邵江宁:企业安全团队建设之道

2009-12-4     作者:王莹   编辑:乐乐   转载自:比特网     点击进入论坛
关键词:邵江宁  CIO  信息安全

  安全是企业信息化建设永恒的主题,本期《CIO百家讲坛》我们请到的嘉宾摩托罗拉(中国)电子有限公司亚太信息安全保护部网络与信息安全经理邵江宁,将和大家一起聊聊企业信息安全建设与规划。

  以下是访谈的精彩观点:

  主持人:我觉得有四个要素人、流程、软件和硬件,我想请教一下邵经理,在这个团队建设过程中,我们发展经历了怎样的一个历程?从单人到多人,到整个团队,甚至说这个集团我不知道可能是不是各集团公司有一个数据采集的任务来负责这一块儿,在这个过程中是怎么过渡过来的,另外,从人少到人多这个过程,还有一个是从国内到国外的相互协调,团队之间的协调配合的过程。

  摩托罗拉(中国)电子有限公司亚太信息安全保护部网络与信息安全经理邵江宁访谈现场

  邵江宁:我觉得刚才安全四要素总结的非常好,我们确实有这么四个要素的互动,企业的安全团队的建设,确实也是随着行业的发展,随着风险的变化,随着技术的进步,逐渐又延伸着。最早的时候,可能公司内部要提安全人员的话,尤其是在IT安全人员这一块儿,它可能就是一个普通的管理员的角色,那他会在日常的普通的系统,系统普通管理的过程中,会关注一部分安全的要素,比如说系统的一些基本的安全的参数设定,还有系统的一些比如审计或者是监管,还有偶发性的一些安全事件这些小反应,安全的责任在身,总体上来说还是一个IT的普通的运营和管理的一个人员,那么他还不是一个专业的安全管理工作者。后面也发现就是说,随着互联网技术的发展,网络技术的发展,我们在这个网络时代,面临着越来越多的安全挑战,首先第一个比较大的挑战,到今天还没有能够完全攻克的一件事情,一个危险就是病毒,从最初的单机版的病毒,比如说通过一些media-存储媒体,比如说最常见的是软盘,软驱。到后面网络时代,通过网络版的一些不同的网络运营程序而蔓延出来的,通过电子邮件,蔓延出来的,通过我们所说的message蔓延出来的,那么通过越来越多,其他的网络运用程序的蔓延出来的病毒越来越多,那么发现,如果把这个安全的责任仅仅放在一个独立的、普通的IT管理人员的角度上来说,对他来说是有一点不负重负,因为他所缺的是站在一个企业的级别,站在企业全局的角度上来做这个安全事件的响应,来协调各个不同的IT管理人员,协调不同的计算机网络最终的用户,一同来应对安全事件。对于一个最普通的管理人员来说,它不具备这样的能力,不具备这样资源的调控这样的一个管理的职责,所以逐渐大家把这个安全从普通IT管理人员的身上逐渐把他提升到一个单独的角色,变成了企业安全信息和管理员这么一个职责。但是,尽管有这样的一个职责,但是IT管理人员,普通的系统管理人员,还具备执行这个信息和网络安全管理的日常的职责,那么只是说,有网络安全信息管理部门来总体协调,规划应对企业级的安全的事件,在互联互通的角度上来说,从互联互通的角度上来说,如果企业内部是一张大网,那么为了保证它的信息流和各种各样的管理人员系统,能够正常地运转,在一个楼里面,或者是一个用户发生了事件,很难把它从普通用户角度上来考虑,实际上站在企业的角度上来考虑,因为蔓延的速度太快了,尤其是在21世纪以后,发生的这次重大的安全事件,比如说SKccew,你们把这样的一些蠕虫的病毒,给大家是一个眼界大开的经验教训,在几分钟之内,几千台的电脑,如果没有按照安全的政策,按照安全的best practice 然后去给它打补丁去设定一些安全防护措施,那么几千台电脑在几分钟之内就会被这些垃圾的病毒流量很容易就冲垮了,那么这个给大家的经验教训太大了。

  之后,一些大的公司,具备大的企业网络,甚至说在全球11家网站,它真正的意识到安全的投资,安全的规划投资在企业的层次上是很重要的,这样随着这个事件尘埃落定,很多公司,从这个IT部门就有一个比较高的信息安全或者是网络安全管理的一个部门,那么它在这一个时段,可能还是在CSO底下的一个职责,但是,已经具备独立的个人独立运算能力,它可以站在企业的角度上来规划,评估这个企业的风险,总体规划的接触,安全的接触架构,来总体协调,配备人员的资源,那么这就是我们安全,这个人员遇到的一个比较大的机遇,随后呢,就是又有一些大的安全事件的发生,给大家的经验教训,包括就是从过去的经验的总结发现应对一些新的更多的挑战,就是说我们企业内部可能会有一些,由于有不良企图的员工会有一些破坏行为,那么从这个角度上来说,还有外面有一些比较大的恐怖的行为,比如说一些在国外一些黑客,那么成团,在网络上虚拟组织起来,发动一个大规模的网络攻击这么一个角度来说,那么我需要一些新的思维,新的组织形式应对这样一些安全风险,很多的一些公司组织呢,安全功能,又提了一截,很多时候就把它统一在一个安全组织底下,把它统一安全组织底下,主要组织或者是说在其他的一些组织里面,比如说在大的一些银行里面,它有一些更广泛的职责,能够站在更大范围内调动更大的资源来应对企业挑战,总体来说,这两种组织的变化,确实是随着风险的日益的变化有这么一个引进的过程。

寻找产品:
姓       名: 电   话:
公       司: E-mail:
描       述: