2008年6月24日星期二

[Tips]安全部门和运维部门

by 云舒
2008-06-25
http://www.ph4nt0m.org

前几天在《无线网络安全之三》中 提到了运维部门KPI的问题,这里重新把它拉出来,顺便说点别的。太多的网络维护人员,鉴于网络稳定性在KPI中占的比重,不愿意对网络做一点点无害的改 动。只要目前的网络没有瘫痪,他们可能就不愿意去做改进了,更愿意保持现在的样子继续运行。后期安全策略的推进,真的是一个很困难的事情。安全应该在设计 当初就考虑进去,可是没有企业在创业当初就去做这方面的投入吧,毕竟安全对创业公司来说是一种投入和伤害。让步一点的说,尽可能早的考虑进去,在公司网络 规模还不是过于庞大杂乱的时候,开始部署安全策略,已经是很有远见的战略了。

对于一般的运维部门经理或者总监,安全不在他们的考虑范畴之内。他们在意的安全,仅仅是数据是否有恰当的备份,机房的电力是否足够充裕,温度是否足够低, 负载均衡设备是否能够支撑,带宽是否足够快等等。从广义的安全来说,这些确实也是安全部门应该考虑的问题。但是毕竟这只是广义安全中的一部分,而且是不被 安全部门的上级老板认为是安全部门成绩的部分,因为这部分是由运维部门来实施的。这里安全部门和运维部门就会有冲突了,运维部门考虑的安全是广义安全的一 部分,他们愿意实施的也是这一部分,而这一部分恰好是狭义的安全所不关注的,不被安全部门上级老板认为属于安全部门成绩的那一部分。另一方面,被上面老板 认为是安全部门成绩的那一部分狭义的安全,安全需要努力去做的那一部分,恰好和运维的KPI某种意义上相冲突。

简单的说,狭义安全和运维是冲突的。运维喜欢做的,是狭义安全不重视的。安全喜欢做的,是运维反感的。解决这个问题,一般来说是依靠沟通。不过我总觉得沟 通不是长久之计,而且不同公司不同的风格,沟通起来更为困难。而且沟通是一个主动性的东西,需要强制性的东西来保障才是最可靠的。我觉得组织结构是比较好 的办法,也就是说让运维的KPI和安全的KPI归结到一个人的身上。系统管理,网络运维,IT内网,安全部门,四个部门统统归结到一个大部门的下面,大部 门总监的业绩,既包括运维,也包括安全,因此,他自然会考虑如何去协调安全和运维的比重。