李磊:现在我们再把问题回到主线上,陈总您觉得信息安全面临最大的问题是什么?
陈文锋:我们刚才谈到网络安全现状的时候我提出了两个理由保持乐观,一个是大家的意识加强,一个是国家的法律跟进。但是最大的问题还是这两个方面不足。很多企业对安全的意识还不完全够,或者是否通过一两个技术手段解决全面的问题。安全是贯穿于整个运行维护的过程。另外从政策方面来讲,举一个例子,刚才提到咱们国家拒绝攻击的模式是到了比较泛滥的情况,但是在网络和互联网更发达的比如说北美他们类似的攻击并没有到我们现在的这种程度。他们国家建立了非常完备的法律体系,是由于法律体系的存在而不敢去攻击。所以说我们国家在这两个方面都还是有很多工作要做。
李磊:意识方面确实是这样,大家只知道安全,哪些方面需要安全还不清楚。绿盟是怎样帮助用户建立起他们的安全体系的?
陈文锋:一个是偏静态模型的。比如说一个安全企业应该从组织、制度、技术保证三个方面去完善自己的安全体系建设。比如组织体系首先要有人为安全负责,国外已经有CISO类似这样的位置一般是副总裁这个级别的人里担任,当然国内还很少听说。第二个是制度流程,有了组织应该有一整套的对应办法。包括可能从上班打卡开始到各方面的网络设备的运营维护,这些都是靠制度完成的,不是靠产品和技术本身能实现的。当然技术本身是必不可少的,因为毕竟网络还是比较复杂的事情,单靠传统的人工的还是不可能的事情。只有这三个方面都完善起来之后企业的安全建设才能更成体系。 这是从静态来看,但是还有一个动态的过程,比如今年我把这三个方面都建立起来了,但是网络扩容了新加了设备,针对这些新出现的问题,或者说网络上出现的新攻击的方式我有没有对应的手段,我的制度要不要变化,这是动态维护的过程。这些方面我们在帮助客户做安全建设的时候也要考虑应该多长时间看一看组织、制度和技术体系是不是还能够满足要求。
李磊:除了静态三维一体的方式到技术,建起一个初期的安全体系之后还要审视实时的改变。
陈文锋:对。很多安全企业都是这样做的,安全一定是循环往复的事情。
李磊:安全持续不断但没有最终结果。
陈文锋:随着互联网应用越来越广泛,安全这个产业也会做的越来越好。
(责任编辑:李磊)
