安全是不间断的旅程,而非终点。企业级安全,不仅仅是技术问题,更重要的是技术、流程和人员之间的完美协作。
有关各种系统、各种软件之间安全性对比的争论,则一直没有停止过。不论是Linux、Solaris与Windows之间的安全性比较,还是最近炙手可热的Firefox与IE浏览器的比较,都因为与安全休戚相关而得到了极大的关注。从某一个角度而言,能否保证安全已经是选择软件或者是解决方案的首要原则之一,在中国,这一点尤其重要。
正如微软大中华区首席安全顾问Eric Ashdown所言,现在仅仅考虑网络的安全已全然不够,现在的重点需要关注与应用程序和数据相关的安全。
无论是反病毒软件,还是反间谍软件,市场的火爆说明了用户对安全的需要。然而,很不幸的是,据网络安全公司Ciphertrust最近发布的一份报告显示,在世界上所有被黑客操控危害网际网络的计算机中,也就是“僵尸电脑”,有两成来自我国。这些电脑经黑客远程控制后,会发出大量的垃圾邮件、恶意攻击其它网站,并传播不受欢迎的材料。除了安全措施不够完善之外,安全流程不规范、用户受相关安全教育的程度不高占据了很大的原因。
因此,在不断采购包括防火墙、反病毒软件等安全产品以加强安全技术的同时,中国市场也同时需要关注企业级安全的另外两个要素:流程和人员。
| |
| 不仅仅是安全公司的事情。包括微软、赛门铁克在内的很多公司都在进行合作,期待共同提升安全,以便与网络中所存在的病毒和黑客爱好者、恶意攻击者等等威胁安全的因素进行较量。 流程安全 做好规定动作 对于任何企业而言,单纯依赖安全产品来保障企业的安全都是一厢情愿的行为。必须从企业的信息系统构建之初,就把安全当作战略性的策划进行考虑。同时,要根据企业的具体情形,制定出完备的安全规章制度。正如某位业内专家所指出的那样,如果按照规定的动作完成软件的部署、运行和维护,系统的安全性将会大大提高,系统因为受到攻击而瘫痪的几率将大大降低。 很多企业的系统安全性不够,大多时候并不仅仅是因为产品的安全技术不够,而是因为系统管理人员的比较差的策略配置。Eric认为,包括安全策略在内的配置非常重要。“我曾经看到过配置的安全性能非常差的Windows系统,或者是Linux系统,或者是UNIX系统,我也看到过配置的安全性能非常好的Windows、Linux、UNIX系统,关键问题并不仅仅是这些产品,关键的问题是你如何利用这些产品。” 如沈昌祥院士所说,对于系统的安全,一定要坚持管理与技术并重。对于软件开发商而言,要致力于开发安全的产品,应该进行安全开发生命周期(包括要求、设计、实施、检验、发行、响应)的建设,对每个过程进行严格的控制;对于应用软件产品和技术的企业,也同样应该进行系统安全规则的建设,对每一个环节进行缜密的设计和部署,并且在系统维护的过程中,也严格按照所设计的流程进行。 人员安全 具备足够安全意识 无论是产品技术还是企业安全流程,最终将由企业的员工来实施完成。在如今的企业中,安全已经不仅仅是CSO的责任,也不仅仅在于信息部门的责任,应该是企业全员的责任。 据某国外调查公司的调查,大多数的企业都认为,与外部威胁对IT系统的危害相比,来自企业内部的安全威胁更值得重视。因为,内部系统会有更多的机会威胁企业内部资料,而外部的黑客攻击活动只是众多对机密资料多种威胁的一种而已。 因此,需要企业内部的员工具备足够的安全意识,并且要有对企业安全流程的足够的执行力。可能在企业内部,有很多人并不喜欢安全,因为会给他们带来很多麻烦,但是从公司的大局和整体的、长远利益考虑,每一位员工都必须非常严肃地对待安全问题。 从某种意义上说,安全将是一个永恒的话题。因而,系统软件、应用软件与安全软件,已经成为软件产品中最为庞大的三个部分。 |
