[周报全文]在开放中创建安全生态圈—首届中国IT治理与安全大会纪实

2007-12-05 |  作者:网界网 赵晓涛 |  来源:互联网 |  查看原文

摘要随着企业对于互联网的依赖,开放的系统环境已经与企业业务发展紧密联系起来了。与此同时,利用IT构建安全生态系统,保护企业的业务环境,已经成为CIO的使命所在。

 

【CNW.com.cn 专稿】随着企业对于互联网的依赖,开放的系统环境已经与企业业务发展紧密联系起来了。与此同时,利用IT构建安全生态系统,保护企业的业务环境,已经成为CIO的使命所在。

治理与安全

今天,IT已经成为企业业务发展和管理不可或缺的组成部分,先进的IT系统给企业带来活力、利润和竞争力的同时,也给企业带来了相应的风险,那就是日益依赖IT系统的企业,可能会面临着因IT系统故障导致业务灾难的风险。

如何最大限度地降低IT系统对业务的负面影响与风险,使IT系统能充分为企业战略目标服务,获得IT价值最大化,是每个企业的IT经理都必须要认真面对的问题。

从实际的经验看,充分发挥IT系统自身控制与自动化的特点,积极开展与业务联系紧密的IT治理与信息安全建设是目前的趋势。其实这种思路非常容易理解:在当前条件下,信息已经成为企业重要的资产,而随之而来的是,企业的管理层,包括CEO、CFO、COO、CIO都需要具备理解IT的能力,并且能够利用IT开展行之有效的管理活动。

ISACA(国际信息系统审计与控制协会)全球副总裁任家明先生在接受采访时表示,当今IT已经成为企业业务的组成部分,IT治理成为公司治理的组成部分,建设满足公司治理需求的安全基础架构已经成为公司信息战略的组成部分。

在此基础上,利用IT开展对全公司的管理,或者说是利用“IT治理IT”的思路逐渐被企业界所认可。而随着一系列对IT加以控制的安全法规的诞生,在企业内部甚至是在开放环境中构建符合安全标准的生态结构也就成为了当前的主要任务。因为只有完成对于企业信息安全基础平台的构架,才能进一步开展业务经营与各种治理活动。

需要强调的是,IT治理与信息安全的联系已经不再拘泥于简单的风险评估与实施,随着越来越多的企业依赖IT开展业务,其流程层面的安全控制也成为了安全生态中的一部分。换句话说,未来信息安全的发展趋势将会包容企业的内网、外网、周边供应链等各个层次,并将进一步深入下去。

1+1的安全策略

虽然当前越来越多的企业认识到IT的价值,但是搭建一套符合企业要求的安全生态系统却并非易事。

事实上,据微软公司大中华区信息安全总监何迪生先生介绍,目前企业在开放的网络环境中开展业务至少要面对四大挑战:第一,内部身份认证的安全性;第二,有组织犯罪的威胁;第三,各种来自于网络的内外部攻击;第四,各种软硬件的安全漏洞。

对于安全厂商来说,构建一套完整的安全生态系统,必须能够应对这些挑战,包括防御攻击和不必要的通信干扰,尽量预知用户的业务发展趋势,并努力提高自身的安全透明度,以便为用户提供最优的安全防御方案。

何迪生先生表示,目前最为有效的企业安全生态系统建设战略,除了要从技术上进行革新,同时还要为企业提供最佳的安全实践与操作方式指导。同时,安全厂商与企业的CIO最好能够与一些国际安全组织进行合作,比如与ISACA和ISSA(信息系统安全协会)保持交流可以获得最新的安全防御指导意见,有助于安全生态圈的搭建。

从技术革新上看,目前以微软为代表的安全厂商正在努力推动分层的系统安全建设模式。包括:负责ACL、RMS以及数据加密的数据层;强化防病毒结构的应用程序层;负责操作系统强化、修补管理、身份认证和HIDS的主机层;统筹网络段,开展IPSec和NIDS的内部网络层;管理防火墙和VPN等设备的周边设备层;以及提供防护、锁定、追踪功能的物力安全与策略通告层。这些技术层和非技术层组合在一起构成了企业实践中的深层防御(DID)机制。

仅仅依靠技术革新还是不能完全保证安全的实施,因为安全效果的获得还将有赖于安全有效的管理流程。事实上,凡是涉及到流程问题,单独依靠安全厂商是不够的,还需要用户企业的努力,其中至少体现为三方面:第一,企业的决策层支持安全流程的建立;第