我們將在海灘作戰(zhàn)。我們將在敵人的登陸點作戰(zhàn)。我們將在田野和街巷作戰(zhàn)。我們將在山區(qū)作戰(zhàn)。我們決不投降，”這是英國著名首相溫斯頓·丘吉爾于1940年6月在面對納粹德國對英國可能發(fā)動的進攻時所作的著名演講的片段。而在此前的另一次著名演講中，他更聲稱，我們的目標只有一個，那就是勝利，而“不論前路如何漫長、如何艱苦。”這對于企業(yè)所面對的安全戰(zhàn)斗來說，可以說是一個非常適切的類比。

網(wǎng)絡(luò)犯罪分子們?nèi)缃駸o處不在，而且狡猾詭詐，無孔不入。所以當(dāng)客戶、投資人和監(jiān)管者們期待安全人員能夠全面保護組織和機構(gòu)的寶貴資產(chǎn)以及隱私時，我們卻很難做到像丘吉爾那樣樂觀，尤其是我們本應(yīng)該仰仗的一些政府部門和廠商，也在私下?lián)p害著我們的數(shù)據(jù)、軟件和網(wǎng)絡(luò)。

捍衛(wèi)安全的戰(zhàn)爭比以往任何時候都更加嚴峻。大多數(shù)組織還是在用昨天的工具和方法對抗著今天的敵人——他們徒勞地用密碼和防火墻防護著企業(yè)的邊界，這種做法是注定要失敗的。他們過分強調(diào)了數(shù)據(jù)與系統(tǒng)的隔離，還在錯誤地認為只要邊界安全就足夠了。

而我們與數(shù)十位安全專家、業(yè)界專家以及企業(yè)高管們的深度交流，卻揭示出了一個更適用于今日安全的架構(gòu)。

聚焦風(fēng)險和人 少關(guān)注設(shè)備和數(shù)據(jù)

更好的防范方法應(yīng)圍繞風(fēng)險意識來構(gòu)建。最大的風(fēng)險就是關(guān)鍵或敏感數(shù)據(jù)的丟失，所以我們必須對數(shù)據(jù)提供充分的保護。然而除此之外，還存在著其他諸多的風(fēng)險，例如業(yè)務(wù)中斷、名譽受損、監(jiān)管缺失、投資風(fēng)險，以及知識產(chǎn)權(quán)被盜，等等。哪些危險對企業(yè)的傷害最大?如何評估這些威脅?怎樣才能根據(jù)影響最大到最小的順序防范這些威脅?很顯然，僅僅保護邊界是無法解決這些問題的。

舉個例子，Visa國際要負責(zé)對其所有信用卡處理流程的風(fēng)險評估，包括但不限于對這些業(yè)務(wù)流程的技術(shù)支持。Visa負責(zé)信息安全、治理、風(fēng)險及合規(guī)的前任副總裁喬治·托特夫說：“所謂風(fēng)險，就是薄弱之處遇到了攻擊。所以，用全局觀去看待風(fēng)險，才能為安全防范奠定堅固基礎(chǔ)。”

風(fēng)險評估與風(fēng)險防范的模式會因行業(yè)和企業(yè)的不同而有所不同。有些模式可能需要用到技術(shù)，有些可能需要改變流程，還有一些模式則有可能要求改變?nèi)说男袨?。出于合?guī)性需要，有些企業(yè)除了自身的風(fēng)險分析之外，還不得不處理其他一些形式的安全風(fēng)險。此時的重點就成了如何才能在不會對企業(yè)的運營、財務(wù)或戰(zhàn)略帶來不必要負擔(dān)的情形下，有效地滿足合規(guī)性要求。

無論一家企業(yè)的風(fēng)險哲學(xué)以及外部要求是什么，選擇并關(guān)注最高級別的風(fēng)險都是最實際的。

但是，如何才能關(guān)注這些風(fēng)險呢?大多數(shù)企業(yè)，以及安全廠商們，都把安全視為一種技術(shù)上的挑戰(zhàn)。它們一味地尋求能夠降低風(fēng)險的軟件、硬件和服務(wù)識別功能，卻忽略了對人的關(guān)注——實際上正是人在創(chuàng)建和使用需要受保護的信息。事實上，很多組織恰恰把人的因素排除在了安全架構(gòu)之外，因為它們最不信任的就是人。

