中央网络安全与信息化领导小组日前成立,习近平组长提出“网络安全与信息化是一体之双翼”,将安全与信息化提到同等重要的高度上。那么在大型政企信息化建设工作中,如何有效落实“一体双翼”,真正达到“安全”与“信息化”齐头并进的效果,借助明朝万达在数据安全和移动安全领域多年为客户服务的经验,这里有几个建议可供企业级用户参考与讨论。
一、 落实信息化系统建设时“业务”与“安全”同步推进
目前,不少管理规范的单位已经要求在信息化系统建设时同步进行安全规划与设计,但是往往也就止步于此,在随后的详细设计及开发环节就开始“分道扬镳”,从而导致信息系统的安全性与最初的规划设计风牛马不相及,要不就是亡羊补牢市场上随便找些安全产品补补“漏洞”,最终结果是安全规划设计形同虚设。改变该现状的有效办法是必须在详细设计及开发环节也要保持“安全”与“业务”的同步,将安全与应用在代码级实现接口,并建立紧密相关的联动机制,从而迫使两者同步推进。
二、 针对每个业务系统进行“定制化”的安全设计
遍观现在的业务系统方案关于安全设计部分,基本上是大同小异,其核心都是依据国家相关政策法规,划几个安全域,堆放上一些安全产品即可,与业务系统可谓“离心离德”。要实现“一体双翼”落地,必须改变目前对信息化安全的设计思路,将安全作为重要子系统嵌入到具体的业务系统流程中,即“内建安全(Build Security In)”,这样既可以打破目前不符合信息流通需求的“安全域”限制提高“安全应用系统”的易用性,也有利于实现安全与业务的紧密相关落实“一体双翼”。
三、建立“一系统双平台”的信息化管理机制
安全与业务发展同等重要的情况下,有必要改变目前一个业务系统一个管理平台的机制,应该将安全作为信息化的另外一维独立显性独立出来。具体做法就是在一个信息化系统设计之时,即建立两个管理平台:业务管理平台和安全管理平台,在运维时分属业务部门管理和安全部门管理,各自可以从不同的角度监控整个信息化系统的运行状态。当然,安全管理平台要遵从上述的“内建”方式,真正嵌入到信息化系统中才能起到效果。
四、大力推动信息安全中间件形态的产品研发服务模式
传统信息安全产业,大都以固定产品和相关服务的形式推送给用户,安全产品与业务系统泾渭分明,不但安全防护效果打折扣,而且易用性及效率也难以让用户满意。明朝万达在两年前就发现该问题,并陆续推出了“数据安全中间件”和“移动安全中间件”为用户业务系统提供可“按需定制的安全防护服务”,实际应用效果良好,即可以贴身保护用户业务系统的安全,又由于“内建式安全”实现无感知安全防护获得良好用户体验。安全中间件的产品形态及相关服务,将可以大大推动信息化建设“一体双翼”理念的落地,实现网络安全与信息化的天然紧密耦合。
“一体双翼”的提法切中了目前网络安全与信息化的要害矛盾,但要具体落实,必须转变信息安全建设思路,安全部门和业务部门必须紧密配合,采用从前到后紧密偶尔的方式来进行运作,才能最终取得成效。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
思科通过收购Duo来增强云安全性
思科宣布以23.5亿美元收购Duo Security公司,此次收购将为该网络公司的云安全产品组合增添了两步身份 […]
-
Accenture公司的Tammy Moskites探讨CISO职位变化
首席信息安全官(CISO)职位仍在不断发展和成熟,对于这些变化,或许没有人比Tammy Moskites更有话 […]
-
企业没有从过往网络安全事件中吸取教训
根据Pluralsight作家同时也是安全专家Troy Hunt表示,反复发生的网络安全事件表明企业仍然在基础 […]
-
微软公司提供IE浏览器零日“双杀”漏洞补丁
微软公司2018年五月份的周二补丁日提供了IE浏览器零日漏洞补丁修复,该漏洞上个月已经被外部攻击者利用。(译注 […]