|O|

中国“CSO”走向权力中央(3)

发布时间:2003-08-25 14:59 作者:计算机世界来源:计算机世界点击:加载中...次

　　管理技能

　　技术管理不同于纯技术，也不同于纯管理，管理技能的培养对CSO具有重要的意义。黄健认为，管理不仅仅包括制定方案，重要的是从风险管理开始，知道自己目前的企业网络存在着什么样的风险，这些风险会给企业网络造成多大的危害；其次，针对这些风险，我们采取什么样的方法和手段；第三，制定什么样的政策，同时对员工进行培训；第四，一旦企业网络发生问题，如何应急、响应和处理。

　　总的来说，是要形成一套整体的管理体系，保证在发生任何事情时，能冷静处理。因为安全是一个长期的问题，并不是买了安全产品就能解决的。CSO的安全管理技能比纯粹的技术技能更重要。

　　技术获得途径

　　目前，CSO主要的技术获得途径还是厂商，但很多推荐都带有强烈的产品推荐色彩，很难让人相信它的公正性。刘科全提出了国外的思路，美国在这方面的经验值得借鉴，信息安全技术的获得方法是几大信息安全厂商协同起来，共同开发信息安全体系、标准和产品。然后，上千家本地化的服务商贴近用户服务，特别是做安全顾问服务，所以，每个CSO都有几个安全顾问做后盾。

　　曾经有一段时间，业内就信息化工作的外包问题进行过重大讨论，甚至发出“CIO有可能下岗”的惊呼。但是，对CSO有这种顾虑吗？信息安全服务能否外包出去？

　　服务困惑：外包不外包？

　　对网络信息安全管理的困难使信息安全服务外包问题被专家提出。一段时间以来，很多单位都在讨论一个话题: 国企中的信息中心有没有存在的必要？《计算机世界》报就此还组织过一次大规模的研讨。国企的信息中心虽然是信息化建设中重要的决策者，但地位目前受到了很大的威胁，因为，整个信息化工作有可能被外包出去。但网络信息安全问题的日渐突出，使“外包”被打上了大大的问号。

　　CSO不会下岗？

　　“我认识的一位信息中心主管说选产品、做方案都好办，但是这些产品买回来，安装完了以后如何管理、如何用，非常令人头疼。”黄健说。为什么呢？因为外包问题主要是由于网络信息安全管理的复杂性而提出的。“首先的问题是对员工网络信息安全意识的管理，企业网虽然有防火墙、VPN，但如果某个办公室人员私下拨号上网，将使网络整个暴露在外部环境之下，CSO手下的人不多，根本没办法控制。第二是用什么手段管理的问题，现在的安全产品很多，防火墙、防病毒、入侵检测等等，但却没有帮助管理的技术手段。”他说。

　　汪钊星认为，在中国特殊的国情下，安全服务外包不现实。信息安全问题的责任太重大了，在信息化社会，它甚至关系到单位的存亡，出了问题，CSO要负责，CEO绝逃脱不了责任。“如果单位将信息安全牢牢抓在手里，CIO有可能下岗，但CSO则不会。”他说。

　　此外，很难对外包出去的具体操作责任进行鉴定。“出了事故，怎么界定责任？服务承包商如何承担安全事故责任？损失谁来赔？这都是实际问题，目前没有统一的标准。”汪钊星说。

　　他举例，前一阵，一家国内银行的网络银行被入侵了，是一位非常聪明的农民干的，他通过自学，琢磨了好几个月后搞清楚了网络银行的架构，居然被他发现了漏洞，他进到银行网络获取了一个账户，然后开始伪造磁卡去ATM机大量提款，前后提了几百万元，直到户主报告存款突然不见了，才引起银行的注意。在没有外包的情况下，银行发生了损失，只能自己承担; 如果有外包，损失将由谁承担？很难界定是银行网络体系不好，还是内部人员误操作？外包至少在目前阶段不现实。

　　视业务情况而定？

　　应向荣对此却持反对意见，他认为不能绝对讲“不能外包”。各个企业实际情况不一样，服务也不能简单地看成一样。“服务是一个体系，作为CSO这样的主管阶层，应该结合自己的实际情况分析服务的内容以及实现方式。”他说。服务的内容，比如说风险评估，要设计方案，要实施，很多地方需要咨询，很难靠自己完成，需要咨询专家的帮助，这些就需要外界的服务。关键是，对服务的内容和实现方式，要有选择地决定哪些事情必须自己做，哪些事情是可以外包的。

