您的位置: 网界网 > 周报全文 > 正文

[周报全文]在开放中创建安全生态圈—首届中国IT治理与安全大会纪实

2007年12月05日 15:25:21 | 作者:网界网 赵晓涛 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:随着企业对于互联网的依赖,开放的系统环境已经与企业业务发展紧密联系起来了。与此同时,利用IT构建安全生态系统,保护企业的业务环境,已经成为CIO的使命所在。

标签
安全生态系统
开放的系统环境
 

【CNW.com.cn 专稿】随着企业对于互联网的依赖,开放的系统环境经与企业业务发展紧密联系起来了。与此同时,利用IT构建安全生态系统,保护企业的业务环境,已经成为CIO[注]的使命所在。

治理与安全

今天,IT已经成为企业业务发展和管理不可或缺的组成部分,先进的IT系统给企业带来活力、利润和竞争力的同时,也给企业带来了相应的风险,那就是日益依赖IT系统的企业,可能会面临着因IT系统故障导致业务灾难的风险。

如何最大限度地降低IT系统对业务的负面影响与风险,使IT系统能充分为企业战略目标服务,获得IT价值最大化,是每个企业的IT经理都必须要认真面对的问题。

从实际的经验看,充分发挥IT系统自身控制与自动化的特点,积极开展与业务联系紧密的IT治理与信息安全建设是目前的趋势。其实这种思路非常容易理解:在当前条件下,信息已经成为企业重要的资产,而随之而来的是,企业的管理层,包括CEOCFOCOOCIO都需要具备理解IT的能力,并且能够利用IT开展行之有效的管理活动。

ISACA(国际信息系统审计与控制协会)全球副总裁任家明先生在接受采访时表示,当今IT已经成为企业业务的组成部分,IT治理成为公司治理的组成部分,建设满足公司治理需求的安全基础架构已经成为公司信息战略的组成部分。

在此基础上,利用IT开展对全公司的管理,或者说是利用“IT治理IT”的思路逐渐被企业界所认可。而随着一系列对IT加以控制的安全法规的诞生,在企业内部甚至是在开放环境中构建符合安全标准的生态结构也就成为了当前的主要任务。因为只有完成对于企业信息安全基础平台的构架,才能进一步开展业务经营与各种治理活动。

需要强调的是,IT治理与信息安全的联系已经不再拘泥于简单的风险评估与实施,随着越来越多的企业依赖IT开展业务,其流程层面的安全控制也成为了安全生态中的一部分。换句话说,未来信息安全的发展趋势将会包容企业的内网、外网、周边供应链等各个层次,并将进一步深入下去。

1+1的安全策略

虽然当前越来越多的企业认识到IT的价值,但是搭建一套符合企业要求的安全生态系统却并非易事。

事实上,据微软公司大中华区信息安全总监何迪生先生介绍,目前企业在开放的网络环境中开展业务至少要面对四大挑战:第一,内部身份认证的安全性;第二,有组织犯罪的威胁;第三,各种来自于网络的内外部攻击;第四,各种软硬件的安全漏洞。

对于安全厂商来说,构建一套完整的安全生态系统,必须能够应对这些挑战,包括防御攻击和不必要的通信干扰,尽量预知用户的业务发展趋势,并努力提高自身的安全透明度,以便为用户提供最优的安全防御方案。

何迪生先生表示,目前最为有效的企业安全生态系统建设战略,除了要从技术上进行革新,同时还要为企业提供最佳的安全实践与操作方式指导。同时,安全厂商与企业的CIO最好能够与一些国际安全组织进行合作,比如与ISACAISSA(信息系统安全协会)保持交流可以获得最新的安全防御指导意见,有助于安全生态圈的搭建。

从技术革新上看,目前以微软为代表的安全厂商正在努力推动分层的系统安全建设模式。包括:负责ACLRMS以及数据加密的数据层;强化防病毒结构的应用程序层;负责操作系统强化、修补管理、身份认证和HIDS的主机层;统筹网络段,开展IPSecNIDS的内部网络层;管理防火墙和VPN等设备的周边设备层;以及提供防护、锁定、追踪功能的物力安全与策略通告层。这些技术层和非技术层组合在一起构成了企业实践中的深层防御(DID)机制。

仅仅依靠技术革新还是不能完全保证安全的实施,因为安全效果的获得还将有赖于安全有效的管理流程。事实上,凡是涉及到流程问题,单独依靠安全厂商是不够的,还需要用户企业的努力,其中至少体现为三方面:第一,企业的决策层支持安全流程的建立;第二,需要进行专业的商业风险分析;第三,依靠业务和IT人员一起建立安全策略;第四,构建安全架构并进行部署;第五(+微信关注网络世界),持续不断地开展系统安全监控。

对此何迪生指出,只有将安全管理流程与深层防御体系组合在一起,才能构成最佳的企业安全策略,而这也是企业建设安全生态圈并最终获得安全体验的必由之路。

从概念到落实

说了这么多,安全的体验不能仅仅停留在概念或者策略上,要想获得最佳的效果,仍需把安全方案落到实处。从搭建企业安全生态圈的大环境上分析,可以看到企业网络的上下游仍是防御重点。同时,针对内网与客户端点的防御也不能忽视。

这里以微软公司的Forefront安全方案为例,其中包含了边缘网络、服务器应用、客户端三个领域,通过使用微软多层次的集成防护技术,企业可以统一管理系统安全,并将Forefront和企业现有的IT基础架构紧密集成,从而实现简化管理,实现现有IT基础结构的价值最大化。

从体系结构上看,Forefront包含了实现用户安全的三大组件。

第一,Forefront Client SecurityFCS)。FCS是一体化、集成了反病毒、反恶意软件的企业及客户端安全产品。FCS的最大特点是可以帮助企业实现对当前威胁和新出现威胁的统一保护。事实上,FCS本身非常容易部署和管理,其服务器端程序将所有的策略简单地进行分发,而界面上的仪表板可以显示实时的安全信息,并提示IT人员采取何种行动,从而降低了管理的复杂度。

第二,Forefront Server Security。这是针对消息管理提供的安全保护方案。经验表明,消息的安全对企业至关重要,而该方案帮助企业对消息服务器进行防护,其中涵盖了对ExchangeSharePointOCS的支持,这样一来,可以使企业的邮件系统和协作文档免受恶意程序以及病毒的影响。

第三,Forefront Edge Security。该方案作为网络边缘防御的重要组成部分,ISA Server 2006添加了应用层过滤、应用程序发布,以及针对网络攻击的保护功能。

总之,随着未来中国企业的不断发展壮大,大范围的安全生态圈将会越来越多,并从单一企业发展到供应链的全部。有理由相信,届时,安全防御体系将会更加主动和高效。

参考资料

1.CIO:(Chief Information Officer),首席信息官,亦可称之为信息主管、信息总监等,是企业中信息化建设“统筹”人,是企业中不可或缺的高级主管职位之一,主要负责企业内部信息...详情>>

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]