甲方企业信息安全建设的方法论

盟军

虽然信息安全占据了一定的政策利好以及领导支持优势，但是，人少要求多是不可忽视的基本事实，因此，这就要求信息安全团队需在企业内部找到同盟军，以应对更加突出的安全风险。一般来说，基础设施部门是一个不错的同盟军选择，比如网络团队、云管平台团队、主机系统团队等。主要原因有：(一)基础设施规模庞大，整改难度大，盲目把他们作为主要治理对象可能会很难出成绩;(二)信息安全基础设施的很多建设需要依赖基础设施部门支持，比如流量采集、监控节点部署、主机申请、网络策略开通等。(三)基础设施大部分都不会直接对外，风险等级不会太高，反观应用安全确是当前风险等级最高、安全管理最急迫的领域。通过团结同盟军，一起把应用开发安全管理好，在此之中，再逐步对基础设施部门提一些容易整改的安全需求，毕竟也是一个战壕里的战友，基础设施部门估计也不好意思拒绝。当然，各个单位遇到的突出矛盾和情况也存在很大差别，寻找什么样的同盟军需要自己斟酌考虑。

三、抓主要矛盾

虽然企业安全团队可能怀抱伟大理想，团队初建可能意气风发，踌躇满志，想尽快把企业安全防护水平整体提高一个台阶，但是，对于系统、开发以及业务团队来说，企业安全建设与管理都是给人家添加工作量的事情，可能因为一个安全要求导致他们整个系统要返工重做，从思想上、意识上有一定的反抗情绪也是人之常情。因此，对于企业安全建设来说，最重要的工作是做调查研究，了解企业IT建设与安全管理现状，识别影响组织和企业最大的风险，然后再根据风险找出安全管理的牛鼻子方法，抓住安全风险的主要矛盾，这也是ROI平衡的一个具体方面，切不可能眉目胡子一把抓，事事都管，没有重点，把本就弱小的安全团队像撒芝麻一样撒到各个项目或事务中，不能团结一致干一件事，最后估计也难成一事。

四、以可证明的风险说话

Linux 的创始人 Linus Torvalds 在 2000-08-25 给linux-kernel 邮件列表的一封邮件提到的：Talk is cheap，Show me the code。在安全管理上依然适用，当我们像唐僧念经一样翻来覆去的提示风险，揭示风险，却没有任何”漏洞利用证明“，也不能拿出有效规避风险办法，对于企业里的其他人员来说，这些语言来说都是苍白无力，而且还会对信息安全部门产生无用论、能力不足论等思想。风险本来就是抽象的，把抽象的概念传达给企业内员工，我们只能用结果来说话，比如拿下系统控制权、下载了关

 

（编辑：济南站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!