机房360首页
  1. 武松娱乐
  2. 云计算
  3. 大数据
  4. IDC
  5. UPS
  6. 机房制冷
  7. 集中监控
  8. 发电机
  9. 防雷与接地
  10. 综合布线
  11. 机柜
  12. 服务器
  13. 存储
  14. 虚拟化
  15. CIO&信息化
  16. 文库
  17. 规范
  18. 机房产品
  19. 外包
  20. 更多
    1. 新闻资讯
    2. 绿色IT
    3. 网络&安全
    4. 武松娱乐
    5. 机房工程
    6. 机房节能
    7. 机房培训
    8. 产品报价
    9. 品牌故事
    10. UU漫画
    11. 俱乐部
    12. 联盟
    13. 专题
当前位置:首页 » 系统安全 » 无所不在的信息安全

无所不在的信息安全

来源:机房360 作者:Harris编译 更新时间:2015-5-14 9:17:40
摘要:白宫是美国政府最高水平的行政部门,人们会发现这里有两种截然不同的人群。一种是负责定义未来愿景的得到政治任命的官员,直接指挥下属从事政治使命。而另一种是公务员,受政治风向的影响,无论哪个政党执政,都必须执行命令。这是每个在任总统面临的一个问题,也是一个呈现在快速变化的IT世界中独特的挑战。
      白宫是美国政府最高水平的行政部门,人们会发现这里有两种截然不同的人群。一种是负责定义未来愿景的得到政治任命的官员,直接指挥下属从事政治使命。而另一种是公务员,受政治风向的影响,无论哪个政党执政,都必须执行命令。这是每个在任总统面临的一个问题,也是一个呈现在快速变化的IT世界中独特的挑战。

“如果你仔细想想,白宫就像是一个新的初创公司,每四年或八年更换一次CEO。”白宫前副首席信息官阿利萨•约翰逊说。而年复一年,从上至下任命的官员都有着变动和升迁,但无论是谁在负责,仍有300多名IT专业人士为总统行政办公室服务。前政治任命首席信息官,CISO医疗技术公司现任首席信息安全官史赛克回忆说,奥巴马政府在2009年接手时,就有一些战略问题需要解决。

“我们当时配备的还是有着软盘驱动器的台式机。”约翰逊说。她的主要职责是保障白宫信息安全,主要目标之一并为未来的行政部门制定信息安全计划。

因为大多数安全漏洞都是人为错误或缺乏适当的维护造成的,必须具备先进的技术与理念,才能成功保障信息安全。重要的是,约翰逊提醒道,作为一项长期计划的一部分,技术人员需重新审视基础架构,然后积极贯彻落实。

核心原则
  
确保数据安全的首要关键是完善的信息安全战略,而不是遍历武松娱乐武松娱乐。“数据的重要性超过了武松娱乐建设。”约翰逊表示。

“我不会告诉你会有什么惊天动地或新的技术和策略。学习就是记住你已经知道的东西,把它们以不同的方式结合在一起。”约翰逊说,就因为她在白宫工作过,这并不意味着她就能给出圣人一般的建议。“记住,我们仍在试图取消软盘驱动器。”她开玩笑地说。

虽然下面的原则列表并不详尽,前白宫副首席信息官表示,用户信息安全有哪些缺失和漏洞基本从这些原则中就可以找出来:

(1)脆弱性和威胁管理

(2)身份和访问管理

(3)事件与危机管理

(4)配置和变更管理

(5)事件和数据管理

(6)用户管理

(7)风险与合规(这是他们的核心原则)

约翰逊观察到,有漏洞的网站的比例是惊人的,因此要在数据备份方面投更多的预算。而定量措施是而且将永远是要满足这一目标。

约翰逊表示,身份认证和访问管理是许多方法失败的一个领域。在她看来,没有理由要采取每月、每周,甚至每天去提供用户凭据,一旦一个人离开一个组织,“在科技时代,当有人离开单位时,你不能只是关闭他们的帐户,有时要严格到甚至清除他的一切痕迹。”她说。“而只关闭帐户在某些时候是一种懒惰的感觉。”

“当有事情发生时,网络安全是最重要的。”约翰逊解释说,解决事件最重要的一点就是组织根据原则对事件和危机进行管理,这是她的意见。根据她的经验,在通常的情况下,当高层的电话泄密或以前不关心的漏洞导致事件发生时,人们才会在网络安全功能方面进行投资。

