缺陷、安全管理二位一体.doc
缺陷、安全管理二位一体 马克斯·韦伯( 1864-1920)和他的组织理论 西方古典管理理论有三位先驱,除了我们已经介绍过的泰勒和法约尔之外,第三位就是被称为“组织理论之父”的马克斯·韦伯。 韦伯的主要著作有《新教伦理与资本主义精神》、《社会和经济组织的理论》等。韦伯的官僚组织模式的理论,即行政组织理论,对后世产生了最为深远的影响。 韦伯认为,任何组织都必须以某种形式的权力作为基础,没有某种形式的权力,任何组织都不能达到自己的目标。人类社会存在三种为社会所接受的权力: 传统权力( TraditionalAuthority):传统惯例或世袭得来;超凡权力( CharismaAuthority):来源于别人的崇拜与追随;法定权力( LegalAuthority):理性 --法律规定的权力。 韦伯认为,只有法定权力才能作为行政组织体系的基础,其最根本的特征在于它提供了慎重的公正。原因在于:⑴管理的连续性使管理活动必须有秩序的进行;⑵以“能”为本的择人方式提供了理性基础;⑶领导者的权力并非无限,应受到约束。 有了适合于行政组织体系的权力基础,韦伯勾画出理想的官僚组织模式,具有下列特征: 1、组织中的人员应有固定和正式的职 责并依法行使职权。组织是根据合法程序制定的,应有其明确目标,并靠着这一套完整的法规制度,组织与规范成员的行为,以期有效地追求与达到组织的目标。 2、组织的结构是一层层控制的体系。在组织里,按照地位的高低规定成员间命令与服从的关系。 3、人与工作的关系。成员间的关系只有对事的关系而无对人的关系。 4、成员的选用与保障。每一职位根据其资格限制(资历或学历),按自由契约原则,经公开考试合格予以使用,务求人尽其才。 5、专业分工与技术训练。对成员进行合理分工并明确每人的工作范围及权责,然后通过技术培 训来提高工作效率。 6、成员的工资及升迁。按职位支付薪金,并建立奖励与升迁制度,使成员安心工作,培养事业心。 韦伯认为,凡具有上述 6 项特征的组织,可使组织表现出高度的理性化,其成员的工作行为也能达到预期的效果,组织目标也能顺利达成。 韦伯对理想的官僚组织模式的描绘,为行政组织指明了一条制度化的组织准则,这是他在管理思想上的最大贡献。 Gartner 认为,在评估 IT 安全管理和缺陷管理技术时,安全经理应当就如何集中资产分类数据,并部署所需的减灾工作流系统,给予慎重思考。 在提高减灾效率并满足新制度 要求的双重压力驱动下,集缺陷管理和 IT 安全管理于一体已迫在眉睫。 在评估 IT安全管理和缺陷管理技术时,有关人员要考虑到如何集中资产分类数据及提供所需要的减灾工作流管理系统。那些希望利用缺陷评估技术来提高 IT 系统安全性的部门,应当在计划要求下,把缺陷评估技术和安全配置策略相结合。 分析 缺陷管理流程和技术的目标就在于,发现、评估缺陷,并执行及维护系统配置,以创造一个更为安全的环境。而安全管理技术的总目标在于,把安全数据转换成可以依此执行的安全信息。因此,缺陷管理和 IT 安全管理的安全效果就取决于它们 改变环境的能力。除此以外,这两个技术领域的职能要求,也是依“部门制度符合性”而定。 工作流管理系统 由于缺陷评估工具、安全配置策略符合性工具及 IT 安全管理技术的价值都跟它们引起变化的能力大小密切相关,因此,在工作流支持领域,技术提供者们需要遵循一系列的规则要求。在此,两种工作流需要支持: 1.长久的“宏观”工作流,包括人为干预及决策; 2.短期的“微观”工作流,能对事件作出自动回应。 专业化的工作流支持系统应囊括于各自的产品中 — 主要是为安全部门的事故支持,以及企业工作流系统的集中化 — 以支 持减灾及事故反应工作。这涉及到一系列的 IT 行政、业务及支持领域。 此外,顾客需求的显现属于自动回应工作流系统,尤其是在 IT 安全管理和缺陷评估技术领域,这是由于病毒泛滥且迅速蔓延所引起的混乱所引起的。 资产类别 在缺陷评估、安全策略符合性及 IT 安全管理工具中,需要运用到 IT 资源类别,以支持“业务导向”的分析工作及缺陷的缓解工作的进行。缺陷评估工具、安全审计和策略符合性工具都需要运用到资产分类数据,以进行业务导向风险的报告及缺陷分析工作,并驱动减灾工作流系统的运行。 此外, IT 安全管理职能也需要 运用资产分类,来评估某些特定的 IT 资源自身所携带的“威胁”的优先级,制定业务导向的安全度量,并驱动减灾工作流系统。 安全产品应能满足特定用户所需要的 IT 资源的类别,如,业务单元,业务功能、应用实施、地理学以及支持责任和义务等。