IT安全,技術不再重要
IT安全,技術不再重要
來源:中國信息化
“安全是當今網絡IT領域普遍關注的核心問題,但是,真正的安全問題是否受到足夠的重視了呢? CIO和CEO們在評估和解決潛在威脅的同時是否還受困于遺留問題呢?經濟衰退時期的激勵制度是否掩蓋了種種威脅隱患的存在呢?”這段話出自英國電信日前發布的題為“2010年IT安全:你必須知道的6件事情”的白皮書。
信息技術無論對于個人企業是國家都變得非常重要而且無處不在,它改變了老百姓的日常生活和工作方式,改變了國家的經濟結構和社會結構。但是在信息技術普及的同時,安全的問題亦愈加突出。如去年的Conficker蠕蟲病毒攻擊讓我們仍然心有余悸,數百萬臺電腦成為犧牲品。而兩大搜索巨頭谷歌和百度受得可疑黑客的攻擊也再次引起人們對IT安全問題的反思。
可以說,IT安全的問題從來沒有像現在這樣重要。現在是CIO和CEO們需要坐下來好好探討一下其公司所面臨的IT安全問題的時候了。
哪6件事情?
英國電信的白皮書所列舉的6件事情其實也是6大普遍存在的IT安全問題或者隱患,是需要CIO和CEO們在2010年緊急探討的。這6件事情分別是:網絡犯罪、內部威脅、經濟衰退所引起的大規模裁員、社交網絡、云安全以及企業云的使用。你會發現,這其中大部分內容是與人有關的。
當今世界對信息技術過渡依賴的結果是產生了老式“工業間諜”的現代變種,即通過監視、竊取和破壞另一家組織的數據得到競爭優勢、經濟和軍事優勢,無論該組織是商業企業還是國家政府。為了保護美國“免于遭受網絡攻擊和高技術犯罪”,2009年5月,美國總統奧巴馬宣布組建一個新的白宮網絡安全辦公室以打擊網絡犯罪。之后,英國,澳大利亞和菲律賓等國也紛紛效仿。
而對于內部威脅,根據著名安全廠商McAfee的研究,75%的網站篡改事件以及68%的數據盜竊是內部作案。這既包括員工無意識地泄漏敏感數據,也不乏一些員工對公司有敵意并采取報復行動:例如,刪除帳務記錄,或竊取可賣給競爭對手或用于在下一份工作中獲取優勢的信息。
此外,各個國家和地區的研究表明大量的員工在等待全球經濟衰退結束之后再更換工作,而這對于企業來說將是一次艱巨的“危機公關”,公司的秘密很有可能就會因為員工的離開而被帶走。
社交網絡現在風行一時,這是互聯網的本質。最初,企業所擔心的都是Facebook和Twitter這一類網站可能降低員工生產率,然而當員工使用工作場所上網設施登陸外部網站共享信息成為一種趨勢后企業發現公司的信息完整性將會受到威脅。而且伴隨互聯網一起長大的新生代員工對安全問題似乎漠不關心,這給企業的安全管理工作帶來重大挑戰。
轉向云架構的益處可能是巨大的,但是很多CIO們認為云計算是一個安全黑洞,敏感的公司數據隨時面臨著被無數遠程IT罪犯們盜竊、復制、篡改的威脅。而且,盡管服務的彈性是云架構的核心功能之一,上下擴展不影響可用性、業務連續性,然而災難恢復是云計算面臨的一大挑戰。在傳統業務連續模式下,在出現災難時,在專用(并可能是企業自己管理的)服務器中儲存的所有數據要按常規復制,并儲存在不同地點的鏡像服務器中。但是,在云架構下,服務器的位置不再是服務提供的一個基本屬性,這使得數據的備份和恢復是相當具有挑戰性的。
企業如何自衛?
面對安全威脅企業該如何做?我們能夠全面消除安全威脅嗎?英國電信亞太區安全實踐部總監Stephen Hopkins表示:“坦率的說,沒有醫治這一病癥的靈丹妙藥。許多人認為,安裝昂貴的安全工具包是解決方案,而事實并非如此,因為沒有一種產品或服務能夠保證你的數據的徹底安全性。”
而且,安全的問題不是可以一勞永逸的,解決之后便再也不會發生。純技術性的問題是可以解決的,比如存儲。但是IT安全問題往往是與人、與社會有關的,而只要是和人有關的問題都會永遠存在下去。
他說,“網絡犯罪”一詞使我們忘記了數據開始并終結于某個物理機器,這導致物理威脅經常被人所忽視。“你可以得到世界上最好的技術,但如果你的辦公室清潔工能夠輕而易舉地用數據卡將辦公樓中的數據信息偷帶出去,那一切皆無濟于事”。
Stephen Hopkins認為,我們無法徹底消除安全隱患,那我們就應該將威脅控制在我們所能容忍的范圍之內。而解決之道是企業應該建立一個良好的公司政策組合,比如流程、管理和培訓等,并輔之以有效的安全防御技術。“你要首先確保自己擁有適當的技術,然后將其與有效的法規遵守結合起來,如ISO 27001 (BS7799) 信息安全管理系統,對公司數據進行嚴格測試、監測和記錄,同時要制定相關政策也確保這些措施的順利執行。這意味著公司要對自己的IT人員甚至普通員工進行全面的培訓,并且讓法律部門也參與進來,以確保公司的政策措施同法律相符”。
舉個例子,社交網絡的目的在于協作和共享,這二者正是創新的生命源泉,雖然新生代員工對社交網絡的鐘愛有可能危及企業安全,但企業不應該采取禁止的手段而是應該想法設法加以利用。社交網絡帶來的數據風險不會高于電子郵件帳戶帶來的風險,因此關鍵的問題是人們如何使用數據。有了適當的技術、適當的培訓、適當的員工關懷,完全有可能保證任何基于網絡工具的安全。還是那句話,對人的教育是關鍵。
