中國IT解耦應避免的三大陷阱

隨著(zhù)地緣政治緊張局勢不斷升級以及合規和本地監管規則愈加嚴格，在中國經(jīng)營(yíng)的跨國企業(yè)當前面對的業(yè)務(wù)環(huán)境更加復雜。這些挑戰促使許多企業(yè)對其IT系統進(jìn)行解耦，以更好地適應中國市場(chǎng)要求和支持其中國境內業(yè)務(wù)。但是，解耦并非總是解決這些難題的最適合方法；而且，這一決策往往會(huì )因為忽略業(yè)務(wù)成本而有失偏頗，帶來(lái)成本高昂、復雜性增加和用戶(hù)體驗下降等問(wèn)題。

Gartner發(fā)現，企業(yè)在中國實(shí)施IT解耦時(shí)常常會(huì )遇到一些陷阱。CIO及其安全和風(fēng)險管理（SRM）領(lǐng)導者應根據場(chǎng)景對IT解耦進(jìn)行評估，以避免掉入常見(jiàn)陷阱。

陷阱1：使用防火墻來(lái)隔離企業(yè)在中國的網(wǎng)絡(luò )基礎設施

一些企業(yè)機構在中國采用網(wǎng)絡(luò )隔離技術(shù)進(jìn)行IT解耦。該方法使用防火墻來(lái)隔離中國大陸境內和境外的網(wǎng)絡(luò )基礎設施。這一做法雖然降低了合規風(fēng)險，卻增加了管理防火墻規則的復雜性，以及因防火墻配置不正確而導致網(wǎng)絡(luò )中斷的風(fēng)險；此外，當今用戶(hù)往往通過(guò)互聯(lián)網(wǎng)而非企業(yè)內網(wǎng)對網(wǎng)絡(luò )進(jìn)行訪(fǎng)問(wèn)，因此僅隔離內網(wǎng)對于控制網(wǎng)絡(luò )連接來(lái)說(shuō)無(wú)濟于事。

為避免這一陷阱，企業(yè)應制定身份優(yōu)先戰略，建立精確和靈活的訪(fǎng)問(wèn)控制，以改善安全態(tài)勢并減少網(wǎng)絡(luò )合規風(fēng)險。身份優(yōu)先安全策略將基于身份的控制作為企業(yè)機構網(wǎng)絡(luò )安全架構基礎要素。采用這一方法，在中國運營(yíng)的跨國企業(yè)機構可以對發(fā)生在任何網(wǎng)絡(luò )地點(diǎn)的數據訪(fǎng)問(wèn)實(shí)施精確控制。

陷阱2：未進(jìn)行風(fēng)險評估就實(shí)施應用解耦

由于對要求解耦的應用未設立標準，許多企業(yè)機構根據應用的關(guān)鍵性進(jìn)行決策，但關(guān)鍵應用并不一定面臨高風(fēng)險。

為避免這一陷阱，企業(yè)機構應進(jìn)行風(fēng)險評估，以確定需要解耦的應用。風(fēng)險評估應平衡網(wǎng)絡(luò )安全合規要求與業(yè)務(wù)收益。如果風(fēng)險評估結果表明需要解耦，企業(yè)機構還須對不同的實(shí)施方案進(jìn)行評估。

陷阱3：采用本土安全工具以滿(mǎn)足中國的網(wǎng)絡(luò )安全合規要求

全球安全工具往往是云交付解決方案，但并非所有工具都在中國設有因特網(wǎng)接?點(diǎn)（POP）。如果安全提供商在中國大陸沒(méi)有設立POP，流量將被重定向到中國境外進(jìn)行安全過(guò)濾。在其他情況下（如使用身份識別系統等），個(gè)人數據會(huì )被轉移到中國大陸以外的國家和地區。這些情況增加了違反中國數據出境法規的風(fēng)險。一些在中國運營(yíng)的跨國公司尋求采用本土安全工具來(lái)滿(mǎn)足中國的網(wǎng)絡(luò )安全合規要求。

然而，本土安全工具增加了技術(shù)復雜性，并且無(wú)法提供某些功能，從而導致安全違規風(fēng)險增加。用戶(hù)會(huì )抱怨體驗不一致，而安全運營(yíng)團隊則難以管理在中國使用的額外工具。此外，采用本土工具并不意味著(zhù)合規，因為網(wǎng)絡(luò )安全法規中并未要求采用本土工具。

為避免這一陷阱，企業(yè)機構應基于對所需能力及其網(wǎng)絡(luò )安全合規要求的評估，選擇網(wǎng)絡(luò )安全工具。安全工具因提供商而異；因此，額外工具增加了安全團隊的復雜性。此外，出于網(wǎng)絡(luò )安全合規目的在中國采用本土安全工具，可能導致在安全控制方面出現漏洞。安全工具的選擇應始終基于對企業(yè)機構網(wǎng)絡(luò )安全合規要求和安全要求的仔細評估。