探索中国CIO人才现状 | 第四季调研报告
在中国,企业IT安全牌应该怎么打?
2015-02-01  来源:互联网

西方有个段子叫“Dealt bad cards,played them well”,中文大意是“起了手臭牌,好好打就是了”,这句话拿来形容企业IT安全,特别是中国企业IT安全,特别熨帖。

和那些步子迈得比较大的前沿技术相称起来,安全技术的发展往往是不同步的,且平心而论,照比先进国家的IT安全建设,我们国家从意识、技术及法律方面都尚处于学生时代。而野蛮生长的网络犯罪更是不断敲打着各行各业的脆弱神经,实是防不胜防。

那么,就这么弃疗了?

显然不可能的。企业是社会创新的主力,也是最有能力对网络恶势力进行喊话的一方。面对技术发展不均衡、网络攻击常态化等诸多不利因素,企业所应做的就是尽可能利用现有资源,将拿到手的烂牌出好。其他的,尽人事,听天命。

折腾好过温水煮青蛙

首要一个就是关于企业安全风险意识的话题。老实讲,棱镜门事件引发的蝴蝶效应让网络安全上升到国家高度,而国内企业,特别是银行、电信等支柱行业领域的大企则已对安全问题分外敏感,这与国家主唱的自主可控密不可分,当然,也是一件件突发安全事件折腾教育的结果。总之,企业开始关注IT安全,这是一个好现象。

但还不够。在中国,开始关注是一回事儿,实际部署则又是另一回事儿。因为企业安全风险管理不是个立竿见影的活儿,若非出了事故,很难了解安全短板所在,自然也无从评判安全管理的效果。传统IT安全问题可以通过设备采购填补不足,但现在,已不能再孤立地看待安全问题了,盲目堆叠可能还会适得其反,影响效率,更何况你不能置那些财不大气不粗的企业于不顾。安全事件的发生会让需求变得明显,好过企业在威胁中不知不觉。

投资硬件安全还是软件安全

是硬件安全问题重要还是软件安全问题重要?其实都不是,没有安全问题比较重要。企业在安全事故中发现安全需求,才能更好地根据需求去拟定更有针对性的安全策略,做出更为理性的资源采购(这里的资源包括硬件和软件)。不过这里有个不平衡的问题,大型企业进行的硬件安全投资一般不在小企业的接受范围内。且随着硬件发展趋近峰值,开发者更倾向于寻求尚有发展前景的软件安全。

此外,技术的发展也给小企业带来一种介于中间道路的模式。过去一年,国内外均有大型互联网公司推出基于自身的计算、安全等资源的出租服务,一方面无需企业大动干戈,另一方面也可以享受到足够的服务和安全保障。且随着技术更迭速度的加快及市场环境的变化,硬件安全的价格将会拉低,这给企业的安全投资留了很大的余地。

注重人的因素 安全“联产承包”

现在中国的企业都在讲互联网化,抛去技术革新盈利模式这另一个领域的话题不谈,无非是线下与线上的资源整合,但追本溯源,企业构成自始至终都没有变——依旧是人。人是承担具体运作的主体,若有安全事故发生时,自然也应成为承担责任的主体。且在对事故进行事后分析时,恰恰发现很多时候是人为管理失误造成的;那么在机器学习大规模来临前,企业还是要重视对安全管理团队的培训及建设。

在这方面,先进国家已走得相对平稳。其企业除首席信息官(CIO)外,另设首席信息安全官(CISO),专门管理企业IT安全。这项职位不是空头将军,由其率领的安全团队对整个企业IT安全负责,出了事,也是责任到户,专项承担。反观国内企业,不少CIO的权责难分,更遑论CISO了。对于国内企业来说,将安全权责落到人头上是一个有待进行的重要课题。

若把国家、企业到用户整个生态系统的形成比作外循环,那么从安全战略制定、到采购再到安全维护则是企业内循环,短期内改变外循环很难,但企业可以从改变内循环开始,从而反哺外循环。有些安全损害是可以避免的,对企业来说,应当把那些能避免的先避免了,剩下的,交给时间。