[[128234]] 

考慮到近年來的IT技術(shù)發(fā)展趨勢(shì)，云計(jì)算以及“即服務(wù)”模式正在快速興起、社交媒體作為企業(yè)營(yíng)銷及協(xié)作工具的角色開始受到肯定、而移動(dòng)技術(shù)的大規(guī)模應(yīng)用也已經(jīng)成為毋庸置疑的現(xiàn)實(shí)——這一切都將帶來越來越龐大的分布式勞動(dòng)力群體。

隨著上述發(fā)展趨勢(shì)在IT前景中的持續(xù)涌現(xiàn)，針對(duì)系統(tǒng)及數(shù)據(jù)的安全威脅也呈現(xiàn)出多樣化、分散化以及日益復(fù)雜的發(fā)展態(tài)勢(shì)。有鑒于此，眾多企業(yè)必須考慮籌備應(yīng)對(duì)措施——或者至少應(yīng)當(dāng)改進(jìn)自身的信息安全戰(zhàn)略。

“企業(yè)應(yīng)當(dāng)不斷評(píng)估自身安全基礎(chǔ)設(shè)施。攻擊者們會(huì)不斷學(xué)習(xí)并改變侵襲戰(zhàn)術(shù)，因此要在這場(chǎng)持久戰(zhàn)當(dāng)中生存下來、企業(yè)必須拿出自己的安全規(guī)劃，”Forrester研究公司安全與風(fēng)險(xiǎn)管理分析師Tyler Shields指出。

“我認(rèn)為由于存在某些公開度較高安全漏洞，某些行業(yè)在安全性水平提升方面的行動(dòng)相對(duì)更晚，”Shields表示。“零售業(yè)與金融服務(wù)行業(yè)已經(jīng)受到了沉重打擊，它們最近開始頻繁提高警戒水平以降低出現(xiàn)其它狀況的可能性。”

保護(hù)的對(duì)象應(yīng)該是數(shù)據(jù)而非系統(tǒng)

目前安全領(lǐng)域最為突出的趨勢(shì)之一在于，安全保護(hù)工作的重心似乎在由過去的系統(tǒng)及應(yīng)用程序轉(zhuǎn)移到數(shù)據(jù)本身。Target以及Home Depot等零售商已經(jīng)以高調(diào)方式暴露出安全漏洞，而這也使得更多企業(yè)進(jìn)一步關(guān)注客戶數(shù)據(jù)保護(hù)，并愿意在這方面投入更多資源與努力。

作為一家專門銷售各類家居服務(wù)器的零售商，Wayfair公司已經(jīng)建立起一個(gè)專門的團(tuán)隊(duì)來構(gòu)建整體安全環(huán)境。該公司最近還推出了一系列極具針對(duì)性的關(guān)鍵性舉措及技術(shù)，包括安全事故緩和、敏感數(shù)據(jù)標(biāo)記以及多因素認(rèn)證機(jī)制等等，希望借此拓展并保護(hù)客戶數(shù)據(jù)。

“對(duì)于零售行業(yè)而言，技術(shù)與服務(wù)開始將注意力集中在保護(hù)客戶數(shù)據(jù)方面——而簡(jiǎn)單的認(rèn)證機(jī)制已經(jīng)被淘汰出局，”Wayfair公司CIO Jack Wood指出。“作為簡(jiǎn)單認(rèn)證機(jī)制的替代性方案，很多在線企業(yè)開始引入各類雙因素認(rèn)證技術(shù)。客戶通常需要回答安全問題或者識(shí)別特定圖像后才能順利完成登錄。”

根據(jù)Wood的觀點(diǎn)，以防火墻為代表的技術(shù)也在持續(xù)發(fā)展，并在當(dāng)下的業(yè)務(wù)環(huán)境中扮演著愈發(fā)重要的實(shí)用性角色。“下一代防火墻與雙因素認(rèn)證機(jī)制將是安全武器庫中的無價(jià)之寶，”他表示。“此類技術(shù)允許我們權(quán)衡增加容量的必要性，并在幾乎不會(huì)影響到業(yè)務(wù)運(yùn)轉(zhuǎn)的前提下進(jìn)行實(shí)時(shí)ACL（即訪問控制列表）判斷。”

