最近，美國安全公司Illumio的首席商務官阿蘭·科漢發(fā)表文章呼吁美國的信息安全變革，文中的觀點值得我們借鑒，現(xiàn)摘譯整理如下：

[[141433]]

網(wǎng)絡安全是個國家第一廠商第二的問題。最近發(fā)生的安全事件令人驚恐地強調(diào)了從根本上重新思考我們對待信息安全的態(tài)度以防我們的經(jīng)濟和我們生活的方方面面不被重創(chuàng)的必要性。

網(wǎng)絡事件是另一種形式的恐怖事件：它們能以本應用來保護我們的安全系統(tǒng)所想象不到的方式給我們那開放的數(shù)字社會予以重擊。

人事管理局(OPM)信息泄露事件就是數(shù)字世界里的重大恐怖襲擊。盡管2014年就是黑客年，黑客事件遍及大部分科技產(chǎn)業(yè)和商業(yè)新聞周期，OPM信息泄露事件還是導致了大量美國駐海外人員的召回，以致網(wǎng)絡防御可能在短期內(nèi)成為美國軍事的第五個兵種。

就像我們在9/11之后重新檢查和裝備我們的運輸系統(tǒng)安全一樣，我們必須對數(shù)據(jù)安全采取同樣的態(tài)度和方法。我們必須從零開始，全新打造一個適應當前環(huán)境動態(tài)要求的網(wǎng)絡安全態(tài)勢，而不是把精力投入到保護前一個世代的技術上。遺憾又諷刺的是，那套監(jiān)視著政府部門網(wǎng)絡流量的入侵檢測系統(tǒng)竟然是叫“愛因斯坦”。政府的程序十年間幾乎沒什么變化，而真正的愛因斯坦對愚昧頑固的定義就是“同一件事重復做，一遍又一遍，卻希望能得到不同的結(jié)果”。

向前看，我們必須關注當前網(wǎng)絡威脅環(huán)境的六大原則：

1. 所有的安全問題都是網(wǎng)絡安全問題。首席信息安全官(CISO)現(xiàn)在得評估IT“風險金字塔”和潛在的殺傷鏈來了解自己面對的網(wǎng)絡攻擊面。整個IT業(yè)務都處于攻擊火力之下，需要一套全新的能將對新威脅環(huán)境的考慮融合進IT設計與使用中的信譽與安全模型。

2. 威脅絕大部分是由內(nèi)而外，而不是由外而內(nèi)的。80%的網(wǎng)絡安全事件都是由內(nèi)部人士教唆協(xié)助或由內(nèi)部系統(tǒng)的漏洞引起的，然而企業(yè)絕大部分的安全支出卻著眼于保護安全邊界。只依賴于周邊基礎設施層簡直就是一張通往不斷失敗的請柬。這種在數(shù)據(jù)中心周邊與系統(tǒng)內(nèi)部之間極不均衡的支出與關注度必須有所改變。

3. 安全系統(tǒng)的適應速度與其偵測與預防程度同等重要。網(wǎng)絡安全投注在靈活性與適應性上的關注度必須與投注在偵測與預防上的一樣。不是每一次攻擊都能被預防，但自適應系統(tǒng)可以在關鍵數(shù)據(jù)被傳出之前快速解決問題。自適應系統(tǒng)檢測和處理安全事件的速度越快，產(chǎn)生的損失也就越少。

4. 什么都不能信任。今天的環(huán)境中，在用戶和系統(tǒng)間建立可信連接時應預設的策略是“對允許說不”而不是“對拒絕說行”。這一預設在服務器間連接或用雙因子身份驗證登錄軟件即服務應用時是真實有效的。盡管這么做有可能會損失掉一些業(yè)務操作上的便捷性和一點點時間，不這么做的代價卻更高昂得多。

5. 安全必須根植于信息處理的基底層。我們今天的應用開發(fā)過程是：某人創(chuàng)建一個應用，另一組人將之載入基礎設施，第三組人決定怎樣保證它的安全。則一系列傳接過程無形中增加了風險，也在每次應用修改或升級時引入了官僚主義。安全必須是“自下而上”地構(gòu)建和實施，而不是放馬后炮。

6. 公共/私營合作關系應被重建。后NSA關系時代，華盛頓與商業(yè)之間的信任等級與我們必須配合和協(xié)作的需要成反比。由于國家安全與經(jīng)濟網(wǎng)絡事件之間只有一線之隔，是時候重塑我們私營產(chǎn)業(yè)與公共產(chǎn)業(yè)的合作關系了。

如今這個網(wǎng)絡恐怖主義時代，以上安全必須改變的6個領域還僅僅只是個開始。毫無疑問：信息安全整體都必須做出改變。

原文地址：http://www.aqniu.com/neo-points/8752.html