CIO如何面对企业信息安全架构与IT治理问题

发布网友 发布时间:2022-04-21 18:26

我来回答

1个回答

热心网友 时间:2022-06-24 08:18

在IT系统给企业带来活力、利润和竞争力的同时,也给企业增加了因此而带来的风险——日益依赖IT系统的企业面临着因IT系统故障导致的业务灾难。不难看出,如何最大限度地降低IT对业务的负面影响,IT系统如何充分为企业战略目标服务,如何获得IT价值最大化,这便是每个企业都必须要真接面对的信息安全与IT治理的问题。 一问理念:如何理解信息安全架构与IT治理的关系? 2007年在上海举办的“IT治理与安全大会”上,微软公司大中华区信息安全总监何迪生先生表示,假如把信息安全治理比作指引组织进行安全项目的路标,那么安全架构和设计便是组织通往信息安全这个目标所用的交通工具的基本结构。它包括用于设计、实施、监控和保护操作系统、设备、网络、应用以及用以实施各种级别保密性、完整性和可用性控制的概念、原则、结构和标准。 事实上,建立完善的信息安全架构对于整个IT治理来说至关重要。没有了信息安全架构,IT治理根本无从谈起。 据Hillstone安全专家介绍,IT治理需要遵从特定的原则,并在企业统一、完善及健全的安全架构中去实现,这是一个系统工程,需要从信息安全本身直至企业内部的每个员工共同来实现。每个期望通过信息化来达到快速发展的企业都需要将应用安全架构以及IT治理作为工作重心之一。 任何事物都有它的两面性。正确、恰当地使用IT系统能为企业带来飞速的发展,但由于系统缺陷、人为误操作、系统攻击等不可预料的各种风险也同样使得企业面临着巨大的灾难。因此,企业用户更应该建立统一、完善、健全的信息安全架构来规范IT系统行为,通过建立冗余机制、灾备机制、详尽的策略遵从机制等各种风险控制机制来降低整个企业的IT系统风险。 事实上,IT系统诞生之初就决定了它不可能“坚如磐石”,系统问题在所难免,但“因噎废食”的做法和思路绝不可取,用户需要的是在问题出现的时候能够迅速获得有效的解决办法来避免中断造成的影响。 此前深信服的安全产品经理邬迪举例说,早在2005年,*信息化办公室携手电子政务、银行、电力、铁路、民航、证券、保险、海关、税务等行业,联合起草的《重要信息系统灾难恢复指南》就正式出台了,灾备的作法将是解决IT系统故障的一方良药,但很可惜因国内广域网的缓慢传输速度,灾备至今还未得到普遍推广和应用,如何大幅提升广域网的传输速度将是这方良药能否发挥作用的前提。 另外,数据传输的安全性也是必须考虑的问题。员工利用企业网络访问一些不良网站,同时一些员工在上班时间在论坛博客上发表一些不负责任的言论……这些行为无疑给企业带来一系列的法律风险和商业灾难。 其实解决此类问题非常简单,只需在企业网络部署一台专用的内容管理设备就可以了。此类设备通过强大的数据中心,很方便地控制审计企业内网流向*的每一个数据,防止机密的泄露和引起法律风险,即使问题出现也可以做到有据可查。而类似的处理方式都预示着一个问题:IT系统风险随时存在,但是任何风险都可以降低,甚至是可以完全避免的。IT系统问题导致业务灾难的风险,IT监管问题导致法律灾难的风险,都可以利用IT自身的安全架构与技术设计来应对。 二问风险:如何才能平衡IT架构中的风险? 有业内人士指出,风险控制是一门系统科学,风险降得越低需要的支出就越多。所有的企业都在寻找一个合适的平衡点来保障企业能够在可接受的风险范围内支出尽量少的钱。设备级别的冗余机制是企业用户选择最多、也是见效最快的一种降低设备故障风险的方法。 当然,不可否认,利用先进的信息系统架构确实能够帮助企业很好地完成一部分风险管理和企业治理的工作。但是Hillstone的安全专家认为,风险管理和企业治理中有很大一部分工作是针对自然人的,这就为风险管理和企业治理工作带来了很大的不确定性以及不统一性。 无疑,这就要求IT经理在进行信息系统架构设计与治理的同时,必须了解到安全架构设计应该和企业的安全策略相吻合,否则就不能实现企业的安全目标。换句话说,只有在充分考虑人的因素的前提下,用IT治理IT才能发挥出更大的积极作用。 因此一些用户反映,在进行一个信息系统的设计时,需要对目标系统的众多需求进行平衡,这些需求包括功能、灵活性、性能、易用性、成本、业务需求和安全。