我們正處在云服務(wù)呈現(xiàn)出高速增長的趨勢，虛擬化也即將成為最新標(biāo)準(zhǔn)的時(shí)代中。這就帶來了客戶保存在公司網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)變得愈來愈多的現(xiàn)實(shí)問題，因此，在網(wǎng)管對配置進(jìn)行調(diào)整時(shí)，可能就會導(dǎo)致個(gè)人信息安全會受到影響情況的出現(xiàn)。

實(shí)際上，Dimension Data在2009年發(fā)布的一份調(diào)查報(bào)告中就已經(jīng)指出：在亞太地區(qū)，每臺運(yùn)行中的網(wǎng)絡(luò)設(shè)備里平均存在了29項(xiàng)配置方面的問題或者違反策略要求的行為。該信息服務(wù)公司進(jìn)一步補(bǔ)充說，大部分安全漏洞都是由于網(wǎng)絡(luò)配置錯(cuò)誤造成的，這導(dǎo)致黑客進(jìn)行的攻擊很容易獲得成功。

因此，記者采訪了信息安全方面的專家，請他們就在處理公共數(shù)據(jù)系統(tǒng)的設(shè)計(jì)和配置方面經(jīng)常出現(xiàn)的五大錯(cuò)誤向大家進(jìn)行說明。

缺乏深度安全保護(hù)措施

按照CA Technologies亞太區(qū)負(fù)責(zé)安全的副總裁維克·曼科迪的觀點(diǎn)，在設(shè)計(jì)和配置的時(shí)間，很多系統(tǒng)都沒有或者過于強(qiáng)調(diào)“深度防御”策略的不同方面。他進(jìn)一步補(bǔ)充說，理想的系統(tǒng)配置標(biāo)準(zhǔn)中應(yīng)該包含優(yōu)秀的深度防御模式。

在電子郵件中，曼科迪進(jìn)行了詳細(xì)的解釋說明。他認(rèn)為外層配置中應(yīng)該包含防火墻、網(wǎng)絡(luò)訪問控制和主機(jī)訪問控制等功能;并進(jìn)一步指出，所有類型的連接都應(yīng)該被分級并集中進(jìn)行管理，并保證各等級之間不會出現(xiàn)交叉的情況。

按照他的建議，“公司可以利用現(xiàn)有保護(hù)技術(shù)來預(yù)防數(shù)據(jù)丟失問題的出現(xiàn)，因此，系統(tǒng)將需要提醒使用者對數(shù)據(jù)進(jìn)行加密處理，并依靠數(shù)字版權(quán)管理技術(shù)進(jìn)行保護(hù)。”

埃森哲Asean技術(shù)群組董事總經(jīng)理特倫特·梅伯里補(bǔ)充說：“多因子保護(hù)模式不僅僅屬于系統(tǒng)插件，而是必不可少的組成部分。”

忽視數(shù)據(jù)訪問模式的建設(shè)

惠普公司區(qū)域董事兼ArcSight布道者黃如瑩的建議是，公司應(yīng)該重新審視數(shù)據(jù)保存方面的工作流程和方法，確保將機(jī)密類第三方記錄信息保存在瞬態(tài)系統(tǒng)和通道中。

他進(jìn)一步解釋說：由于云計(jì)算逐步普及，信息技術(shù)變得日益移動和消費(fèi)化，這給現(xiàn)有安全模式帶來了極大壓力，讓很多公司都面臨著如何才能保證數(shù)據(jù)安全的挑戰(zhàn)。黃指出，在當(dāng)前情況下，公司不應(yīng)該將永久保存客戶數(shù)據(jù)作為關(guān)注重點(diǎn)。

在電子郵件中，他作出了詳細(xì)的說明：“在傳統(tǒng)安全模式已經(jīng)不能夠提供足夠保障的環(huán)境中，'即用'企業(yè)需要采用新模式來對現(xiàn)在和將來面臨的風(fēng)險(xiǎn)問題進(jìn)行管理。”他進(jìn)一步指出：“企業(yè)需要部署全面解決方案，包括用戶、網(wǎng)絡(luò)、數(shù)據(jù)中心和應(yīng)用在內(nèi)的所有部分都需要被考慮到，這就需要通過基礎(chǔ)設(shè)施來提供完全的可視性和關(guān)鍵策略。”

