公共云服務(wù)和云應(yīng)用的日漸普及,,為現(xiàn)代企業(yè)帶來了巨大的商業(yè)機(jī)會(huì),,但也讓更多企業(yè)的信息安全“防波堤”形同虛設(shè),,暴露在一場(chǎng)隨時(shí)可能到來的信息安全海嘯中…
“人”是企業(yè)安全最大的漏洞
云計(jì)算最典型的大眾應(yīng)用無疑是社交網(wǎng)絡(luò),,當(dāng)今最火爆的網(wǎng)絡(luò)服務(wù)如國(guó)外有Youtube,、Facebook、Twitter,、Flickr等,,國(guó)內(nèi)有微博、開心網(wǎng),、優(yōu)酷等,。由于社交網(wǎng)絡(luò)以人際關(guān)系為紐帶,以實(shí)時(shí)共享和互動(dòng)為核心,,徹底改變了傳統(tǒng)互聯(lián)網(wǎng)信息廣播的單向結(jié)構(gòu),,為黑客實(shí)施社會(huì)工程學(xué)犯罪、乃至商業(yè)機(jī)構(gòu)之間的網(wǎng)絡(luò)諜戰(zhàn)提供了絕佳環(huán)境,。例如,,前不久奧巴馬在白宮安全顧問的一再督促下,被迫宣布關(guān)閉其Youtube賬戶,,奧巴馬稱Youtube對(duì)其隱私構(gòu)成威脅,。
如今,大型企業(yè)的員工也大多是社交網(wǎng)絡(luò)的使用者,,這為黑客“人肉”特定企業(yè)的員工提供了新的渠道,。RSA2011大會(huì)上,反黑客專家一致認(rèn)為黑客已經(jīng)開始把目光轉(zhuǎn)向大型企業(yè)員工,,與會(huì)專家稱之為高級(jí)持續(xù)性攻擊模式,,黑客通過企業(yè)員工進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò),即使企業(yè)有再多的防護(hù)也沒有用,。例如黑客曾經(jīng)給歐盟網(wǎng)絡(luò)的一名員工的電腦中植入木馬,,順利攻陷歐盟27個(gè)國(guó)家的碳排放交易網(wǎng)絡(luò),黑客從中竊取了兩千多萬歐元交易額,,其中捷克損失1870萬歐元,,奧地利損失700多萬歐元。
可以看到,,信息安全的成功,,對(duì)終端用戶的依賴越來越大。信息安全管理也需要比以往任何時(shí)候更加關(guān)注終端用戶的安全意識(shí)和安全行為。云計(jì)算的滔天大浪從未像今天這般迫近,,那些呆在海邊日光浴的企業(yè)必須采取有效行動(dòng)來自我救贖,。是的,云計(jì)算本身的安全更多要依靠大型的云計(jì)算提供商以及技術(shù)合作商,,即使大型組織和行業(yè)企業(yè)開始擁有私有云,,但核心的安全技術(shù)還是依賴于平臺(tái)提供商(自從2011年微軟的云計(jì)算爆出安全漏洞以來,云安全本身也并非萬無一失,。)
對(duì)于企業(yè)來說,,云安全和終端安全方案的保護(hù)傘只能避免“天災(zāi)”,但是“人禍”依然是阿喀琉斯之踵,。沒有布拉德利-曼寧的里應(yīng)外合,就沒有WikiLeaks的“輝煌”,;沒有針對(duì)特定工廠員工的“社會(huì)工程學(xué)”行動(dòng),,就不會(huì)有“震網(wǎng)蠕蟲病毒”(Stunext)的輝煌戰(zhàn)果。
隨處可見的“裸體公司”
云通訊,、云郵件,、云存儲(chǔ)、云程序等云計(jì)算服務(wù),,將伴隨移動(dòng)設(shè)備的蜂擁而至如狂濤駭浪般沖擊企業(yè)IT信息安全管理系統(tǒng),,企業(yè)內(nèi)網(wǎng)的“馬其頓防線”正在被推倒,傳統(tǒng)的重點(diǎn)依靠網(wǎng)絡(luò)安全技術(shù)控制手段來保護(hù)公司的關(guān)鍵信息資產(chǎn)的方法面臨挑戰(zhàn),。每一位CIO和企業(yè)信息安全專家,,無論所在企業(yè)是否主動(dòng)擁抱云計(jì)算,都將面臨前所未有的考驗(yàn):企業(yè)圍墻已經(jīng)被推倒,,單純依賴信息安全技術(shù)的傳統(tǒng)思路不再適用,。
索尼公司不久前經(jīng)歷了一次非常嚴(yán)重的黑客事件,其次世代主機(jī)PS3的核心密鑰被黑客攻破,,直接威脅到其每年上億張正版游戲的銷售,。21歲的新澤西黑客George Hotz,首次完整破解了PS3主機(jī),,他在網(wǎng)站上公布了代碼,,并在YouTube上演示了越獄。索尼隨后采取了全面封殺的做法,,該公司律師據(jù)稱向轉(zhuǎn)貼越獄方法的網(wǎng)站發(fā)出了大量DMCA刪除通知,。但是非常戲劇性的是,索尼公司主管PS3業(yè)務(wù)的一位高管在黑客“博友”的誘騙下,,在自己的twitter賬戶上“銳推”了這串要命的代碼,。事后該高管雖然火速刪掉了該微博,但早已經(jīng)被新聞媒體拷屏傳播,淪為業(yè)界笑談,。在黑客的社交工程伎倆下,,即使是信息技術(shù)行業(yè)的資深人士,也會(huì)不經(jīng)意間犯下大錯(cuò):輕則泄露商業(yè)隱私,,重則威脅公司生存,。