需要强调的是,安全应该在系统设计中的开始阶段就作为一个要害因素进行考虑。 此前新华人寿的IT经理杜大军表示说,如果在信息架构的开发过程中使用了超过业务需求的安全性能,就会导致用户体验的恶化,但降低安全性能也会导致系统的部署和运行维护成本大增。 不难看出,想要平衡IT架构中的安全风险,就必须在IT系统设计的过程中平衡多种需求,这些需求可能是来自业务部门,或者来自企业的方方面面。安全架构的设计者通常需要根据组成构架的每个元素的重要性来确定如何进行取舍和开发。 在设计阶段考虑安全性并不会增加太多的工作量,恰恰相反,这种安全思路贯穿始终的做法可以平滑地嵌入到架构设计的各个阶段,这样就可以保证安全性随着架构设计逐渐的完成而完成。 基于此,不少安全专家认为安全架构从概念上说,就是从安全角度审阅整个系统架构,它主要提供系统架构所需要的安全服务、机制、技术和功能,不仅可以平衡架构设计与应用中的安全风险,而且可以提供如何进行安全设施部署的建议。 但无论如何,信息系统架构安全仍然是一个相对的概念,安全威胁无时无刻不在增加,只有不断地加固才能获得更加有效的安全。整个IT系统的安全涉及方方面面,任何一个地方的疏漏都会成为整个系统的致命短板。因此对用户来说,目前情况下在整体信息安全架构的基础上搭建安全防护设备能够确保企业IT安全的最大化。 三问出路:如何解决信息安全架构与IT治理实现中的技术与管理挑战? 首先,从技术方面看,目前随着网络应用的快速发展,基于数据应用层的安全防护以及风险控制得到越来越多企业用户的关注。然而为了实现整个信息系统的安全架构,核心网关设备的应用层性能成为了各个企业实现统一安全架构的拦路虎。据Hillstone的安全专家介绍,基于应用处理的高性能安全网关是推动安全架构发展的技术因素之一,只有越来越多的高速设备出炉,才能从技术上确保网关层面的安全。 前面说了,高度集中的应用层安全网关还只是技术环境中的一方面。据何迪生透露,企业如果希望获得完整的信息系统架构安全并在此基础上获得IT治理的效益,那么部署一套全方位的安全系统方案是不可避免的。 比如,对现代企业来说,确保其信息基础架构的安全性已经成为主要任务。在这个过程中,信息与各种协作工具对大多数企业的日常运营来说都至关重要。不幸的是,这些工具常常成为攻击者的目标。因此,企业的CIO必须确保信息和协作基础架构不受外部威胁的干扰,避免企业的工作效率受到影响,从而导致内部问题或者泄露机密信息。 面对种类繁多且不断变化的安全威胁,信息和协作基础架构应具备多层保护机制,在攻击影响到企业网络之前就要解决问题。对此,他的看法是,多个保护层能够减少因单一威胁而导致的网络瘫痪问题。目前的焦点在于,所有的安全厂商都有各自独特的需求,他们提供不同的安全产品和服务。因此,如果要实现全架构的安全防护,安全技术本身也要具有适应性。 以微软的技术方案为例:Microsoft Exchange Hosted Services可在垃圾邮件和病毒渗透到网络之前就进行过滤;Microsoft Forefront内部部署软件可以保护关键应用服务器免受内部威胁侵害,并能执行内容规则;Microsoft Internet and Security Acceleration(ISA)Server 2006可实现协议层和应用层的检查,以确保安全地实现Exchange Server、Live Communication Server和SharePoint Portal Server的远程访问;而Microsoft Windows Rights Management Services(RMS)与Microsoft Office Outlook 2003客户端应用配合工作,可以确保敏感的电子邮件和文档不致泄漏出公司之外。 其实,类似的技术方案有很多,无怪乎都是从多层次、大纵深为出发点。换句话说,一个有效的技术方案,除了为企业整个基础架构提供防御之外,还必须采用纵深防御策略,通过多种技术来发现并防御安全威胁。事实上,依靠多种技术低于攻击或误操作,有助于消除整体安全架构中的单个故障点。 文章作者:赵晓涛

声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com