近幾年,隨著社交媒體、移動互聯(lián)網(wǎng),特別是各種智能終端包括互聯(lián)網(wǎng)應(yīng)用的普及和應(yīng)用,以及云計算、虛擬化的快速發(fā)展,在提升企業(yè)生產(chǎn)力的同時,也帶來很多不確定性和一些新的問題。
對于未來的信息安全,我們需要著重關(guān)注什么?
基于我們的觀察,2012年以下4點趨勢有必要引起業(yè)界足夠的重視:
一是BYOD(自帶設(shè)備辦公)給企業(yè)安全帶來極大威脅。隨著越來越多的80,90年代年輕人進人職場,自帶辦公設(shè)備已是一種趨勢。好處是這些年輕人可能會用自己喜歡的方式來工作,提高工作效率。但企業(yè)該如何管理卻成了很大挑戰(zhàn),BYOD帶來的安全威脅也就更大。而且,包括私人郵件在內(nèi)的公私結(jié)合趨勢,也給越來越多的企業(yè)帶來很大挑戰(zhàn)。因為沒法管理,分不清公和私,一樣會帶來很大的安全威脅。
二是全新的云安全機制。我們正處于一個風起云涌的時代,未來幾年,很多政府機構(gòu)、中小企業(yè)可能不會再雇傭更多的信息安全人員,因為沒有必要,他會更愿意把安全外包出去,或者通過云的方式,進行云服務(wù),把信息安全交給更專業(yè)的團隊去管理。這絕對是個趨勢,會有多快,我們不知道,但一定會到來。
一個例子是,我們有一個大企業(yè)客戶,我問他的CEO,你們公司有多少安全專家?不到3個。他的信息安全問題更多是交給安全廠商去負責。
大型企業(yè)這樣,中小企業(yè)更是如此。我們可以通過云方式為后者提供服務(wù)。那么,云計算到底是更安全還是更不安全,非常值得我們探討。也許從某個角度來講,云可能會更安全,因為中小企業(yè)依賴云服務(wù)提供商提供服務(wù);對云服務(wù)商來說,只會幫助企業(yè)IT部門適應(yīng)并挖掘更新的方法保護他們的企業(yè)系統(tǒng)與信息資產(chǎn)。
目前,很多企業(yè)在很多方面都應(yīng)用了云服務(wù),如財務(wù)、營銷、郵件系統(tǒng)等等,都是不同的云。企業(yè)需要全新的云安全管理機制去管理這些云。云的問題要通過云的方式來解決。
三是全價值鏈的安全?,F(xiàn)在很多商業(yè)模式都會涉及整個產(chǎn)業(yè)鏈,大部分企業(yè)會通過網(wǎng)絡(luò)跟客戶聯(lián)系,提供服務(wù)。此外,還要與供應(yīng)商、外包商、經(jīng)銷商聯(lián)系并溝通,所以,只保護好企業(yè)自身的安全是不夠的,我們的《互聯(lián)網(wǎng)安全威脅報告》也指出,目前遭受攻擊的對象,在職位上也越來越廣泛。比如那些網(wǎng)絡(luò)罪犯不攻擊老板,可能攻擊秘書,或與老板有密切關(guān)系的其他對象。所以,全價值鏈的安全很重要。
四是構(gòu)建全面的安全防護。安全絕不僅僅是一個簡單的防病毒,從準人,到主機安全、審計,到加密,到認證,到授權(quán),到數(shù)據(jù)中心的優(yōu)化、虛擬化等等涉及方方面面。我們現(xiàn)在講的安全,是全面的信息安全,絕非局部的安全。安全行業(yè)的希望也在于此。
安全外包是趨勢
當然,安全是一個博弈的過程,依賴的不只是技術(shù)。想要實現(xiàn)安全外包應(yīng)注意幾點:
一是技術(shù)基礎(chǔ)。要有一套完整的管理機制,宣傳、培訓(xùn)也很重要,否則沒法落地;
二是一定要用法律作為后盾。現(xiàn)在信息安全犯罪更多是因經(jīng)濟利益,所以相關(guān)處罰措施很有必要,如果法律跟不上,信息安全也不能做到徹底。所以,監(jiān)管部門一定要加強這方面的法律保障;
三是一個平臺、一個游戲規(guī)則。從云服務(wù)來講,很多管理內(nèi)容不再是企業(yè)自己擁有。IT管理者雖然管理網(wǎng)絡(luò),但上面的用戶遠多于你的員工,他們可能是你的供應(yīng)商、外包商、客戶,這些人都不會乖乖聽你的話,為什么?因為他們不是你的員工。設(shè)備有時也不是自己的,可能要靠別人來管理,這對IT部門挑戰(zhàn)很大。所以,IT部門就必須扮演一個新角色,依靠云服務(wù),提供一個平臺,一個游戲規(guī)貝IJ,提供用戶支撐,并提高所有使用者的工作效率;
四是要能夠控制,并能減低風險。如今,:IT部門不同于以前,更多是一個服務(wù)部門,善于溝通和協(xié)調(diào),并將各方需求、業(yè)務(wù)聯(lián)系在一起,所以,除了懂機器、技術(shù),IT人員還要懂業(yè)務(wù),這樣才能夠選擇云、應(yīng)用云、用好云。