近几年颁布的《网络安全法》、《数据安全法》、《个人信息保护法》、《网络数据安全管理条例》和网络安全等级保护2.0系列国家标准等,共同构建了我国IT安全行业相关法律法规和执行标准。为各行各业在进行IT应用系统设计、建设和维护的各个阶段,提供了全面的IT安全体系支撑。
安全行业一句老话:IT安全三分技术七分管理。但IT技术更新很快,对新技术的学习,的确需要花费很多时间和精力,因此在IT行业盛行重技术而轻管理的思维,同时如果你不了解一项新技术就无从谈起对该技术的有效管理。客观上,要全面保障IT应用系统安全,IT安全技术和管理,就好像左手和右手,都是同样重要。
一、IT、安全、运维管理的理解
1、IT安全的理解
IT是Information Technology的英文缩写,中文翻译为信息技术,该技术主要用于处理、存储、计算和管理信息。目前阶段IT代表了除AI之外的所有信息技术,因此IT安全包括了网络安全、系统安全、应用安全、数据安全、云计算安全等内容。
当然IT安全还应该包括IT安全管理,如IT安全策略、管理制度、组织架构、人员管理、IT安全操作手册等管理方面的内容。
2、IT安全运维管理的理解
在IT应用系统的运维阶段,为保障IT系统的机密性、完整性和可用性,对相关IT环境设施、IT软硬件设备、IT安全设备以及IT安全人员的全面有效管理。
3、IT安全运维管理和IT运维管理的区别
目前阶段IT安全运维管理和IT基础运维管理,两者的界限还是比较模糊。因为大部分企业,没有设置专职的安全运维工程师,有时候安全运维工程师会由运维工程师兼任,部分企业运维工程师也都由其他岗位兼职。因此在没有设置专职安全工程师的岗位情况下,的确很难区分两类管理之间的界限。但两者的区别还是很明显的:
目标区别:前者是保障IT系统CIA安全;后者主要为了保障系统稳定运行和高效利用。
范围区别:前者服务范围以IT安全设备为主;后者服务范围以支撑IT系统的IT软硬件为主。
日常工作区别:前者以安全事件、安全问题为关注点,执行安全巡检、安全维护、安全加固等工作。后者以IT系统可用性状态为关注点,开展日常巡检、维护和部署等工作。
按照等级保护2.0系列标准以及国际ISO27001信息安全管理体系的要求,明确IT安全管理员和系统管理员是不可以兼任的。因此有条件的企业,从业务发展的长远角度来看,还是应该设置专职的IT安全管理员,来保障IT系统安全,为迎接AI时代提前做好技术储备。
二、IT安全运维管理体系
完整的IT安全运维管理体系包括制度体系和技术体系,其中制度管理体系主要包括IT安全目标策略、IT安全管理制度、IT安全组织架构、授权审批、IT安全人员管理等内容;而技术管理体系主要包括IT安全资产管理、IT安全风险评估、IT安全配置管理、IT安全事件管理、IT安全巡检加固、IT安全备份与应急管理等方面内容。在具体IT场景环境中,可以根据实际情况,如安全目标要求、IT资产范围、费用预算、人员能力及数量等条件,进行有选择分阶段的灵活体系设计。
三、IT安全风险评估
IT安全风险评估是IT安全运维管理体系实施的第一步,IT安全风险评估主要包括准备阶段、识别阶段、风险分析阶段和风险处置阶段。其中识别阶段比较关键,包括了资产识别、威胁识别、技术脆弱性识别、管理脆弱性识别和安全措施识别等内容。
IT安全涉及众多细分技术领域,并且IT技术自身发展速度很快,一项IT新技术还没有完全普及,就有可能被另外一项IT新技术所替代,同时全球也在大力发展推动AI人工智能技术在各行各业的落地应用,因此IT安全体系很快也会随着AI时代的到来,升级为AI安全体系。IT安全对于业务应用来说是一把双刃剑,一方面需要额外的资金投入而且会对易用性产生影响,另一方面IT安全始终是保障业务应用长期稳定发展的重要基石。因此我们需要把安全做专做实,不断学习新的IT安全技术,持续优化现有IT安全管理体系,助力数智化业务更高质量、更快速度、更加安全的长久发展。
本文转载自: https://blog.csdn.net/cloud_sec/article/details/142980467
版权归原作者 cloud_sec 所有, 如有侵权,请联系我们删除。
版权归原作者 cloud_sec 所有, 如有侵权,请联系我们删除。