低预算下如何确保信息安全

在英国,前不久“政府公共债务创历史新高”成了讨论最多的话题。虽然这一说法引起了一些专家的质疑,表示债务并没有1920年和1960年时的水平高,那是政府负债率已经超过了100%GDP。事实上,这只是个公开记录的问题,在二战后,由于经济危机和政治危机,英国政府的负债率一度高达250%。而另一让政客们恼火的评论是说“英国政府的债务是全球最糟糕的。”不管怎样,我们要面对现实,相信首相不会有意误导民众的,对吧?不论目前英国的债务是否是历史最高,也不管是不是全球最差的债务情况,事实是英国每年所支付的债务利息就高达430亿英镑,这是英格兰全部学校一年的投入资金。因此不能再继续这样下去了,“政府必须瘦身”,再也不能过拆东墙补西墙的日子了。

事实上,一些削减计划已经实施了,更多的计划将接踵而至。去年10月20日,财政大臣George Osborne 给出了政府各个部门直到2014年的固定财务经费计划。在讲话中他表示,在未来四年,所有政府部门的平均预算将缩减19%。政府福利预算将削减70亿英镑,政策基金每年削减4个百分点。面对这个计划,我并不想说英国是个自私的国家,但是每个英国人都会想“这个计划对我会有什么影响?”

作为个人来说,这当然是个很重要的问题,但是现在还是让我们以一个IT部门经理的角色来思考这个问题吧,即目前面临的预算压力更大了,该如何利用更少的经费维持原先的服务水平呢?可能仅仅有少数幸运的企业没有受到政府削减预算所带来的影响。

那么,有没有可能在降低成本的同时实现相同品质的IT服务呢?

如果我说没可能,那是不是太令人失望了?所幸,答案是肯定的。不过在缩减个部门经费的时候要谨慎选择,不要影响到企业的关键任务。

举个例子,现在大部分企业所使用的电脑系统都是Windows平台。微软也在前段时间推出新一代Windows平台。新平台的功能和界面都要好于旧版本的系统,但是企业真的需要立刻购买新版本操作系统么?升级上千台终端的操作系统将耗费巨大的成本,这还没算上购买操作系统的成本,只是安装和重新培训员工如何使用新系统。而且这个工作可能会涉及到聘请外部的培训讲师或者更新硬件设备。推迟操作系统升级项目一两年,目前看来可以有效的缓解预算压力,除非新版操作系统带有企业非常急需的安全功能。同样,推迟对硬件设备的升级可以有效的实现中期成本节约。虽然最终该升级的还是要升级,但是可以尽量的推迟到经济条件更宽松的时候。减少外部咨询顾问支出,是降低成本中的大头。这并不意味着那些必须外部咨询顾问参与的工作就无法完成了。实际上,企业可以让咨询顾问分担预算减少所带来的压力,即重新协商咨询费用,提高顾问的效率,降低每小时的咨询成本。如果与顾问有长期合作关系,这个方案应该是可以实现的。

很明显,上面说到的那些项目都是可以进行预算裁剪的,各个企业也可以想想自己的实际情况,看看那些项目可以推迟或适当改变。但是有一个领域,在缩减费用时一定要谨慎,就是IT安全领域。近日,英国政府表示“敌对势力正在攻击英国网络”,而这将成为英国国家安全方面的重大威胁。任何企业如果打算在 IT安全方面削减预算,一定要确保网络安全足够强壮,削减预算不会造成安全漏洞。英国政府也表示,会在网络安全领域投入更多资金,总费用大约5亿英镑。但是好像因此获益的企业并不多。

不过,在安全领域还是可以做一些适当的经费削减,从而减轻短期或中期的预算压力同时也不会增加IT安全风险。比如,如今的企业都会将安全解决方案应用于桌面级和网络级。

· 对于桌面级的安全解决方案来说,不能有任何经费削减。反病毒软件必须保持及时更新,因为任何病毒的感染对企业来说都会带来巨大的损失,这还不包括解决问题所损失的时间和数据泄漏风险等。

· 对于网络级的安全方案来说,最重要的是确保企业的防火墙/IDS/IPS/UTM 工作正常,因为这是企业的第一道防御屏障。

由于厂商一直在鼓吹最新推出的产品有多么高科技多么安全,因此很多企业以前都是花大笔经费购买最先进的软件或设备。而实际上,让现有网络工作的更安全更有效率,同时也可以延长设备使用周期的方法有很多。要实现这个目的,首先需要有一个可用的IP过滤测试方案。这类工具可以测试企业网络的安全性,并将发现的潜在问题告知管理员。更好一些的工具还会直接给管理员提供解决安全问题的方案。在解决了IPS/IDS/UTM/ 防火墙之类的设备存在的问题后,企业就可以推迟更换此类设备的时间了。此类检查应该定期进行,并且应该在相当大的范围内进行。通过此类工具的使用,企业也可以降低聘用第三方进行外部渗透测试的成本,而后者不但耗时,而且价格昂贵。

通过IP过滤测试,企业可以明显减少用于网络测试的时间,从而将时间用于其它类型的测试,由于企业的技术人员可以进行此类测试,因此减少了支付给第三方技术顾问的经费。这是个省钱多办事的好方法。

我们很难从一大堆虚构的故事中找出真实的部分,尤其是当这些故事是从政客嘴里讲出来的时候。但是我们能看清一点,即在当前的经济环境下,经费裁剪是不可避免的事实。另一个事实是,要提高安全性肯定需要投资,但是完全可以少花钱多办事。