Cloud & Telecom Security

“完成了一次漂亮的风险评估，发现了很多重要的关键的漏洞。这些漏洞大大小小存在于各种服务器和网络设备等，分别由不同的部门和小组管理运维。接下来如何策划管理来保证这些漏洞能够得到及时的修复呢？”
“我会向领导正式汇报，然后召集一次漏洞修补的启动会，和大家一起制定修复计划，然后督促大家完成”
“在执行过程中，发现很多服务器上的补丁不能按时打上、漏洞不能按时修复。服务器小组和应用小组的理由也很充分：资源不够；陈旧应用不清楚，不敢随便打补丁或重启；申请不到变更时间窗口；等等。这时，你怎么办？”
“我会继续沟通，必要时向领导汇报”
“向领导汇报什么？”
“汇报当前漏洞修补的进度，我们碰到了麻烦，需要领导支持”
“领导肯定会支持你，但是你到底需要什么样的支持呢？“
”希望领导命令系统小组必须尽快修补漏洞，或者告诉我们可以接受风险、放弃修补”
“如果你是CIO，又会如何做决定呢？”
“#￥%@&”

这是在一次面试中的对话，同时我觉得也是很真实的一个活生生的例子，经常出现在安全管理员和经理的生活中。在安全运维管理过程中，我们还能经常听见安全管理员的抱怨：
“领导对信息网络安全不够重视”
“领导不懂信息安全”
“业务部门和系统管理员不配合”
“最后被妥协的总是安全”
“我们似乎被人当成总是带来麻烦的家伙了”

无疑，这些都非常令人沮丧。做”IT”已经很不幸了，都“地板”价了，做“安全”，岂不成“地狱”了。千万不可这样想！

这些年的经验告诉我，做信息安全运维管理，一定要意志很坚强，有明确的大目标，不怕暂时的挫折。有追求完美的品质，同时还要有善于谈判妥协。不但是战斗队，还要是宣传队。^_^

但是，具体做起来，又从何入手呢？下面是我提出的三点建议，仅供大家讨论参考。

提高安全意识，改变管理层和其他IT团队的认知
- 将相关安全策略的要求具体化，提高可操作性，并听取业务系统团队的建议
- 经常性的推介、培训信息安全评估和漏洞修补的意义，深入浅出
- 逐步将安全责任和业务系统运维团队的绩效表现联系在一起

完善安全度量和跟踪，逐步建立安全运维管理团队的信用Credit
- 建立浅显易懂的度量指标，并有一定的挑战性。这些指标例如单位系统的高风险漏洞数量，50%漏洞修复时间等
- 强化计划观念，不怕系统复杂、修补强度大，就怕没有计划。有了目标计划，再加上跟踪汇报，信息安全的执行力就会逐步提升。万不可半途而废，切忌言而无信，说外行话，提根本不切实际的要求。
- 守住已有的成果，已达成的流程和完成时间指标不能放松监视和审计，同时把住新系统上线的关口。

安全落地，深入业务系统
- 熟悉业务应用系统，了解关键应用和数据
- 和业务应用团队建立伙伴关系，不但提要求，还能尽力帮助找出解决方案。不但escalate问题，还要appreciate支持，celebrate成绩。
- 建立安全的基线系统，这里包括关键应用、服务器、网络设备等资产库，相关的联系人、责任人、帐号管理等。

Be Sociable, Share!

•