災(zāi)難恢復(fù)計(jì)劃這一信息安全管理核心模塊的重要性,;SARS肆虐時(shí),,成功實(shí)施業(yè)務(wù)持續(xù)性計(jì)劃的亞信、摩托羅拉,、惠普等公司使人們看到,,面對(duì)這樣的重大災(zāi)害時(shí),企業(yè)怎樣才能借助信息安全管理體系的強(qiáng)力預(yù)警與規(guī)制,,避免束手無(wú)策,。 可見(jiàn),要想樹(shù)立穩(wěn)固的戰(zhàn)略地位,,信息安全管理者有必要首先向企業(yè)決策者們進(jìn)行自我價(jià)值的宣示與聲明:信息安全管理不只是“花錢(qián)”的部門(mén),,同時(shí)也是“省錢(qián)”的部門(mén),它在企業(yè)價(jià)值鏈條上扮演著重要的“看門(mén)人”角色,。通過(guò)制定具有針對(duì)性的信息安全投資回報(bào)計(jì)劃(圖1),,能夠有效提高信息安全的成本效益,從而為企業(yè)信息資產(chǎn)增值附加有力的籌碼。這里有一個(gè)認(rèn)識(shí)上的誤區(qū),,即我們總會(huì)下意識(shí)地認(rèn)為追求信息安全的零風(fēng)險(xiǎn)是天經(jīng)地義的,,但事實(shí)上,“適度防范”才是制定信息安全預(yù)算計(jì)劃時(shí)更可取的原則,。一般來(lái)說(shuō),,如果沒(méi)有特別的需要,信息安全的投入不應(yīng)超過(guò)信息化建設(shè)總投資額的15%,,過(guò)高的安全成本將使安全失去意義,。 就本質(zhì)而言,信息安全是管理問(wèn)題而非單純的技術(shù)問(wèn)題,,即“三分技術(shù),,七分管理”。這個(gè)在其他領(lǐng)域總結(jié)出來(lái)的實(shí)踐經(jīng)驗(yàn)和基本原則,,在信息安全領(lǐng)域也同樣適用,。有關(guān)部門(mén)統(tǒng)計(jì),在所有的計(jì)算機(jī)安全事件中,,約有52%是人為因素造成的,,25%由火災(zāi)、水災(zāi)等自然災(zāi)害引起,,技術(shù)錯(cuò)誤占10%,,組織內(nèi)部人員作案占10%,僅有3%左右是由外部不法人員的攻擊所造成,。簡(jiǎn)單歸類(lèi),,屬于管理方面的原因比重高達(dá)70%以上,而這些安全問(wèn)題中的95%是可以通過(guò)科學(xué)的信息安全管理加以避免的,。因此,,管理已成為信息安全保障能力的重要基礎(chǔ)。正如信息安全治理專(zhuān)家孫強(qiáng)先生所指出的:“技術(shù)本身實(shí)際上是信息安全體系里最不重要的部分,。不管一項(xiàng)技術(shù)有多先進(jìn),,都只不過(guò)是輔助實(shí)現(xiàn)信息安全的手段而已。我們并不是認(rèn)為技術(shù)不重要,,但在信息安全的架構(gòu)里,,它一定要建立在好的信息安全治理的基礎(chǔ)上,信息安全歸根到底是管理和治理層面的問(wèn)題,。” 秉承“以管理為主,,以技術(shù)為輔”的戰(zhàn)略理念,ING,,這家老牌的全球著名金融機(jī)構(gòu),,實(shí)施的正是與整個(gè)集團(tuán)公司治理機(jī)制相符合的全球性信息安全管理體系,,ING董事會(huì)一致視這種結(jié)合為其成功的基礎(chǔ)。ING信息安全管理機(jī)制的一個(gè)關(guān)鍵特性是在除了擁有信息安全技術(shù)做支持外,,著重于強(qiáng)化管理的執(zhí)行力,,在管理層面成立了一個(gè)獨(dú)立的信息安全指導(dǎo)委員會(huì),這個(gè)行動(dòng)既向ING董事會(huì)和高管層充分表明了信息安全的重要性和嚴(yán)肅性,,也為ING在全球提供了一個(gè)跨區(qū)域,、跨業(yè)務(wù)的關(guān)于信息安全工作的正式推進(jìn)機(jī)制。在這個(gè)定期舉辦的會(huì)議平臺(tái)上,,ING的董事們常常會(huì)問(wèn)到信息安全問(wèn)題,,而董事會(huì)成員有責(zé)任確保采取了提供答案的機(jī)制。同所有企業(yè)一樣,,有時(shí)答案回答起來(lái)令人不舒服,,但是至少觸及了信息安全問(wèn)題,還找到了答案,。同時(shí),ING的董事們深信:“不知即為福,,其實(shí)預(yù)示著災(zāi)難,。”管理上的“不知”,往往就是信息安全大堤崩潰的“蟻穴”,。