三分技术、七分管理，你怎么看？

baby · 2008-12-18 16:18

三分技术、七分管理，在信息安全圈里几乎已经成了管理和技术最好的配比。在实际应用中又是怎么样呢？我做过一些安全项目，大部分的用户只把管理落实在口头上，没有形成文件，甚至在实际应用中，很多职员根本不知道安全管理规定，在国家机关这种现象尤为严重，也许这就是有中国特色的信息安全管理。安全管理不会像技术那样，买几台设备放在哪里，看得见摸的着，很直观的能够显现其价值。管理是无形中的东西，甚至让人感觉到投入了很多钱没有看到什么效果，只不过多了几页纸罢了。无规矩不成方圆，管理就是游戏规则，他所产生的效果是不能用金钱来计算的，确切的说它是一种长期的投资，技术只是一种“止痛药“当时见效，并不能去根二，我并不是说技术部重要，但在当前的环境下，我们应当正确把握实践中管理和技术的比例。只是个人见解，不知大家是怎们认为的？

eyas · 2010-06-02 22:11

baby 写道:

三分技术、七分管理，在信息安全圈里几乎已经成了管理和技术最好的配比。在实际应用中又是怎么样呢？我做过一些安全项目，大部分的用户只把管理落实在口头上，没有形成文件，甚至在实际应用中，很多职员根本不知道安全管理规定，在国家机关这种现象尤为严重，也许这就是有中国特色的信息安全管理。安全管理不会像技术那样，买几台设备放在哪里，看得见摸的着，很直观的能够显现其价值。管理是无形中的东西，甚至让人感觉到投入了很多钱没有看到什么效果，只不过多了几页纸罢了。无规矩不成方圆，管理就是游戏规则，他所产生的效果是不能用金钱来计算的，确切的说它是一种长期的投资，技术只是一种“止痛药“当时见效，并不能去根二，我并不是说技术部重要，但在当前的环境下，我们应当正确把握实践中管理和技术的比例。只是个人见解，不知大家是怎们认为的？

支持一下,也有同感......

另外: 今天的上午在和客户交流会上的一个有关管理和技术的突发奇想,
我觉得管理和技术不应该分的很明确, "管理和技术之间应该是个渐变的过程", 不知道这种想法怎么样,大家给参考一下,说说自己的想法啊,当作一个业余话题吧.呵呵........

cepinfo · 2010-01-28 12:57

我的体会尽可能使用技术，无奈时进行管理！
管理太泛滥，不好操作！只有使用技术，才能根本解决！我们身边的好多例子都证明了这一点！

eyas · 2008-11-14 10:09

cepinfo 写道:

我的体会尽可能使用技术，无奈时进行管理！
管理太泛滥，不好操作！只有使用技术，才能根本解决！我们身边的好多例子都证明了这一点！

我觉得技术和管理是相互促进的,举个简单的例子公司在上班期间规定禁止上qq,这个是管理规定,但是要技术上的支持啊,不然肯定不能落实(员工会偷偷的上),呵呵.在技术上,给系统打补丁是技术方面的工作,但是肯定要有管理上的支持,要有补丁管理规定,规定打补丁的时间等情况,呵呵.不知各位以为如何?

498461814 · 2008-11-14 10:10

eyas 写道:

cepinfo 写道:

我的体会尽可能使用技术，无奈时进行管理！
管理太泛滥，不好操作！只有使用技术，才能根本解决！我们身边的好多例子都证明了这一点！

我觉得技术和管理是相互促进的,举个简单的例子公司在上班期间规定禁止上qq,这个是管理规定,但是要技术上的支持啊,不然肯定不能落实(员工会偷偷的上),呵呵.在技术上,给系统打补丁是技术方面的工作,但是肯定要有管理上的支持,要有补丁管理规定,规定打补丁的时间等情况,呵呵.不知各位以为如何?

一个研究安全技术的人员，应该是发现安全问题并且提前解决安全问题。而不是把问题提给管理，现在国家关于安全与管理的关系改为“安全技术与管理并重“，已经不是“三分技术，七分管理”。
我再讲一个安全技术与管理之间关系的例子，在现在生活小区，管理要求保安员每半个小时进行一次巡逻，必须巡逻到几个地方。理论上说，只要加强管理保安员就可以做到，但实际上人都会偷懒。所以现在有一种打卡的方法使保安员必须定时巡逻。

