近幾年��,隨著社交媒體���、移動(dòng)互聯(lián)網(wǎng)��,特別是各種智能終端包括互聯(lián)網(wǎng)應(yīng)用的普及和應(yīng)用�,以及云計(jì)算、虛擬化的快速發(fā)展���,在提升企業(yè)生產(chǎn)力的同時(shí)�����,也帶來(lái)很多不確定性和一些新的問題���。
對(duì)于未來(lái)的信息安全,我們需要著重關(guān)注什么?
基于我們的觀察�����,2012年以下4點(diǎn)趨勢(shì)有必要引起業(yè)界足夠的重視:
一是BYOD(自帶設(shè)備辦公)給企業(yè)安全帶來(lái)極大威脅���。隨著越來(lái)越多的80,90年代年輕人進(jìn)人職場(chǎng)���,自帶辦公設(shè)備已是一種趨勢(shì)。好處是這些年輕人可能會(huì)用自己喜歡的方式來(lái)工作���,提高工作效率��。但企業(yè)該如何管理卻成了很大挑戰(zhàn)��,BYOD帶來(lái)的安全威脅也就更大�。而且,包括私人郵件在內(nèi)的公私結(jié)合趨勢(shì)���,也給越來(lái)越多的企業(yè)帶來(lái)很大挑戰(zhàn)�����。因?yàn)闆]法管理�,分不清公和私���,一樣會(huì)帶來(lái)很大的安全威脅�。
二是全新的云安全機(jī)制��。我們正處于一個(gè)風(fēng)起云涌的時(shí)代��,未來(lái)幾年�����,很多政府機(jī)構(gòu)�、中小企業(yè)可能不會(huì)再雇傭更多的信息安全人員,因?yàn)闆]有必要���,他會(huì)更愿意把安全外包出去�,或者通過云的方式�,進(jìn)行云服務(wù),把信息安全交給更專業(yè)的團(tuán)隊(duì)去管理�。這絕對(duì)是個(gè)趨勢(shì),會(huì)有多快��,我們不知道�����,但一定會(huì)到來(lái)�����。
一個(gè)例子是��,我們有一個(gè)大企業(yè)客戶���,我問他的CEO,你們公司有多少安全專家?不到3個(gè)��。他的信息安全問題更多是交給安全廠商去負(fù)責(zé)�。
大型企業(yè)這樣,中小企業(yè)更是如此��。我們可以通過云方式為后者提供服務(wù)���。那么��,云計(jì)算到底是更安全還是更不安全���,非常值得我們探討。也許從某個(gè)角度來(lái)講�����,云可能會(huì)更安全���,因?yàn)橹行∑髽I(yè)依賴云服務(wù)提供商提供服務(wù);對(duì)云服務(wù)商來(lái)說(shuō)���,只會(huì)幫助企業(yè)IT部門適應(yīng)并挖掘更新的方法保護(hù)他們的企業(yè)系統(tǒng)與信息資產(chǎn)。
目前�����,很多企業(yè)在很多方面都應(yīng)用了云服務(wù),如財(cái)務(wù)�����、營(yíng)銷�����、郵件系統(tǒng)等等�,都是不同的云���。企業(yè)需要全新的云安全管理機(jī)制去管理這些云�����。云的問題要通過云的方式來(lái)解決���。
三是全價(jià)值鏈的安全。現(xiàn)在很多商業(yè)模式都會(huì)涉及整個(gè)產(chǎn)業(yè)鏈���,大部分企業(yè)會(huì)通過網(wǎng)絡(luò)跟客戶聯(lián)系�����,提供服務(wù)�����。此外���,還要與供應(yīng)商�、外包商��、經(jīng)銷商聯(lián)系并溝通���,所以���,只保護(hù)好企業(yè)自身的安全是不夠的,我們的《互聯(lián)網(wǎng)安全威脅報(bào)告》也指出���,目前遭受攻擊的對(duì)象��,在職位上也越來(lái)越廣泛��。比如那些網(wǎng)絡(luò)罪犯不攻擊老板�,可能攻擊秘書���,或與老板有密切關(guān)系的其他對(duì)象�。所以,全價(jià)值鏈的安全很重要�。
四是構(gòu)建全面的安全防護(hù)。安全絕不僅僅是一個(gè)簡(jiǎn)單的防病毒���,從準(zhǔn)人,到主機(jī)安全���、審計(jì)�,到加密���,到認(rèn)證�,到授權(quán)�����,到數(shù)據(jù)中心的優(yōu)化���、虛擬化等等涉及方方面面���。我們現(xiàn)在講的安全���,是全面的信息安全,絕非局部的安全�����。安全行業(yè)的希望也在于此��。
安全外包是趨勢(shì)
當(dāng)然���,安全是一個(gè)博弈的過程�,依賴的不只是技術(shù)�����。想要實(shí)現(xiàn)安全外包應(yīng)注意幾點(diǎn):
一是技術(shù)基礎(chǔ)���。要有一套完整的管理機(jī)制���,宣傳、培訓(xùn)也很重要��,否則沒法落地;
二是一定要用法律作為后盾?��,F(xiàn)在信息安全犯罪更多是因經(jīng)濟(jì)利益�����,所以相關(guān)處罰措施很有必要�,如果法律跟不上,信息安全也不能做到徹底�����。所以���,監(jiān)管部門一定要加強(qiáng)這方面的法律保障;
三是一個(gè)平臺(tái)、一個(gè)游戲規(guī)則�。從云服務(wù)來(lái)講,很多管理內(nèi)容不再是企業(yè)自己擁有���。IT管理者雖然管理網(wǎng)絡(luò)��,但上面的用戶遠(yuǎn)多于你的員工��,他們可能是你的供應(yīng)商�、外包商��、客戶,這些人都不會(huì)乖乖聽你的話��,為什么?因?yàn)樗麄儾皇悄愕膯T工���。設(shè)備有時(shí)也不是自己的��,可能要靠別人來(lái)管理��,這對(duì)IT部門挑戰(zhàn)很大�。所以�����,IT部門就必須扮演一個(gè)新角色�,依靠云服務(wù),提供一個(gè)平臺(tái)���,一個(gè)游戲規(guī)貝IJ���,提供用戶支撐,并提高所有使用者的工作效率;
四是要能夠控制�����,并能減低風(fēng)險(xiǎn)。如今���,:IT部門不同于以前�,更多是一個(gè)服務(wù)部門�,善于溝通和協(xié)調(diào),并將各方需求��、業(yè)務(wù)聯(lián)系在一起�����,所以�����,除了懂機(jī)器�����、技術(shù)��,IT人員還要懂業(yè)務(wù)�����,這樣才能夠選擇云�����、應(yīng)用云�����、用好云���。
