以“管理之道”破解“信息安全”难题——浙江远望电子有限公司董事长傅如毅解读安全之道
2014年12月19日
2014年11月24日,在“首届国家网络安全宣传周体验展”活动期间,浙江远望电子有限公司傅如毅董事长在媒体专访中分享了“以‘管理之道’破解‘信息安全’难题”的观点。
浙江远望电子有限公司于2004年创立,刚开始的主营业务是公安系统的网络安全,其网络安全解决方案已经被全国超过20个省的公安系统应用。另外,该公司的业务也逐渐扩展至政务系统和政法系统等。
近年来,远望电子一直在努力构建“人-技术-管理”多维度信息网络安全管理体系,和“体系化信息网络安全管理”思想与方法的研究,并围绕安全管理的有效运行、落地进行一系列监制、分析、控制类相关技术的探索和研发。
随着近两年国家强调信息安全,各政府部门/企事业单位的网络越来越庞大,网络管理员每天面临着应接不暇的繁重工作。为了保障信息网络安全,各个机构都积极地安装的种类繁多的软硬件产品——防火墙、IDS/IPS、VPN、终端安全、漏洞扫描、杀毒软件等等。但是,面对不断变化的安全趋势,仅靠技术无法解决所有信息安全问题。
更有甚者,信息安全防护技术往往滞后于网络攻击。从基础网络环境安全,到信息系统安全,到现在更迫切需要保障的信息流安全,信息安全发展的重点在不断演变,而应用安全、数据安全的定义随着对象的变化、规定的差异、要求的调整等都在迭代更新。
在傅如毅看来,最行之有效的方法是探索出一条以不变应万变的信息安全解决之道。也就是让系统在安全事件发生之前发现管理上的漏洞、防患于未然。
傅如毅认为,尽管国家标准《ISO27000信息安全管理体系》确定了安全管理思想和方法,但落实起来,并没有形成“完善、严密、标准化”的管理体系。很多单位缺少技术支撑下的安全管理工作信息化平台,缺乏针对管理体系有效落地的系列化监测、分析、控制类支撑技术。
浙江远望提出的解决方案是以“信息网络安全管理技术支撑平台”为依托载体,构建政府和企事业单位“人-技术-管理”相互融合、完善、严密的信息安全管理体系,有效提升领导者、管理者、使用者的安全意识和管理方法、技能水平。
具体来说,信息网络安全管理技术支撑体系须满足政府和企事业单位在信息安全管理工作中的计划、实施、检查、处置四个阶段的关键技术需求,以支持政府和企事业单位建立、实施、运行、保持和持续改进适合自身安全需求的信息安全管理体系。