zhaol's blog

安全管理很多依赖于企业自身的企业管理水平，如果剥去安全策略、管理制度和流程的完备性、前瞻性等技术因素的包装，其实，企业治理过程中最为重要的要素之 一 － 执行力，对安全管理同样非常关键，它决定了那些（可能漂亮或者不怎么漂亮、完备或者不怎么完备的）安全策略、制度流程等是否能够得到落实。实际上是安全效 率（efficiency） 和 安全有效性或效力（effectiveness）的问题。开发几尺厚的安全策略制度流程手册文档，购买千兆防火墙、IDS，上安全管理中心（SOC）等等 这些措施大多都是面向的安全效率，而如何能够保证所有的或关键的安全措施都能够坚守岗位（Stick）、按照策略运转是效力问题。

[separator]

在2002年准备SOC项目时，考虑推出了“可视化”、“可量化”、“可管理”、“可运营”等几个概念，强调了企业信息系统中安全风险的可视化和可量化， 能够实用技术手段揭示“冰山水面下的部分”。“可管理”、“可运营”强调了安全管理与企业管理的融合，安全管理要走出去，加强沟通宣传，避免“曲高和寡” 的技术主导倾向，时刻要考虑组织职位流程方面的落地能力、可操作性。

这一切做法的出发点从本质上说与IT治理、企业治理的思路是一致的，安全管理不需要“重新发明轮子”，我们只需要多借鉴，多思考，很多安全问题其实可以寻求安全之外的经验知识来帮助解决。安全管理活动中需要注意提高“执行力”。

前些天翻阅了《朱元璋传》、《万历传》、《崇祯传》几本书，“考成法”的推行前后给我留下很深的印象。万历元年（1573），名相张居正推行考成法，明确 职责。他以六科控制六部，再以内阁控制六科。对于要办的事，从内阁到六科，从 六科都到衙门，层层考试，做到心中有数。改变了以往“上之督之者虽谆谆，而下之听之者恒藐藐”的拖拉现象。考成法的实行，提高了各级部门的办事效率，而且 明确责任，赏罚分明，从而使朝廷发布的政令“虽万里外，朝下而夕奉行”。

当然，对张居正本人、对崇祯、对袁崇焕等原来有很深印象的人物也有了重新的认识。就说张居正吧，”史载张居正先后送给冯保名琴七张，夜明珠九颗，珍珠帘五 副，金三万两，银二十万两。当冯保给自己修好生圹(墓穴)后，张居正亲笔给他写了《司礼监秉笔太监冯公预作寿藏记》，字里行间，极尽颂歌。终于换来了冯保 对他的鼎力相助，使他在权力斗争中击败高拱，当上了内阁首辅。张居正也因此才有机会施展自己的政治才能。”，这段描述其实和万历传中的张居正很一致的，中 央一台《故宫》节目中认为万历皇帝抄张居正家的重要原因之一是张居正的大量艺术收藏。张居正并不清廉，只是他的主体是好的，为国家作出了那么大贡献，把嘉 靖、隆庆留下的且“乱”且“穷”的状况，不几年就治理的国库充盈、国泰民安。袁崇焕也不想原来那样伟大了，好像跑题了，回来说安全管理。

安全管理活动中，总部和管理层能够做到“谆谆而督之”的已经不多了，所以，“朝下而夕奉行”不是上多少ServiceDesk、Remedy、EOMS等 能够解决的。企业的管理文化很重要。大部分安全工作都是由非安全主管能够直接行政管理的同事完成的，现在推行萨班斯法案SOX符合性、重视系统生命周期 （SDLC）的安全、重视应用层安全，这些都是需要多个部门、多层次的参与才能够开展推行的。即使你作为安全主管已经拿到了管理层的尚方宝剑，想把工作做 的漂亮，除了找来各方资源将框架、规范、体系做的漂亮外，另外需要花心思、费精力的就是如何去“执行”“推进”了。

举两个加强有效性的做法 实例，第一个，北京移动专设了安全审计员，用以审计安全策略的执行情况、帐号和访问权限的设置、补丁的分发安装等。 这样北京移动不仅仅是采购了大量的防火墙、IDS、主机访问控制、SCC等软硬件，同时还在安全组织和有效性方面专门采取了措施。第二个，提一下中国电信 的全网安全演练，每年一度，设立实验演练环境，安排各省公司按照既定演练方案进行技战术操作，从而实现不仅仅是纸面的安全策略、不仅仅是安装安全产品、不 仅仅统计安全事件的数字。这里我们不去考察这样的“有效性”措施实际执行过程中的“有效性”，虽然的确也需要保险的保险的保险。。。，审计的审计的审 计。。。:):):)

如何加强“执行力”很重要。安全管理主管能够做到“做不到不说”，“说到就要做到考核到”，不能只当个“言官”，而且还要去“追”“查”。逐步树立自身在管理上的权威性。