信息的激增给黑客、窃贼、恶意内部人员创设了一个有着众多攻击目标的环境,而且传统的外围防御无法对付这种威胁。为在信息保护和合法的访问之间实现平衡,企业的信息安全工作人员必须重视保护文件和通信的内容,而不仅仅保护数据的容器和通道。高效的">数据保护要结合内容识别、基于策略的保护、强健的身份验证三个方面,用以发现并监视敏感信息,在信息通过网络、移动设备、云等平台发生移动时,能够在不损害合法用户的工作效率的前提下,拒绝非法访问。
当今的网络安全环境不容乐观。社交工程、差强人意的安全培训、善意雇员所犯的错误都在其中扮演着不容忽视的角色。特别是未受过良好培训的雇员将机密数据的未加密副本存放在暴露的服务器和笔记本电脑上,造成数据泄露,即将敏感信息放在了不可信任的位置,充其量用简单的口令来保护这些信息。
消亡的边界
随着企业日益遭受全球性的攻击,传统的企业外围正在消亡。笔记本电脑离开了可防御的边界,曾成为数据损害的主要原因。可移动的存储设备也可以离开边界,从而使防止数据泄露成为了一个更加巨大的挑战。而今,平台变化多端的平板电脑和智能手机等消费类设备更是使问题复杂化,数据保护更加困难重重。
云计算也以同样的方式在使企业的边界逐渐消亡。云中的数据几乎是完全可移动的,即使是直接为数据负责的人也几乎不知道其物理位置,而掌握着先进技术资源的攻击者和窃贼有可能直接或从远程访问敏感数据。
最后,雇员的可移动性也正在融化传统的“人的边界”。长期受雇佣于一家公司和对公司的忠诚等已经不再是现代雇员的特征,即使在经济很景气时也是如此。而且,工作压力、经济、政治、职业生涯动机等也能够很快就把一个工作狂变成一个威胁企业的罪恶的“内奸”。
首席信息安全官(CISO)的困境
企业的首席信息安全官无法通过限制信息资产的可用性或新技术的使用来响应新兴的威胁和日渐消亡的边界。对企业资产而言,信息的价值来自于使用,而非占用。平板电脑、智能电话、云计算等的普遍使用是因为它们使个人和公司更富有效率。首席信息安全官的战略在于在信息的保护和合法访问之间实现平衡,而不管信息是静态或动态的。信息的安全保护要以信息为中心。
以信息为中心的安全要件
上图展示了为应对以信息为中心的安全问题,首席安全官们必须解决的三大战略问题。首先是识别,即为了保护信息资产,企业首先必须识别信息,这包括数据仓库、服务器、终端等设备中的所有数据,也包括通过网络传输的数据。其次是保护,在确认了数据之后,可通过加密来保障其安全,以便于在未受保护的位置处理数据。上述两步尚不足以完全地保护信息,还需要第三个步骤确保信息供授权用户使用,即用户身份,由强健的认证所支持的授权策略可以通过高级密码协议在不增加用户负担的前提下防止非授权的访问。
(责任编辑:蒙遗善)