实现内网安全,究竟是"管理为先"还是"技术为先"?对此,笔者近期采访了知名业界专家、企业代表、厂商专家,集结三方专家与您一起探讨"内网安全,何马当先"?
常言道"三分技术、七分管理",但是有人说"四分技术、六分管理",更有人说"二分技术、八分管理"。无论是技术多一分,还是管理多一分,可以看到大家对管理的偏重。三一重工股份有限公司研究总院信息化经理谭俊峰十分重视管理,他觉得实现内网安全需要"二分技术、八分管理"。在大企业中,技术解决的是局部问题。内部的很多问题在于沟通、体制执行不到位等,而非技术本身的问题。在推广方面,一个技术很难在大企业里全面推广,而管理则无界。所以在安全与管理的选择上,管理应当先于技术。
如此看来,技术是管理的辅助手段,管理更为重要,但是,凡事都没有绝对。例如安装移动存储介质管理系统对U盘、移动硬盘进行管理,这比通过管理手段去建表格去让使用者登记要现实得多,并且这个产品可以在较短时间内实施完毕,即刻解决企业难题。在这样的情景中,技术就显得比管理重要。游侠安全网站长张百川虽然赞同传统的"三分技术、七分管理"的说法,但是,他认为这种说法不能一概而论。所有企业的情况不一样,并不是所有企业都建立了完善的管理体系。企业难免在短期内无法运用管理手段去解决一些问题,在有些需要"救火"的情景中,运用技术手段则可以起到立竿见影的效果。
信息安全专家李洋博士表示技术与管理,孰重孰轻,的确不好辨明,不能一概而论,企业需要"两手抓"。"管理是从宏观上的把控,技术是实在的落地;技术以管理为指导,管理以技术为落脚点,因此两手都要要抓。"从安全的一些标准实现上来看,比如ISO270001等,都是从管理入手,而后落地到相应的技术上。制造业信息化专家黄培博士进一步点明了管理与技术"两手抓"的关系。"在企业的安全体系中,管理体系是主干,严格的管理制度、明确的职责划分、合理的人员配置能够堵住大部分的漏洞,大幅度降低安全风险。在执行的部分,技术就很重要了,企业需要一些安全技术来保证制度的执行,两相结合之下,企业就能构建起一个较好的内网安全体系。"郑州三全食品股份有限公司CIO周湘清对于管理与技术的关系也有独到看法,他认为管理是震慑、技术是防范。技术防范突发问题,而管理上的体制保证技术的落实和人为泄漏等方面对安全的威胁。
事实证明,几乎绝大部分技术存在的目的,都是为了解决实际出现的管理问题,甚至是部分管理流程的固化结果。技术的存在使得管理的初衷能够最终落地,而管理手段的存在,又在一定程度上弥补了纯粹依赖技术的僵硬性。二者都是缺一不可,不能简单用比例说明白。溢信科技产品总监黄凯的看法是,技术和管理在内网安全管理中所占的比例各自是多少,谁当先?这都是因企业而异的问题,没有完全标准的答案。以内网安全管理为例,企业可能为了满足数据保密、企业规范化管理、行为管理、系统运维等多种需求部署内网安全产品,而透明加密、防水墙、强审计、权限控制等技术就是为了满足上述的管理需要而产生的技术手段。再例如,很多桌面安全产品都需要在用户的机器上安装客户端,但由于国内的用户IT意识的不足,即使政策层面对此进行了明确,很多用户还是会不愿意安装或者偷偷卸掉,这时为了防止管理失效可以部署网关准入控制设备以使其与客户端联动,涉及到用户能否上网和使用内网资源的时候,用户就没有了选择。这些都是技术实现管理的鲜活例子,在这些例子中,技术与管理的比例并不能测算出来,简单的比例也说明不了二者之间的联系。
管理和技术谁为先的问题已经讨论了多年,在笔者多年对企业的走访中发现,不同企业对管理为先还是技术为先的选择大为不同。如上文溢信科技产品总监黄凯所说的那样,这个问题本没有标准的答案。笔者认为,纠结管理为先或者技术为先并没有必要,对技术的贬低或者热捧,对管理的漠视和过分看重都是不恰当的。
在中国的特殊的国情下,用户自觉遵从管理制度的意识仍然有待提高,很多时候,各项管理措施都要靠各种技术手段保证来落到实处,以防止管理被各种人际关系所架空。但另外一方面,单纯靠技术手段粗暴的进行管理,而不考虑用户的接受能力,以及对企业整体文化可能产生的不利影响,也有可能使得技术被消极对待,最终遭遇阻力甚至被闲置或弃用。管理者在考虑某项问题的对策时,应该以解决问题为基本出发点,综合利用技术手段和管理规章相配合,最终使问题得到合理的解决。总之,企业对管理和技术的运用,应地、应时比重可能都会不同,最重要是企业着眼于问题本身来把握。只要企业清楚认识到"两手抓",相信神马当先,都是浮云–重要的不是谁当先,重要的是二者要结合起来。