移動(dòng)互聯(lián)網(wǎng)+社交網(wǎng)絡(luò)的普及,將過去碎片化的人際關(guān)系晶體粘合在一起,,變成一塊塊通透的棱鏡,,大多數(shù)的企業(yè)、甚至政府機(jī)構(gòu)都即將或者已經(jīng)成為“赤裸公司”,。在實(shí)時(shí)的,,無所不在的信息共享模式下,越來越多的企業(yè)發(fā)現(xiàn),,花錢購置并部署昂貴的安全系統(tǒng)并不能在云時(shí)代換來安全保障,,社會(huì)化媒體以及公共云計(jì)算的使用者——每一位員工,才是如今信息安全治理的問題核心,。越來越多的企業(yè)發(fā)現(xiàn),,防火墻、入侵檢測(cè)及防御或者安全加密并不能確保他們的關(guān)鍵系統(tǒng)和數(shù)據(jù),,他們中有些人甚至?xí)J(rèn)為,,這些技術(shù)控制純粹是在浪費(fèi)金錢,云計(jì)算時(shí)代網(wǎng)絡(luò)接入點(diǎn)無處不在,,只要有進(jìn)入系統(tǒng)的權(quán)限,,人們可以在任何時(shí)間,任何地方自由地獲取,、處理和分享各類機(jī)密的商業(yè)數(shù)據(jù),。
以“人”為本的谷安模式
事實(shí)反復(fù)證明,沒有立體化,、全方位的信息安全風(fēng)險(xiǎn)管理體系和專業(yè)化,、系統(tǒng)化的員工安全意識(shí)培訓(xùn),常規(guī)的偏重“IT”的信息安全技術(shù)方案并不能確保商業(yè)組織的信息安全,。在這種客戶需求的轉(zhuǎn)變中,,目前我國(guó)的信息安全市場(chǎng)中IT風(fēng)險(xiǎn)管理和咨詢服務(wù)已經(jīng)進(jìn)入快速發(fā)展階段,一些本土廠商經(jīng)過長(zhǎng)期的默默耕耘后已經(jīng)站穩(wěn)了腳跟,,能夠向大型行業(yè)企業(yè)提供完備的IT風(fēng)險(xiǎn)管理咨詢及解決方案,。
我國(guó)第一家IT風(fēng)險(xiǎn)管理解決方案提供商,深交所ISMS項(xiàng)目的承包商——北京谷安天下科技有限公司總經(jīng)理李華在接受采訪時(shí)表示:“狹義的信息安全,,只是為了企業(yè)信息的保護(hù),。但從現(xiàn)代企業(yè)管理的角度來說,,信息化帶來的風(fēng)險(xiǎn)不止是信息安全風(fēng)險(xiǎn),還包括IT治理風(fēng)險(xiǎn),、IT規(guī)劃與架構(gòu)風(fēng)險(xiǎn),、IT項(xiàng)目管理風(fēng)險(xiǎn)、IT基礎(chǔ)設(shè)施風(fēng)險(xiǎn),、業(yè)務(wù)持續(xù)性風(fēng)險(xiǎn),、IT應(yīng)用系統(tǒng)風(fēng)險(xiǎn)、IT服務(wù)交付風(fēng)險(xiǎn),、IT績(jī)效風(fēng)險(xiǎn),、合規(guī)性風(fēng)險(xiǎn)等,共十個(gè)大類,。”
谷安天下能夠在與國(guó)外一流信息安全咨詢廠商的競(jìng)爭(zhēng)合作中發(fā)展壯大,,其商業(yè)模式有個(gè)三位一體的核心:人員、流程和工具,;其中,,人的因素被放在了第一位。李華認(rèn)為整個(gè)IT風(fēng)險(xiǎn)控制當(dāng)中,,應(yīng)當(dāng)通過培訓(xùn)業(yè)務(wù)來控制“人”自身帶來的風(fēng)險(xiǎn),而通過咨詢來解決企業(yè)機(jī)制和流程的問題,,然后把多年的IT風(fēng)險(xiǎn)管理的最佳實(shí)踐固化到軟件中來形成工具,。
谷安模式為身處信息安全海嘯中的CIO們提供了一個(gè)成功范例:如何站在IT治理這樣的戰(zhàn)略高度看待IT風(fēng)險(xiǎn)控制,并制定一套適合我國(guó)IT風(fēng)險(xiǎn)實(shí)際情況和企業(yè)自身行業(yè)屬性與需求的綜合性風(fēng)險(xiǎn)管理框架,。在此之前,,大多數(shù)企業(yè)的關(guān)注重點(diǎn)還只是IT方面,而沒有上升到是IT+管理+控制的層面,。