對安全而言，不存在一招制敵的技術(shù)手段。而將人的因素剔除出安全架構(gòu)，也只會導(dǎo)致人對安全的怠惰和漠不關(guān)心。人們會很自然地認為，出了安全問題，責(zé)任全在IT。今天的安全戰(zhàn)略為什么必須將主要的防范重點從設(shè)備轉(zhuǎn)向人，這就是原因。今天，所有成功的網(wǎng)絡(luò)攻擊，不論是采用社會工程學(xué)如釣魚手法，還是對自動售貨機硬件的物理攔截，都肯定會牽扯到人。

安全其實是關(guān)乎風(fēng)險的一場動態(tài)游戲——換句話說，當(dāng)魔高一尺時，你能否道高一丈?“動態(tài)”和“游戲”這兩個詞是彼此相關(guān)聯(lián)的。安全同樣遵循熵的定律：如果能量無法補充，遲早都會耗盡。因此，我們需要常態(tài)化的警覺。而游戲心態(tài)對于保持主動和自適應(yīng)的警覺來說至關(guān)重要。

說到底，每一個新的防范措施都會很快遭遇一輪新的攻擊伎倆的挑戰(zhàn)。這正是人類最擅長的游戲。所以企業(yè)應(yīng)該鼓勵自己的人員充分發(fā)揮人類的能力，而不應(yīng)將他們排除在防范措施之外。

企業(yè)還需要時刻洞察制造威脅的那些人的心態(tài)。既然他們是在游戲你的員工，那你當(dāng)然也得游戲他們，因此企業(yè)的員工需要主動參與進來作你的耳目，而不能作耳聾目盲的用戶。

簡言之，不要把自己人當(dāng)成問題去限制，而是要讓他們參與到安全解決方案中來。#p#

新安全模式的五個維度

盡管我們距離完美的安全狀態(tài)相距甚遠，但已有足可信賴的一些新模式開始出現(xiàn)，允許企業(yè)進行必要的調(diào)整。新模式作的是加法。在有最高風(fēng)險的領(lǐng)域必須繼續(xù)實行最佳實踐，同時在改進的防御方案中將風(fēng)險和人的因素結(jié)合起來。

新的模式具有以下五個維度：

1. 讓IT只聚焦于核心的關(guān)鍵資產(chǎn)。
2. 用多層級防御系統(tǒng)保護關(guān)鍵資產(chǎn)。
3. 鼓勵人們使用信息技術(shù)保護與工作相關(guān)的資產(chǎn)。
4. 與業(yè)務(wù)合作伙伴一起改進彼此的免疫系統(tǒng)。
5. 讓安全成為業(yè)務(wù)問題而非IT問題。

1. 讓IT只聚焦于核心的關(guān)鍵資產(chǎn)

完美的安全是不可能的。要想一視同仁地保護所有資產(chǎn)的安全也是不可持續(xù)的。

因此基于風(fēng)險的“盡力而為”方法才是比較合理的。要將企業(yè)的優(yōu)勢力量用于對業(yè)務(wù)最具價值和有最大影響的所在。如此一來，也就自然分出了風(fēng)險的優(yōu)先防御級別。對于早就熟悉業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)的CIO[注]和其他IT負責(zé)人來說，這并不陌生。

確定組織里最有價值的資產(chǎn)是非常重要的，但這也經(jīng)常會引起爭議。一些組織認為數(shù)據(jù)是最有價值的資產(chǎn)，需要保護。但是如果風(fēng)險涉及到一組資產(chǎn)(數(shù)據(jù)、軟件、網(wǎng)絡(luò)和人員等)時，就很顯然需要更多地思考對多種資產(chǎn)的滲透和攻擊。

而在今天的企業(yè)信息安全領(lǐng)域中，對企業(yè)的信息資產(chǎn)進行分類以便確定風(fēng)險等級的想法卻是最少見的因素。

這種基于風(fēng)險的安全方法實現(xiàn)起來并不容易，對很多組織來說，它需要思想上的一次大的變化。當(dāng)然，促成這樣的變化有一個很好的理由：資產(chǎn)儲備越多，規(guī)則越復(fù)雜，要保護這些資產(chǎn)就會越困難。而一個更專注且復(fù)雜性較少的方法自然能夠更好地平衡風(fēng)險和效益，讓組織能夠?qū)崿F(xiàn)必要的安全保護。#p#

2. 用多層級防御系統(tǒng)保護關(guān)鍵資產(chǎn)

任何想要實現(xiàn)百分百防御的方法都是注定會失敗的。因為沒有什么方法可以確保某個事物的絕對安全，所以我們要尋求彈性更大而不是絕對安全的方法。要認識到防御必須利用多種要素方可構(gòu)建。

