【51CTO.com 綜合消息】亞洲有越來越多的CIO在企業(yè)內(nèi)部開展遵從性項(xiàng)目。如果實(shí)施的好，遵從性項(xiàng)目會(huì)讓IT主管成為保護(hù)企業(yè)數(shù)據(jù)和名譽(yù)的天使，然而不斷增加的遵從性要求往往擠占企業(yè)的IT預(yù)算而犧牲掉其他的安全措施，一旦陷入這樣的魔爪，企業(yè)的安全勢(shì)態(tài)最終會(huì)因缺乏基本要素而不再安全。

本文將剖析企業(yè)為達(dá)到遵從性要求而犧牲基本安全需求的危害，進(jìn)而探討CIO制訂出前瞻性的信息安全戰(zhàn)略的四大步驟。

天使，還是惡魔？

不斷增加的遵從性要求和由此帶來的挑戰(zhàn)，讓亞洲IT主管們感到肩上的責(zé)任越來越重。他們中越來越多的人開始負(fù)責(zé)企業(yè)的遵從性項(xiàng)目，這令他們可能成為保護(hù)企業(yè)安全的天使，也可能變成制造企業(yè)安全災(zāi)難的惡魔。

為支持遵從性項(xiàng)目，企業(yè)信息安全主管能夠獲得更多促進(jìn)企業(yè)安全的有利資源，從而創(chuàng)造更大的價(jià)值。如果項(xiàng)目實(shí)施順利，信息安全主管便能利用遵從性項(xiàng)目打造更加具有前瞻性的安全項(xiàng)目，從而成為保護(hù)企業(yè)數(shù)據(jù)和名譽(yù)的天使。

然而在亞洲，CIO常?？嘤诓坏貌焕猛瑯拥腎T預(yù)算滿足不斷增加的遵從性要求。要在遵從性項(xiàng)目上增大預(yù)算意味著不得不在其他IT方面減少預(yù)算，或者減少用于信息安全的經(jīng)費(fèi)。因此，滿足遵從性的要求往往以犧牲其他安全措施或IT項(xiàng)目為代價(jià)。

盡管嚴(yán)格的遵從性要求會(huì)給企業(yè)帶來最佳實(shí)踐，但每個(gè)產(chǎn)業(yè)的規(guī)范都有局限性。不同產(chǎn)業(yè)規(guī)范有不同的產(chǎn)業(yè)側(cè)重或流程側(cè)重，并沒有考慮到確保企業(yè)整體安全的系統(tǒng)控制。例如PCI標(biāo)準(zhǔn)可以規(guī)范無線和雙重認(rèn)證，但卻不能解決云計(jì)算問題；ISO 27002對(duì)業(yè)務(wù)持續(xù)性管理的規(guī)范十分詳盡，但卻極少涉及無線和雙重認(rèn)證問題。

如果IT主管在企業(yè)安全策略上依賴遵從性要求，很可能陷入它的魔爪。企業(yè)的安全勢(shì)態(tài)最終會(huì)因缺乏基本要素而不再安全。全面的安全策略能夠滿足遵從性要求，但滿足遵從性要求的體系不一定帶來全面的安全環(huán)境。

在如今復(fù)雜的IT環(huán)境下，要實(shí)現(xiàn)完全徹底的保護(hù)幾乎是不可能的。但是設(shè)計(jì)一個(gè)全面的安全策略，同時(shí)精心挑選一個(gè)與企業(yè)基礎(chǔ)設(shè)施規(guī)模和復(fù)雜程度匹配的產(chǎn)品，仍可確保獲得具有前瞻性的安全戰(zhàn)略。

數(shù)據(jù)保護(hù)——企業(yè)的權(quán)杖

制定一個(gè)全面的安全戰(zhàn)略，第一步需要企業(yè)設(shè)計(jì)實(shí)施的“路線圖”。這個(gè)長遠(yuǎn)計(jì)劃應(yīng)當(dāng)覆蓋企業(yè)基礎(chǔ)設(shè)施的不同層面和已知遵從性要求，并將不同層面和不同要求中涉及的技術(shù)投資做優(yōu)先級(jí)別分析。一個(gè)企業(yè)的基礎(chǔ)設(shè)施包括不同層面：網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、接入設(shè)備等。在這些層面中，數(shù)據(jù)是企業(yè)最重要的財(cái)富，建議優(yōu)先考慮。同時(shí)，建立企業(yè)信息安全路線圖時(shí)也必須考慮到要保護(hù)交易、身份、數(shù)據(jù)和通信的安全。

