三同步 ——安全管理新思路
■文/曾弘瑞
【期刊名称】信息化建设
【年(卷),期】2012(000)011
【总页数】2
安全工作年年做,安全问题年年有
一份来自某客户企业内网的安全加固统计数据反映:发现问题5447个,修补漏洞3323个,总体加固率为61%。这还是在亚运会大背景下各部门共同推动,各系统维护方、服务厂家积极配合的结果。这种客户网络不但存在大量安全风险问题,而且存在的问题和已处置解决的问题之间存在较大差距的现状,不禁让人担忧。
为什么安全工作年年做,问题年年有,还总有些问题年年存在却总也解决不了,应该如何去推动安全工作真正落实下去,而不是把问题和风险悬在那里?
据此,华为在客户处开展调研和咨询工作,并归纳四大典型安全风险:即IT系统自身安全性不强;安全加固无法根除所有隐患;安全工作开展存在明显短板;安全支撑手段不够,安全要求难以落地。
如何去解决这些疑难杂症,华为提出安全三同步的工作思路,希望从机制上用系统的方法推动网络与信息安全问题的解决,统筹规划从前端到运维末端各阶段各部门安全工作。
遵循同步规划、同步建设、同步运行的指导思想
关键业务相关系统的稳定和安全运行是安全工作的核心,应当着重从系统全生命周期、全流程角度来同步考虑安全工作,使安全建设需要符合业务发展需要。
安全三同步以“同步规划、同步建设、同步运行”为指导思想,本着“谁主管、谁负责”工作原则落实执行,在系统生命周期各阶段明确责任部门及安全职责,在全过程中推行安全同步开展,强化安全工作前移,降低运维阶段的服务压力。在过程中建立和推行一套工作机制,包括从规划到验收阶段统一的管理制度、技术规范、运作、实施细则和工作流程,并在过程中梳理支撑手段。统筹规划从前端到运维末端各阶段各部门安全工作的一体化开展,最终推动系统生命周期安全目标的落实。
三大架构共铸安全三同步工作模型
笔者通过工作架构、组织架构、体系架构三方面来具体介绍安全三同步工作模型。
本文来源:https://www.2haoxitong.net/k/doc/78b6a6b08beb172ded630b1c59eef8c75ebf9545.html
文档为doc格式