一個更好的安全模式就是生物系統(tǒng)，因為生物可以從感染或傷痛中自行恢復(fù)過來。生物系統(tǒng)會對首先被感染到的細胞進行隔離，從而限制更大范圍的系統(tǒng)感染。生物系統(tǒng)自我假設(shè)風(fēng)險會不斷演進，而且可能會隨時發(fā)動攻擊。所有這些原則也都可適用于保護企業(yè)業(yè)務(wù)安全的技術(shù)和業(yè)務(wù)實踐。

企業(yè)也應(yīng)假設(shè)自身時刻會受到損害，然后圍繞這一假設(shè)來制定戰(zhàn)略。如今，大多數(shù)企業(yè)都很明白，自己早已受到了傷害，這些傷害來自犯罪分子、競爭對手，或者政府部門。同時也要清楚，存在著很多的感染源，這些感染源包括但不限于數(shù)據(jù)中心、PC，或者移動設(shè)備。

絕大多數(shù)生物系統(tǒng)還會使用冗余的手段。安全措施也需如此。英特爾公司CIO金·史蒂文森描述了該公司基于這一原則而采用的很有效的三層模式。

利用只讀或者有隔斷的容器進行分層防護的方式是很有意義的，這就像一般人會把珍貴的珠寶鎖在家中，或者將愛車鎖在車庫中一樣。用這樣的方法，再結(jié)合一些基本的防護手段，例如密碼和登錄口令等，這就跟在你離開家的時候要鎖上門，然后設(shè)置好警報系統(tǒng)一樣。

針對軟件的多層防御系統(tǒng)需要較多地依賴人工檢查與軟件掃描相結(jié)合，來確認各種漏洞?？梢岳靡恍┘夹g(shù)，如風(fēng)險分析和同業(yè)代碼評估，或者使用可檢查漏洞的商業(yè)軟件等，從而將安全嵌入到軟件開發(fā)的生命周期中去。目前，還沒有可檢查出所有漏洞的單一軟件包，所以必須利用多種不同的威脅識別軟件包，進行多次掃描，再加上人工檢查。Visa前任安全官托列夫說：“最好在設(shè)計階段就處理好各種漏洞，這要好于事后補救。”

要了解如何查找漏洞，一個很不錯的資源就是開放web應(yīng)用安全項目(OWASP)，這是一個非盈利組織，可提供對各種漏洞的洞察，并提出解決建議。

一個很關(guān)鍵的層就是身份管理。有好幾種技術(shù)可以實現(xiàn)這一點，可幫助用戶和系統(tǒng)跨越各種不同的障礙。到底需要設(shè)置多少身份檢查點，與風(fēng)險分析直接相關(guān)。當(dāng)然，還可以使用隔離手段，限制損害的進一步蔓延。

身份認證與隔離相結(jié)合的一個例子就是Saleforce.com。它使用雙要素認證兩次，才允許用戶訪問其生產(chǎn)環(huán)境，因為如果有人入侵了這里，后果可能非常嚴重。為了進入一個可信任環(huán)境，每個用戶必須首先符合雙要素認證，然后再符合另一個不同的雙要素認證，才能通過一臺沒有數(shù)據(jù)可以移動或復(fù)制的啞終端進入運營環(huán)境。而在訪問郵件時則采用了不同的認證標準，因為兩者的風(fēng)險程度是不同的。

如果將其用于數(shù)據(jù)本身，身份管理可能會更有效。在信息化層面實施DRM(數(shù)字版權(quán)管理)可以將這種技術(shù)提升到一個新的保障水平——但這也只有在可以用標準方式進行部署時才有可能?？煽康纳矸菰倨ヅ渖弦恢滦院涂蓴y帶許可，將會大大減少對信息的不適當(dāng)訪問，即便是在設(shè)備和網(wǎng)絡(luò)遭到破壞時也可以如此。#p#

3. 鼓勵人們使用信息技術(shù)保護與工作相關(guān)的資產(chǎn)

有些最為復(fù)雜的威脅來自社會工程學(xué)攻擊，壞分子們往往利用社交媒體和郵箱聯(lián)系人入侵到一些毫無戒心的用戶終端里，他們尤其會針對企業(yè)高管和關(guān)鍵的業(yè)務(wù)運營人員下手。從這里，他們會蓄意地、悄悄地評估企業(yè)的安全規(guī)則，以及業(yè)務(wù)時如何依據(jù)安全規(guī)則運轉(zhuǎn)的。不知不覺間，你就成了壞分子與員工及業(yè)務(wù)合作伙伴之間的利用媒介了。

