缺陷、安全管理二位一體

領測軟件測試網 馬克斯·韋伯（1864-1920）和他的組織理論　

　　 西方古典管理理論有三位先驅，除了我們已經介紹過的泰勒和法約爾之外，第三位就是被稱為“組織理論之父”的馬克斯·韋伯。

　　 韋伯的主要著作有《新教倫理與資本主義精神》、《社會和經濟組織的理論》等。韋伯的官僚組織模式的理論，即行政組織理論，對后世產生了最為深遠的影響。

　　 韋伯認為，任何組織都必須以某種形式的權力作為基礎，沒有某種形式的權力，任何組織都不能達到自己的目標。人類社會存在三種為社會所接受的權力：

　　 傳統權力（Traditional Authority）：傳統慣例或世襲得來；超凡權力（Charisma Authority）：來源于別人的崇拜與追隨；法定權力（Legal Authority）：理性--法律規定的權力。

　　 韋伯認為，只有法定權力才能作為行政組織體系的基礎，其最根本的特征在于它提供了慎重的公正。原因在于：⑴管理的連續性使管理活動必須有秩序的進行；⑵以“能”為本的擇人方式提供了理性基礎；⑶領導者的權力并非無限，應受到約束。

　　 有了適合于行政組織體系的權力基礎，韋伯勾畫出理想的官僚組織模式，具有下列特征：

　　 1、 組織中的人員應有固定和正式的職責并依法行使職權。組織是根據合法程序制定的，應有其明確目標，并靠著這一套完整的法規制度，組織與規范成員的行為，以期有效地追求與達到組織的目標。

　　 2、 組織的結構是一層層控制的體系。在組織里，按照地位的高低規定成員間命令與服從的關系。

　　 3、 人與工作的關系。成員間的關系只有對事的關系而無對人的關系。

　　 4、 成員的選用與保障。每一職位根據其資格限制（資歷或學歷），按自由契約原則，經公開考試合格予以使用，務求人盡其才。

　　 5、 專業分工與技術訓練。對成員進行合理分工并明確每人的工作范圍及權責，然后通過技術培訓來提高工作效率。

　　 6、 成員的工資及升遷。按職位支付薪金，并建立獎勵與升遷制度，使成員安心工作，培養事業心。

　　 韋伯認為，凡具有上述6項特征的組織，可使組織表現出高度的理性化，其成員的工作行為也能達到預期的效果，組織目標也能順利達成。

　　 韋伯對理想的官僚組織模式的描繪，為行政組織指明了一條制度化的組織準則，這是他在管理思想上的最大貢獻。

　　 Gartner認為，在評估IT安全管理和缺陷管理技術時，安全經理應當就如何集中資產分類數據，并部署所需的減災工作流系統，給予慎重思考。

　　 在提高減災效率并滿足新制度要求的雙重壓力驅動下，集缺陷管理和IT安全管理于一體已迫在眉睫。

　　 在評估IT安全管理和缺陷管理技術時，有關人員要考慮到如何集中資產分類數據及提供所需要的減災工作流管理系統。那些希望利用缺陷評估技術來提高IT系統安全性的部門，應當在計劃要求下，把缺陷評估技術和安全配置策略相結合。

　　 分析

　　 缺陷管理流程和技術的目標就在于，發現、評估缺陷，并執行及維護系統配置，以創造一個更為安全的環境。而安全管理技術的總目標在于，把安全數據轉換成可以依此執行的安全信息。因此，缺陷管理和IT安全管理的安全效果就取決于它們改變環境的能力。除此以外，這兩個技術領域的職能要求，也是依“部門制度符合性”而定。

　　 工作流管理系統

　　 由于缺陷評估工具、安全配置策略符合性工具及IT安全管理技術的價值都跟它們引起變化的能力大小密切相關，因此，在工作流支持領域，技術提供者們需要遵循一系列的規則要求。在此，兩種工作流需要支持：

　　 1. 長久的“宏觀”工作流，包括人為干預及決策；

　　 2. 短期的“微觀”工作流，能對事件作出自動回應。

　　 專業化的工作流支持系統應囊括于各自的產品中—主要是為安全部門的事故支持，以及企業工作流系統的集中化—以支持減災及事故反應工作。這涉及到一系列的IT行政、業務及支持領域。

