建立敏捷信息安全過程新思維

申請免費(fèi)試用、咨詢電話：400-8352-114

“我們需要改變自己的安全思維，用敏捷的態(tài)度來替代原來沉重的過程”，近日，啟明星辰CSO潘柱廷在IDG主辦的2007中國信息安全論壇上向現(xiàn)場的上百位安全人士闡述了自己的新觀點(diǎn)。

潘柱廷認(rèn)為，敏捷是一種更適合于變化的方法。目前常見的信息安全過程都是瀑布式的操作，是一種預(yù)測性的過程;在這個(gè)階段，安全措施還是計(jì)劃式的，沒有實(shí)現(xiàn)隨需而變的靈動(dòng)。隨著病毒、惡意軟件等的日益猖獗，信息安全形勢日益嚴(yán)峻而又不斷變化，安全廠商必須根據(jù)這一變化為用戶提供積極的、靈活應(yīng)變的安全解決方案。因此，將敏捷的理念和方法引入安全領(lǐng)域是非常有必要的。敏捷這個(gè)詞不是什么新鮮名詞，敏捷制造、敏捷軟件開發(fā)都已經(jīng)是比較成熟的方法和實(shí)踐，但用到信息安全領(lǐng)域卻還是第一次。

潘柱廷對天極ChinaByte說：“在與用戶交流的過程中，啟明星辰感受到用戶對信息安全越來越重視，而安全問題也越來越復(fù)雜;企業(yè)和機(jī)構(gòu)，特別是大企業(yè)和大機(jī)構(gòu)，面對的是一個(gè)動(dòng)態(tài)的、模糊的信息環(huán)境，這對用戶和安全提供商提出了更大的挑戰(zhàn)。啟明星辰認(rèn)為，只有主動(dòng)應(yīng)對變更并且能持續(xù)改進(jìn)的信息安全體系才能真正滿足客戶的需求，這就是敏捷的概念。通俗一點(diǎn)解釋：原先，我們總是期望有一位‘大仙’能夠用一個(gè)月或者一個(gè)半月的時(shí)間將需求分析和設(shè)計(jì)搞清楚，之后我們就可以按部就班地逐步實(shí)施;但是現(xiàn)實(shí)中，這樣的‘大仙’是不存在的，因此就不要試圖預(yù)測我們預(yù)測不了的長期問題，只要明確大致的長遠(yuǎn)目標(biāo)，而將短期的我們能夠看清楚的問題搞明白，接著就是不斷地迭代和持續(xù)改進(jìn)，最終趨近最后的目標(biāo)。經(jīng)過一段時(shí)間的實(shí)踐，我們發(fā)現(xiàn)用敏捷迭代的態(tài)度來思考與用戶交流時(shí)出現(xiàn)的問題，所有的焦慮都將迎刃而解?！?/FONT>

“敏捷信息安全過程其中最重要的共識就是承認(rèn)復(fù)雜性、模糊性和必然的變更;核心價(jià)值是降低整體工作的失敗風(fēng)險(xiǎn);具體表象是支持小周期迭代;關(guān)鍵要做好快速計(jì)劃，同時(shí)強(qiáng)調(diào)配置管理和變更管理。當(dāng)然，為了能夠真正有效地適應(yīng)變化，首先要保證安全設(shè)施的基線建設(shè)要實(shí)現(xiàn)積木式的、可拆卸重組的結(jié)構(gòu)。例如，網(wǎng)絡(luò)中每一個(gè)防火墻、路由器、交換機(jī)和VPN的哪個(gè)端口開著都要知道，如果一旦需要應(yīng)對新的安全威脅，就可以在配置管理的支持下迅速做出變更?！?/FONT>

“同時(shí)，敏捷信息安全過程需要用戶也同樣具備敏捷的思維，需要用戶更加傾向于培育長期的服務(wù)伙伴，甚至于采購模式、財(cái)務(wù)模式都要適應(yīng)必然發(fā)生的變化?！?/FONT>

潘柱廷認(rèn)為，根據(jù)目前國內(nèi)安全市場的現(xiàn)狀，敏捷信息安全過程更適合于一些重要的行業(yè)，如電信、金融、能源、政府等，此外，也可以在部分大規(guī)模、高強(qiáng)度的大型活動(dòng)中采用，如世博會(huì)、奧運(yùn)會(huì)等。

“敏捷信息安全過程看似復(fù)雜實(shí)則簡單，看似新鮮卻又顯而易見，希望這一方法能夠?yàn)榘踩鐜硪粋€(gè)更好的解決思路，用敏捷的態(tài)度為用戶提供更好的服務(wù)。啟明星辰一直致力于幫助客戶建立以需求為導(dǎo)向、主動(dòng)應(yīng)對變更的信息安全體系，這也是啟明星辰能夠在敏捷安全研究方面先行一步的原因，” 潘柱廷說。(天極ChinaByte)