既然人常常被當(dāng)作入侵的管道，自然也可以成為防御的前沿。我們不能再像過去二十年間標準的IT模式所做的那樣，把人自動排除在安全流程之外了。前PC時代“把緊口風(fēng)”的管理風(fēng)格今天仍然是有效的，它能讓保障企業(yè)安全成為每個員工的義務(wù)和責(zé)任，它將再次成為現(xiàn)代信息安全的核心部分。它不僅能幫助個人避免危險的泄密行為，還能讓企業(yè)擁有更多的耳目，可以觀察什么地方出了差錯。

把人帶回到安全架構(gòu)中之后，自然不能忽略了對員工的培訓(xùn)，提高其安全意識。人總是會將他們所學(xué)的東西用到實踐中去。美國長島大學(xué)就是一個很好的例子。幾年前該大學(xué)啟動了一個安全意識主動一致性計劃，希望從PC向iPad、移動應(yīng)用和云服務(wù)做轉(zhuǎn)移。該大學(xué)因為有一所醫(yī)學(xué)院并且接受聯(lián)邦政府的貸款，所以必須符合HIPAA(醫(yī)療電子交換法案)和FRCP(聯(lián)邦民事訴訟法案)的規(guī)定，結(jié)果該大學(xué)的CIO[注]喬治·巴羅蒂發(fā)現(xiàn)，由于上述安全意識計劃的提前實施，他們可以很輕松地應(yīng)對這些嚴苛的合規(guī)性要求。這其中的差異就在于，現(xiàn)在的IT架構(gòu)鼓勵所有的學(xué)生和教職員成為合規(guī)意識的參與者，而不是只要求技術(shù)開發(fā)人員符合監(jiān)管要求。

有些行業(yè)已經(jīng)想出了如何讓員工在實現(xiàn)關(guān)鍵行為的過程中成為積極參與者的辦法。因為人天生就喜歡玩游戲，那么為員工創(chuàng)造游戲化的獎勵措施，以使其避免威脅或檢查威脅，可以作為一種非常有效的防御攻擊的手段。利用改進了的質(zhì)量管理方法，有些企業(yè)已經(jīng)采取了一些游戲化技術(shù)，例如定期公布員工的無事故天數(shù)，營造一個人人皆有安全意識，并樂于采取更安全行為的主動參與環(huán)境。令人高興的是，假如員工通過了篩查、培訓(xùn)和監(jiān)督后，被認為是值得信任的話，那么其他一些眾所周知的較低風(fēng)險甚至?xí)兊酶汀?/p>

一個好消息是，CIO/CSO/普華永道的調(diào)查顯示，擁有以人為本的安全方法的企業(yè)比例占了相當(dāng)大的份額，即便這些方法可能還算不上是一種整體性的、全企業(yè)范圍的方法。不過，全景式的方法對于成功來說是非常關(guān)鍵的，因為只有當(dāng)企業(yè)建構(gòu)并部署了一套完整的系統(tǒng)后，業(yè)務(wù)才能順暢地運轉(zhuǎn)起來。#p#

4. 與業(yè)務(wù)合作伙伴一起改進彼此的免疫系統(tǒng)

如今，我們生活在一個充斥著龐雜的數(shù)字信息和業(yè)務(wù)流程的世界里，其中包含著數(shù)不清的各種企業(yè)資源：材料、生產(chǎn)、配送、售后，以及技術(shù)支持等等。無論你的企業(yè)是在生產(chǎn)有形資產(chǎn)(如汽車和電子產(chǎn)品)還是在提供服務(wù)(如學(xué)校和醫(yī)院)，都不可能脫離整個生態(tài)系統(tǒng)。

在過去十年中，由于外包(提供商、承包商和云服務(wù))、分布式工作、分布式工作場所(分支辦公及家庭辦公)、外包工作場所(如呼叫中心)，以及移動辦公等的興起，企業(yè)已經(jīng)變得高度虛擬化了。

