中國IT解耦應避免的三大陷阱

隨著地緣政治緊張局勢不斷升級以及合規(guī)和本地監(jiān)管規(guī)則愈加嚴格，在中國經營的跨國企業(yè)當前面對的業(yè)務環(huán)境更加復雜。這些挑戰(zhàn)促使許多企業(yè)對其IT系統(tǒng)進行解耦，以更好地適應中國市場要求和支持其中國境內業(yè)務。但是，解耦并非總是解決這些難題的最適合方法；而且，這一決策往往會因為忽略業(yè)務成本而有失偏頗，帶來成本高昂、復雜性增加和用戶體驗下降等問題。

Gartner發(fā)現(xiàn)，企業(yè)在中國實施IT解耦時常常會遇到一些陷阱。CIO及其安全和風險管理（SRM）領導者應根據場景對IT解耦進行評估，以避免掉入常見陷阱。

陷阱1：使用防火墻來隔離企業(yè)在中國的網絡基礎設施

一些企業(yè)機構在中國采用網絡隔離技術進行IT解耦。該方法使用防火墻來隔離中國大陸境內和境外的網絡基礎設施。這一做法雖然降低了合規(guī)風險，卻增加了管理防火墻規(guī)則的復雜性，以及因防火墻配置不正確而導致網絡中斷的風險；此外，當今用戶往往通過互聯(lián)網而非企業(yè)內網對網絡進行訪問，因此僅隔離內網對于控制網絡連接來說無濟于事。

為避免這一陷阱，企業(yè)應制定身份優(yōu)先戰(zhàn)略，建立精確和靈活的訪問控制，以改善安全態(tài)勢并減少網絡合規(guī)風險。身份優(yōu)先安全策略將基于身份的控制作為企業(yè)機構網絡安全架構基礎要素。采用這一方法，在中國運營的跨國企業(yè)機構可以對發(fā)生在任何網絡地點的數據訪問實施精確控制。

陷阱2：未進行風險評估就實施應用解耦

由于對要求解耦的應用未設立標準，許多企業(yè)機構根據應用的關鍵性進行決策，但關鍵應用并不一定面臨高風險。

為避免這一陷阱，企業(yè)機構應進行風險評估，以確定需要解耦的應用。風險評估應平衡網絡安全合規(guī)要求與業(yè)務收益。如果風險評估結果表明需要解耦，企業(yè)機構還須對不同的實施方案進行評估。

陷阱3：采用本土安全工具以滿足中國的網絡安全合規(guī)要求

全球安全工具往往是云交付解決方案，但并非所有工具都在中國設有因特網接?點（POP）。如果安全提供商在中國大陸沒有設立POP，流量將被重定向到中國境外進行安全過濾。在其他情況下（如使用身份識別系統(tǒng)等），個人數據會被轉移到中國大陸以外的國家和地區(qū)。這些情況增加了違反中國數據出境法規(guī)的風險。一些在中國運營的跨國公司尋求采用本土安全工具來滿足中國的網絡安全合規(guī)要求。

然而，本土安全工具增加了技術復雜性，并且無法提供某些功能，從而導致安全違規(guī)風險增加。用戶會抱怨體驗不一致，而安全運營團隊則難以管理在中國使用的額外工具。此外，采用本土工具并不意味著合規(guī)，因為網絡安全法規(guī)中并未要求采用本土工具。

為避免這一陷阱，企業(yè)機構應基于對所需能力及其網絡安全合規(guī)要求的評估，選擇網絡安全工具。安全工具因提供商而異；因此，額外工具增加了安全團隊的復雜性。此外，出于網絡安全合規(guī)目的在中國采用本土安全工具，可能導致在安全控制方面出現(xiàn)漏洞。安全工具的選擇應始終基于對企業(yè)機構網絡安全合規(guī)要求和安全要求的仔細評估。