论文部分内容阅读
赛门铁克“主动性安全服务”的理念为田成近10年在安全服务领域的沉淀提供了更大的发挥空间
田成曾经跟朋友笑谈,从2002年到2003年以加拿大安全顾问的身份回来帮助IBM中国完成几个安全项目的前期工作,到2003年10月出任IBM中国安全服务经理之后,他在中国的行程累计起来相当于“孙悟空的一个筋斗”。2004年底,“第二个筋斗”的行程还在进行中,只是田成的身份已由IBM中国区服务经理变成了赛门铁克中国首席安全顾问。
这种改变是赛门铁克开始新安全服务策略时选择的结果,而促成这种结果的一个重要因素缘于理念上的契合。赛门铁克“主动性安全服务”的理念为田成近10年于安全服务领域的沉淀提供了更大的发挥空间。但对于田成来讲,“主动”这个词的意义不仅止于职业舞台的变换,更重要的是“主动”之下人生的改变。
“主动”开启不同人生
主动意味着早先一步,更意味着与众不同。
1985年,毕业于首都师范大学的田成,以优异的成绩和良好的表现成为当时留校任教的幸运儿之一。在一个熟悉的环境里发挥其所长,田成当时的表现是游刃有余。教书育人的经历为田成之后在职业生涯中一直的严谨和善于探索奠定了良好的基础。但这个对于许多人来讲应该可以是一生的职业,在田成这里却没有延续太长的时间。上世纪80年代末90年代初,一些国际企业陆续进入中国开辟新的市场,这也为田成开启不同的人生提供了机会。
在那个时间段,田成在选择之前没有太多的参照版本,促成这种主动选择的主要原因不仅仅是不同的职业体验,而是更广阔的人生空间。走出自己学习、工作了数10年的象牙塔进入一个全新的环境,田成的自信与好学给自己的首个职业转折作了一个很好的交待。而于更大舞台上发挥,对于田成之后职业生涯的意义不止是经验上的积累,视野的开阔使个这经历成为他之后走得更远的起点。
1998年于加拿大读完MBA的田成进入IBM,在参与构建IBM信息安全顾问咨询部的同时开始了构建自己信息安全人生的第一步。田成最初的工作主要以技术为主,读MBA时所学的应用信息管理专业加上一年多的技术实践,使得田成对信息安全顾问有了足够的灵感。之后,田成工作的重点由技术转向安全架构和项目管理。在这个过程中,田成参与主持了加拿大几大银行的信息安全架构设计,这在当时的信息安全领域是极为先进的。
这些实践不仅为田成积累了丰富的经验,也为田成之后回国引导中国客户以理性的态度实现信息安全提供了诸多可借鉴的版本。能21世纪初,北美的客户对于信息安全已经有了相当成熟的认识,企业在计划上一个安全项目时非常注重安全目标,有什么样的需求,最终要达到什么样的效果,最后要达到的安全运营水平,都有一个合理的期望值和规划。而且,这些企业都非常重视信息安全建设的过程,田成很大一部分时间是与这些客户讨论从一个目标的提出和实现的过程细节,告诉客户哪些过程是信息安全服务商可以帮助企业实现的,哪些过程是需要企业自身完成和注意的,在这个过程中服务商将通过哪些手段从技术、管理、人的角度帮助企业实现安全目标。由于这个客户愿意了解这个过程,并积极地参与这个过程,所以,他们就有了与服务商一起承担风险的心理准备。这种平和理智的心态,使得企业在之后信息安全设计和建设的过程中,愿意积极主动地参与进去,很好地配合服务商完成相应的工作,并能及时地接纳顾问的建议进行安全管理制度的建设和完善。而项目的最终成功也在这些前提之下成为水到渠成的事情。
2002年,田成应邀回国,参与IBM中国几个大项目的前期工作,在与中国客户接触的过程中,田成最大的感受是中国的企业用户对于安全的认识还不是非常的充分,也没有认识到安全对于企业的重要性,因此,领导的支持力度相当低。这个前提之下,企业的期望值往往高于实现的可能性。为了能让客户认识到安全的价值,并能以相对成熟的心态理解并接受一个合理的方案,田成在项目的前期更多的是扮演了一个布道者的角色。从安全的理念到安全架构可实现的功能,直至企业应该在项目中的作为,真正实现安全架构的功能企业应该辅以的管理机制和管理手段,一次次地沟通之后,田成最大的成就感不是推荐了一个产品而是推广了一个理念。随着安全服务成为IBM中国的一个重要内容,2003年10月,田成回国就任IBM中国安全服务经理。决定回国的主要原因,是当时北美的信息安全已经比较成熟,真正全面的考虑一个系统架构的机会相对很少,更多的是完善的工作。但在其时的中国,企业还在重新建设自己的安全体系。在任IBM中国服务经理的一年中,田成接触了很多的客户,跟客户沟通,将客户的想法与自己数年积累的经验相结合,提出合理的建议。也是在这个过程中,市场上的狭路相逢和对竞争对手的关注,让田成与赛门铁克有了多次接触和深入的了解。也为之后的结缘作了良好的铺垫。但时至今日,田成依然经常强调IBM是一个非常好的公司,对于自身的积累和帮助无可替代,选择赛门铁克,除了其良好的发展前景,更重要的是田成希望在一个专一的平台上更专注地延续自己的信息安全之旅。
2004年底,在IBM中国工作一年后的田成正式进入赛门铁克,随之,赛门铁克中国安全服务部门在其主持下以独立的面目出现,成为赛门铁克实现其“主动性安全服务”理念更为专注的平台。