安全软件商所提供的产品应当具有这种本质属性,就是不但能发现资产,还能对其进行分类。但是,资产分类存在于一系列众多不同的网络、系统及安全管理产品中。从某种意义上来说,资产分类数据的规范化及维护,也代表着 IT 业务的劳动投资,因此,安全管理技术应当具备能从企业“储藏室”中“进口”资产分类 数据这种能力。 缺陷管理:使缺陷评估和安全配置策略相结合 许多部门都是从实施缺陷评估工具或服务,来开展缺陷管理工作的。缺陷评估是有用且必要的,因为它可以发现网络上易受袭击的系统且识别出薄弱点。缓解缺陷还包含配置管理作业这一项,它必须经由网络、服务器、桌面操作及行政领域来执行。要降低缺陷产生的根源,还需进一步完善并实施配置标准,这最终会导致安全网络及系统的形成。 然而,众所周知,缺陷评估的数据结果是很难影响业务导向的报告的。更为重要的是,这些数据并不是以减灾活动可以利用的方式来组织的,而这些活动需 要由 IT 安全部门以外的领域来执行。 相比缺陷评估而言,安全配置工具则是,把系统配置信息以一种可以被行政和业务部门利用的方式组织起来的,以便于他们执行安全配置标准。 但是,这些工具并不能把缺陷和风险定量化。实施安全配置标准也不是很轻松的,它是一项“慢活”,其中包含许多系统的变化。这些变化都要在质量保证测试完成后同步执行。配置变化应当根据可排除的风险级别来划出优先级,但是安全配置工具并不能识别缺陷,这些缺陷是跟具体的配置环境相一致的。 另外,缺陷评估及安全配置策略的局限性,可以通过结合二者流程来解决 。目前,已经有许多的缺陷评估商从他们颇有远见的顾客那闻知此事,并已着手完善安全配置策略符合性的功能。当然同样地,一些安全配置策略商家也在引进缺陷评估功能,以使其融合到公司的产品中。 IT 安全管理:结合策略一致性 把缺陷评估数据和同步的安全事故数据相结合,对于 IT 安全管理技术的顾客来说,已经是恒久不变的需求了。这可以使公共资源所潜藏威胁的优先级别变得更为准确。许多 IT 安全管理商已通过联合缺陷评估工具的数据结果而满足了顾客的这一需求。相应地,在企业必须遵从审计和制度要求这一需求驱动下, IT 安全管理技术还 必须制定出一系列的运作准则。 IT 安全管理技术汇总主机数据并使之规范化的能力还有待提高。它应当还包括对同一或新增管理事件进行预先分析这一项。这些事件对于部门遵从公司制度是至关重要的。产品也必须符合准则报告,而不是顾客限定的参考点。 也就是说,部门已经制定的准则标准就是需要遵从的制度要求,其它则一概不予考虑。许多 IT 安全管理商可能会从现有工具出发,联合安全策略符合性数据。当然,也有一些供应商则会直接提供这一功能。 由于 IT 安全管理技术的职能就在于集中数据、进行分析并划出安全数据的优先级,因此,一些 部门就利用它来集中工作流、资产分类、缺陷评估及安全配置策略符合性。实际上,当缺陷管理技术的提供者在扩大各自解决问题的领域时,已经把这些功能结合起来了。 战略计划设想 预计到 2006 年,使用缺陷评估及安全配置策略这种产品的企业,将会把排除缺陷所需时间缩短到以前的 40%( 70%的可能性)。 预计到 2006年,那些没有引入缺陷管理流程的 IT 安全管理商将会处于“自缚”状态( 70%的可能性)。预计到 2006 年, 70%的缺陷评估及安全管理配置策略的供应商,都将 会 推 出 一 种 集 两 种 功 能 于 一 体 的 单 一 产 品 ( 80% 的可 能性)。 HPStorageWorks:简化存储,提升价值 HPProLiant 存储服务器:让客户轻松管理数据 现在,对于各个行业而言,企业的整个业务架构基本上都建立在 IT 系统之上。公司的决策者正在发现这样一个问题:信息越来越多,信息系统越来越复杂,信息管理成本越来越高。看着信息的管理费用越来越高涨,但很多信息却无从利用,不知道决策者在签字的同时有没有这样一种感叹:信息到底是累赘还是财富呢? 面对用户的这种挑战,中国惠普网络存储产品部认为,相对于行业用户的各种需求,目前整个存储行业发展的一个 非常重要的趋势,就是存储系统本身的简易化与智能化。 它不仅是存储的重要方向,也是存储发展的支柱。作为全球存储行业的领导者, HP 公司已经全面着手通过简化、智能以及自动化等方式来简化存储,降低存储成本,不仅全面满足了客户需求,更使客户价值实现了全面提升。 今天 HP 所提供的存储方案主要的就是HPStorageWorksMSA 家族、 EVA 家族、 XP 家族、 ProLiantStorageServer 以及各种软件、方案等,都体现了简化存储的理念。