从技术革新上看,目前以微软为代表的安全厂商正在努力推动分层的系统安全建设模式,包括了:负责ACL、RMS以及数据加密的数据层;强化防病毒结构的应用程序层;负责操作系统强化、修补管理、身份认证和HIDS的主机层;统筹网络段,开展IPSec和NIDS的内部网络层;管理防火墙和VPN等设备的周边设备层;以及提供防护、锁定、追踪功能的物力安全与策略通告层。这些技术层和非技术层组合在一起构成了企业实践中的深层防御(DID)机制。
何迪生建议,目前最为有效的企业安全生态系统建设战略,除了要从技术上进行革新,同时还要为企业提供最佳的安全实践与操作方式指导,同时安全厂商与企业的 CIO最好能够与一些国际安全组织进行合作,比如与ISACA, ISSA, CFIP-ISA和BCM保持交流可以获得最新的安全防御指导意见,有助于安全生态圈的搭建。
在了解了一般方法,以及如何评估安全管理的效果之后,用户可以借此改善安全防护的水平,来提升保护IT环境的能力。而在技术方面的很多因素,比如怎样保护系统,加密等深层次的技术知识,都可以利用在日常保护IT的工作中去。但是对于IT风险管理,只有技术还远远不够,它更多是有关于战略、流程、人、框架等各种元素,这几个组成部分都是非常重要的。
其中,何迪生特别提到了流程——安全效果的获得还有赖于安全有效的管理流程。凡是涉及到流程问题,单独依靠安全厂商是不够的,还需要用户企业的努力,其中至少体现为:第一,企业的决策层支持安全流程的建立;第二,需要进行专业的商业风险分析;第三,依靠业务和IT的人员一起建立安全策略;第四,构建安全架构并进行部署;第五,持续不断地开展系统安全监控。
对此,何迪生指出,只有将安全管理流程与深层防御体系组合在一起,才能构成最佳的企业安全策略,而这也是企业建设安全生态圈并最终获得安全体验的必由之路。
结语
在三年前,何迪生曾对媒体表示过他的担忧:中国很多企业对信息安全重视非常不够。而现在,他承认这种情况已经发生了很大的变化。
中国企业对信息安全、IT风险的重视程度越来越高了,尽管对于应该做什么、怎么做还不够清晰,但是在主观思想和重视程度上,已经达到了相当高度。许多发展和需求处于起步阶段,发展速度非常的快。
尽管中国企业在安全建设问题上,还存在着一定的误区,比如认为购买昂贵的大型防火墙、杀毒软件或者有关的安全产品就能提供很好的防护。“就如同一个昂贵的防护门,但是却没有锁好。这依然起不到很好的安全防护作用。”何迪生表示,昂贵的产品和解决方案并不一定适合企业自身的需求。
其实,在这一两年中,发生在何迪生身上的改变,并不仅仅是他对外界变化的认知,两年前还几乎不能用汉语对话的他,现在已经能够讲一口流利的普通话了。然而,在他身上,从未改变的是他对安全理念的传播意愿与布道精神。
不论是在微软的身份,还是在ISACA、ISSA、CFIP- ISA、BCM的身份,何迪生都一直在努力让每一个中国企业都了解IT安全问题的重要性,和他们分享解决IT风险管理的各种经验,并提供行之有效的解决方案。
中国太大了,这会花费大量的时间和精力,但作为一个中国人,我愿意为此付出努力。何迪生说。
Chas Edwards警告说尽管小型目标非常有效,但是将定位瞄准更广泛的受众来保...
Brightidea.com的创始人和CEO Matt Greeley揭示了在工作环境中实施Web 2.0工...