CIO的网络安全“三大纪律”
2009-07-20 13:34
886 查看
CIO的网络安全“三大纪律”
[align=left]从当前的情况来看,很多企业没有养成主动维护系统安全的习惯,同时也缺乏安全方面良好的管理机制。对于合格的CIO来说,保证网络系统安全的第一步,首先要做到重视安全管理,绝对不能坐等问题出现,才扑上去“救火”。 [/align][align=left] 企业的快速发展,使得很多企业对于信息化也是异常重视,投入了大量的资金和人力进行信息系统的建设和维护。不过,一直有一个奇怪的现象,那就是很多企业在购买服务器、交换机、网络存储设备等方面一掷千金,但是对于加强企业网络的管理安全措施方面却不是很积极,甚至可以说有些懈怠。这应该说是一种认识上的不到位,可能会有人认为这只是一个技术问题,实际上,网络安全更是一个管理问题。假如一个企业忽视网络安全管理,我们完全可以对企业的管理水平提出质疑。[/align]
[align=left] 从当前的情况来看,很多企业没有养成主动维护系统安全的习惯,同时也缺乏安全方面良好的管理机制。对于合格的CIO来说,保证网络系统安全的第一步,首先要做到重视安全管理,绝对不能坐等问题出现,才扑上去“救火”。[/align]
[align=left] 同样,网络安全当然不可能只倚靠CIO和信息化部门认识上的加强得以解决,相应的产品和技术也必不可少。譬如,防火墙等设备就如同网络上的大闸门,通过控制访问网络的权限,允许特许用户进出网络。再配合用户验证、虚拟专用网和***检测等技术和相应产品,将企业面临的网络风险降到最低。[/align]
[align=left] 这里,我尝试将CIO对于网络安全管理的原则归纳为“三大纪律”。[/align]
[align=left] (1)加强体系[/align]
[align=left] 企业信息化建设的展开,企业业务与IT系统的连接日渐紧密,使得网络安全成为诸多企业的严峻问题。安全体系的建立,涉及到管理和技术两个层面,而管理层面的体系建设是首当其冲的。[/align]
[align=left] 虽然新的技术层出不穷,但是新的威胁和***手段也是不断出现,单纯依靠技术和产品保障企业信息安全虽然起到了一定效果,但是复杂多变的安全威胁和隐患靠产品难以消除。CIO应该把网络安全提升到管理的高度上实施,然后落实到技术层次上做好保障。[/align]
[align=left] CIO应该认识到,技术上的建设和加强只是网络安全的一方面,而且单纯的实现技术不是目的,技术只是围绕企业具体的工作业务来开展应用。从根本上来说,保障业务流程的网络安全,从而进一步促进IT在企业应用层面的拓展,才是企业和CIO应用安全技术最根本的目的。“三分技术、七分管理”,这句老话放在这里是再合适不过了。[/align]
[align=left] (2)规范管理[/align]
[align=left] 我们可以这样说,网络行为的根本立足点,不是对设备的保护,也不是对数据的看守,而是规范企业内部员工的网络行为,这已经上升到了对人的管理的阶段。[/align]
[align=left] 对于企业和CIO来说,势必应该通过技术设备和规章制度的结合,来指导、规范员工正确使用公司的网络资源。[/align]
[align=left] 网络安全的根本政策,一定要包含内部的安全管理规范。举例来说,一些企业花费颇多购买了防火墙,但是那些已经离职的前员工,还是有可能通过某些漏洞***。[/align]
[align=left] 对此,CIO必须为网络安全建立一套监督与使用的管理程序,并且在企业高层的支持下,全方位、彻底地加以执行,任何部门和个人都没有讨价还价的余地。[/align]
[align=left] (3)提高意识[/align]
[align=left] 光依靠技术和管理,也不能完全解决安全问题,这是因为过了一段时间,一些先进的技术可能就过时了,或者被不怀好意的人发现了漏洞,因此CIO不能对网络安全有丝毫的懈怠,而是应该始终有高度的安全意识,重视企业的安全措施。[/align]
[align=left] 面对不断袭来的安全威胁,除了购买安全产品、制订相应的网络管理规范以外,企业高层和CIO都应该向员工灌输这样的理念:“安全意识至高无上!”没有安全,企业运营在网络上的业务就只能堕入“皮之不存,毛将焉附”的悲惨境地。[/align]
[align=left] 安全设施的建立只是企业信息安全的第一步,如何在安全体系中有效彻底的贯彻安全制度,以及不断深化全员安全意识才是关键所在。对于公司的全体员工,要让他们意识到,很多行为会导致严重的安全问题,包括:忽视系统补丁、浏览不良网站、随意下载和安装来历不明的软件等。防微方能杜渐,网络安全管理就是一点一滴做起来的。[/align]
[align=left] 相应的细化策略和办法还有很多,但是在基本原则上都脱离不了上面的“三大纪律”,我在这里就不一一列举了。[/align]
相关文章推荐
- 解析服务器安全的三大纪律
- CIO构建网络整体安全解决方案
- 华为聘请英国政府前CIO为首任全球网络安全官
- 盘点CIO关心的十大网络安全问题
- WLAN无线网络安全管理三大风险和***九式
- WLAN无线网络安全管理三大风险和攻防九式
- 网络安全已经成为安全领域的一个重要课题
- 网络安全学习笔记
- 国内网络安全风险评估市场与技术操作
- 安全运维之:网络性能评估工具Iperf详解
- 卡巴斯基:只有合作才能捍卫网络安全
- ATM 网络安全:解决方案、技术和规格--网络大典
- 宽带访问安全:电缆访问和 xDSL 线路--网络大典
- 应用层的通讯安全--网络大典
- 网络安全的自动检测与预警
- 以太网安全--网络大典
- 【android安全】之使用ssl验证保护网络数据传输安全。
- 智和网管:深入国产化需求,扎根网络运维安全 3ff0