it安全,技术不再重要
来源:中国信息化
“安全是当今网络it领域普遍关注的核心问题,但是,真正的安全问题是否受到足够的重视了呢? cio和ceo们在评估和解决潜在威胁的同时是否还受困于遗留问题呢?经济衰退时期的激励制度是否掩盖了种种威胁隐患的存在呢?”这段话出自英国电信日前发布的题为“2010年it安全:你必须知道的6件事情”的白皮书。
信息技术无论对于个人企业是国家都变得非常重要而且无处不在,它改变了老百姓的日常生活和工作方式,改变了国家的经济结构和社会结构。但是在信息技术普及的同时,安全的问题亦愈加突出。如去年的conficker蠕虫病毒攻击让我们仍然心有余悸,数百万台电脑成为牺牲品。而两大搜索巨头谷歌和百度受得可疑黑客的攻击也再次引起人们对it安全问题的反思。
可以说,it安全的问题从来没有像现在这样重要。现在是cio和ceo们需要坐下来好好探讨一下其公司所面临的it安全问题的时候了。
哪6件事情?
英国电信的白皮书所列举的6件事情其实也是6大普遍存在的it安全问题或者隐患,是需要cio和ceo们在2010年紧急探讨的。这6件事情分别是:网络犯罪、内部威胁、经济衰退所引起的大规模裁员、社交网络、云安全以及企业云的使用。你会发现,这其中大部分内容是与人有关的。
当今世界对信息技术过渡依赖的结果是产生了老式“工业间谍”的现代变种,即通过监视、窃取和破坏另一家组织的数据得到竞争优势、经济和军事优势,无论该组织是商业企业还是国家政府。为了保护美国“免于遭受网络攻击和高技术犯罪”,2009年5月,美国总统奥巴马宣布组建一个新的白宫网络安全办公室以打击网络犯罪。之后,英国,澳大利亚和菲律宾等国也纷纷效仿。
而对于内部威胁,根据著名安全厂商mcafee的研究,75%的网站篡改事件以及68%的数据盗窃是内部作案。这既包括员工无意识地泄漏敏感数据,也不乏一些员工对公司有敌意并采取报复行动:例如,删除帐务记录,或窃取可卖给竞争对手或用于在下一份工作中获取优势的信息。
此外,各个国家和地区的研究表明大量的员工在等待全球经济衰退结束之后再更换工作,而这对于企业来说将是一次艰巨的“危机公关”,公司的秘密很有可能就会因为员工的离开而被带走。
社交网络现在风行一时,这是互联网的本质。最初,企业所担心的都是facebook和twitter这一类网站可能降低员工生产率,然而当员工使用工作场所上网设施登陆外部网站共享信息成为一种趋势后企业发现公司的信息完整性将会受到威胁。而且伴随互联网一起长大的新生代员工对安全问题似乎漠不关心,这给企业的安全管理工作带来重大挑战。
转向云架构的益处可能是巨大的,但是很多cio们认为云计算是一个安全黑洞,敏感的公司数据随时面临着被无数远程it罪犯们盗窃、复制、篡改的威胁。而且,尽管服务的弹性是云架构的核心功能之一,上下扩展不影响可用性、业务连续性,然而灾难恢复是云计算面临的一大挑战。在传统业务连续模式下,在出现灾难时,在专用(并可能是企业自己管理的)服务器中储存的所有数据要按常规复制,并储存在不同地点的镜像服务器中。但是,在云架构下,服务器的位置不再是服务提供的一个基本属性,这使得数据的备份和恢复是相当具有挑战性的。
企业如何自卫?
面对安全威胁企业该如何做?我们能够全面消除安全威胁吗?英国电信亚太区安全实践部总监stephen hopkins表示:“坦率的说,没有医治这一病症的灵丹妙药。许多人认为,安装昂贵的安全工具包是9001cc金沙的解决方案,而事实并非如此,因为没有一种产品或服务能够保证你的数据的彻底安全性。”
而且,安全的问题不是可以一劳永逸的,解决之后便再也不会发生。纯技术性的问题是可以解决的,比如存储。但是it安全问题往往是与人、与社会有关的,而只要是和人有关的问题都会永远存在下去。
他说,“网络犯罪”一词使我们忘记了数据开始并终结于某个物理机器,这导致物理威胁经常被人所忽视。“你可以得到世界上最好的技术,但如果你的办公室清洁工能够轻而易举地用数据卡将办公楼中的数据信息偷带出去,那一切皆无济于事”。
stephen hopkins认为,我们无法彻底消除安全隐患,那我们就应该将威胁控制在我们所能容忍的范围之内。而解决之道是企业应该建立一个良好的公司政策组合,比如流程、管理和培训等,并辅之以有效的安全防御技术。“你要首先确保自己拥有适当的技术,然后将其与有效的法规遵守结合起来,如iso 27001 (bs7799) 信息安全管理系统,对公司数据进行严格测试、监测和记录,同时要制定相关政策也确保这些措施的顺利执行。这意味着公司要对自己的it人员甚至普通员工进行全面的培训,并且让法律部门也参与进来,以确保公司的政策措施同法律相符”。
举个例子,社交网络的目的在于协作和共享,这二者正是创新的生命源泉,虽然新生代员工对社交网络的钟爱有可能危及企业安全,但企业不应该采取禁止的手段而是应该想法设法加以利用。社交网络带来的数据风险不会高于电子邮件帐户带来的风险,因此关键的问题是人们如何使用数据。有了适当的技术、适当的培训、适当的员工关怀,完全有可能保证任何基于网络工具的安全。还是那句话,对人的教育是关键。