數(shù)據(jù)保護(hù)工作中的核心組成部分之一在于用戶培養(yǎng)。“安全意識(shí)與培訓(xùn)代表著一種喜人的變化，”Wood指出。“發(fā)生在安全郵件列表當(dāng)中的通信數(shù)量十分驚人。我們發(fā)現(xiàn)員工開始更為積極地就異常電子郵件或者奇怪的插件向安全人員提出咨詢。”

通過不斷評(píng)估行業(yè)數(shù)據(jù)以及來自自身網(wǎng)站的信息，Wayfair公司“能夠提供一套針對(duì)潛在威脅載體的良好風(fēng)險(xiǎn)評(píng)估機(jī)制，”Wood表示。“在此之后，我們根據(jù)多種因素——例如潛在影響、成本以及攻擊可能性等等——對(duì)其進(jìn)行優(yōu)先級(jí)排序。”

進(jìn)定步提高主觀能動(dòng)性

某些企業(yè)提出的發(fā)展目標(biāo)在于進(jìn)一步提高主觀能動(dòng)性，從而有效檢測(cè)并阻止攻擊活動(dòng)。

“我們的戰(zhàn)略在于將原有的固守性心態(tài)轉(zhuǎn)化為快速檢測(cè)及響應(yīng)態(tài)勢(shì)，”亞利桑那大學(xué)CIO Michele Norin指出。“我們以更為積極的態(tài)度關(guān)注自身網(wǎng)絡(luò)運(yùn)行狀況——同時(shí)快速識(shí)別、遏制及消除威脅——這也成為我們?cè)诎踩I(lǐng)域做出的主要成就之一。”

[[128235]] 

Michele Norin

這種方式符合由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（簡(jiǎn)稱NIST）所提出的新型安全框架要求。

Norin指出，主觀能動(dòng)性意味著以更為有效的方式理解高校校園網(wǎng)絡(luò)中的各類活動(dòng)并觀察其異常狀況。這也意味著對(duì)安全基礎(chǔ)設(shè)施作出評(píng)估以找出能夠確切實(shí)施的改進(jìn)方案。

“我們不斷評(píng)估自身安全環(huán)境，旨在評(píng)估漏洞、風(fēng)險(xiǎn)區(qū)域、優(yōu)勢(shì)并最終作出必要的改進(jìn)，”她表示。“作為一家大型研究機(jī)構(gòu)，我們常常把自身視為一座小型城市，其中我們需要面對(duì)的復(fù)雜性難題主要涉及由學(xué)生、教師、員工、家長(zhǎng)、校友及公眾所各自構(gòu)成的不同社區(qū)。”

亞利桑那大學(xué)長(zhǎng)久以來一直采取多管齊下的方式對(duì)不同社區(qū)的信息資產(chǎn)加以保護(hù)，其中包括安全意識(shí)活動(dòng)、保護(hù)技術(shù)層、密碼更新程序、軟件工具、政策與指導(dǎo)方針以及各類行業(yè)最佳實(shí)踐等等。但是最近一段時(shí)間，校方的IT團(tuán)隊(duì)在安全保護(hù)方面感受到前所未有的緊迫感。

“時(shí)至今日，黑客所用于侵襲我們系統(tǒng)的攻擊手段已經(jīng)在復(fù)雜性與強(qiáng)度水平方面提升到新的級(jí)別，這迫使我們必須加快努力改進(jìn)的步伐，”Norlin指出。

安全技能來源——招聘還是采購

在金融及醫(yī)療等領(lǐng)域，保護(hù)客戶數(shù)據(jù)的重要性可謂不言而喻——但實(shí)現(xiàn)這一目標(biāo)也面臨著重大挑戰(zhàn)。

“在醫(yī)療行業(yè)當(dāng)中，企業(yè)的關(guān)注重點(diǎn)在于如何以更低成本為病患帶來更多、更好的治療效果，”Draper & Dash公司CEO Orlando Agrippa表示，這是一家位于倫敦的醫(yī)療行業(yè)業(yè)務(wù)分析服務(wù)供應(yīng)商。他同時(shí)也曾在Barts Health NHS Trust擔(dān)任過CIO兼信息主管職務(wù)。

