电脑开着,人却不见了

不少信息安全管理策略都要求员工离开位子时,退出登录,或者锁住电脑屏幕,以防被他人非授权使用。

这项信息安全政策历史悠久,在工作站安全领域或办公室安全领域,它几乎成了继安装防病毒软件和安全补丁之后的一大安全常识。然而,这么基础的信息安全实践,仍然不被多数中国的组织机构所严格遵守。昆明亭长朗然科技有限公司信息安全管理体系观察员董志军说:我们探访过许多“离位不锁屏”的国内组织机构,他们却在积极布置双因子身份验证、或者购买入侵渗透测试服务。

诚然,在信息安全技术应用方面,我们一直在紧追世界领先水平,然而,在安全管理方面,我们却落后世界一大截。这种“重技术产品、轻管理实践”的现状是如何形成的呢?亭长朗然公司董志军表示:这同国内客户的信息安全消费观念有关,传统上,大家觉得有套网络安全系统,特别是硬件设备,摆在数据中心或机房那儿,才是安全。其实,这不仅只是面子工程的需要,更是一种无知的体现。而早期的网络安全厂商,更是多强调产品的硬件性能,而忽略产品的使用配置和日常运维,因为客户往往更愿意买设备,而不是买服务。最终形成了一种错误的观念:人们认为保障安全,就得上设备,而以往的旧设备是保障不了新形势下的安全需要的。

大型互联网厂商如BAT等将信息安全领域内的专业技能人才挖去了不少,这是一批懂得信息安全真理的精英。在互联网竞争日益激烈的态势下,这批精英人物根本不理会传统网络安全厂商的那套做法,相反,他们更多强调的是在互联网产品中内嵌安全功能,产品安全了,才能有更好的市场竞争力,而其它厂商的东西根本不能或者很少能够符合自家的商业环境。

说到底,无论是乙方厂商,还是互联网大腕,都没有多少从业人员会真正关心信息安全管理实践。而这两部分人群,往往是业界人肪较广、影响力较大的,他们的过于重视技术,而忽略管理的片面言论和行动,无疑给整个产业带来大量的负面影响,让广大客户被误导。

难道业界就没有中立的信息安全观点了吗?亭长朗然公司董志军说:在利益圈子内的人的话不可全信,但至少可以综合听取一些不同的声音,比如听技术人员谈管理,听管理人员谈技术。听一听专注于信息安全管理咨询的厂商,以及培训教育的厂商,看他们如何看待信息安全技术与管理的关系。

很多大型机构,“电脑开着,人却不见了”的情形比比皆是,他们的网络信息安全能够固弱金汤吗?他们是国家的一个个细胞单位,国家网络能够安全吗?为什么在这种情况下,传统的网络安全厂商不去提醒他们的客户改进这一点呢?因为这不符合他们的利益,这是一群自私的家伙们,口口声声说要保障客户的信息安全,却对这么严重的安全事故视而不见。因为他们知道,如果透露了这个信息安全管理问题的严重性,真正的根源被找了来了,信息安全问题获得解决了,自己的财路同时也断了。

类似的情况也是如此,很多机构一直拼命卖设备,而不帮助客户用好设备,就是怕客户的设备使用好了之后,抵御了大多数的攻击,就对购买新设备不再有兴趣了。而在甲方,不少信息安全人员也是混饭吃的,不去研究如何好好利用现在的信息安全基础设施,而总是想着借新项目的机会捞取个人好处,这是多么悲哀的一件事儿啊!

当然,我们不能要求所有的安全从业人员都是活雷锋,很多情况下,信息安全人员或无奈,或坦然,或自保,或力争……无论如何,都是在生活、工作压力之下拼打在这世界中。其实,当我们看到组织内的其他人、甲方客户、或其他的组织机构中有“电脑开着,人却不见了”的现象时,我们只需动动嘴皮子,委婉地劝说一下。这样,既积累了信息安全功德,赢得了他人的理解和信赖,更是一份信息安全从业者的良心和尊严。