　　他也举了一个例子。中国移动前一段时间做全网的评估时，确定某些重要的内容必须自己做，这是非常重要的，因为评估的过程可能会涉及很多机密信息。第一次请外面的公司或专家帮助，通过培训掌握了评估的方法论后，可依靠自己的力量去做风险评估。但是，中国移动经过首轮评估后，发现很多问题自己还是解决不了，还是需要依靠专家的服务。通过对服务的内容和实现方式认真的评价后，中国移动最后确定了需要外包的内容及自己解决的内容。“因此，‘外包不外包’本身是一个动态的过程，第一次请别人帮助，需要外包，但是经过发展，这些服务能自己完成，最后发现了新问题，可能还需要外包。不能绝对的讲外包还是不外包，CSO要根据自己企业的情况进行判断。”应向荣说。

　　从这些专家的争论中，我们得出结论，只有熟悉自己的业务网络情况，并进行详细的规划后，才能有计划、分步骤地寻求外援帮助，这本身对CSO提出了更高的要求。

　　附：

　　国务院信息办网络与信息安全组王渝次司长：信息安全问题已经成为事关经济发展、公众利益、社会稳定、国家安全的全局性问题，信息安全保障工作亟待加强。加强信息安全保障工作，要以“三个代表”重要思想为指导，坚持“积极防御、综合防范”的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。

　　计算机世界总编辑刘九如先生：中国CSO阶层已经正式形成——并且，随着中国信息化的深入，中国的CSO队伍在不断扩大，CSO的内涵在不断延伸，CSO们逐渐成为掌握企业命脉的核心人物。这些正在成长的CSO，肩负着一个共同的使命—保护自己所在机构的信息系统不受侵害。

　　全国信息安全标准化委员会副秘书长吴志刚先生：信息安全标准是我国信息安全保障体系的重要组成部分，是政府进行宏观管理的重要依据。从国家意义上来说，信息安全标准关系到国家的安全及经济利益，是保护国家利益、促进产业发展的一种重要手段。

　　CSO代表武警总部司令部王峰先生：中国CSO俱乐部的成立，为广大CSO提供了一个与业界交流的平台，是从用户层面牵引信息安全发展的一项尝试和创举。

　　计世资讯副总经理费悦明先生：中国的某些行业，网络信息貌似安全，但问题很多，亟待改进。

　　诺基亚信息安全咨询专家张勇：网络安全的实施是三分技术七分管理。所谓管理，第一是管人，第二是制度，第三是设备。

　　路漫漫其修远

　　首届信息安全年会在争论与交锋中落下了帷幕，至此，一个有血有肉的首席信息安全官（CSO）的形象呈现在广大的正在各行各业从事网络信息安全建设的“准CSO”面前。同时，通过勾画CSO的功能、职责，一个保护企业网络安全的大体轮廓和方法也脱颖而出。这正是本次大会要实现的目的。

　　会议结束后，各方代表对CSO俱乐部的成立给予了高度赞誉和支持：武警总队司令部办公室CSO王峰在会上发言表示，“中国CSO俱乐部的成立，不仅是对用户群体的一次大规模的聚集，也为广大CSO提供了一个与业界交流的平台，是从用户层面牵引信息安全发展的一次尝试和创举，我相信，中国CSO俱乐部的成立，将对中国信息安全的全面振兴和发展起到巨大的牵引作用。”冠群金辰的应向荣表示，非常希望通过定期的CSO活动，能跟CSO学到很多企业的业务特点，使安全厂商能提供更好的解决方案和服务。赛门铁克的黄健认为，CSO俱乐部的成立，无论是对用户和厂商，都是福音。东方龙马的汪钊星提出，希望《计算机世界》作为主办单位和组织者，能更积极地组织CSO俱乐部的活动。

　　作为俱乐部的发起人，我们看到，对于推动信息化系统健康发展的信息安全产业和信息安全主管CSO，从概念的陌生、模糊以及产业的跳动，开始转向了熟悉、冷静和有序发展的关键时刻；我们又清醒地认识到，作为新生事物，CSO丰富的内涵仅凭一个会议的探讨很难描述清楚，企业CSO要完全实现预想中的责、权、利，将经过一个漫长的过程；但是，我们更加坚信，随着CSO阶层在中国的不断发展壮大，随着信息安全产业的高度发展，CSO的责、权、利将日趋合理化，CSO将逐渐走向企业权力的中央。

　　本次大会还向CSO们推荐了一些信息安全行业优秀解决方案。以下为获奖方案名录。

　　综合类

　　东软安全整体解决方案

　　CA eTrust整体安全管理方案

　　冠群金辰综合安全解决方案

　　Symantec Client Security解决方案

　　联想综合安全解决方案

　　D-Link企业网络安全解决方案

　　NAI防混合型病毒解决方案

　　朝华.安博士反病毒解决方案

　　思科网络安全解决方案

　　中联绿盟科技ESP解决方案