“診療經(jīng)驗(yàn)共享趨勢(shì)促使不少國(guó)家的醫(yī)院將更多數(shù)據(jù)推向公共平臺(tái)——但在享受便利之外，這種機(jī)制也提出了一系列安全性方面的實(shí)際要求，”他解釋稱。

即使如此，很多醫(yī)療機(jī)構(gòu)也并不具備專業(yè)知識(shí)與之相匹配的信息安全專業(yè)人士，甚至無法就會(huì)來自初級(jí)黑客的攻擊活動(dòng)，Agrippa表示。醫(yī)療機(jī)構(gòu)需要構(gòu)建起內(nèi)部“創(chuàng)新中心”，在這里他們可以聘用具備一流技術(shù)的企業(yè)或者個(gè)人幫助他們獲得業(yè)界領(lǐng)先的安全保護(hù)方案。

“招徠聰明的青年才俊幫助我們引導(dǎo)并塑造信息安全體系，”Agrippa建議道。“大部分此類人才能夠把醫(yī)療機(jī)構(gòu)的敏感信息翻個(gè)底時(shí)用天，而這將以直觀方式幫助我們找到現(xiàn)有方案與理想水平之間的具體差距。”

— Bob Violino

在高校的安全規(guī)劃當(dāng)中，最重要的變革在于努力開拓對(duì)網(wǎng)絡(luò)流量、使用模式以及性能異常的審視。“從大部分硬件及軟件工具提供的特性日志記錄當(dāng)中收集更多相關(guān)數(shù)據(jù)，”Norin指出。“數(shù)據(jù)規(guī)模的提升允許我們以更快、更為廣泛的方式對(duì)問題加以檢測(cè)及解決。因此，在大多數(shù)情況下，我們能夠在特定用戶賬戶遭受攻擊之前識(shí)別出潛在問題。”

舉例來說，通過評(píng)估VPN使用模式，管理者們可以了解哪些網(wǎng)絡(luò)流量合法、而哪些網(wǎng)絡(luò)流量不合法。

此外，防火墻及密碼構(gòu)成了安全技術(shù)領(lǐng)域的又一個(gè)重要區(qū)域，Norin表示“我們需要一套新型方案來實(shí)現(xiàn)身份驗(yàn)證及保護(hù)。”舉例來說，她解釋稱“我們開始推出一套新的雙因素認(rèn)證方案，旨在將額外驗(yàn)證步驟添加到現(xiàn)有（身份管理）與密碼機(jī)制當(dāng)中。”不過她拒絕透露亞利桑那大學(xué)所使用的具體安全技術(shù)。

新的NIST框架“成為我們對(duì)安全規(guī)劃進(jìn)行重塑的背景與基礎(chǔ)，”Norin表示。她同時(shí)指出，NIST方案所圍繞的核心理念在于，組織應(yīng)當(dāng)假設(shè)自身安全體系已然遭到破壞、因此需要專注于打造快速檢測(cè)與事故緩和機(jī)制。

#p#

考慮將數(shù)據(jù)保存在哪里以及如何保存

出于安全方面的考量，企業(yè)同樣開始對(duì)其關(guān)鍵性業(yè)務(wù)數(shù)據(jù)的存儲(chǔ)機(jī)制作出調(diào)整。

舉例來說，位于馬里蘭州拉納姆市的貿(mào)易展覽及活動(dòng)服務(wù)廠商Hargrove公司就將敏感數(shù)據(jù)與主要及使用頻繁的服務(wù)器當(dāng)中剝離出來，并將其存儲(chǔ)在使用頻率較低的系統(tǒng)當(dāng)中，從而保證只有少數(shù)用戶能夠?qū)ζ溥M(jìn)行訪問。

盡管大多數(shù)員工根本不會(huì)刻意訪問這些數(shù)據(jù)，但“最好還是能夠?qū)⑵鋸氐走w移到此類高利用率服務(wù)器之外，”Hargrove公司CIO Barr Snyderwine表示。“我們還添加了額外的存儲(chǔ)機(jī)制并在針對(duì)性項(xiàng)目中重新定義了面向此類文件的訪問機(jī)制。我們采取更為細(xì)化的處理方案，旨在保證面向此類文件的訪問能夠正常進(jìn)行、而所涉及數(shù)據(jù)確切與該項(xiàng)目相關(guān)聯(lián)。”

