CIO网络信息安全管理三原则

2014-01-06 15:35:12 北极星电力网  点击量: 评论 (0)
当前很多企业没有养成主动维护系统安全的习惯,同时也缺乏安全方面良好的管理机制。对于合格的CIO来说,保证网络系统安全的第一步,首先要做到重视安全管理,绝对不能坐等问题出现,才扑上去救火。 同样,网络
        当前很多企业没有养成主动维护系统安全的习惯,同时也缺乏安全方面良好的管理机制。对于合格的CIO来说,保证网络系统安全的第一步,首先要做到重视安全管理,绝对不能坐等问题出现,才扑上去“救火”。

       同样,网络安全当然不可能只倚靠CIO和信息化部门认识上的加强得以解决,相应的产品和技术也必不可少。譬如,防火墙等设备就如同网络上的大闸门,通过控制访问网络的权限,允许特许用户进出网络。再配合用户验证、虚拟专用网和入侵检测等技术和相应产品,将企业面临的网络风险降到最低。

        这里,我尝试将CIO对于网络安全管理的原则归纳为“三大纪律”。

        (1)加强体系

        企业信息化建设的展开,企业业务与IT系统的连接日渐紧密,使得网络安全成为诸多企业的严峻问题。安全体系的建立,涉及到管理和技术两个层面,而管理层面的体系建设是首当其冲的。

        虽然新的技术层出不穷,但是新的威胁和攻击手段也是不断出现,单纯依靠技术和产品保障企业信息安全虽然起到了一定效果,但是复杂多变的安全威胁和隐患靠产品难以消除。CIO应该把网络安全提升到管理的高度上实施,然后落实到技术层次上做好保障。

        CIO应该认识到,技术上的建设和加强只是网络安全的一方面,而且单纯的实现技术不是目的,技术只是围绕企业具体的工作业务来开展应用。从根本上来说,保障业务流程的网络安全,从而进一步促进IT在企业应用层面的拓展,才是企业和CIO应用安全技术最根本的目的。“三分技术、七分管理”,这句老话放在这里是再合适不过了。

        (2)规范管理

        我们可以这样说,网络行为的根本立足点,不是对设备的保护,也不是对数据的看守,而是规范企业内部员工的网络行为,这已经上升到了对人的管理的阶段。

         对于企业和CIO来说,势必应该通过技术设备和规章制度的结合,来指导、规范员工正确使用公司的网络资源。

        网络安全的根本政策,一定要包含内部的安全管理规范。举例来说,一些企业花费颇多购买了防火墙,但是那些已经离职的前员工,还是有可能通过某些漏洞入侵。

        对此,CIO必须为网络安全建立一套监督与使用的管理程序,并且在企业高层的支持下,全方位、彻底地加以执行,任何部门和个人都没有讨价还价的余地。

         (3)提高意识

        光依靠技术和管理,也不能完全解决安全问题,这是因为过了一段时间,一些先进的技术可能就过时了,或者被不怀好意的人发现了漏洞,因此CIO不能对网络安全有丝毫的懈怠,而是应该始终有高度的安全意识,重视企业的安全措施。

        面对不断袭来的安全威胁,除了购买安全产品、制订相应的网络管理规范以外,企业高层和CIO都应该向员工灌输这样的理念:“安全意识至高无上!”没有安全,企业运营在网络上的业务就只能堕入“皮之不存,毛将焉附”的悲惨境地。

        安全设施的建立只是企业信息安全的第一步,如何在安全体系中有效彻底的贯彻安全制度,以及不断深化全员安全意识才是关键所在。对于公司的全体员工,要让他们意识到,很多行为会导致严重的安全问题,包括:忽视系统补丁、浏览不良网站、随意下载和安装来历不明的软件等。防微方能杜渐,网络安全管理就是一点一滴做起来的。

 
大云网官方微信售电那点事儿

责任编辑:黎阳锦

免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