模板
教程
环境
性能
功能
管理
缺陷、安全管理二位一体
西方古典管理理论有三位先驱,除了我们已经介绍过的泰勒和法约尔之外,第三位就是被称为“组织理论之父”的马克斯·韦伯。
韦伯的主要著作有《新教伦理与资本主义精神》、《社会和经济组织的理论》等。韦伯的官僚组织模式的理论,即行政组织理论,对后世产生了最为深远的影响。
韦伯认为,任何组织都必须以某种形式的权力作为基础,没有某种形式的权力,任何组织都不能达到自己的目标。人类社会存在三种为社会所接受的权力:
传统权力(Traditional Authority):传统惯例或世袭得来;超凡权力(Charisma Authority):来源于别人的崇拜与追随;法定权力(Legal Authority):理性--法律规定的权力。
韦伯认为,只有法定权力才能作为行政组织体系的基础,其最根本的特征在于它提供了慎重的公正。原因在于:⑴管理的连续性使管理活动必须有秩序的进行;⑵以“能”为本的择人方式提供了理性基础;⑶领导者的权力并非无限,应受到约束。
有了适合于行政组织体系的权力基础,韦伯勾画出理想的官僚组织模式,具有下列特征:
1、 组织中的人员应有固定和正式的职责并依法行使职权。组织是根据合法程序制定的,应有其明确目标,并靠着这一套完整的法规制度,组织与规范成员的行为,以期有效地追求与达到组织的目标。
2、 组织的结构是一层层控制的体系。在组织里,按照地位的高低规定成员间命令与服从的关系。
3、 人与工作的关系。成员间的关系只有对事的关系而无对人的关系。
4、 成员的选用与保障。每一职位根据其资格限制(资历或学历),按自由契约原则,经公开考试合格予以使用,务求人尽其才。
5、 专业分工与技术训练。对成员进行合理分工并明确每人的工作范围及权责,然后通过技术培训来提高工作效率。
6、 成员的工资及升迁。按职位支付薪金,并建立奖励与升迁制度,使成员安心工作,培养事业心。
韦伯认为,凡具有上述6项特征的组织,可使组织表现出高度的理性化,其成员的工作行为也能达到预期的效果,组织目标也能顺利达成。
韦伯对理想的官僚组织模式的描绘,为行政组织指明了一条制度化的组织准则,这是他在管理思想上的最大贡献。
Gartner认为,在评估IT安全管理和缺陷管理技术时,安全经理应当就如何集中资产分类数据,并部署所需的减灾工作流系统,给予慎重思考。
在提高减灾效率并满足新制度要求的双重压力驱动下,集缺陷管理和IT安全管理于一体已迫在眉睫。
在评估IT安全管理和缺陷管理技术时,有关人员要考虑到如何集中资产分类数据及提供所需要的减灾工作流管理系统。那些希望利用缺陷评估技术来提高IT系统安全性的部门,应当在计划要求下,把缺陷评估技术和安全配置策略相结合。
分析
缺陷管理流程和技术的目标就在于,发现、评估缺陷,并执行及维护系统配置,以创造一个更为安全的环境。而安全管理技术的总目标在于,把安全数据转换成可以依此执行的安全信息。因此,缺陷管理和IT安全管理的安全效果就取决于它们改变环境的能力。除此以外,这两个技术领域的职能要求,也是依“部门制度符合性”而定。
工作流管理系统
由于缺陷评估工具、安全配置策略符合性工具及IT安全管理技术的价值都跟它们引起变化的能力大小密切相关,因此,在工作流支持领域,技术提供者们需要遵循一系列的规则要求。在此,两种工作流需要支持:
1. 长久的“宏观”工作流,包括人为干预及决策;
2. 短期的“微观”工作流,能对事件作出自动回应。