[[128236]]

Barr Snyderwine

Hargrove公司目前正在構(gòu)建新的項(xiàng)目，希望通過技術(shù)更新打造出屬于自己的文件系統(tǒng)，從而確保其針對(duì)每一種員工類型提供正確的訪問級(jí)別。該項(xiàng)目還在嘗試運(yùn)用數(shù)據(jù)丟失預(yù)防軟件，其設(shè)計(jì)目的在于檢測(cè)潛在數(shù)據(jù)泄露事故并預(yù)防其內(nèi)容在使用、網(wǎng)絡(luò)傳輸、訪問或者保存在數(shù)據(jù)存儲(chǔ)系統(tǒng)中時(shí)受到敏感數(shù)據(jù)監(jiān)控或者屏蔽機(jī)制的影響。

除此之外，Hargrove公司的2015年安全發(fā)展規(guī)劃則考慮使用第三因素認(rèn)證外加以指紋掃描技術(shù)為代表的生物識(shí)別系統(tǒng)。

“從我個(gè)人的角度來看，全部原有陳舊方案（例如防火墻及密碼）將仍然生效，但單靠它們并不足以實(shí)現(xiàn)安全保障，”Snyderwine指出。“我們需要引入新的技術(shù)成果，并嚴(yán)格審查哪些用戶訪問過哪些內(nèi)容。”

Hargrove公司并不單單關(guān)心數(shù)據(jù)應(yīng)該被保存在哪里以及哪些用戶有權(quán)對(duì)其進(jìn)行訪問，他們同時(shí)也會(huì)通過評(píng)估了解特定類型的信息是否應(yīng)當(dāng)被保存下來——如果答案是肯定的，那么保存周期應(yīng)該是多長(zhǎng)。

為了進(jìn)一步保障數(shù)據(jù)安全，Hargrove公司還聘請(qǐng)了一家安全企業(yè)對(duì)其安全措施以及應(yīng)對(duì)突發(fā)事件的能力進(jìn)行審查。這一決定的初衷在于“在整體層面提高對(duì)攻擊活動(dòng)”以及其它可能影響企業(yè)及其聲譽(yù)的潛在威脅的關(guān)注程度，Snyderwine解釋道。

“我們將利用安全企業(yè)的技術(shù)優(yōu)勢(shì)評(píng)估我們的整體安全措施、政策以及規(guī)程，”他解釋稱。“我向他們展示了一些具體方案，包括訪問、檢測(cè)系統(tǒng)以及響應(yīng)機(jī)制。我們也在積極尋求圍繞數(shù)據(jù)訪問及滲透為核心的改進(jìn)及規(guī)范途徑。”

移動(dòng)因素

在目前企業(yè)所面臨的各類重大挑戰(zhàn)當(dāng)中，移動(dòng)IT環(huán)境已經(jīng)成為威脅安全保障的關(guān)鍵性要素——我們一方面需要保護(hù)設(shè)備自身的物理安全，同時(shí)也要保證其在訪問業(yè)務(wù)信息及企業(yè)網(wǎng)絡(luò)時(shí)的安全性。

“移動(dòng)技術(shù)的逐漸發(fā)展將訪問及數(shù)據(jù)本身推向了傳統(tǒng)安全控制及網(wǎng)絡(luò)無法觸及的外部環(huán)境，”Forrester公司分析師Shields表示。“IT部門必須采取新的規(guī)范并確立新的處理方式。只有這樣，我們才能切實(shí)保護(hù)個(gè)人設(shè)備及外來網(wǎng)絡(luò)當(dāng)中的各類臨時(shí)性及本地性數(shù)據(jù)。”

在Wayfair公司，移動(dòng)技術(shù)“是我們最為關(guān)注的技術(shù)領(lǐng)域之一，因?yàn)橐苿?dòng)平臺(tái)已經(jīng)逐步成為攻擊活動(dòng)的主要切入點(diǎn)，”Wood指出。“移動(dòng)技術(shù)的普及還帶來了更多操作系統(tǒng)、瀏覽器以及軟件等需要維護(hù)的因素類型。隨著移動(dòng)設(shè)備成為越來越引人關(guān)注的熱門渠道，與之相關(guān)的安全性問題也將繼續(xù)作為我們的關(guān)注重點(diǎn)。”