第二步就是給通過網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行加密。需要高性能廣域網(wǎng)的企業(yè)通常使用由當(dāng)?shù)鼗ヂ?lián)網(wǎng)服務(wù)供應(yīng)商提供的虛擬專用網(wǎng)絡(luò)（VPN）。普遍認(rèn)為這些“私有”的網(wǎng)絡(luò)具備更高的安全性，因?yàn)樗慌c他人分享。這些產(chǎn)品也伴隨著技術(shù)的控制和監(jiān)視數(shù)據(jù)流量。但是，這種私密性只包括專用開關(guān)或虛電路連接，因而也未能保證數(shù)據(jù)的完整性和安全性。保證在專用廣域網(wǎng)上數(shù)據(jù)的完整性，最有效的解決辦法是高速網(wǎng)絡(luò)通信加密。它保護(hù)在公共和私有網(wǎng)絡(luò)上穿梭的敏感數(shù)據(jù)，同時(shí)滿足如PCI和HIPAA多個(gè)標(biāo)準(zhǔn)的要求。

對(duì)于存儲(chǔ)在服務(wù)器、工作站、個(gè)人電腦和其它移動(dòng)媒體設(shè)備，如USB驅(qū)動(dòng)器、記憶卡和光盤上的數(shù)據(jù)，磁盤加密技術(shù)是解決方案。這在便攜式裝置上顯得尤為重要，因?yàn)樗贿z失或被盜的可能性較高。全磁盤加密技術(shù)也非?？煽?，即使在黑客成功進(jìn)入的情況下，復(fù)雜而精密的加密算法，也可以確保存儲(chǔ)數(shù)據(jù)的安全。

數(shù)據(jù)加密只是將充分保護(hù)信息生命周期的工作進(jìn)行了一半，下面一步是保證身份和交易的安全性。敏感的公司數(shù)據(jù)，只有哪些被通過正確識(shí)別和確認(rèn)的授權(quán)用戶才可以訪問。強(qiáng)認(rèn)證技術(shù)，具有多因素的認(rèn)證，在這一步凸顯出它的重要性。此外，能夠靈活地通過和撤銷授權(quán)的全面的身份系統(tǒng)管理，亦是訪問控制的主要因素。

最后一步，也是建設(shè)一個(gè)積極主動(dòng)的安全戰(zhàn)略中最重要的一步，是對(duì)安全制度和政策進(jìn)行審查管理。在此步驟中的一個(gè)例子是控制管理數(shù)據(jù)的完整性。數(shù)據(jù)加密和解密所使用的密鑰是數(shù)據(jù)安全解決方案的核心，如果它落入他人之手，整個(gè)安全基礎(chǔ)設(shè)施將癱瘓。因此，“密鑰管理器”是至關(guān)重要的。這個(gè)功能可以由硬件安全模塊（HSM）——旨在創(chuàng)造、存儲(chǔ)和保護(hù)敏感加密密鑰的設(shè)備——來實(shí)現(xiàn)。HSM還提供審計(jì)試驗(yàn)，以支持跟蹤和報(bào)告。

除了設(shè)計(jì)一個(gè)全面的路線圖，充分的交流也是打造企業(yè)安全“天使軍”的關(guān)鍵。 IT主管應(yīng)該與其他的高級(jí)業(yè)務(wù)管理人員密切合作，以確保他們了解這個(gè)路線圖中涉及的政策和技術(shù)，以及它將如何影響他們各自的業(yè)務(wù)和確保其運(yùn)作的安全。這種不斷的溝通和業(yè)務(wù)管理人員的參與，將為IT管理人員在第一時(shí)間完成正確的路線圖提供所需要的信息。在一個(gè)IT組織中，交流也是必不可少的。與整個(gè)IT團(tuán)隊(duì)分享未來信息管理保障的藍(lán)圖，將令他們感到被授權(quán)成為這個(gè)未來計(jì)劃中的的倡導(dǎo)者。對(duì)外方面，與提供和實(shí)施此項(xiàng)技術(shù)的供應(yīng)商進(jìn)行交流更重要。最簡單的方法是，找到具有足夠的知識(shí)與技術(shù)能夠幫助企業(yè)完成路線圖的供應(yīng)商，然后將你們的需要完全委托給他們。

一旦路線圖體制化并建立了溝通渠道，IT主管們已經(jīng)開始向著一個(gè)更加主動(dòng)的安全戰(zhàn)略行進(jìn)了。這是一個(gè)持續(xù)的過程。IT主管越早認(rèn)識(shí)到，遵從僅僅是這一進(jìn)程的開始，他們離成為該“企業(yè)的天使”就越近了一步。