中国CSO走向权力中央(3)

发布时间:2010-07-12 14:28 作者:计算机世界来源:计算机世界点击:加载中...次

　　技术困境：如何装备技能？

　　网络信息安全领域的技术分类也许是IT领域中最细致的，通常有防火墙、IDS、反病毒、漏洞扫描等，而其他针对特定攻击事件的技术和产品举不胜举，如隔离网闸、审计、内容安全、访问控制……目前，中国的CSO获取技术的途径大多来自厂商自己的推荐产品，于是，CSO们整天面对排山倒海的技术推荐晕头转向。CA的赵大平强调，CSO面临着技术挑战，首先，当CSO面对的困境越来越多时，选择的安全产品会越来越多;第二，随着网络攻击的频繁，CSO面对的安全故障报警信息也会很多、很复杂。

　　在海量的信息安全技术中，CSO如何装备必备的技术？从何处才能获得公正的技术推荐？

　　技术技能

　　“CSO不一定在每个技术领域都是专家，而且这也不可能，但他必须熟悉一些基本的技术。”应向荣说。他要装备的第一项技术是，业务连续性和灾难恢复的知识和技能；第二是风险评估和管理的技能，CSO最明确的职责是实现企业信息安全风险管理策略，作为领导者必须对风险评估管理技术有比较深刻的了解；第三是要较好地掌握审计知识，虽然风险评估里有审计内容，但此“审计”非彼“审计”，此审计涵盖的内容会更广一点。

　　管理技能

　　技术管理不同于纯技术，也不同于纯管理，管理技能的培养对CSO具有重要的意义。黄健认为，管理不仅仅包括制定方案，重要的是从风险管理开始，知道自己目前的企业网络存在着什么样的风险，这些风险会给企业网络造成多大的危害；其次，针对这些风险，我们采取什么样的方法和手段；第三，制定什么样的政策，同时对员工进行培训；第四，一旦企业网络发生问题，如何应急、响应和处理。

　　总的来说，是要形成一套整体的管理体系，保证在发生任何事情时，能冷静处理。因为安全是一个长期的问题，并不是买了安全产品就能解决的。CSO的安全管理技能比纯粹的技术技能更重要。

　　技术获得途径

　　目前，CSO主要的技术获得途径还是厂商，但很多推荐都带有强烈的产品推荐色彩，很难让人相信它的公正性。刘科全提出了国外的思路，美国在这方面的经验值得借鉴，信息安全技术的获得方法是几大信息安全厂商协同起来，共同开发信息安全体系、标准和产品。然后，上千家本地化的服务商贴近用户服务，特别是做安全顾问服务，所以，每个CSO都有几个安全顾问做后盾。

　　曾经有一段时间，业内就信息化工作的外包问题进行过重大讨论，甚至发出“CIO有可能下岗”的惊呼。但是，对CSO有这种顾虑吗？信息安全服务能否外包出去？

　　服务困惑：外包不外包？

　　对网络信息安全管理的困难使信息安全服务外包问题被专家提出。一段时间以来，很多单位都在讨论一个话题:国企中的信息中心有没有存在的必要？《计算机世界》报就此还组织过一次大规模的研讨。国企的信息中心虽然是信息化建设中重要的决策者，但地位目前受到了很大的威胁，因为，整个信息化工作有可能被外包出去。但网络信息安全问题的日渐突出，使“外包”被打上了大大的问号。

　　CSO不会下岗？

　　“我认识的一位信息中心主管说选产品、做方案都好办，但是这些产品买回来，安装完了以后如何管理、如何用，非常令人头疼。”黄健说。为什么呢？因为外包问题主要是由于网络信息安全管理的复杂性而提出的。“首先的问题是对员工网络信息安全意识的管理，企业网虽然有防火墙、VPN，但如果某个办公室人员私下拨号上网，将使网络整个暴露在外部环境之下，CSO手下的人不多，根本没办法控制。第二是用什么手段管理的问题，现在的安全产品很多，防火墙、防病毒、入侵检测等等，但却没有帮助管理的技术手段。”他说。

　　汪钊星认为，在中国特殊的国情下，安全服务外包不现实。信息安全问题的责任太重大了，在信息化社会，它甚至关系到单位的存亡，出了问题，CSO要负责，CEO绝逃脱不了责任。“如果单位将信息安全牢牢抓在手里，CIO有可能下岗，但CSO则不会。”他说。

　　此外，很难对外包出去的具体操作责任进行鉴定。“出了事故，怎么界定责任？服务承包商如何承担安全事故责任？损失谁来赔？这都是实际问题，目前没有统一的标准。”汪钊星说。

　　他举例，前一阵，一家国内银行的网络银行被入侵了，是一位非常聪明的农民干的，他通过自学，琢磨了好几个月后搞清楚了网络银行的架构，居然被他发现了漏洞，他进到银行网络获取了一个账户，然后开始伪造磁卡去ATM机大量提款，前后提了几百万元，直到户主报告存款突然不见了，才引起银行的注意。在没有外包的情况下，银行发生了损失，只能自己承担;如果有外包，损失将由谁承担？很难界定是银行网络体系不好，还是内部人员误操作？外包至少在目前阶段不现实。

　　视业务情况而定？

　　应向荣对此却持反对意见，他认为不能绝对讲“不能外包”。各个企业实际情况不一样，服务也不能简单地看成一样。“服务是一个体系，作为CSO这样的主管阶层，应该结合自己的实际情况分析服务的内容以及实现方式。”他说。服务的内容，比如说风险评估，要设计方案，要实施，很多地方需要咨询，很难靠自己完成，需要咨询专家的帮助，这些就需要外界的服务。关键是，对服务的内容和实现方式，要有选择地决定哪些事情必须自己做，哪些事情是可以外包的。

　　他也举了一个例子。中国移动前一段时间做全网的评估时，确定某些重要的内容必须自己做，这是非常重要的，因为评估的过程可能会涉及很多机密信息。第一次请外面的公司或专家帮助，通过培训掌握了评估的方法论后，可依靠自己的力量去做风险评估。但是，中国移动经过首轮评估后，发现很多问题自己还是解决不了，还是需要依靠专家的服务。通过对服务的内容和实现方式认真的评价后，中国移动最后确定了需要外包的内容及自己解决的内容。“因此，‘外包不外包’本身是一个动态的过程，第一次请别人帮助，需要外包，但是经过发展，这些服务能自己完成，最后发现了新问题，可能还需要外包。不能绝对的讲外包还是不外包，CSO要根据自己企业的情况进行判断。”应向荣说。

　　从这些专家的争论中，我们得出结论，只有熟悉自己的业务网络情况，并进行详细的规划后，才能有计划、分步骤地寻求外援帮助，这本身对CSO提出了更高的要求。

(责任编辑：)