建立敏捷信息安全過程新思維

申請免費試用、咨詢電話：400-8352-114

“我們需要改變自己的安全思維，用敏捷的態(tài)度來替代原來沉重的過程”，近日，啟明星辰CSO潘柱廷在IDG主辦的2007中國信息安全論壇上向現(xiàn)場的上百位安全人士闡述了自己的新觀點。

潘柱廷認為，敏捷是一種更適合于變化的方法。目前常見的信息安全過程都是瀑布式的操作，是一種預測性的過程;在這個階段，安全措施還是計劃式的，沒有實現(xiàn)隨需而變的靈動。隨著病毒、惡意軟件等的日益猖獗，信息安全形勢日益嚴峻而又不斷變化，安全廠商必須根據(jù)這一變化為用戶提供積極的、靈活應變的安全解決方案。因此，將敏捷的理念和方法引入安全領域是非常有必要的。敏捷這個詞不是什么新鮮名詞，敏捷制造、敏捷軟件開發(fā)都已經(jīng)是比較成熟的方法和實踐，但用到信息安全領域卻還是第一次。

潘柱廷對天極ChinaByte說：“在與用戶交流的過程中，啟明星辰感受到用戶對信息安全越來越重視，而安全問題也越來越復雜;企業(yè)和機構(gòu)，特別是大企業(yè)和大機構(gòu)，面對的是一個動態(tài)的、模糊的信息環(huán)境，這對用戶和安全提供商提出了更大的挑戰(zhàn)。啟明星辰認為，只有主動應對變更并且能持續(xù)改進的信息安全體系才能真正滿足客戶的需求，這就是敏捷的概念。通俗一點解釋：原先，我們總是期望有一位‘大仙’能夠用一個月或者一個半月的時間將需求分析和設計搞清楚，之后我們就可以按部就班地逐步實施;但是現(xiàn)實中，這樣的‘大仙’是不存在的，因此就不要試圖預測我們預測不了的長期問題，只要明確大致的長遠目標，而將短期的我們能夠看清楚的問題搞明白，接著就是不斷地迭代和持續(xù)改進，最終趨近最后的目標。經(jīng)過一段時間的實踐，我們發(fā)現(xiàn)用敏捷迭代的態(tài)度來思考與用戶交流時出現(xiàn)的問題，所有的焦慮都將迎刃而解?！?/FONT>

“敏捷信息安全過程其中最重要的共識就是承認復雜性、模糊性和必然的變更;核心價值是降低整體工作的失敗風險;具體表象是支持小周期迭代;關鍵要做好快速計劃，同時強調(diào)配置管理和變更管理。當然，為了能夠真正有效地適應變化，首先要保證安全設施的基線建設要實現(xiàn)積木式的、可拆卸重組的結(jié)構(gòu)。例如，網(wǎng)絡中每一個防火墻、路由器、交換機和VPN的哪個端口開著都要知道，如果一旦需要應對新的安全威脅，就可以在配置管理的支持下迅速做出變更?！?/FONT>

“同時，敏捷信息安全過程需要用戶也同樣具備敏捷的思維，需要用戶更加傾向于培育長期的服務伙伴，甚至于采購模式、財務模式都要適應必然發(fā)生的變化?！?/FONT>

潘柱廷認為，根據(jù)目前國內(nèi)安全市場的現(xiàn)狀，敏捷信息安全過程更適合于一些重要的行業(yè)，如電信、金融、能源、政府等，此外，也可以在部分大規(guī)模、高強度的大型活動中采用，如世博會、奧運會等。

“敏捷信息安全過程看似復雜實則簡單，看似新鮮卻又顯而易見，希望這一方法能夠為安全界帶來一個更好的解決思路，用敏捷的態(tài)度為用戶提供更好的服務。啟明星辰一直致力于幫助客戶建立以需求為導向、主動應對變更的信息安全體系，這也是啟明星辰能夠在敏捷安全研究方面先行一步的原因，” 潘柱廷說。(天極ChinaByte)