缺陷、安全管理二位一體

 馬克斯·韋伯（1864-1920）和他的組織理論　

　　 西方古典管理理論有三位先驅，除了我們已經介紹過的泰勒和法約爾之外，第三位就是被稱為“組織理論之父”的馬克斯·韋伯。

　　 韋伯的主要著作有《新教倫理與資本主義精神》、《社會和經濟組織的理論》等。韋伯的官僚組織模式的理論，即行政組織理論，對后世產生了最為深遠的影響。

　　 韋伯認為，任何組織都必須以某種形式的權力作為基礎，沒有某種形式的權力，任何組織都不能達到自己的目標。人類社會存在三種為社會所接受的權力：

　　 傳統權力（Traditional Authority）：傳統慣例或世襲得來；超凡權力（Charisma Authority）：來源于別人的崇拜與追隨；法定權力（Legal Authority）：理性--法律規定的權力。

　　 韋伯認為，只有法定權力才能作為行政組織體系的基礎，其最根本的特征在于它提供了慎重的公正。原因在于：⑴管理的連續性使管理活動必須有秩序的進行；⑵以“能”為本的擇人方式提供了理性基礎；⑶領導者的權力并非無限，應受到約束。

　　 有了適合于行政組織體系的權力基礎，韋伯勾畫出理想的官僚組織模式，具有下列特征：

　　 1、 組織中的人員應有固定和正式的職責并依法行使職權。組織是根據合法程序制定的，應有其明確目標，并靠著這一套完整的法規制度，組織與規范成員的行為，以期有效地追求與達到組織的目標。

　　 2、 組織的結構是一層層控制的體系。在組織里，按照地位的高低規定成員間命令與服從的關系。

　　 3、 人與工作的關系。成員間的關系只有對事的關系而無對人的關系。

　　 4、 成員的選用與保障。每一職位根據其資格限制（資歷或學歷），按自由契約原則，經公開考試合格予以使用，務求人盡其才。

　　 5、 專業分工與技術訓練。對成員進行合理分工并明確每人的工作范圍及權責，然后通過技術培訓來提高工作效率。

　　 6、 成員的工資及升遷。按職位支付薪金，并建立獎勵與升遷制度，使成員安心工作，培養事業心。

　　 韋伯認為，凡具有上述6項特征的組織，可使組織表現出高度的理性化，其成員的工作行為也能達到預期的效果，組織目標也能順利達成。

　　 韋伯對理想的官僚組織模式的描繪，為行政組織指明了一條制度化的組織準則，這是他在管理思想上的最大貢獻。

　　 Gartner認為，在評估IT安全管理和缺陷管理技術時，安全經理應當就如何集中資產分類數據，并部署所需的減災工作流系統，給予慎重思考。

　　 在提高減災效率并滿足新制度要求的雙重壓力驅動下，集缺陷管理和IT安全管理于一體已迫在眉睫。

　　 在評估IT安全管理和缺陷管理技術時，有關人員要考慮到如何集中資產分類數據及提供所需要的減災工作流管理系統。那些希望利用缺陷評估技術來提高IT系統安全性的部門，應當在計劃要求下，把缺陷評估技術和安全配置策略相結合。

　　 分析

　　 缺陷管理流程和技術的目標就在于，發現、評估缺陷，并執行及維護系統配置，以創造一個更為安全的環境。而安全管理技術的總目標在于，把安全數據轉換成可以依此執行的安全信息。因此，缺陷管理和IT安全管理的安全效果就取決于它們改變環境的能力。除此以外，這兩個技術領域的職能要求，也是依“部門制度符合性”而定。

　　 工作流管理系統

　　 由于缺陷評估工具、安全配置策略符合性工具及IT安全管理技術的價值都跟它們引起變化的能力大小密切相關，因此，在工作流支持領域，技術提供者們需要遵循一系列的規則要求。在此，兩種工作流需要支持：

　　 1. 長久的“宏觀”工作流，包括人為干預及決策；

　　 2. 短期的“微觀”工作流，能對事件作出自動回應。

　　 專業化的工作流支持系統應囊括于各自的產品中—主要是為安全部門的事故支持，以及企業工作流系統的集中化—以支持減災及事故反應工作。這涉及到一系列的IT行政、業務及支持領域。

　　 此外，顧客需求的顯現屬于自動回應工作流系統，尤其是在IT安全管理和缺陷評估技術領域，這是由于病毒泛濫且迅速蔓延所引起的混亂所引起的。

　　 資產類別

　　 在缺陷評估、安全策略符合性及IT安全管理工具中，需要運用到IT資源類別，以支持“業務導向”的分析工作及缺陷的緩解工作的進行。缺陷評估工具、安全審計和策略符合性工具都需要運用到資產分類數據，以進行業務導向風險的報告及缺陷分析工作，并驅動減災工作流系統的運行。

