CIO的網絡安全「三大紀律」

CIO的網絡安全「三大紀律」

從當前的狀況來看，不少企業沒有養成主動維護系統安全的習慣，同時也缺少安全方面良好的管理機制。對於合格的 CIO 來講，保證網絡系統安全的第一步，首先要作到重視安全管理，絕對不能坐等問題出現，才撲上去 「 救火 」 。

　　企業的快速發展，使得不少企業對於信息化也是異常重視，投入了大量的資金和人力進行信息系統的建設和維護。不過，一直有一個奇怪的現象，那就是不少企業在購買服務器、交換機、網絡存儲設備等方面一擲千金，可是對於增強企業網絡的管理安全措施方面卻不是很積極，甚至能夠說有些懈怠。這應該說是一種認識上的不到位，可能會有人認爲這只是一個技術問題，實際上，網絡安全更是一個管理問題。假如一個企業忽視網絡安全管理，咱們徹底能夠對企業的管理水平提出質疑。

　　從當前的狀況來看，不少企業沒有養成主動維護系統安全的習慣，同時也缺少安全方面良好的管理機制。對於合格的CIO來講，保證網絡系統安全的第一步，首先要作到重視安全管理，絕對不能坐等問題出現，才撲上去「救火」。

　　一樣，網絡安全固然不可能只倚靠CIO和信息化部門認識上的增強得以解決，相應的產品和技術也必不可少。譬如，防火牆等設備就如同網絡上的大閘門，經過控制訪問網絡的權限，容許特許用戶進出網絡。再配合用戶驗證、虛擬專用網和***檢測等技術和相應產品，將企業面臨的網絡風險降到最低。

　　這裏，我嘗試將CIO對於網絡安全管理的原則概括爲「三大紀律」。

　　(1)增強體系

　　企業信息化建設的展開，企業業務與IT系統的鏈接日漸緊密，使得網絡安全成爲諸多企業的嚴峻問題。安全體系的創建，涉及到管理和技術兩個層面，而管理層面的體系建設是首當其衝的。

　　雖然新的技術層出不窮，可是新的威脅和***手段也是不斷出現，單純依靠技術和產品保障企業信息安全雖然起到了必定效果，可是複雜多變的安全威脅和隱患靠產品難以消除。CIO應該把網絡安全提高到管理的高度上實施，而後落實到技術層次上作好保障。

　　CIO應該認識到，技術上的建設和增強只是網絡安全的一方面，並且單純的實現技術不是目的，技術只是圍繞企業具體的工做業務來開展應用。從根本上來講，保障業務流程的網絡安全，從而進一步促進IT在企業應用層面的拓展，纔是企業和CIO應用安全技術最根本的目的。「三分技術、七分管理」，這句老話放在這裏是再合適不過了。

　　(2)規範管理

　　咱們能夠這樣說，網絡行爲的根本立足點，不是對設備的保護，也不是對數據的看守，而是規範企業內部員工的網絡行爲，這已經上升到了對人的管理的階段。

　　對於企業和CIO來講，勢必應該經過技術設備和規章制度的結合，來指導、規範員工正確使用公司的網絡資源。

　　網絡安全的根本政策，必定要包含內部的安全管理規範。舉例來講，一些企業花費頗多購買了防火牆，可是那些已經離職的前員工，仍是有可能經過某些漏洞***。

　　對此，CIO必須爲網絡安全創建一套監督與使用的管理程序，而且在企業高層的支持下，全方位、完全地加以執行，任何部門和我的都沒有討價還價的餘地。

　　(3)提升意識

　　光依靠技術和管理，也不能徹底解決安全問題，這是由於過了一段時間，一些先進的技術可能就過期了，或者被不懷好意的人發現了漏洞，所以CIO不能對網絡安全有絲毫的懈怠，而是應該始終有高度的安全意識，重視企業的安全措施。

　　面對不斷襲來的安全威脅，除了購買安全產品、制訂相應的網絡管理規範之外，企業高層和CIO都應該向員工灌輸這樣的理念：「安全意識至高無上!」沒有安全，企業運營在網絡上的業務就只能墮入「皮之不存，毛將焉附」的悲慘境地。

　　安全設施的創建只是企業信息安全的第一步，如何在安全體系中有效完全的貫徹安全制度，以及不斷深化全員安全意識才是關鍵所在。對於公司的全體員工，要讓他們意識到，不少行爲會致使嚴重的安全問題，包括：忽視系統補丁、瀏覽不良網站、隨意下載和安裝來歷不明的軟件等。防微方能杜漸，網絡安全管理就是一點一滴作起來的。

　　相應的細化策略和辦法還有不少，可是在基本原則上都脫離不了上面的「三大紀律」，我在這裏就不一一列舉了。