【首席信息官-讯】网络安全当然不可能只倚靠CIO和信息化部门认识上的加强得以解决,相应的产品和技术也必不可少。譬如,防火墙等设备就如同网络上的大闸门,通过控制访问网络的权限,允许特许用户进出网络。再配合用户验证、虚拟专用网和入侵检测等技术和相应产品,将企业面临的网络风险降到最低。
这里,我尝试将CIO对于网络安全管理的原则归纳为“三大纪律”。
(1)加强体系
企业信息化建设的展开,企业业务与IT系统的连接日渐紧密,使得网络安全成为诸多企业的严峻问题。安全体系的建立,涉及到管理和技术两个层面,而管理层面的体系建设是首当其冲的。
虽然新的技术层出不穷,但是新的威胁和攻击手段也是不断出现,单纯依靠技术和产品保障企业信息安全虽然起到了一定效果,但是复杂多变的安全威胁和隐患靠产品难以消除。CIO应该把网络安全提升到管理的高度上实施,然后落实到技术层次上做好保障。
CIO应该认识到,技术上的建设和加强只是网络安全的一方面,而且单纯的实现技术不是目的,技术只是围绕企业具体的工作业务来开展应用。从根本上来说,保障业务流程的网络安全,从而进一步促进IT在企业应用层面的拓展,才是企业和CIO应用安全技术最根本的目的。“三分技术、七分管理”,这句老话放在这里是再合适不过了。
(2)规范管理
我们可以这样说,网络行为的根本立足点,不是对设备的保护,也不是对数据的看守,而是规范企业内部员工的网络行为,这已经上升到了对人的管理的阶段。
对于企业和CIO来说,势必应该通过技术设备和规章制度的结合,来指导、规范员工正确使用公司的网络资源。
网络安全的根本政策,一定要包含内部的安全管理规范。举例来说,一些企业花费颇多购买了防火墙,但是那些已经离职的前员工,还是有可能通过某些漏洞入侵。
对此,CIO必须为网络安全建立一套监督与使用的管理程序,并且在企业高层的支持下,全方位、彻底地加以执行,任何部门和个人都没有讨价还价的余地。
(3)提高意识
光依靠技术和管理,也不能完全解决安全问题,这是因为过了一段时间,一些先进的技术可能就过时了,或者被不怀好意的人发现了漏洞,因此CIO不能对网络安全有丝毫的懈怠,而是应该始终有高度的安全意识,重视企业的安全措施。
面对不断袭来的安全威胁,除了购买安全产品、制订相应的网络管理规范以外,企业高层和CIO都应该向员工灌输这样的理念:“安全意识至高无上!”没有安全,企业运营在网络上的业务就只能堕入“皮之不存,毛将焉附”的悲惨境地。
安全设施的建立只是企业信息安全的第一步,如何在安全体系中有效彻底的贯彻安全制度,以及不断深化全员安全意识才是关键所在。对于公司的全体员工,要让他们意识到,很多行为会导致严重的安全问题,包括:忽视系统补丁、浏览不良网站、随意下载和安装来历不明的软件等。防微方能杜渐,网络安全管理就是一点一滴做起来的。