信息化觀察網(wǎng)

北京時(shí)代新威信息技術(shù)有限公司總經(jīng)理王新杰

企業(yè)如何在網(wǎng)絡(luò)安全的建設(shè)中利用監(jiān)督機(jī)制來(lái)保證網(wǎng)絡(luò)安全？時(shí)代新威正在利用信息系統(tǒng)審計(jì)，建立企業(yè)網(wǎng)絡(luò)安全監(jiān)督機(jī)制。

企業(yè)網(wǎng)絡(luò)安全工作面臨著諸多困境。很多企業(yè)對(duì)網(wǎng)絡(luò)安全工作的開(kāi)展缺乏整體思維，對(duì)網(wǎng)絡(luò)安全立項(xiàng)的目標(biāo)和任務(wù)認(rèn)識(shí)不夠全面。作為一個(gè)軟件開(kāi)發(fā)企業(yè)，首先你要明確你要做的是一個(gè)什么樣的軟件產(chǎn)品，要解決哪個(gè)領(lǐng)域的問(wèn)題，這直接影響到這個(gè)企業(yè)每年的收益問(wèn)題。盡管這個(gè)問(wèn)題看似很簡(jiǎn)單，但在網(wǎng)絡(luò)安全領(lǐng)域真正能夠給出答案的企業(yè)或者從業(yè)者少之又少。因此我們必須弄清楚網(wǎng)絡(luò)安全工作的開(kāi)展，到底應(yīng)該在什么樣的情況下進(jìn)行。

不少人對(duì)網(wǎng)絡(luò)安全工作的開(kāi)展還是存在認(rèn)識(shí)誤區(qū)的，在人們的既定思維中網(wǎng)絡(luò)安全工作專(zhuān)屬于IT部門(mén)。而在網(wǎng)絡(luò)安全產(chǎn)品的選擇中，受產(chǎn)品導(dǎo)向的影響比較大，不僅僅根據(jù)需求去選擇產(chǎn)品，更容易受價(jià)格等因素的干擾。這些都對(duì)網(wǎng)絡(luò)安全工作的開(kāi)展造成了不小的影響。目前，國(guó)內(nèi)市場(chǎng)上針對(duì)網(wǎng)絡(luò)安全的產(chǎn)品種類(lèi)繁多，網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和策略層出不窮，但網(wǎng)絡(luò)安全問(wèn)題依然沒(méi)有很好的得到解決?？梢?jiàn)，網(wǎng)絡(luò)安全工作的開(kāi)展，亟待有效的建立一種監(jiān)管機(jī)制，將當(dāng)前雜亂的網(wǎng)絡(luò)安全工作有效的組織起來(lái)。通過(guò)網(wǎng)絡(luò)安全監(jiān)督機(jī)制來(lái)明確你的目標(biāo)和任務(wù)，來(lái)保障你的預(yù)算和人員，來(lái)判斷你的網(wǎng)絡(luò)安全績(jī)效。

金融領(lǐng)域提到了三道防線(xiàn)概念，這個(gè)概念源于國(guó)外。比如說(shuō)，一個(gè)銀行要通過(guò)第一道防線(xiàn)來(lái)設(shè)計(jì)和建立以及執(zhí)行部分信息網(wǎng)絡(luò)安全控制措施，這就在信息科技部門(mén)。還需要第二道防線(xiàn)來(lái)負(fù)責(zé)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)管理的框架和架構(gòu)，這是在風(fēng)險(xiǎn)管理部門(mén)。第三個(gè)需要一個(gè)監(jiān)督，就要在這個(gè)銀行的內(nèi)部審計(jì)部門(mén)，銀行能夠建立這樣三道防線(xiàn)網(wǎng)絡(luò)安全工作機(jī)制是得益于金融機(jī)構(gòu)對(duì)風(fēng)險(xiǎn)的防控關(guān)注，這就需要內(nèi)部審計(jì)部門(mén)。這三道防線(xiàn)在銀行業(yè)是標(biāo)配，但在其他領(lǐng)域就甚少有提及三道防線(xiàn)概念。我認(rèn)為金融行業(yè)的三道防線(xiàn)的網(wǎng)絡(luò)安全經(jīng)驗(yàn)，可以給我們很多的借鑒和參考。

“三道防線(xiàn)”實(shí)際上更像是一種相互制衡的監(jiān)督機(jī)制，通過(guò)相互之間的督促監(jiān)管，讓業(yè)務(wù)開(kāi)展在安全有效的環(huán)境下進(jìn)行，縱觀當(dāng)前的網(wǎng)絡(luò)安全環(huán)境，我們亟待建立這樣一種制衡和監(jiān)督的機(jī)制。

如何去建立這樣一個(gè)監(jiān)督機(jī)制？我認(rèn)為審計(jì)是一個(gè)非常好的手段。

可以把它理解成跟傳統(tǒng)的財(cái)務(wù)審計(jì)，它是靠一種機(jī)制，依靠管理和技術(shù)手段來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全審計(jì)。當(dāng)然，在這個(gè)過(guò)程當(dāng)中，有很多的信息系統(tǒng)審計(jì)，或者網(wǎng)絡(luò)安全審計(jì)的技能在過(guò)去這20年的網(wǎng)絡(luò)安全工作當(dāng)中，并沒(méi)有得到很好的重視，所以我們需要一個(gè)教育培訓(xùn)的過(guò)程，讓大家要能夠從第一道防線(xiàn)、第二道防線(xiàn)角色上，能夠站到第三道防線(xiàn)的位置上來(lái)看我們網(wǎng)絡(luò)安全工作開(kāi)展的效果。

用審計(jì)建立一個(gè)網(wǎng)絡(luò)安全監(jiān)督機(jī)制幾個(gè)關(guān)鍵點(diǎn)需要弄清楚。首先，要明確為什么要做審計(jì)，審計(jì)的目的是什么。其次，要搞清楚審計(jì)的內(nèi)容是什么，要有依據(jù)的開(kāi)展這項(xiàng)工作。最后，要搞清楚怎么去審，這些都是一些具體的工作。我們國(guó)家的網(wǎng)絡(luò)安全審計(jì)應(yīng)該早日提上日程，更應(yīng)該在行業(yè)中形成規(guī)范，能夠與網(wǎng)絡(luò)安全工作的開(kāi)展緊密聯(lián)系，又能夠相對(duì)獨(dú)立。