专业化的工作流支持系统应囊括于各自的产品中—主要是为安全部门的事故支持,以及企业工作流系统的集中化—以支持减灾及事故反应工作。这涉及到一系列的IT行政、业务及支持领域。
此外,顾客需求的显现属于自动回应工作流系统,尤其是在IT安全管理和缺陷评估技术领域,这是由于病毒泛滥且迅速蔓延所引起的混乱所引起的。
资产类别
在缺陷评估、安全策略符合性及IT安全管理工具中,需要运用到IT资源类别,以支持“业务导向”的分析工作及缺陷的缓解工作的进行。缺陷评估工具、安全审计和策略符合性工具都需要运用到资产分类数据,以进行业务导向风险的报告及缺陷分析工作,并驱动减灾工作流系统的运行。
此外,IT安全管理职能也需要运用资产分类,来评估某些特定的IT资源自身所携带的“威胁”的优先级,制定业务导向的安全度量,并驱动减灾工作流系统。
安全产品应能满足特定用户所需要的IT资源的类别,如,业务单元,业务功能、应用实施、地理学以及支持责任和义务等。安全软件商所提供的产品应当具有这种本质属性,就是不但能发现资产,还能对其进行分类。
但是,资产分类存在于一系列众多不同的网络、系统及安全管理产品中。从某种意义上来说,资产分类数据的规范化及维护,也代表着IT业务的劳动投资,因此,安全管理技术应当具备能从企业“储藏室”中“进口”资产分类数据这种能力。
缺陷管理:使缺陷评估和安全配置策略相结合
许多部门都是从实施缺陷评估工具或服务,来开展缺陷管理工作的。缺陷评估是有用且必要的,因为它可以发现网络上易受袭击的系统且识别出薄弱点。缓解缺陷还包含配置管理作业这一项,它必须经由网络、服务器、桌面操作及行政领域来执行。要降低缺陷产生的根源,还需进一步完善并实施配置标准,这最终会导致安全网络及系统的形成。
然而,众所周知,缺陷评估的数据结果是很难影响业务导向的报告的。更为重要的是,这些数据并不是以减灾活动可以利用的方式来组织的,而这些活动需要由IT安全部门以外的领域来执行。
相比缺陷评估而言,安全配置工具则是,把系统配置信息以一种可以被行政和业务部门利用的方式组织起来的,以便于他们执行安全配置标准。
但是,这些工具并不能把缺陷和风险定量化。实施安全配置标准也不是很轻松的,它是一项“慢活”,其中包含许多系统的变化。这些变化都要在质量保证测试完成后同步执行。配置变化应当根据可排除的风险级别来划出优先级,但是安全配置工具并不能识别缺陷,这些缺陷是跟具体的配置环境相一致的。
另外,缺陷评估及安全配置策略的局限性,可以通过结合二者流程来解决。目前,已经有许多的缺陷评估商从他们颇有远见的顾客那闻知此事,并已着手完善安全配置策略符合性的功能。当然同样地,一些安全配置策略商家也在引进缺陷评估功能,以使其融合到公司的产品中。
IT安全管理:结合策略一致性
把缺陷评估数据和同步的安全事故数据相结合,对于IT安全管理技术的顾客来说,已经是恒久不变的需求了。这可以使公共资源所潜藏威胁的优先级别变得更为准确。许多IT安全管理商已通过联合缺陷评估工具的数据结果而满足了顾客的这一需求。相应地,在企业必须遵从审计和制度要求这一需求驱动下,IT安全管理技术还必须制定出一系列的运作准则。
IT安全管理技术汇总主机数据并使之规范化的能力还有待提高。它应当还包括对同一或新增管理事件进行预先分析这一项。这些事件对于部门遵从公司制度是至关重要的。产品也必须符合准则报告,而不是顾客限定的参考点。
也就是说,部门已经制定的准则标准就是需要遵从的制度要求,其它则一概不予考虑。许多IT安全管理商可能会从现有工具出发,联合安全策略符合性数据。当然,也有一些供应商则会直接提供这一功能。
