信息安全是企业信息化过程中的一个永恒话题,今天,云计算正在深度的变革着企业的信息化模式,信息安全管理的天平也必然会在云时代下,进行相应的调整。
一、云计算对企业信息安全的新挑战
云计算以一系列的技术变化为基础,最终的核心是实现软硬件资源的“服务化”,云计算对企业信息化带来的变化,都源于“服务”这俩字。而以“服务”为基础的企业信息化正在加速转变的过程中。这将为企业信息安全管理带来两方面的新挑战:
1、信息安全管理物理边界的泛化:实体的物理边界,正在被虚拟化改变,你所管理的信息安全主体不再是单独的物理服务器和存储设备,而是一个打通各个物理边界的资源池,甚至不同物理地点的资源,将在一个资源池中打通;企业信息安全的“划片范围“也不再是一个清晰的企业网。我们会发现,混合云正在让企业网的边界越来越模糊;我们也发现,企业办公云端的设备也越来越多样,我们力图实现任何时间,任何地点,任何设备都能使用企业应用服务。
2、信息安全管理责任边界的泛化:随着信息系统从封闭向融合的转变,信息安全管理的相关干系人责任关系也将被改变:各个服务提供商将必须对所提供的服务的安全性承担更多的责任,而企业的IT部门也必然会在信息安全的管理中面临剧增的双边甚至是多边责任边界;另一方面,用户在获得以便捷和效率为主要价值诉求的云计算服务时,也应有更为明确的承担相应风险与责任的义务,这一点,在云计算时代必然会更加凸显,否则,安全与便捷的矛盾冲突将会前所未有的增加。
二、企业信息安全管理如何应对新挑战
那么,面临这些挑战,我们该如何应对呢?
以上是企业信息安全管理的五个维度。企业针对云计算带来的信息安全管理新挑战的应对举措,也可从五个方面展开:
1、在基本治理原则与策略上,要进一步强化信息化管理的统一性原则和各干系方的权责对等原则并加以落实。所需强调一点的是,这里的权责对等的主体,不仅是传统安全管理中针对用户和管理者双方,在云时代下,还要包括大量的云服务提供方,所谓要明确建立多边安全责任策略。
2、在传统的管理架构基础上,要以相应的制度和流程,落实统一性原则和权责对等原则的固化,尤其是在“服务商管理”维度中,在云服务商选择标准,云服务商权责管理等方面都要特别的进行探索加强。
3、在技术架构上,要转变视角,从云计算的开放视角,构建企业云计算架构下的信息安全技术部署。下图给出了一个企业在混合云架构下,如何部署从“云—管—端”的安全技术的示例。在这种方式下,很多安全的技术将从独立的第三方通过服务的方式获得。同时,也要解决这些众多的第三方安全服务和私有云安全的集成与联动问题。同时,在“云-管-端”的安全机制建立之后,让端更加开放,让需要保护的资源在云中更加强化,也是让服务的便捷性和安全性协调发展的重要技术布局理念。
4、要建立并完善以风险管理为基础的信息安全过程管理,包括信息安全风险评估制度,应用分级制度,应用的生命周期管理。在这里需要构建一个明确的安全平衡体系:基于应用分级制度,不同级别的应用不同级别的安全管理力度,同时对应匹配的应用服务的便捷度。在企业面对混合云的架构时,哪些应用和数据可以迁移到公有云上,除了技术上的评估外,必须依靠类似的管理机制才能完成。
5、实现让“安全作为服务”(Security as a Service)。让安全成为一个个可以选择或者必选的服务,在云计算的时代背景下,已经具备了技术上的基础,公有云的提供商,大都将安全以服务的方式向用户提供出来,众多的安全厂商也在进行着将产品转化成服务的云转型。对于企业信息安全管理而言,以上的技术趋势必要性不言而喻。它不仅让企业在信息安全管理中的灵活度更高,更重要的是实现了安全与服务的矛盾统一。对于用户而言,他其实是在享用一种安全服务,而不是在被迫的接受一种安全管理。在云时代下,这也是安全管理期望达到的更高境界。
本文转自d1net(转载)