ING這種“以管理為主,,以技術(shù)為輔”的信息安全管理信念,見(jiàn)微知著的理性而謹(jǐn)慎的信息安全管理態(tài)度,,正是其全球性信息安全管理的成功之道,。 同樣值得關(guān)注的是,當(dāng)今信息安全威脅已經(jīng)從外部轉(zhuǎn)向內(nèi)部,。根據(jù)美國(guó)洋基集團(tuán)一項(xiàng)針對(duì)北美和西歐600家公司的調(diào)查顯示,,2004年的信息安全問(wèn)題有5成源自?xún)?nèi)部,高于前一年的3成,。每年企業(yè)界動(dòng)輒投資上千萬(wàn)防毒防黑,,但企業(yè)防御失效的另一個(gè)容易被忽略的問(wèn)題卻是:來(lái)自員工、廠(chǎng)商或其他合法使用系統(tǒng)者的內(nèi)部濫用,。在漏洞攻擊愈來(lái)愈快速的今日,,有可能因?yàn)橐粋(gè)訪(fǎng)客攜入的計(jì)算機(jī)而癱瘓幾千萬(wàn)IT設(shè)備�,;谶@樣的客觀(guān)現(xiàn)實(shí),,企業(yè)在制定信息安全計(jì)劃時(shí)既要“向外看”,嚴(yán)防外部“恐怖分子”的襲擊,;更要“向內(nèi)看”,,堵死“內(nèi)鬼”作祟的無(wú)間道,。 從操作的層面上看,保護(hù)核心信息資產(chǎn),,加強(qiáng)信息資產(chǎn)傳遞渠道的管理,,通過(guò)建立與企業(yè)文化相適應(yīng)的安全體系,提高整個(gè)企業(yè)在信息安全管理上的執(zhí)行力,,即所謂的“護(hù)”,、“堵”、“執(zhí)行力”,,是有效提高企業(yè)信息安全水平的重要管理方法,。(見(jiàn)圖2) 以信息安全組織建設(shè)為例,在“9·11”事件以后,,為了加強(qiáng)對(duì)安全的統(tǒng)一管理,,在美國(guó)有一種把安全保衛(wèi)部門(mén)與信息安全部門(mén)合并的趨勢(shì),許多大公司設(shè)置一個(gè)首席安全官(Chief Security Officer)職位,,負(fù)責(zé)包括信息安全在內(nèi)的所有安全事務(wù),。摩托羅拉無(wú)疑是這一理念的身體力行者。 摩托羅拉的管理層認(rèn)為,,信息安全是其成長(zhǎng)目標(biāo)中重要的一環(huán),。摩托羅拉的信息安全管理機(jī)制,是通過(guò)管理層面的管理委員會(huì)和執(zhí)行層面的信息安全官實(shí)現(xiàn)的,。同時(shí),,摩托羅拉對(duì)安全事務(wù)的關(guān)注還反映在其組織結(jié)構(gòu)和角色分配上,反映在其治理安排(特別是架構(gòu)流程)中,,即自始至終將信息安全治理擺在戰(zhàn)略的優(yōu)先位置上,。 摩托羅拉首先成立了包括CIO(首席信息官)等高層主管在內(nèi)的管理委員會(huì),該委員會(huì)負(fù)責(zé)建立安全原則,,定義信息安全項(xiàng)目的優(yōu)先級(jí)別,,甚至將安全預(yù)算與其他IT預(yù)算區(qū)別開(kāi)來(lái)。安全辦公室的所有職員負(fù)責(zé)設(shè)計(jì),、構(gòu)建恰當(dāng)?shù)募軜?gòu)體系,,同時(shí)還要和負(fù)責(zé)IT架構(gòu)的人員一起,在企業(yè)級(jí)和部門(mén)級(jí)同時(shí)確保安全措施被嚴(yán)格地融合到架構(gòu)和應(yīng)用當(dāng)中,。公司在運(yùn)營(yíng)和產(chǎn)品兩方面都嚴(yán)格遵循著信息安全的有關(guān)規(guī)定,,這使得信息安全工作成為最高管理層所負(fù)責(zé)的事務(wù),并成為公司IT治理不可或缺的一部分,。CIO是公司高管層中的一員,,信息安全官則直接向CIO負(fù)責(zé),并作為CIO團(tuán)隊(duì)的一員參與每季度一次的管理委員會(huì)會(huì)議,。信息安全管理最關(guān)鍵的一個(gè)要素,,就是持續(xù)不斷的教育和意識(shí)養(yǎng)成,。安全官的職責(zé)就是協(xié)助最高管理層認(rèn)識(shí)到各種安全問(wèn)題爆發(fā)的可能性,以及這些隱患對(duì)業(yè)務(wù)的潛在影響,。在這些會(huì)議中,,安全官提出公司當(dāng)前所面臨的安全風(fēng)險(xiǎn),并給出幾個(gè)候選的解決方案,。 