CSO绝对是个管理的职位，CSO并不需要对技术有深入的了解。CSO要知道公司的方向是什么，公司的策略是什么，如何保护公司的资产，如何让公司有效地运行。CSO是个全面的职位……

CSO绝对是个管理的职位
　　记者：您认为CSO应该是个什么样的职位？
　　陈联：绝对是个管理的职位，CSO并不需要对技术有深入的了解。CSO要知道公司的方向是什么，公司的策略是什么，如何保护公司的资产，如何让公司有效地运行。CSO要按照公司的需要，设计安全机制，所以要知道目前市场上有什么样的安全产品和解决方案，还要了解现在有什么样的网络攻击、有什么样的黑客行为。CSO是个全面的职位。

　　记者：您所接触的CSO的现状是什么样？
　　陈联：目前，我所接触到的企业中银行多有这样的职位，不是银行的企业并不会安排专职的CSO。很多企业的信息安全或者是由CIO兼管，或者是由网管人员考虑负责，这有一个很不好的地方，CIO和网管人员始终有自己的职务。网管人员的任务是要让公司的网络正常地运行，对于安全管理，他不会从公司的角度出发去考虑，因而也就很难真正保护公司的资产。

　　记者：您喜欢和什么样的CSO打交道？
　　陈联：我想如果有一个专职的CSO就好了。目前，我们在向企业介绍安全解决方案时，因为很多企业没有专职的CSO，我们必须先和企业的网管人员解释有什么样的解决方案，同时还要和企业的管理阶层解释为什么需要这些方案。如果企业有一个专职的CSO，他会知道企业的安全需求是什么，他会要求我们做什么，提供什么样的解决方案。

　　国外企业的CSO会让提供安全方案的厂商填一个评估表，里面有企业安全方面标准的详细说明，他会考察安全厂商提供的安全方案是否达到所要求的标准。

　　管理能力是最基本的素质
　　记者：一个合格的CSO应该具备的最基本的素质是什么？
　　陈联：是管理能力。CSO要设计安全机制，制订安全规则，要和公司的管理层沟通，为什么需要这样的安全方案，他的管理能力要让他决定的事能做到。
　　安全机制包括防火墙、IDS、IPS如何部署等问题。针对网络上的漏洞、黑客攻击的手段，CSO要制订安全规则，使公司的各部门主管了解到需要做什么事情，并定期检查，对各部门的安全进行评估。
　　比如银行的在线交易业务，该业务的价格和新闻信息来自于别家的公司，银行要及时地拿到这样的信息，就需要连接到许多不同的第三方公司。同时，银行也要把交易平台公开对外，让用户登录进来，看价格，买卖。这样的业务很复杂，牵扯到对外、第三方和内部的重要资料，需要考虑的安全问题很多。
　　从第三方得到新闻，只能让对方传送新闻进来，不能有银行的内部资料让第三方得到，控制是单方面的，中间不能有差错。如果让黑客混进来，登了一个假新闻，市场就会受到严重影响。保证第三方的资料没有被改过，保证第三方的传送没有被中断，不只是技术上的问题。如果单纯从技术上考虑安全，那往往是不安全的。 本文由：licaihome.com 整理
　　对外，就牵扯到怎么控制用户，这需要制订一些规则。比如一个用户打错三次密码，就不能登录了，需要通过其它方式的认证才可以重新登录。这些规则不只是对外的，也是对内的。当用户进来后，是不是要有IPS和防火墙来防黑客，网络服务器是不是需要备份等都需要考虑。
　　对于银行的数据库，管理人员是不可以看到用户个人资料的，他只能管理数据库。数据库和网络服务器中间是不是需要加一些安全机制，怎么样去做认证保证用户资料的安全等，制订这些规则其实是很难的。

记者：您认为CSO所具备的素质中还有哪两点比较重要呢？
　　陈联：CSO还要懂技术。当然，技术上的要求并不是很强，但CSO必须知道目前新的漏洞、新的攻击是什么，用什么方式可以去防护，怎么样达到安全的要求。
　　比如一个企业要购买防火墙，CSO不仅要知道为什么要装防火墙，而且要知道怎么装，如何把网络服务器、邮件服务器集中在一个区域并与内部区域分开，以确保公司的内部区域受到保护。
　　现在开始流行IPS了，CSO就要知道怎么用IPS，放在什么部位，哪几个网络是非常重要的，不能让黑客进去，这些都是技术上必须要知道的。
　　还有一个是CSO要有全面性的知识，要了解公司的运作，要具备法律上的知识。
　　比如银行的CSO，银行每个部门的安全需求都不一样，CSO必须要有很好的知识去了解。知识不是光指技术，他要了解具体部门是如何运作的，并用他的技术能力保证各部门的安全。CSO还要有法律上的知识，银行的每个部门牵扯到的法律也不一样，所以他也需要这样的知识。

　　经验对CSO很重要
　　记者：达到合格的CSO的标准需要如何努力？
　　陈联：我想这需要很多经验。没有一个CSO可以通过读书很容易地做好，真的是要通过经验。对于银行的CSO，技术上并不是很难，难的是他要在银行的运作方面有很好的知识。全面性的知识，加上管理能力，这真的需要靠经验才能得来。 来源－www.licaihome.com