约翰逊说,即使已经离开白宫,她还是接到了前雇主的电话,讨论近期关于如何对网络安全事件作出正确回应。她表示,这不仅是一次性事件的响应,而应该是进一步的成长与教育“终身的机会”。

如今,网络安全一定是企业业务环境的推动者,根据她以前的说法,这是一个成长的机会。“如果网络安全失败,那么其他一切都会有可能出问题,”她说,“如果网络安全没有正确处理,那么业务指标、销售和机遇这些方面都有可能出问题。”

整体缺乏网络安全防范是约翰逊主要关注的一个问题,特别是在眼下的物联网时代,她解释说,我们现在生活在一个信息孤岛,没有进入到一个真正的物联网的世界:“如果我们不能获知和处理现在的安全危机,那么在发生危机时,我们所有的信息已经都在那里,那时已进入一个融合状态。”她总结说,人们不仅考虑到现在所面对的情况,而且要考虑到做出的决定将如何影响其未来,因此要衡量风险和安全。

管理变革
  
绝大多数的安全漏洞并不是那些老练的黑客利用漏洞攻击的结果。大多数漏洞可以通过适当维护和配置系统有效地弥补。约翰逊引用的数据表明42%的漏洞是由于系统错误配置造成的。

这些错误配置的系统几乎在所有组织中普遍存在。“我曾工作在国家安全局,联邦调查局,中央情报局,国防情报局,洛克希德-马丁公司,诺瑟普-格鲁门公司,甚至白宫,他们在配置管理并没有采取很好的做法。”约翰逊说,白宫需要招募一个变更管理联络负责人,以协调网络上发生的所有变化。

但是,管理配置的变化并不是安全计划所需的唯一类型。如何与IT安全部门交互,转变业务视图将是至关重要的,并将推动安全领域业务的发展。

采用新产品或更新产品,必须经过网络安全评估,这个过程是非常必要的,企业可以与客户交流并对他们产生潜在的影响,约翰逊说。“网络安全一直被视为可怕的群体。”她感叹道。她希望人们从“没有,但”转为“是的,和”的态度,从而让安全文化更加具有前瞻性。

这是人们对于安全和风险的认识。对于管理一个企业,安全计划的过渡意味他们会评估其他业务的风险,以确定是否愿意接受他们,或减轻它们。

填补漏洞
  
有许多问题需要解决的时候,就需要制定一个全面的信息安全计划。但企业如何制定简化策略?在约翰逊看来,可以采用三种方法,大多数公司会在任何时间使用这三种方法的组合。所谓的“信息安全”的三个阶段是:激活(建立安全);适应(内置安全);预期(超越安全)。

“我认为所有的组织经历了所有这三个阶段”,据约翰逊观察。组织采用静态的防御姿态只是反应事件,而动态的预测安全,可防止事故发生或实时检测到危险靠近。

“这就像填补漏洞一样,”约翰逊说,“人们总是在填补漏洞,除非有一个很好的改变改变未来的策略。如果只是填补漏洞,那就永远是被动而不是主动。我不是漏洞填充物。”约翰逊总结道。

编辑:Harris
机房360微信公众号订阅
扫一扫,订阅更多武松娱乐资讯
本文地址:http://www.jifang360.com/news/2015514/n211367894.html 网友评论: 阅读次数:
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
相关评论
正在加载评论列表...
评论表单加载中...
  1. 我要分享
推荐图片
    互联网时代,盘古数据“定制化”创新互联网时代,盘古数据“定制化”创新
    随着信息技术的快速发展,特别是[详细]
    模块化武松娱乐排名出炉:“中国制造模块化武松娱乐排名出炉:“中国制造
    近期,知名咨询机构ICTresearch[详细]
    企商在线:武松娱乐服务商的领跑者企商在线:武松娱乐服务商的领跑者
    在当今互联网的世界里,武松娱乐[详细]
    浅析武松娱乐UPS供电系统演进方向浅析武松娱乐UPS供电系统演进方向
    武松娱乐的大规模建设进一步加大[详细]
    2014年中国武松娱乐市场动态监测2014年中国武松娱乐市场动态监测
    机房360携手北京瑞富银市场咨询[详细]
    鹏博士:领航中国IDC云化之路,永无鹏博士:领航中国IDC云化之路,永无
    武松娱乐即服务(IaaS)是否就是[详细]
武松老虎机