首席安全官成功七要素

根据《网络世界》报道 9个月前，当Nikk Gilbert进入Alstom Transport公司担任IT安全与电信主管时，他知道自己面临真正的挑战，他必须立即着手开展工作。以下是他在争取成功时关注的关键事情。

1、得到经理们的支持。Gilbert说：“当与CFO见面时，我直截了当地问他，他们对安全重视到什么程度，我可以得到怎样的预算和支持。离开时，我了解到高级经理们知道他们需要安全性，我可以得到完成工作所需要的支持。如果没有这些，你会缺少资金，缺乏支持，并且可能离卷铺盖走人也不远了。”

2、与人力资源部门和法律部门合作。与这两个部门的保持良好关系是安全工作取得成功不可缺少的要素，尤其在Alstom这样的跨国公司中。仅仅记住全球60多个国家的隐私和数据安全法规就是个挑战。Gilbert依靠人力资源部门和法律部门，为他在工作中必须遵守的各种法律规定提供建议。

3、发展与用户的良好关系。当最终用户拒绝遵守IT网络安全计划时，计划将变成一纸空文。Gilbert说：“安全意味着给努力完成自己工作的用户带来不便。重要的是提醒他们注意安全的重要性和最大限度地减少不便。”目前他正处于在全公司部署智能卡/SSO/PKI系统的试验阶段，之所以这样做是因为智能卡只需要输入一个PIN，而不是原先用户在访问不同系统时要求输入的七八种口令。他说：“我们向用户证明我们关心他们的问题，努力为他们尽可能地提供方便。我们认为这将在不给人们带来太多麻烦的情况下，为企业提供良好的安全性。”

4、了解自己拥有什么。资产目录是绝对需要的，它应当包括一张显示PC、服务器、交换机和路由器位置的网络图以及硬件清单。Gilbert说：“你可能掌握着预算并知道规则，但是如果你不知道自己拥有什么，也无法施展拳脚。当网络遍布60多个国家时，这点变得更加重要。”

5、拥有合适的工具。小型办公室的安全官可以手工完成任务。而跨国公司的安全官则完全依赖于工具进行安全漏洞扫描等基本活动。Gilbert说：“我们选择了Core Impact。现在市场上的很多工具可以测试问题和发现需要修补的系统。利用Core，可以发现安全漏洞并进行修补，因此你掌握着系统。”Core的工具对于让同事们相信他们遇到了安全问题尤其有用。“我不用去告诉电子邮件管理员哪里出现了安全漏洞，只需向他展示最后三天的电子邮件传输流。这避免了系统管理员将警告当成误报放过去的可能。”

6、审查和更新企业安全政策。安全官必须了解企业有关安全性和补救程序等关键问题的政策。变更管理和跟踪日志必不可少。Gilbert认为安全官首先应当做的事情之一，是开发捕获和显示安全信息的安全仪表板，安全仪表板提供的信息包括出现了多少病毒攻击、防火墙受到了多少外部探测等等。将这些统计数据保存在一个地方非常有用，这有助于和高级管理层的交流。安全工作面临的长期问题是经理们最好从来看不到它。良好的安全性意味着什么都不发生。因此，经理们常常忘记继续为可靠的安全性投资的需要。显示未得逞的各种攻击的统计数据是提醒经理们知道企业正在从安全投资中获益的有效办法。

7、采用强认证。最后，他说强认证是“解决问题的良好开始。”当系统以高度的确定性掌握网络上每个人的身份时，就可以管理他们的访问，阻挡不认识的个人，甚至阻挡那些从公司内部登录到网络上的人。如果企业还没有安装强认证系统，建设这样的系统是头9个月中的工作重点。

Gilbert说：“实际上，当你来到一个新环境时，你必须清楚地知道首先要做的工作，并立即着手开展工作。这张清单在我任职的头9个月中成为我工作的指导，我们按照它的指导，在很短的时间里完成了很多工作。”

责任编辑 赵毅 zhaoyi@51cto.com TEL:（010）68476636-8001