　　 此外，IT安全管理職能也需要運用資產分類，來評估某些特定的IT資源自身所攜帶的“威脅”的優先級，制定業務導向的安全度量，并驅動減災工作流系統。

　　 安全產品應能滿足特定用戶所需要的IT資源的類別，如，業務單元，業務功能、應用實施、地理學以及支持責任和義務等。安全軟件商所提供的產品應當具有這種本質屬性，就是不但能發現資產，還能對其進行分類。

　　 但是，資產分類存在于一系列眾多不同的網絡、系統及安全管理產品中。從某種意義上來說，資產分類數據的規范化及維護，也代表著IT業務的勞動投資，因此，安全管理技術應當具備能從企業“儲藏室”中“進口”資產分類數據這種能力。

　　 缺陷管理：使缺陷評估和安全配置策略相結合

　　 許多部門都是從實施缺陷評估工具或服務，來開展缺陷管理工作的。缺陷評估是有用且必要的，因為它可以發現網絡上易受襲擊的系統且識別出薄弱點。緩解缺陷還包含配置管理作業這一項，它必須經由網絡、服務器、桌面操作及行政領域來執行。要降低缺陷產生的根源，還需進一步完善并實施配置標準，這最終會導致安全網絡及系統的形成。

　　 然而，眾所周知，缺陷評估的數據結果是很難影響業務導向的報告的。更為重要的是，這些數據并不是以減災活動可以利用的方式來組織的，而這些活動需要由IT安全部門以外的領域來執行。

　　 相比缺陷評估而言，安全配置工具則是，把系統配置信息以一種可以被行政和業務部門利用的方式組織起來的，以便于他們執行安全配置標準。

　　 但是，這些工具并不能把缺陷和風險定量化。實施安全配置標準也不是很輕松的，它是一項“慢活”，其中包含許多系統的變化。這些變化都要在質量保證測試完成后同步執行。配置變化應當根據可排除的風險級別來劃出優先級，但是安全配置工具并不能識別缺陷，這些缺陷是跟具體的配置環境相一致的。

　　 另外，缺陷評估及安全配置策略的局限性，可以通過結合二者流程來解決。目前，已經有許多的缺陷評估商從他們頗有遠見的顧客那聞知此事，并已著手完善安全配置策略符合性的功能。當然同樣地，一些安全配置策略商家也在引進缺陷評估功能，以使其融合到公司的產品中。

　　 IT安全管理：結合策略一致性

　　 把缺陷評估數據和同步的安全事故數據相結合，對于IT安全管理技術的顧客來說，已經是恒久不變的需求了。這可以使公共資源所潛藏威脅的優先級別變得更為準確。許多IT安全管理商已通過聯合缺陷評估工具的數據結果而滿足了顧客的這一需求。相應地，在企業必須遵從審計和制度要求這一需求驅動下，IT安全管理技術還必須制定出一系列的運作準則。

　　 IT安全管理技術匯總主機數據并使之規范化的能力還有待提高。它應當還包括對同一或新增管理事件進行預先分析這一項。這些事件對于部門遵從公司制度是至關重要的。產品也必須符合準則報告，而不是顧客限定的參考點。

　　 也就是說，部門已經制定的準則標準就是需要遵從的制度要求，其它則一概不予考慮。許多IT安全管理商可能會從現有工具出發，聯合安全策略符合性數據。當然，也有一些供應商則會直接提供這一功能。

　　 由于IT安全管理技術的職能就在于集中數據、進行分析并劃出安全數據的優先級，因此，一些部門就利用它來集中工作流、資產分類、缺陷評估及安全配置策略符合性。實際上，當缺陷管理技術的提供者在擴大各自解決問題的領域時，已經把這些功能結合起來了。

　　 戰略計劃設想

　　 預計到2006年，使用缺陷評估及安全配置策略這種產品的企業，將會把排除缺陷所需時間縮短到以前的40%（70%的可能性）。

　　 預計到2006年，那些沒有引入缺陷管理流程的IT安全管理商將會處于“自縛”狀態（70%的可能性）。

　　 預計到2006年，70%的缺陷評估及安全管理配置策略的供應商，都將會推出一種集兩種功能于一體的單一產品（80%的可能性）。

　　 HP StorageWorks：簡化存儲，提升價值

　　 HP ProLiant存儲服務器：讓客戶輕松管理數據

　　 現在，對于各個行業而言，企業的整個業務架構基本上都建立在IT系統之上。公司的決策者正在發現這樣一個問題：信息越來越多，信息系統越來越復雜，信息管理成本越來越高?？粗畔⒌墓芾碣M用越來越高漲，但很多信息卻無從利用，不知道決策者在簽字的同時有沒有這樣一種感嘆：信息到底是累贅還是財富呢？

　　 面對用戶的這種挑戰，中國惠普網絡存儲產品部認為，相對于行業用戶的各種需求，目前整個存儲行業發展的一個非常重要的趨勢，就是存儲系統本身的簡易化與智能化。

　　 它不僅是存儲的重要方向，也是存儲發展的支柱。作為全球存儲行業的領導者，HP公司已經全面著手通過簡化、智能以及自動化等方式來簡化存儲，降低存儲成本，不僅全面滿足了客戶需求，更使客戶價值實現了全面提升。

