科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道CIO的网络安全“三大纪律”

CIO的网络安全“三大纪律”

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

企业的快速发展,使得很多企业对于信息化也是异常重视,投入了大量的资金和人力进行信息系统的建设和维护。

作者:ZDNet论坛 来源:ZDNet论坛 2008年12月3日

关键字: CIO 企业安全

  • 评论
  • 分享微博
  • 分享邮件

 

     企业的快速发展,使得很多企业对于信息化也是异常重视,投入了大量的资金和人力进行信息系统的建设和维护。不过,一直有一个奇怪的现象,那就是很多企业在购买服务器、交换机、网络存储设备等方面一掷千金,但是对于加强企业网络的管理安全措施方面却不是很积极,甚至可以说有些懈怠。这应该说是一种认识上的不到位,可能会有人认为这只是一个技术问题,实际上,网络安全更是一个管理问题。假如一个企业忽视网络安全管理,我们完全可以对企业的管理水平提出质疑。

  从当前的情况来看,很多企业没有养成主动维护系统安全的习惯,同时也缺乏安全方面良好的管理机制。对于合格的CIO来说,保证网络系统安全的第一步,首先要做到重视安全管理,绝对不能坐等问题出现,才扑上去“救火”。

  同样,网络安全当然不可能只倚靠CIO和信息化部门认识上的加强得以解决,相应的产品和技术也必不可少。譬如,防火墙等设备就如同网络上的大闸门,通过控制访问网络的权限,允许特许用户进出网络。再配合用户验证、虚拟专用网和入侵检测等技术和相应产品,将企业面临的网络风险降到最低。

  这里,我尝试将CIO对于网络安全管理的原则归纳为“三大纪律”。

  (1)加强体系

  企业信息化建设的展开,企业业务与IT系统的连接日渐紧密,使得网络安全成为诸多企业的严峻问题。安全体系的建立,涉及到管理和技术两个层面,而管理层面的体系建设是首当其冲的。

  虽然新的技术层出不穷,但是新的威胁和攻击手段也是不断出现,单纯依靠技术和产品保障企业信息安全虽然起到了一定效果,但是复杂多变的安全威胁和隐患靠产品难以消除。CIO应该把网络安全提升到管理的高度上实施,然后落实到技术层次上做好保障。

  CIO应该认识到,技术上的建设和加强只是网络安全的一方面,而且单纯的实现技术不是目的,技术只是围绕企业具体的工作业务来开展应用。从根本上来说,保障业务流程的网络安全,从而进一步促进IT在企业应用层面的拓展,才是企业和CIO应用安全技术最根本的目的。“三分技术、七分管理”,这句老话放在这里是再合适不过了。

  (2)规范管理

  我们可以这样说,网络行为的根本立足点,不是对设备的保护,也不是对数据的看守,而是规范企业内部员工的网络行为,这已经上升到了对人的管理的阶段。

  对于企业和CIO来说,势必应该通过技术设备和规章制度的结合,来指导、规范员工正确使用公司的网络资源。

  网络安全的根本政策,一定要包含内部的安全管理规范。举例来说,一些企业花费颇多购买了防火墙,但是那些已经离职的前员工,还是有可能通过某些漏洞入侵。

  对此,CIO必须为网络安全建立一套监督与使用的管理程序,并且在企业高层的支持下,全方位、彻底地加以执行,任何部门和个人都没有讨价还价的余地。

  (3)提高意识

  光依靠技术和管理,也不能完全解决安全问题,这是因为过了一段时间,一些先进的技术可能就过时了,或者被不怀好意的人发现了漏洞,因此CIO不能对网络安全有丝毫的懈怠,而是应该始终有高度的安全意识,重视企业的安全措施。

  面对不断袭来的安全威胁,除了购买安全产品、制订相应的网络管理规范以外,企业高层和CIO都应该向员工灌输这样的理念:“安全意识至高无上!”没有安全,企业运营在网络上的业务就只能堕入“皮之不存,毛将焉附”的悲惨境地。

  安全设施的建立只是企业信息安全的第一步,如何在安全体系中有效彻底的贯彻安全制度,以及不断深化全员安全意识才是关键所在。对于公司的全体员工,要让他们意识到,很多行为会导致严重的安全问题,包括:忽视系统补丁、浏览不良网站、随意下载和安装来历不明的软件等。防微方能杜渐,网络安全管理就是一点一滴做起来的。

  相应的细化策略和办法还有很多,但是在基本原则上都脱离不了上面的“三大纪律”,我在这里就不一一列举了。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章