摩托羅拉所采取的這種基于安全的組織結(jié)構(gòu)設(shè)計(jì),,為企業(yè)如何根據(jù)自己的戰(zhàn)略目標(biāo)進(jìn)行信息安全管理提供了鮮活的樣板。摩托羅拉的治理安排,,確保了其與安全相關(guān)的事項(xiàng)成為期望行為的一部分,。正是憑借著卓越的公司治理和信息安全治理能力,摩托羅拉成功地從20世紀(jì)末全球通訊業(yè)的大蕭條中恢復(fù)過(guò)來(lái),。 不可否認(rèn),,盡管現(xiàn)代IT技術(shù)的發(fā)展可謂日新月異,但企業(yè)卻始終無(wú)法擺脫病毒侵襲,、惡意攻擊和其他安全隱患等問(wèn)題的困擾,。是被動(dòng)防御,還是主動(dòng)管理,?將考驗(yàn)企業(yè)經(jīng)營(yíng)者的戰(zhàn)略智慧與膽略,。長(zhǎng)期以來(lái),人們對(duì)保障信息安全的手段偏重于依靠技術(shù),,從早期的加密技術(shù)、數(shù)據(jù)備份,、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻,、入侵檢測(cè)、身份認(rèn)證等等,,可謂招事盡顯,,花樣百出。但如果不逾越被動(dòng)防御這一思維定勢(shì)的鴻溝,,任何現(xiàn)代信息安全技術(shù)與手段的換代更新,,終難免擺脫不了亦步亦趨的宿命,而被動(dòng)防御看似見(jiàn)招拆招的閑庭信步,,同樣難掩疲于應(yīng)付的窘迫與尷尬,。畢竟,病毒裂變與傳播的速率正以指數(shù)級(jí)的比率倍增,,而信息技術(shù)的發(fā)展,,則從另一個(gè)方向推動(dòng)企業(yè)構(gòu)建安全體系的復(fù)雜程度和成本不斷上升。要為企業(yè)找出切實(shí)有效并且能真正帶來(lái)實(shí)際價(jià)值的信息安全解決方案,,或許只有從主動(dòng)管理的方向去嘗試尋求新的答案,。 惠普率先提出“變被動(dòng)防御為主動(dòng)管理”的全新策略和方法,,包括主動(dòng)防范式的安全服務(wù)、身份安全管理,、信息安全管理,、信息安全集成、病毒與黑客防御等系列安全解決方案,,以此提升企業(yè)信息安全的臨界點(diǎn),。與亦步亦趨、缺乏戰(zhàn)略機(jī)動(dòng)性的被動(dòng)防御相比,,主動(dòng)管理恰似一記化干戈于端倪的“化骨綿掌”,,不給信息安全隱患留下任何成長(zhǎng)甚至萌芽的土壤。本著防范于未然,,主動(dòng)出擊的態(tài)勢(shì),,惠普通過(guò)采用主動(dòng)式安全管理手段、搭建可信賴(lài)的軟硬件平臺(tái),、實(shí)現(xiàn)全球異構(gòu)IT環(huán)境中連續(xù)性的身份認(rèn)證和訪(fǎng)問(wèn)控制,,幫助推動(dòng)企業(yè)用戶(hù)的安全體系,使其在有效性和業(yè)務(wù)促進(jìn)能力方面達(dá)到一個(gè)全新的水平,,從而幫助企業(yè)保持業(yè)務(wù)的可靠性和連續(xù)性,,并滿(mǎn)足法規(guī)要求。 一言以蔽之,,企業(yè)信息安全治理必須回歸管理的正途,。只有基于信息安全管理效能的發(fā)酵,才能實(shí)現(xiàn)它與“技術(shù)防火墻”,、“人力防火墻”的有機(jī)融合與相互支撐,,從而為企業(yè)信息安全打造一支不可戰(zhàn)勝的“天軍”。 (文章編號(hào):2080410,,收藏請(qǐng)編輯短信AA加文章編號(hào)發(fā)送至106613886619) (欄目編輯:袁航[email protected]) 更多資訊請(qǐng)關(guān)注銷(xiāo)售與市場(chǎng)微信公眾號(hào),。 責(zé)任編輯: 趙艷麗 責(zé)任校對(duì): 肖亞超 審核:徐昊晨 免責(zé)聲明:本網(wǎng)部分文章來(lái)源于第三方平臺(tái),不代表本網(wǎng)觀(guān)點(diǎn),,如有侵權(quán)請(qǐng)聯(lián)系我們刪除,! |
銷(xiāo)售與市場(chǎng)官方網(wǎng)站 ( 豫ICP備19000188號(hào)-5 )
GMT+8, 2024-12-25 11:06 , Processed in 0.034033 second(s), 19 queries .
Powered by 銷(xiāo)售與市場(chǎng)網(wǎng) 河南銷(xiāo)售與市場(chǎng)雜志社有限公司
© 1994-2021 sysyfmy.com