第一页
在今天,IT已成为企业业务发展和管理不可或缺的组成部分,其作用和影响力已从单一的业务部门扩散到企业与组织的每一个领域。在IT系统给企业带来活力、利润和竞争力的同时,也给企业增加了因此而带来的风险——日益依赖IT系统的企业面临着因IT系统故障导致的业务灾难。不难看出,如何最大限度地降低IT对业务的负面影响,IT系统如何充分为企业战略目标服务,如何获得IT价值最大化,这便是每个企业都必须要真接面对的信息安全与IT治理的问题。
一问理念:如何理解信息安全架构与IT治理的关系?
2007年在上海举办的“IT治理与安全大会”上,微软公司大中华区信息安全总监何迪生先生表示,假如把信息安全治理比作指引组织进行安全项目的路标,那么安全架构和设计便是组织通往信息安全这个目标所用的交通工具的基本结构。它包括用于设计、实施、监控和保护操作系统、设备、网络、应用以及用以实施各种级别保密性、完整性和可用性控制的概念、原则、结构和标准。
事实上,建立完善的信息安全架构对于整个IT治理来说至关重要。没有了信息安全架构,IT治理根本无从谈起。
据Hillstone安全专家介绍,IT治理需要遵从特定的原则,并在企业统一、完善及健全的安全架构中去实现,这是一个系统工程,需要从信息安全本身直至企业内部的每个员工共同来实现。每个期望通过信息化来达到快速发展的企业都需要将应用安全架构以及IT治理作为工作重心之一。
任何事物都有它的两面性。正确、恰当地使用IT系统能为企业带来飞速的发展,但由于系统缺陷、人为误操作、系统攻击等不可预料的各种风险也同样使得企业面临着巨大的灾难。因此,企业用户更应该建立统一、完善、健全的信息安全架构来规范IT系统行为,通过建立冗余机制、灾备机制、详尽的策略遵从机制等各种风险控制机制来降低整个企业的IT系统风险。
事实上,IT系统诞生之初就决定了它不可能“坚如磐石”,系统问题在所难免,但“因噎废食”的做法和思路绝不可取,用户需要的是在问题出现的时候能够迅速获得有效的解决办法来避免中断造成的影响。
此前深信服的安全产品经理邬迪举例说,早在2005年,国务院信息化办公室携手电子政务、银行、电力、铁路、民航、证券、保险、海关、税务等行业,联合起草的《重要信息系统灾难恢复指南》就正式出台了,灾备的作法将是解决IT系统故障的一方良药,但很可惜因国内广域网的缓慢传输速度,灾备至今还未得到普遍推广和应用,如何大幅提升广域网的传输速度将是这方良药能否发挥作用的前提。
另外,数据传输的安全性也是必须考虑的问题。员工利用企业网络访问一些不良网站,同时一些员工在上班时间在论坛博客上发表一些不负责任的言论……这些行为无疑给企业带来一系列的法律风险和商业灾难。
其实解决此类问题非常简单,只需在企业网络部署一台专用的内容管理设备就可以了。此类设备通过强大的数据中心,很方便地控制审计企业内网流向外网的每一个数据,防止机密的泄露和引起法律风险,即使问题出现也可以做到有据可查。而类似的处理方式都预示着一个问题:IT系统风险随时存在,但是任何风险都可以降低,甚至是可以完全避免的。IT系统问题导致业务灾难的风险,IT监管问题导致法律灾难的风险,都可以利用IT自身的安全架构与技术设计来应对。
网友评论