在昆明亭长朗然科技公司的不断坚持下,不少客户已经走出一个误区,开始对信息安全服务变得越来越接受,而国家的产业政策也支持购买服务。也有不少客户开始强化对员工的桌面安全检查,锁屏成为一项关键的检查点。这虽然是我们的一小步,但却也是提升民族信息安全管理水平的一大步。接下来,我们相信信息安全产业的巨变将要来临,您准备好了吗?如果您还不大明白为什么不能“电脑开着,人却不见了”,或者明白这个道理,却不知如何向他人讲解,那您都需要学习一下我们的信息安全管理基础课程!这门培训课程是公开的,当然出于知识产权保护的原因,我们有在视频中加入公司的LOGO。如果您有需要使用其中的内容,特别是对中层管理人员进行信息安全意识方面的培训需求,这个课程中的内容还是很适合的。欢迎您联系我们洽谈采购。

infosec-management-course-online

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898

互联网经济冲击信息安全管理咨询服务

信息安全的重要性不仅仅体现保障国家安全的网络空间安全层面,更是实体企业保障竞争力的现实需要。在信息安全产品和技术层面,尽管在业界存在不少争议和非议,奇虎360借助互联网的优势,通过提供免费的最基础的终端安全保护工具,迅速打破了传统的终端安全特别是防病毒软件被市场上几十家大小厂商瓜分的利益分配格局。

而在信息安全管理咨询服务领域,由于不需像防病毒厂商需要那么强大的技术积淀,入门门槛很低。一名有经验的顾问凭着自己数年积累下来的客户关系就可轻易成立一家企业并且生存下来。昆明亭长朗然科技有限公司安全服务市场分析员James Dong说:初步测算,在国内,将信息安全咨询服务作为产品之一的厂商至少有2000家。

通常,咨询顾问服务是一个虚实相结合的,即靠经验又靠忽悠的行业。信息安全行业也是如此,有几年行业工作经验的、领悟力等资质不太差的、稍稍勤奋努力的、甚至一些自学成材的和不学无术的马屁精们都能轻松入行并且担当大任。纯粹的骗子换上信息安全咨询师的马甲也难逃过甲方信息安全负责人的锐眼,毕竟客户在咨询顾问方面花钱都是在买知识建议、买解决方案,要解决自己不懂的或搞不定的事情。对行业没有一定时间的投入进行研习,肯定会露出马脚的。

信息是当今各类组织的重要资产,需要得到妥善保护。信息的保护不当可能严重威胁到组织的经营管理、持续运营甚至国家安全。保护好组织信息的安全,并不是安装防火墙系统或更新防病毒软件那么简单。尽管大量组织都已经部署了基本的安全防护措施,仍然抵挡不住安全威胁的发展速度,仍然会有各种安全事故发生,简单说,计算机网络信息安全对专业性和技能性的要求较高。

通常多数组织并没有足够的安全资质和技能储备,毕竟安全并不是多数组织的核心商业竞争力,所以组织可以通过购买专业的安全咨询服务来保障信息资产的安全。然而,最近一些年,国家从上至下逐级推动了多项网络信息安全战略计划,重点的行业在法规要求和政府监管之下,早已建立了相对初级的内部信息安全管理体系。

尽管这些战略性行业受到了不少国家政策的保护,但是和国际水平相比,仍然有较大差距,所以不少跨国公司便花大钱请洋顾问来布道,洋顾问们提供的安全咨询服务包括并不限于:安全规划、架构设计、风险评估、法规遵从如等级保护、安全产品选型、信息安全管理体系等等。

在国际视野方面,洋顾问们的理念无疑要领先国内很多年,然而,洋人们的经验往往适合欧美发达地区,在信息安全的战略、设计和规划方面可能和想“走出去”的中资公司的业务战略和规划并不一致,简单说,就是不懂中国特色。

最初的计算机网络信息安全服务往往停留在技术架构、产品部署和后期维护层面,显然不够全面也无法满足业务快速发展和对外扩张的新时代要求。亭长朗然公司James说:新时代的信息安全咨询服务是以信息安全战略规划、架构设计、方案设计以及合规为主的服务活动。能够做得好的,无疑是了解中西方文化差异的信息安全从业人员。所以,当碰到一位中文很跛脚的老外,您不能指望对方在信息安全咨询服务上能给多大帮助;同样,碰到一位见到英文信息安全文章或书籍就头皮发麻的中国人,也别指望能从那得到什么能让人眼睛一亮的信息安全思想源泉。

环顾国内,信息安全管理咨询服务行业呈现极强的封闭性、孤立性和偶然性,一盘散沙且各自为政。每家咨询公司都有部分固定的客户资源,又不断通过竞争开发新客户,在这你争我抢之中,缺乏高端创新,造就了灰色的地下权钱交易,并且浪费了大量的社会资源。

说到底,目前的信息安全管理咨询服务产业弊病太多,暮气沉重,有需求的少量高端客户难以获得高端的咨询,有需求的大量草根客户也无法低价享用基础性普及性的信息安全咨询服务。要解决这种问题,出路何在?亭长朗然公司James说:将信息安全管理知识经验进行标准化和产品化,再借用互联网经济的低价和高效,传统的“关系型”壁垒将被打破。然而,谁将担负起这一重任呢?我们盼望着破局者和产业革新者的出现。