BMC公司亞太區(qū)首席技術(shù)官兼全球創(chuàng)新和孵化實(shí)驗(yàn)室主任蘇哈斯·科爾卡也指出：公司往往過于關(guān)注技術(shù)方面的問題，而忘記了所謂的3P——員工、流程和策略——對于安全系統(tǒng)設(shè)計(jì)來說，也是同等重要的。

沒有認(rèn)識到基礎(chǔ)設(shè)施復(fù)雜性帶來的新問題

CA Technologies亞太區(qū)負(fù)責(zé)服務(wù)保障的副總裁斯蒂芬·邁爾斯也指出，傳統(tǒng)事件自動化處理工具只能在先前的靜態(tài)數(shù)據(jù)環(huán)境下工作，而無法支持現(xiàn)有的云服務(wù)和虛擬化環(huán)境。

在電子郵件中，邁爾斯指出服務(wù)需要由多項(xiàng)關(guān)鍵部分組成的，如果供應(yīng)商無法了解單獨(dú)部分的具體情況，實(shí)際工作就會受到影響。

他解釋說，對于網(wǎng)絡(luò)托管公司和服務(wù)供應(yīng)商來說，認(rèn)識到需要通過動態(tài)實(shí)時(shí)模式來對基礎(chǔ)設(shè)施進(jìn)行管理才是關(guān)鍵。只有這樣，才能保證所有服務(wù)組件都受到有效控制，并且可以實(shí)現(xiàn)統(tǒng)一管理，避免在服務(wù)質(zhì)量方面出現(xiàn)問題。

對于如何對復(fù)雜的基礎(chǔ)設(shè)施進(jìn)行簡化這一問題，邁爾斯給出的建議是：采用合理的模型，對基礎(chǔ)設(shè)施進(jìn)行分析和優(yōu)化;這樣的話，托管公司和服務(wù)提供商就可以讓自己的服務(wù)變得更具吸引力。

他補(bǔ)充說：“服務(wù)管理必須被當(dāng)作戰(zhàn)略工具而不是信息收集方法來對待。”

忽視建立數(shù)據(jù)架構(gòu)的重要性

按照梅伯里的觀點(diǎn)，很多公司僅僅關(guān)注到系統(tǒng)設(shè)計(jì)和實(shí)施方面的技術(shù)問題，而忽略了建立正確數(shù)據(jù)管理流程的重要性。

他指出，對于系統(tǒng)設(shè)計(jì)來說，數(shù)據(jù)架構(gòu)屬于其中的關(guān)鍵因素。并進(jìn)一步補(bǔ)充說，所有類型的數(shù)據(jù)都應(yīng)該被考慮到，在建立規(guī)則和策略的時(shí)間應(yīng)該保證數(shù)據(jù)可以被安全訪問。

無法理解數(shù)據(jù)生命周期的概念

梅伯里指出：“對于企業(yè)來說，必須對‘數(shù)據(jù)生命周期’這一概念有著深入的認(rèn)識和足夠的理解，以確保端到端數(shù)據(jù)可以獲得恰當(dāng)有效的管理。”

他解釋說：對于公司信息資產(chǎn)管理來說，認(rèn)識到從“源到目標(biāo)”的生命周期是很重要的。公司應(yīng)該將對數(shù)據(jù)源的認(rèn)識，從遵循業(yè)務(wù)規(guī)則的“記錄系統(tǒng)”提高到確保數(shù)據(jù)在應(yīng)用中獲得正確使用。并進(jìn)一步補(bǔ)充說，公司還應(yīng)該對數(shù)據(jù)的最終用途進(jìn)行監(jiān)控。

科爾卡還補(bǔ)充說：對于公司來說，如果對數(shù)據(jù)生命周期有著到位的理解，就可以為數(shù)據(jù)收集、使用、刪除和保留等方面建立正確策略帶來極大的幫助。