“三分技术，七分管理“是对安全没有信心的人说的，他可以由管理人员说出来，不应该由搞技术的人说出来。搞技术的人只能说：“七分技术，三分管理”

bizzar · 2008-11-14 10:10

我认为关键不是在管理上，而是在操作上，执行上。从操作上讲，即便制定了复杂而规范的安全管理制度，但是他的可操作性如何？有没有人考虑过？在技术人员看来是很简单的操作，到了最终用户那里，还是会出现各种各样的问题。从执行上讲，很多人不执行安全规定，是由于感到不方便，太麻烦。维护安全的各项措施和最终用户在操作便捷的矛盾始终是难以调和的，这个取决于最终用户的安全意识。要用户切实执行安全管理的各项措施，1个是要提高用户的安全意识，另一个应该是调和安全与便捷间的矛盾，第二点我感觉远远比第一点要难做到。

498461814 · 2008-11-14 10:10

bizzar 写道:

我认为关键不是在管理上，而是在操作上，执行上。从操作上讲，即便制定了复杂而规范的安全管理制度，但是他的可操作性如何？有没有人考虑过？在技术人员看来是很简单的操作，到了最终用户那里，还是会出现各种各样的问题。从执行上讲，很多人不执行安全规定，是由于感到不方便，太麻烦。维护安全的各项措施和最终用户在操作便捷的矛盾始终是难以调和的，这个取决于最终用户的安全意识。要用户切实执行安全管理的各项措施，1个是要提高用户的安全意识，另一个应该是调和安全与便捷间的矛盾，第二点我感觉远远比第一点要难做到。

讲的好，安全的系统不易用，易用的系统不安全。安全的系统规模小，易用的系统规模大。
所以，解决的方法就是，安全的事情归安全（一分为二），易用的事情归易用，让用户没有一分为二的感觉（合二为一）。
可以实现既安全又易用。

freeliuade · 2008-11-14 10:10

cepinfo 写道:

我的体会尽可能使用技术，无奈时进行管理！
管理太泛滥，不好操作！只有使用技术，才能根本解决！我们身边的好多例子都证明了这一点！

我也同意，技术能解决就不要用管理。而且人总是有惰性，所以管理也会有，但技术没有，也不要多花钱

阿牛哥 · 2008-11-14 10:10

我认为技术和管理之间没有标准的黄金分割点。

在不同的宏观和微观安全环境中，存在着不同安全素质的管理对象，如果能够和谐地解决了现实中的各种各样的矛盾，也就没有现在所谓的谁倾向谁多点的问题了。:D

对内部安全管理而言，现实中为啥会出现技术手段来约束多过管理措施呢？其实还是在于管理对象的素质，需要通过技术手段不断地强化，他们的安全意识才得到不断提高，很显然，在安全意识不高的环境中，七分管理，三分技术是失败的，但是如果没有管理措施，技术手段是推不动的。两手都要抓，两手都要重，在企业不同的发展阶段，会有不同的黄金分割点。

koala · 2008-11-14 10:10

cepinfo 写道:

我的体会尽可能使用技术，无奈时进行管理！
管理太泛滥，不好操作！只有使用技术，才能根本解决！我们身边的好多例子都证明了这一点！

我感觉技术与管理应该像DNA分子的两条链，彼此支撑，相互关联；某些特定情况下，管理与技术可以互相补充，但是两者又无法完全相互取代。

HUIVER · 2009-01-10 20:53

正如楼上的兄弟们所说，信息安全，管理和技术哪个都离不了，两手都要抓。至于谁比谁更重要，不同的企业，企业中不同的部门，根据各自的责权利、特点和条件自然会有所侧重。所以没有必要人为的三七开、四六开一定要区分出高低来。现实的情况是两个方面还都很欠缺，哪方面做精做细，都会对最终目的保障信息安全有所帮助。

koala · 2009-05-21 16:17

HUIVER 写道:

至于谁比谁更重要，不同的企业，企业中不同的部门，根据各自的责权利、特点和条件自然会有所侧重。所以没有必要人为的三七开、四六开一定要区分出高低来。现实的情况是两个方面还都很欠缺，哪方面做精做细，都会对最终目的保障信息安全有所帮助。

赞同，技术与管理两者的发展好像是一种交错前进的关系，初期是技术，发展到一定阶段，可能遇到瓶颈，然后又是管理的螺旋上升。

watery · 2009-01-10 20:53

管理和技术是互补互相促进的

cepinfo · 2009-01-10 20:53

"三分技术、七分管理"----无奈之举！是因为技术起不到作用了，才重点强调管理，其实管理很容易流于形式！
比如信息安全，技术防护手段不行了，大谈管理！
当然，不是否定管理，没有管理，哪有人、财、物的支持！在具体把握时，以技术为主！管理为辅！
总之，管理是万金油，怎么讲都不过分！

Adam · **发表于 :** 2005-10-31 03:06

要说的被阿牛哥说了

三分技术、七分管理，你怎么看？

在线用户