身處這樣的現(xiàn)代化數(shù)字生態(tài)系統(tǒng)中，已經(jīng)沒有可能再圍繞什么東西建起一座隔離墻了。我們現(xiàn)在知道，傳統(tǒng)的防御手段，例如口令、防病毒、入侵檢測和其他基于簽名的檢測方法等，幾乎都是沒有效果的。威脅也已變成了動態(tài)的，甚至可以自適應(yīng)的了。手段高超的犯罪分子們可以繞過用戶設(shè)備的密碼保護，直接進入服務(wù)器或網(wǎng)絡(luò)。而最近大量零售商用戶數(shù)據(jù)被盜的事件，以及斯諾登事件的不斷發(fā)酵，使這種情況變得盡人皆知。就在很多企業(yè)在為iCloud或谷歌云究竟是不是一個威脅而煩惱不安時，它們的核心系統(tǒng)其實早已被深度入侵了。

可以說，關(guān)于企業(yè)的內(nèi)、外部的概念已越來越模糊不清。結(jié)果就是，CIO[注]們的首要問題是如何面對層疊不窮的風(fēng)險?？蛻羧绻硞€企業(yè)有接口，或許他們還能信任這家企業(yè)，但是如果再擴展到供應(yīng)鏈中的其他企業(yè)時，這種信任還會存在嗎?

你可以和供應(yīng)商及業(yè)務(wù)合作伙伴一起將本文所描述的概念運用于所有的系統(tǒng)，而不是只運用于其中一個系統(tǒng)。說到底，所有系統(tǒng)都會相互作用，彼此之間的連接會多到任何人都無法想象，因此，擁有一個通用的安全框架可能會好于擁有多個安全框架。

分享最佳實踐也能起到協(xié)同作用。彼此間開展積極的合作，其效果會遠遠好于只使用合同上寫明的威脅防范措施。

可以想見，來自企業(yè)的客戶、監(jiān)管機構(gòu)、投資人和其他人的安全需求會更多，你需要向他們說明自身的安全實力，或許還需要獨立測試來自這些方面的防御措施。作為這種保障措施的一部分，還需要一份“適用性聲明”，其中應(yīng)詳細規(guī)定，必須提供哪些安全措施。這跟我們在本文中提到的“安全不可能面面俱到”的原則有關(guān)。盡管這樣一來，安全的成本會有所上升，但如果只關(guān)注真正重要的事情，成本應(yīng)該可以控制在合理的水平。

有些企業(yè)會采取所謂“安全清單”的辦法，詳細列明他們所遵循的策略，并向合作伙伴解釋哪些信息是必須向監(jiān)管者及客戶提交的。采用這樣的辦法不是因為它能夠運轉(zhuǎn)，而是它可以將司法風(fēng)險或罰款風(fēng)險降到最小。這種清單式的方法可以說是針對安全現(xiàn)狀的一種無奈之舉——是在眼下的周邊安全方法已不適用，但又沒有更好的替代手段可以使用時的一種折中策略。

5. 讓安全成為業(yè)務(wù)問題而非IT問題

信息安全不只是一個IT問題或技術(shù)問題，本質(zhì)上其實是一個管理問題，只是很少有企業(yè)會這樣對待它罷了。

一般而言，企業(yè)會將CIO和CISO視為信息安全的當(dāng)然負責(zé)人，但是安全責(zé)任會在更廣的范圍內(nèi)被分擔(dān)。假如損害是由IT部門以外的個人行為造成的，那么技術(shù)和安全部門就不能承擔(dān)責(zé)任。

如今是時候該考慮整體安全作為演進中的信息安全模式了。整體安全需采用多種技術(shù)和管理技巧，推動廣泛的參與和問責(zé)制，根據(jù)預(yù)估的風(fēng)險和價值進行分層和調(diào)整。

廣泛的治理是關(guān)鍵，要在整個組織中采取行動并問責(zé)，鼓勵員工、客戶、供應(yīng)商、管理層和董事會積極參與進來。需要管理風(fēng)險評估，積極應(yīng)對風(fēng)險，還要能找得出應(yīng)該負責(zé)的經(jīng)理、員工以及業(yè)務(wù)合作伙伴——不要因IT或安全部門的技術(shù)失效時推卸責(zé)任。

舉例來說，營銷部門使用CIO批準使用的云提供商或商業(yè)分析提供商的服務(wù)，這些提供商的安全能力是否已得到證明?供應(yīng)商是否使用了合規(guī)的安全流程來訪問關(guān)鍵的數(shù)據(jù)?董事會是否能通過受保護的渠道進行溝通，或者是否能通過開放環(huán)境下的郵箱來發(fā)送財務(wù)以及銷售數(shù)據(jù)附件?(郵件從來就不安全，而其末尾所附加的所謂法律聲明純屬自我安慰。)