2003年两办发出的27号文件及2004年初召开的全国信息安全保障工作会议,显示了中国政府高层对信息安全的非常重视。《国家信息化领导小组关于加强信息安全保障工作的意见》中强调:"坚持管理与技术并重",并指出"我们要努力从预防、监控、应急处理和打击犯罪等环节和法律、管理、技术、人才等方面,采取多种技术和管理措施,全面提升信息安全防护能力。"
其中提出的"坚持管理与技术并重"与过去"三分技术,七分管理"的提法截然不同,随着信息安全行业的迅速发展,业内如何"与时俱进",辨证的认识"管理与技术并重"的理念呢?本刊记者就此话题采访了国家信息安全主管部门相关领导、行业用户负责人和业内专家及企业老总。
坚持管理与技术并重
国务院信息化工作办公室网络与信息安全组王渝次司长指出:"信息安全保障工作首先是高技术的对抗。在高技术条件下保障信息安全,必须具备一定的物质和技术手段,大力发展信息安全技术。我们要尊重科学规律,充分发挥科学技术和科技人员的作用,努力开发自主可控的核心技术和基础装备。特别需要强调的是,科学的管理是信息安全技术转化为信息安全保障能力的必要条件,在我国关键设备和核心技术还相对落后的情况下,更要充分发挥我们的政治优势、制度优势,增强政治责任心,切实加强信息安全管理工作。我们要努力从预防、监控、应急处理和打击犯罪等环节和法律、管理、技术、人才等方面,采取多种技术和管理措施,全面提升信息安全防护能力。"
中国信息安全产品测评认证中心副主任陈晓桦指出,"三分技术,七分管理"最早是国外的一本经典《管理学》书中提出来的观点。陈晓桦认为:"这个观点前几年被引入到信息安全界,因为我们是发展中国家,整体IT技术还比较落后,信息安全又是一个新的领域,信息安全产业还有很多弱点,有很高的标准,包括物理隔离等问题。如果要技术水平全部实现的话,要么是代价太高,要么就是在技术上不能完全解决。"
陈晓桦认为,现在看来,"几分几分"的提法,实际上不是那么严格,或者不太科学,而且没办法操作。所以现在的"管理与技术并重"的提法更加严格、科学,"并重"也不是50%对50%的概念,这还得看应用的情况。在不同的场合,有的就必须看重于技术,比如访问控制。有的就要看重管理了,有的"文件"被来回看,被丢了怎么办?就得赶紧挂失。应该说"管理与技术并重"更好操作,也便于理解。
管理驱动技术 技术实现管理
北京启明星辰信息技术有限公司首席战略执行官潘柱廷认为:"三分技术、七分管理"的提法应当不是信息安全领域的发明。其实任何领域的技术应用水平发展到一定阶段,大家发现仅仅依靠技术本身很难彻底解决问题,这时候对于管理的渴求就会凸现出来。
当你审视所有提出类似说法的领域,会发现其所面临的都是一些非常复杂的问题。像信息安全所面临的就是一个复杂巨系统的问题。我们人类面临这样超复杂问题的一个重要解决方法就是"工程方法"。我认为,工程方法的精髓就是"20-80"原则,也就是用20%的资源解决80%的问题,其思想就是抓住主要矛盾。
我认为目前在信息安全领域比较成熟的具有"工程"味道的方法有:风险管理、信息安全管理体系、基于生命周期的过程方法、框架式方法等等。这些所谓的有工程味道的方法都和管理密切相关。其实,这是因为现在信息安全领域面临的主要矛盾是管理不到位的问题。不管是三七开还是二八开,都是在表示关键问题之所在。
当然,若辩证地看,不能把"三分技术、七分管理" 说得过头。当信息安全领域的技术应用水平还非常低的时候,过分强调管理会偏废基本技术体系的建设;在信息安全管理水平已经有一定基础的时候,需要通过技术才能进一步提高全面管理的实效。
对于信息安全管理和执行,启明星辰有一个VITA执行模型。VITA包括三个层次:运行层、运营层、决策层,层次越高管理的味道越浓。运行层包含各种各样的安全技术部件、信息安全产品、工程化模块化的安全服务等;运营层包括各种信息安全管理和运作平台,以及一些成体系的管理要素等;决策层主要是高层的顾问分析咨询,以及领导的决策和指挥等;决策层的顶尖处,是整个机构的使命。通过VITA模型我们可以看到,任何有效的信息安全解决方案,都要跨越三个层次,融合技术和管理的各个方面。哪一个部分薄弱,就要重点加强哪个部分。
我认为技术和管理的关系可以具体表述是为"管理驱动技术,技术实现管理"。所以27号文中的"坚持管理与技术并重"的提法是非常正确的。
