技术、管理双管齐下 内网安全不浮云

常言道“三分技术、七分管理”,但是有人说“四分技术、六分管理”,更有人说“二分技术、八分管理”。无论是技术多一分,还是管理多一分,可以看到大家对管理的偏重。在大企业中,技术解决的是局部问题。内部的很多问题在于沟通、体制执行不到位等,而非技术本身的问题。在推广方面,一个技术很难在大企业里全面推广,而管理则无界。

如此看来,技术是管理的辅助手段,管理更为重要,但是,凡事都没有绝对。例如安装移动存储介质管理系统对U盘、移动硬盘进行管理,这比通过管理手段去建表格去让使用者登记要现实得多,并且这个产品可以在较短时间内实施完毕,即刻解决企业难题。在这样的情景中,技术就显得比管理重要。游侠安全网站长张百川虽然赞同传统的“三分技术、七分管理”的说法,但是,他认为这种说法不能一概而论。所有企业的情况不一样,并不是所有企业都建立了完善的管理体系。企业难免在短期内无法运用管理手段去解决一些问题,在有些需要“救火”的情景中,运用技术手段则可以起到立竿见影的效果。

信息安全专家李洋博士表示技术与管理,孰重孰轻,的确不好辨明,不能一概而论,企业需要“两手抓”。“管理是从宏观上的把控,技术是实在的落地;技术以管理为指导,管理以技术为落脚点,因此两手都要抓。”从安全的一些标准实现上来看,比如ISO270001等,都是从管理入手,而后落地到相应的技术上。e-works总编黄培博士进一步点明了管理与技术“两手抓”的关系。“在企业的安全体系中,管理体系是主干,严格的管理制度、明确的职责划分、合理的人员配置能够堵住大部分的漏洞,大幅度降低安全风险。在执行的部分,技术就很重要了,企业需要一些安全技术来保证制度的执行,两相结合之下,企业就能构建起一个较好的内网安全体系。

事实证明,几乎绝大部分技术存在的目的,都是为了解决实际出现的管理问题,甚至是部分管理流程的固化结果。技术的存在使得管理的初衷能够最终落地,而管理手段的存在,又在一定程度上弥补了纯粹依赖技术的僵硬性。二者都是缺一不可,不能简单用比例说明白。溢信科技产品总监黄凯的看法是,技术和管理在内网安全管理中所占的比例各自是多少,谁当先?这都是因企业而异的问题,没有完全标准的答案。以内网安全管理为例,企业可能为了满足数据保密、企业规范化管理、行为管理、系统运维等多种需求部署内网安全产品,而透明加密、防水墙、强审计、权限控制等技术就是为了满足上述的管理需要而产生的技术手段。为了防止管理失效可以部署网关准入控制设备以使其与客户端联动,涉及到用户能否上网和使用内网资源的时候,用户就没有了选择。这些都是技术实现管理的鲜活例子,技术与管理的比例并不能测算出来,简单的比例也说明不了二者之间的联系。

很多时候,各项管理措施都要靠各种技术手段保证来落到实处,以防止管理被各种人际关系所架空。但另外一方面,单纯靠技术手段粗暴的进行管理,而不考虑用户的接受能力,以及对企业整体文化可能产生的不利影响,也有可能使得技术被消极对待,最终遭遇阻力甚至被闲置或弃用。管理者在考虑某项问题的对策时,应该以解决问题为基本出发点,综合利用技术手段和管理规章相配合,最终使问题得到合理的解决。总之,企业对管理和技术的运用,应地、应时比重可能都会不同,最重要是企业着眼于问题本身来把握。只要企业清楚认识到“两手抓”,相信神马当先,都是浮云——重要的不是谁当先,重要的是二者要结合起来。