从市场划分来看,中小企业用户的IT 专业人员不多,而且对资源利用率要求 比较高,对简化管理要求比较高。基于客户的这些要求, HP 通过简化存储帮助客户有效地解决一些根本性的问题。 HPProLiantNAS: 让网络存储更加简单 HPProLiant 存储服务器经济实用、易于理解且部署简单,采用工业标准构件组成,可与企业现有的以太网基础设施架构相兼容;而通过基于 Web 的图形界面,使管理简单易行。 HPProLiant存储服务器实现了整合与集中的存储管理,降低了企业总体拥有成本,可以快速、轻松地扩展,满足未来的存储扩展需要。 HPProLiant 存储服务器产品目前包括立式和机架 安装式两种外形,可适应各种 IT 环境。 HPProLiant 立式存储服务器包括经济入门级 HPProLiantML110 存储服务器,也包括中档的ProLiantML350G4 和 ML370G4 存储服务器。机架安装式存储服务器包括基于 SATA的 HPProLiantDL100 存储服务器解决方案;连接 SCSI 或 SATA 的中档HPProLiantDL380G4 存储服务器解决方案;企业级 HPProLiantDL380G4 存储服务器( SAN 存储机型)和企业级 HPProLiantDL580G2 存储服务器 NAS/SAN 融合解 决方案。部分 HP存储服务器机型可以升级,包括利用 HPProLiant存储服务器 iSCSI功能包软件提供的以太网数据块存储服务。 其中, HPProLiantDL380G4 存储服务器将性能、可扩展性和灵活性集于一身。它采用单或双英特尔 3.6GHz 处理器,性能十分出色。当用于连接 SCSI 或 SATA 的解决方案时,这款服务器可扩展到数 TB 的容量。 DL380 可灵活地部署为三款单机应用机型或一款 NAS 网关机型,而所有这些机型都可以通过 iLO 技术远程管理。 DL380 存储服务器的硬件平台是世界上最畅销的服务器之一,它以经 济合理的价格,提供了较高的可靠性、性能和领先的技术。 HPProLiant 存储服务器解决方案建立在两个领先的商用平台基础之上 — HPProLiant 服务器和 MicrosoftWindowsStorageServer2003操作系统,可以提供时间点数据拷贝、复制、服务器集群,以及实施软、硬件配额的管理功能等。 HPProLiant 存储服务器可快速在以太网网络上安装,支持多种协议的文件共享,并可无缝迁移到新的系统,更为中小企业和远程办公室提供更多帮助。同时, HP 服务提供全面的支持 — 包括软件与硬件支持、复杂的 IT 管理,以及全面的合作伙伴辅助服务。 为获得最大的灵活性,现在,集成 NAS设备与 SAN 共享资源可以充分利用任意的连接、按需实现的可扩展性以及始终不变的可用性。 HPProLiant 存储服务器解决方案允许将 NAS 集成到 HP 的 SAN 解决方案中,功能完备的 GUI 使其不论采用何种存储平台,都可以使用同样的工具轻松进行管理。 NAS 和 SAN 功能的融合使用户能够轻松利用存储网络来存储各类数据,实现在数据中心提供一个整合的存储环境,并可与多个远程系统无缝集成并为其提供相应的存储需求。 更出色的效率、更简单的管理、无缝集 成,以及可以访问文件或块级数据:这一切降低了实施和管理存储网络的成本。HPProLiant存储服务器为企业数据中心提供了最全面、最广泛的 NAS解决方案,从专门用于远程办公或工作组的解决方案到统一的 NAS/SAN 融合解决方案,一应俱全。只有携手 HP,客户才能利用统一、开放的平台和基础设施架构来实施企业和全球存储解决方案。 HPProLiant 存储服务器 iSCSI 特性包将 iSCSI 目标功能添加到专为中小企业设计的 HP 存储服务器( NAS)产品中,能够在集中管理且可轻松扩展的存储平台上为应用服务器提供文件、打印和块服 务,并具有合理的价格、强大的性能,降低了存储整合的入门要求,充分利用以太网方面现有的专业知识来进行存储整合,无需投资并构建光纤通道基础设施方面的知识,便能够享受其优势。 HPProLiant 存储服务器 iSCSI 特性包充分利用广为熟悉的技术以及低成本的组件 — 以太网基础设施,提供了整合的网络存储,易于使用。它经过 MicrosoftExchange2000 和 2003 服务器以及 MicrosoftSQL2000 和 2003 服务器的验证,在 Oracle 数据库 9i 和 10g 上经过认证。现在,行业用户可以利用ProLiant 存储服务器可以轻松简化存储了,并为用户的存储提供强大保障。