“同步规划、同步建设、同步使用”已经成为信息化和网络安全建设的法定要求,必须遵照执行。
从目前实际情况看,信息化和网络安全还隶属于两个行业,从业公司也各有各的领域,从业者的能力也各有各的专长,融合能力受限。
在信息化和网络安全两个行业市场活动中,原本是信息化的业务活动,网络安全能力的评判日益突出;原本是网络安全的业务活动,信息化(应用)能力的评判也日益突出。并且也由此产生了很多半安全半业务的从业公司,这种现象是政策需要,是发展需求,是业务需要,也是杜绝两张皮的需要。
融合,成为当下最重要的发展思路,融合能力也就成了信息化和网络安全从业者需要重点关注和提升的部分。
作者从融合内容、融合思路、融合方法、融合建议给出几点说明,供从业者思考,可酌情在对应层面上做能力提升。
国家相关管理部门重点在标准、政策上的融合,从业单位重点技术、系统、数据上、体验的融合,应用单位重点在业务、管理、合规上的融合。在层次上形成兼具线上线下、技术与系统、业务与管理、数据与行为、操作与体验的整体融合体系。
落实整体融合体系,在思路上现在已经存在不少相对成功的例子,简单总结为:“业务+安全”模式和“安全+业务”模式,都可以形成你中有我,我中有你的融合体系。在具有他的操作中,比如对于从业的信息化企业可以自建或整合安全队伍,网络安全企业也可以自建或整合业务队伍。不过从现在的实际情况看,短腿现象还是比较突出,没有完成发挥融合的价值。
融合是大趋势,也是一种思维理念,从业者需要时刻放在心中,并在工作中体现。另,鉴于融合范围的广泛性,在过程中必须找到适合自身的入手方法,就此,作者给出自己的思考供参考:
信息化是机器对数据处理行为,可从数据/行为入手
信息化是业务和管理责任实现方式,可从责任入手
信息化是达到某种效果的手段,可从效果倒推入手
信息化是实体组合协同的结果,可从实体入手
不论是采用那种融合方法,前提都是必须清晰的掌握政策、标准、业务场景、管理特点、安全手段的特质等实际情况,并做充分的分析和论证的前提下最终做出的选择。所以,融合的实现,必须基于对业务和安全都有很好的掌握的前提下。为此,从业者,无论是做业务的还是做网络安全的,有意识的关注和研究对方领域十分必要。做专业可以遵循两耳不闻窗外事,但是做融合必须做到容百家之长,纳四方之力,全面提升自身的融合能力。
来源:与智慧做朋友
作者:李志勇
稿件地址:lzy@ntsc.ac.cn