“我们需要改变自己的安全思维,用敏捷的态度来替代原来沉重的过程”,近日,启明星辰CSO潘柱廷在IDG主办的2007中国信息安全论坛上向现场的上百位安全人士阐述了自己的新观点。
潘柱廷认为,敏捷是一种更适合于变化的方法。目前常见的信息安全过程都是瀑布式的操作,是一种预测性的过程;在这个阶段,安全措施还是计划式的,没有实现随需而变的灵动。随着病毒、恶意软件等的日益猖獗,信息安全形势日益严峻而又不断变化,安全厂商必须根据这一变化为用户提供积极的、灵活应变的安全解决方案。因此,将敏捷的理念和方法引入安全领域是非常有必要的。敏捷这个词不是什么新鲜名词,敏捷制造、敏捷软件开发都已经是比较成熟的方法和实践,但用到信息安全领域却还是第一次。
潘柱廷说:“在与用户交流的过程中,启明星辰感受到用户对信息安全越来越重视,而安全问题也越来越复杂;企业和机构,特别是大企业和大机构,面对的是一个动态的、模糊的信息环境,这对用户和安全提供商提出了更大的挑战。启明星辰认为,只有主动应对变更并且能持续改进的信息安全体系才能真正满足客户的需求,这就是敏捷的概念。通俗一点解释:原先,我们总是期望有一位‘大仙’能够用一个月或者一个半月的时间将需求分析和设计搞清楚,之后我们就可以按部就班地逐步实施;但是现实中,这样的‘大仙’是不存在的,因此就不要试图预测我们预测不了的长期问题,只要明确大致的长远目标,而将短期的我们能够看清楚的问题搞明白,接着就是不断地迭代和持续改进,最终趋近最后的目标。经过一段时间的实践,我们发现用敏捷迭代的态度来思考与用户交流时出现的问题,所有的焦虑都将迎刃而解。”
“敏捷信息安全过程其中最重要的共识就是承认复杂性、模糊性和必然的变更;核心价值是降低整体工作的失败风险;具体表象是支持小周期迭代;关键要做好快速计划,同时强调配置管理和变更管理。当然,为了能够真正有效地适应变化,首先要保证安全设施的基线建设要实现积木式的、可拆卸重组的结构。例如,网络中每一个防火墙、路由器、交换机和V 的哪个端口开着都要知道,如果一旦需要应对新的安全威胁,就可以在配置管理的支持下迅速做出变更。”
“同时,敏捷信息安全过程需要用户也同样具备敏捷的思维,需要用户更加倾向于培育长期的服务伙伴,甚至于采购模式、财务模式都要适应必然发生的变化。”
潘柱廷认为,根据目前国内安全市场的现状,敏捷信息安全过程更适合于一些重要的行业,如电信、金融、能源、政府等,此外,也可以在部分大规模、高强度的大型活动中采用,如世博会、奥运会等。
“敏捷信息安全过程看似复杂实则简单,看似新鲜却又显而易见,希望这一方法能够为安全界带来一个更好的解决思路,用敏捷的态度为用户提供更好的服务。启明星辰一直致力于帮助客户建立以需求为导向、主动应对变更的信息安全体系,这也是启明星辰能够在敏捷安全研究方面先行一步的原因,” 潘柱廷说。
网友评论