　　 今天HP所提供的存儲方案主要的就是HP StorageWorks MSA家族、EVA家族、XP家族、ProLiant Storage Server以及各種軟件、方案等，都體現了簡化存儲的理念。從市場劃分來看，中小企業用戶的IT專業人員不多，而且對資源利用率要求比較高，對簡化管理要求比較高?；诳蛻舻倪@些要求，HP通過簡化存儲幫助客戶有效地解決一些根本性的問題。

　　 HP ProLiant NAS：

　　 讓網絡存儲更加簡單

　　 HP ProLiant存儲服務器經濟實用、易于理解且部署簡單，采用工業標準構件組成，可與企業現有的以太網基礎設施架構相兼容；而通過基于Web的圖形界面，使管理簡單易行。HP ProLiant存儲服務器實現了整合與集中的存儲管理，降低了企業總體擁有成本，可以快速、輕松地擴展，滿足未來的存儲擴展需要。HP ProLiant存儲服務器產品目前包括立式和機架安裝式兩種外形，可適應各種IT環境。

　　 HP ProLiant立式存儲服務器包括經濟入門級HP ProLiant ML110存儲服務器，也包括中檔的ProLiant ML350 G4和ML 370 G4存儲服務器。機架安裝式存儲服務器包括基于SATA的HP ProLiant DL100存儲服務器解決方案；連接SCSI或SATA的中檔HP ProLiant DL380 G4存儲服務器解決方案；企業級HP ProLiant DL380 G4存儲服務器（SAN存儲機型）和企業級HP ProLiant DL580 G2存儲服務器NAS/SAN融合解決方案。部分HP存儲服務器機型可以升級，包括利用HP ProLiant存儲服務器iSCSI功能包軟件提供的以太網數據塊存儲服務。

　　 其中，HP ProLiant DL380 G4存儲服務器將性能、可擴展性和靈活性集于一身。它采用單或雙英特爾3.6 GHz處理器，性能十分出色。當用于連接SCSI或SATA的解決方案時，這款服務器可擴展到數TB的容量。DL380可靈活地部署為三款單機應用機型或一款NAS網關機型，而所有這些機型都可以通過iLO技術遠程管理。DL380存儲服務器的硬件平臺是世界上最暢銷的服務器之一，它以經濟合理的價格，提供了較高的可靠性、性能和領先的技術。

　　 HP ProLiant存儲服務器解決方案建立在兩個領先的商用平臺基礎之上—HP ProLiant服務器和Microsoft Windows Storage Server 2003操作系統，可以提供時間點數據拷貝、復制、服務器集群，以及實施軟、硬件配額的管理功能等。HP ProLiant存儲服務器可快速在以太網網絡上安裝，支持多種協議的文件共享，并可無縫遷移到新的系統，更為中小企業和遠程辦公室提供更多幫助。同時，HP服務提供全面的支持—包括軟件與硬件支持、復雜的IT管理，以及全面的合作伙伴輔助服務。

　　 為獲得最大的靈活性，現在，集成NAS設備與SAN共享資源可以充分利用任意的連接、按需實現的可擴展性以及始終不變的可用性。HP ProLiant 存儲服務器解決方案允許將NAS集成到HP的SAN解決方案中，功能完備的GUI使其不論采用何種存儲平臺，都可以使用同樣的工具輕松進行管理。NAS和SAN功能的融合使用戶能夠輕松利用存儲網絡來存儲各類數據，實現在數據中心提供一個整合的存儲環境，并可與多個遠程系統無縫集成并為其提供相應的存儲需求。

　　 更出色的效率、更簡單的管理、無縫集成，以及可以訪問文件或塊級數據：這一切降低了實施和管理存儲網絡的成本。HP ProLiant存儲服務器為企業數據中心提供了最全面、最廣泛的NAS解決方案，從專門用于遠程辦公或工作組的解決方案到統一的NAS/SAN融合解決方案，一應俱全。只有攜手HP，客戶才能利用統一、開放的平臺和基礎設施架構來實施企業和全球存儲解決方案。

　　 HP ProLiant存儲服務器iSCSI特性包將iSCSI目標功能添加到專為中小企業設計的HP存儲服務器（NAS）產品中，能夠在集中管理且可輕松擴展的存儲平臺上為應用服務器提供文件、打印和塊服務，并具有合理的價格、強大的性能，降低了存儲整合的入門要求，充分利用以太網方面現有的專業知識來進行存儲整合，無需投資并構建光纖通道基礎設施方面的知識，便能夠享受其優勢。

　　 HP ProLiant存儲服務器iSCSI特性包充分利用廣為熟悉的技術以及低成本的組件—以太網基礎設施，提供了整合的網絡存儲，易于使用。它經過Microsoft Exchange 2000和2003服務器以及Microsoft SQL 2000 和2003服務器的驗證，在Oracle數據庫9i和10g上經過認證?，F在，行業用戶可以利用ProLiant存儲服務器可以輕松簡化存儲了，并為用戶的存儲提供強大保障。

原文轉自：http://www.anti-gravitydesign.com