“对于一个安全顾问来讲,最重要的一点是要善于发现用户的需求,并能深入到企业内部帮助企业发现问题并解决问题”,这个看似通用版的认识,在田成这里却有着不同的内容。7年的安全顾问生涯,在田成的记忆里几乎没有哪一个环节被定义为挫折。这并非仅仅是田成一直的自信使然,积极主动的心态使得田成在倾情演绎安全顾问这个角色的过程中,将诸多的压力和问题于沟通中化解于无形。在任IBM中国服务经理期间,田成曾经做过一家金融机构的安全项目,由于业务接触的范围不同,各个部门对于安全问题的认识不同。这种认识上的分歧,给企业选择合理的安全模式带来了相当大的障碍。在深入了解客户的业务流程和问题之后,田成和同事们已经为这家客户设计出了合理的安全架构。但如果按照理想的模式来操作,客户接受的程度就会相当低。当时,田成遇到的最大问题就是怎么让客户接受他们提出的方案,并认识到这个方案的可行性以及在企业中的适用性。在这个当口,田成给同事们的建议就是深入到企业的各个部门当中,详细阐释这个安全架构的性能,并与各个部门的职能相结合,与各部门期望值为基提出这个架构可以实现的安全功能。这种操作的结果是客户在了解了这个架构的设想和功能之后自然而然地接受了这个方案。
“安全顾问是一个独立的职业,他应该做的是为企业提出合理适用的安全建议和方案,赛门铁克的安全服务部门也是中立和独立的”。对于赛门铁克安全服务部门中立性的质疑,田成的说法很简单,“顾问生存的基础就是他的独立性和中立性。没有这个基础,做顾问咨询是非常困难的。作为赛门铁克的安全服务部门,我们在做安全设计,实施时,不会去刻意建议自己的产品,当然是合适的我们也会用自己的产品包括第三方的产品,来帮助客户做一些安全工作。从服务的体系,方法和规矩来讲,我们是绝对中立的。”
“主动”成就企业安全
事实上,早在赛门铁克信息安全服务部门成立之前,赛门铁克所倡导并帮助企业实现的“主动性信息安全”已在中国实践了数年,在实践的过程中,这个理念日渐成熟。而将实践的积累转化为新的服务策略,并使更多的企业用户从中受益是赛门铁克成立信息安全服务部门的初衷。作为赛门铁克中国区信息安全服务部门的领头人,田成7年的经验成为这种初衷最大限度实现的有力支撑。
“主动性信息安全”理念最为核心的一点就是在预警、保护、管理、响应全方面的主动安全理念和安全技术手段。及早、及时是企业常挂在嘴边的安全口号,但在真正的实践过程中,许多问题仍是出在这个环节。在田成的诸多演讲中常提到一个例子,就是国内一家企业每次发生大规模病毒或者恶意代码侵袭的时候,很多人包括一些网络处的领导都要花很大的精力去面对和解决出现的问题。实际上,这些单位投入了相当大的人力和物力在安全建设方面,但缺乏一个有效机制和办法把可能出现的安全隐患及时发现,从而及时处理。另外就是缺乏衡量信息资产价值和风险的科学方法和机制。安全体系的目的就是保护信息资产,如果零价值的信息资产,就没有必要去保护,如果不知道信息资产的价值和面临的风险,就无从下手去保护这些资产。而知道信息资产的价值和面临的风险,但缺乏有效手段及早发现可能出现的安全隐患,就有可能在问题出现的时候难于应对。解决这个问题的根本是建立主动的信息安全体系而不是被动的安全防御措施。
在赛门铁克主动性安全风险管理的模型中,很多内容都是为大家所熟悉的安全技术和安全管理手段。但其所强调的是一个主动性的机制和主动性的安全管理理念。在业界有一个共识,就是从预警角度提高安全防护的主动性,事实上除了预警之外,在安全保护、安全管理、安全响应方面都能体现出主动性安全机制的内容。在安全管理中起决定性作用的是企业领导的观念,在还没有预料到问题要发生的时候开展安全工作,这就是“主动性信息安全”中所定义的主动性安全管理。另外,安全响应也需要有主动性安全的基础,否则安全响应将难以有效地应对出现的问题。
对于企业来讲,主动性安全体系有几个重要因素,就是及时性、准确性和针对性。在赛门铁克主动性安全体系中,以全球安全威胁神经中枢系统、DeepSight安全预警系统、网络与系统安全风险评估工具实现了企业安全风险管理周期中的安全威胁信息收集与分析、安全威胁分级与预警、安全现状与风险评估;以安全管理体系、技术设计和实施、事件管理工具和7x24响应支持完成了安全措施选择、设计和实施以及安全事件的管理、响应和恢复。
接触中国的诸多客户并与之进行的深入交流,使得田成对中国企业目前于信息安全领域存在的问题有着深刻的感触。以主动防御代替被动应付、加强对过程的重视、提高安全技术管理水平、选择和制定适合企业的安全标准、改善用户管理的问题、提高安全组织的作用和安全意识,这些方面是田成认为企业在建设主动性信息安全体系的过程应当优先解决的问题。
“从安全需求、安全目标建设到安全运营,实际上在这个过程里面有很多的工作要做,成就企业安全最主要的一点,就是安全建设和安全目标都可以看到,但最应该花费精力、坚持不懈的是一起走这个过程,从最开始到最后,大家携手同心地把这个过程逐渐走完”。这个在不同场合响起过的呼吁,是田成将自己数年经历沉淀与“主动性信息安全服务”结合之后的心得,而真正引导企业将这种理念付诸实践,赛门铁克是田成另外一个起点。