返回
信息安全建设不只是交钥匙.docx

信息安全建设不只是交钥匙.docx

ID:59638813

大小:14.21 KB

页数:6页

时间:2020-11-16

信息安全建设不只是交钥匙.docx_第1页
信息安全建设不只是交钥匙.docx_第2页
信息安全建设不只是交钥匙.docx_第3页
信息安全建设不只是交钥匙.docx_第4页
信息安全建设不只是交钥匙.docx_第5页
资源描述:

《信息安全建设不只是交钥匙.docx》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、建设工程合同范本20XX【信息安全建设不只是“交钥匙”】  在其他行业建设中普遍采用的“交钥匙工程”的做法,却不适用于信息安全建设。采用“婚姻模式”,与专业化信息安全厂商形成长期的战略合作伙伴关系,更有利于信息安全的良性建设。从《越狱》想到的看完《越狱》之后,不禁反思一个问题:主人公为什么能从层层设防、监控严密的监狱中成功越狱?是他的“越狱”小团队组织建设得非常好,还是监狱的管理者太笨?答案其实就在一点:他曾经是这个监狱建设项目中的首席结构工程师,掌握这个监狱全部物理结构、保安设施的所有信息。  这个故事对我们信息安全建设有什么启示呢?  前面提到了EPC这个专业词汇,EPC为Eng

2、ineeringProcurementandConstruction或Engineer,ProcureandConstruct的缩写,可译为“设计―采购―施工”项目合同,中文的通俗意思就是“交钥匙工程”。曾几何时,这个词汇在很多行业、特别是网络数据通信建设领域中非常流行。“交钥匙工程”是指承包商实施所有的设计、采购和建造工作,完全负责项目的设备和施工,雇主基本不参与工作,在“交钥匙”时,由承包商提供一个配套完整、可以运行的设施。  为什么“交钥匙工程”能够在中国大行其道?我们来看看其特点就知道了。简而言之,交钥匙工程对于项目甲方来说有三个优点:  1)合同关系简单,组织协调工作量小;

3、  2)缩短建设周期;  3)利于投资控制。  有了这三个典型特点,建设单位可以用之来规避建设风险,回避建设经验及管理经验不足的问题,可以在一定意义上省些事端。  近年来,随着网络应用的发展以及信息安全事件的增多,国内网络应用建设发展较快的行业如电信、电力、金融等在新的系统、工程上马的时候,也非常注重同步考虑信息安全建设。但在项目实际操作中往往还采用传统的“交钥匙工程“模式,即选择一家较大的系统集成商来总承包,安全规划建设也仅仅是大合同中的一部分,由系统集成商面对安全厂商来统一完成。这种模式是否能够实现客户最初的安全建设目标和期望?以笔者在安全行业的实践经验来看,事实上很难做到,通常

4、的结果是事与愿违。不能“交钥匙”很多人会问,为什么在其他行业甚至相近的IT网络、应用系统建设中普遍采用的“交钥匙工程”,会不适用于信息安全建设,难道信息安全建设有什么特殊性?  不错,信息安全建设确实有其特殊性。安全是自己的事情,信息安全亦是如此,这是安全的本源。对于IT网络、应用建设可以采用“交钥匙工程”,是因为无论网络建设还是应用建设,最后都可以进行很好的竣工验收。信息安全建设验收工作却不容易在一个短的时间段中进行有效度量。安全建设的最大绩效是不出事,然而,一出事就是大事。而且出了安全事故,如何界定是否是系统集成商的问题,这也是一个难点。  同时,信息安全是一个非常注重专业化、系

5、统化的领域。在系统集成商眼里,网络组成就如同积木,无非是根据用户的要求怎么搭,已经形成模式化了,它们采用的是“脆弱性安全”理念,开出的方子是“头痛医头、脚痛医脚”,根本无法保证长远利益。而真正的信息安全厂商要用结构化的思维来设计结构性的安全,从人员管理到后期维护,方方面面都要涉及到,安全才可能有持续性的保障。  最后还有一点,也是承接“交钥匙工程”系统集成商不愿意说明的:从用户总投资来看,安全只是其整体工程的一小部分。同时,由于系统集成商已经有规模化供应链做保证,所以网络、应用建设搞的越复杂,投入比例越高,其商业利润就越高。  回到《越狱》的启示来看,整个网络结构、应用系统管理和安全

6、措施都高度集中,而系统集成商的人员流动性比较大,如果一旦由于“交钥匙工程”的核心人员泄密或内控措施没有做好,就如同把鸡蛋放到一个篮子中,其风险可想而知。事实上,许多安全事件都因此而发生。所以说,信息安全建设不可以采用“交钥匙工程”,因为信息安全的钥匙根本不在系统集成商手中。信息安全的良性建设思路信息安全建设对于客户关键网络、关键系统来说,不妨采用“婚姻模式”。双方可以形成长期的战略合作伙伴关系,客户站在专业化信息安全厂商角度来思考其利益,而专业化信息安全厂商也站在长远的客户利益角度来考虑。网络、应用建设依然可以采用“交钥匙工程”给系统集成商,而安全从整个工程中独立出来,三方也可以形成

7、一个制衡的稳态关系。具体步骤如下:  在项目规划时期,作为信息安全厂商的专业人员就要参与其中,和客户需求方、系统集成顾问一起讨论整体规划思路,充分沟通后达成一致,保证信息系统建设和安全建设的统一性、完整性。  在项目招投标时期,可以分别发出集成包和安全包,吸引有实力的信息安全产品提供商或者服务商参与,而且系统集成商和信息安全厂商在这个时候为了保证项目的中标成功率,可以自主选择联合作战,形成多元化、创新性、完整的商务、技术方案,实现良性竞争,择优录用。  在

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。