　　 此外，顧客需求的顯現屬于自動回應工作流系統，尤其是在IT安全管理和缺陷評估技術領域，這是由于病毒泛濫且迅速蔓延所引起的混亂所引起的。

　　 資產類別

　　 在缺陷評估、安全策略符合性及IT安全管理工具中，需要運用到IT資源類別，以支持“業務導向”的分析工作及缺陷的緩解工作的進行。缺陷評估工具、安全審計和策略符合性工具都需要運用到資產分類數據，以進行業務導向風險的報告及缺陷分析工作，并驅動減災工作流系統的運行。

　　 此外，IT安全管理職能也需要運用資產分類，來評估某些特定的IT資源自身所攜帶的“威脅”的優先級，制定業務導向的安全度量，并驅動減災工作流系統。

　　 安全產品應能滿足特定用戶所需要的IT資源的類別，如，業務單元，業務功能、應用實施、地理學以及支持責任和義務等。安全軟件商所提供的產品應當具有這種本質屬性，就是不但能發現資產，還能對其進行分類。

　　 但是，資產分類存在于一系列眾多不同的網絡、系統及安全管理產品中。從某種意義上來說，資產分類數據的規范化及維護，也代表著IT業務的勞動投資，因此，安全管理技術應當具備能從企業“儲藏室”中“進口”資產分類數據這種能力。

　　 缺陷管理：使缺陷評估和安全配置策略相結合

　　 許多部門都是從實施缺陷評估工具或服務，來開展缺陷管理工作的。缺陷評估是有用且必要的，因為它可以發現網絡上易受襲擊的系統且識別出薄弱點。緩解缺陷還包含配置管理作業這一項，它必須經由網絡、服務器、桌面操作及行政領域來執行。要降低缺陷產生的根源，還需進一步完善并實施配置標準，這最終會導致安全網絡及系統的形成。

　　 然而，眾所周知，缺陷評估的數據結果是很難影響業務導向的報告的。更為重要的是，這些數據并不是以減災活動可以利用的方式來組織的，而這些活動需要由IT安全部門以外的領域來執行。

　　 相比缺陷評估而言，安全配置工具則是，把系統配置信息以一種可以被行政和業務部門利用的方式組織起來的，以便于他們執行安全配置標準。

　　 但是，這些工具并不能把缺陷和風險定量化。實施安全配置標準也不是很輕松的，它是一項“慢活”，其中包含許多系統的變化。這些變化都要在質量保證測試完成后同步執行。配置變化應當根據可排除的風險級別來劃出優先級，但是安全配置工具并不能識別缺陷，這些缺陷是跟具體的配置環境相一致的。

　　 另外，缺陷評估及安全配置策略的局限性，可以通過結合二者流程來解決。目前，已經有許多的缺陷評估商從他們頗有遠見的顧客那聞知此事，并已著手完善安全配置策略符合性的功能。當然同樣地，一些安全配置策略商家也在引進缺陷評估功能，以使其融合到公司的產品中。

　　 IT安全管理：結合策略一致性

　　 把缺陷評估數據和同步的安全事故數據相結合，對于IT安全管理技術的顧客來說，已經是恒久不變的需求了。這可以使公共資源所潛藏威脅的優先級別變得更為準確。許多IT安全管理商已通過聯合缺陷評估工具的數據結果而滿足了顧客的這一需求。相應地，在企業必須遵從審計和制度要求這一需求驅動下，IT安全管理技術還必須制定出一系列的運作準則。

　　 IT安全管理技術匯總主機數據并使之規范化的能力還有待提高。它應當還包括對同一或新增管理事件進行預先分析這一項。這些事件對于部門遵從公司制度是至關重要的。產品也必須符合準則報告，而不是顧客限定的參考點。

　　 也就是說，部門已經制定的準則標準就是需要遵從的制度要求，其它則一概不予考慮。許多IT安全管理商可能會從現有工具出發，聯合安全策略符合性數據。當然，也有一些供應商則會直接提供這一功能。

　　

文章來源于領測軟件測試網 http://www.kjueaiud.com/

TAG: 管理 缺陷