Wayfair公司的IT與安全團(tuán)隊(duì)正在利用大數(shù)據(jù)探索使用趨勢(shì)與客戶模式，進(jìn)而定義出適合該公司的移動(dòng)安全戰(zhàn)略。“當(dāng)我們發(fā)現(xiàn)某種特定平臺(tái)得到廣泛普及之后，我們能夠轉(zhuǎn)變努力方向、加快風(fēng)險(xiǎn)評(píng)估步伐并積極實(shí)現(xiàn)安全漏洞管理，”Wood表示。“分析與大數(shù)據(jù)技術(shù)將幫助我們了解客戶群體中使用頻率最高的設(shè)備類型。”

舉例來說，如果Android用戶代表著客戶群體當(dāng)中增長(zhǎng)速度最快的部分，那么Wayfair公司將把更多工程技術(shù)資源轉(zhuǎn)移到與Android設(shè)備相關(guān)的研究工作當(dāng)中。

“在移動(dòng)領(lǐng)域?qū)崿F(xiàn)安全保障的主要挑戰(zhàn)之一，”Norin指出，“在于提醒人們應(yīng)該像對(duì)待計(jì)算機(jī)那樣對(duì)待自己的手機(jī)——包括使用密碼保護(hù)、保持軟件更新、盡可能使用‘查找我的設(shè)備’工具并當(dāng)心釣魚詐騙活動(dòng)。”

她表示，亞利桑那大學(xué)的移動(dòng)環(huán)境具備相當(dāng)?shù)奶厥庑?，這是因?yàn)樾@社區(qū)中的大部分成員都屬于臨時(shí)性參與者。“學(xué)生在進(jìn)入校園后往往帶著多種設(shè)備，一般來講每個(gè)人平均攜帶有三種不同設(shè)備，”Norin解釋道。“教職員工有時(shí)候使用由校方提供的移動(dòng)設(shè)備，有時(shí)候則使用自己購買的消費(fèi)級(jí)產(chǎn)品。”

鑒于移動(dòng)設(shè)備使用規(guī)模的持續(xù)增長(zhǎng)，再加上移動(dòng)技術(shù)自身所固有的高復(fù)雜性因素，亞利桑那大學(xué)在多數(shù)情況下會(huì)重新評(píng)估現(xiàn)有政策以確定哪些部分需要作出改變，Norlin表示。

移動(dòng)技術(shù)普及同樣引起了Hargrove公司的高度關(guān)注。“受到業(yè)務(wù)類型的影響，我們熱情擁抱移動(dòng)技術(shù)。我們還需要確保自身準(zhǔn)確把握發(fā)送至移動(dòng)設(shè)備端的用例與數(shù)據(jù)，”Snyderwine指出。

為了強(qiáng)化移動(dòng)安全水平，Hargrove公司大力推廣基于使用情況的管理政策以及微軟Exchange Server，希望借此管理其移動(dòng)數(shù)據(jù)以及電子郵件等應(yīng)用程序的使用方式。

Hargrove公司將對(duì)其它產(chǎn)品進(jìn)行廣泛評(píng)估，從而進(jìn)一步提高移動(dòng)設(shè)備上的數(shù)據(jù)安全性水平。根據(jù)Snyderwine的說法，他希望通過部署技術(shù)方案幫助IT部門實(shí)現(xiàn)數(shù)據(jù)加密、并有針對(duì)性地清除用戶設(shè)備上的業(yè)務(wù)相關(guān)數(shù)據(jù)。Hargrove公司還將在今年年內(nèi)對(duì)各類移動(dòng)設(shè)備管理軟件加以評(píng)估。

移動(dòng)技術(shù)的快速普及僅僅是當(dāng)下企業(yè)所面臨的眾多安全挑戰(zhàn)之一。對(duì)于IT部門而言，惟一不變的就是安全事務(wù)的快速變化特性——而那些能夠緊跟時(shí)代發(fā)展步伐的企業(yè)則更有機(jī)會(huì)在保護(hù)有價(jià)值數(shù)據(jù)資產(chǎn)方面取得成功。
 

英文：Your IT security infrastructure, rebooted for 2015