EMC公司首席安全官Dave Martin

每當(dāng)有人把Ipad和Android這類的設(shè)備帶到工作環(huán)境，他們會(huì)問為什么會(huì)阻止相關(guān)訪問，其實(shí)應(yīng)該變換一下對(duì)話，如何用傳統(tǒng)技術(shù)和技巧幫助我們處理一些問題，如何才可以幫助他們進(jìn)行數(shù)據(jù)訪問。管理中你會(huì)發(fā)現(xiàn)，這次可能是Android的設(shè)備，可能下次是另外一種應(yīng)用，另外一種網(wǎng)絡(luò)。所以每一種設(shè)備會(huì)有不同的訪問，不同的控制，會(huì)有不同數(shù)據(jù)的訪問。擺在我們面前的是多種多樣的網(wǎng)絡(luò)類型，包括蜂窩數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)等等，還有不同的平臺(tái)，比如一分鐘前他們用筆記本上網(wǎng)，之后使用移動(dòng)手機(jī)上網(wǎng)，有不同的控制臺(tái)，有不同的應(yīng)用程序。

如何對(duì)這些類型進(jìn)行分類，并制定合規(guī)的準(zhǔn)入規(guī)則。我們希望數(shù)據(jù)所有方能有效或者說正確的應(yīng)用程序，應(yīng)用程序的提供方也要確保用戶能訪問正確的數(shù)據(jù)。

實(shí)際上我們能阻礙風(fēng)險(xiǎn)的可能性會(huì)越來越少，因?yàn)榭偸菚?huì)出現(xiàn)新的平臺(tái)，不的應(yīng)用。Dave Martin提到，我們要知道他們都是什么樣的應(yīng)用開發(fā)程序，他們要保護(hù)什么樣的數(shù)據(jù)。另外我們要看一下人們?cè)诿看卧L問數(shù)據(jù)的時(shí)候，需要不同的身份認(rèn)證，我們要把這個(gè)和風(fēng)險(xiǎn)環(huán)境結(jié)合在一起，那也就是說，要考慮到企業(yè)的內(nèi)部環(huán)境，在企業(yè)內(nèi)部環(huán)境之中，哪些事情更加重要?有的時(shí)候事情太多，你必須進(jìn)行自動(dòng)化的監(jiān)測(cè)，我們要盡全力列出哪些事件是最重要的。此外我們要把這些和企業(yè)應(yīng)用，企業(yè)數(shù)據(jù)架構(gòu)建立在一起，我們需要知道真正監(jiān)測(cè)的數(shù)據(jù)是什么，并且作出相關(guān)反應(yīng)。我們要證實(shí)合規(guī)方面我們的確是可控制環(huán)境當(dāng)中，另外要微調(diào)，調(diào)整自己的策略獲得成功。

“另外一點(diǎn)就是治理， EMC在過去12個(gè)月當(dāng)中制訂的治理結(jié)構(gòu)，過去是傳統(tǒng)單層的架構(gòu)，傳統(tǒng)而言，我們有一個(gè)安全團(tuán)隊(duì)，他們主要是進(jìn)行風(fēng)險(xiǎn)分析，包括我自己，還有更高層的安全總裁。所以在我們的討論當(dāng)中，我會(huì)和我的高管在一起，告訴他們我所看到的安全風(fēng)險(xiǎn)，給我們一些資金，有的時(shí)候需要派出專門人才配合我們改動(dòng)。如果在公開模式下，我必須確保秩序在合適情況下公開，所以我需要高管給我支持，我經(jīng)常需要參加一些會(huì)議，這些會(huì)議上企業(yè)代表會(huì)告訴我們風(fēng)險(xiǎn)，以及他們需要我們進(jìn)行的風(fēng)險(xiǎn)控制。” Dave Martin同時(shí)強(qiáng)調(diào)，有的時(shí)候，其他部門的經(jīng)理也會(huì)提出一些質(zhì)疑，為什么需要繞過安全控制，這實(shí)際上是一個(gè)很大的變化，這能確保我們并不是由高管執(zhí)行相關(guān)策略，盡管這個(gè)很重要，但在不同架構(gòu)，不同級(jí)別，我們也要執(zhí)行相關(guān)策略。所以有業(yè)務(wù)經(jīng)理的人向我提出質(zhì)疑的時(shí)候，我可以給他看這個(gè)流程表。我覺得每一級(jí)業(yè)務(wù)和相關(guān)團(tuán)隊(duì)都應(yīng)該獲得支持，這一點(diǎn)很重要。

政策控制規(guī)劃，我們已經(jīng)制訂了相關(guān)目標(biāo)，我們需要向我們策略進(jìn)行映射，而且我們還需要將他們做的可測(cè)量。所以今天我跟大家提到合規(guī)的時(shí)候，無論是內(nèi)部合規(guī)機(jī)構(gòu)，還是外部審計(jì)員，還是內(nèi)部審計(jì)員，我們都需要確保我們安全項(xiàng)目是合規(guī)的，而且我們還需要對(duì)其進(jìn)行測(cè)量，看看這些策略是不是有效，讓我們效率更加客觀。

在風(fēng)險(xiǎn)控制的時(shí)候，我們需要確保我們有服務(wù)的主線幫助我們提供服務(wù)，而且我們還需要對(duì)不同類型的數(shù)據(jù)部署不同類型的控制，還需要對(duì)這些數(shù)據(jù)進(jìn)行維護(hù)。

Dave Martin介紹了傳統(tǒng)上實(shí)施這些工作的方法，可能需要隨著時(shí)間推移來變化。毫無疑問，我們需要不斷建造起這樣的架構(gòu)，我們需要公共數(shù)據(jù)，還有不同類型的數(shù)據(jù)，包括敏感數(shù)據(jù)，我們還需要適應(yīng)，比如應(yīng)用層上，我們也可能有一些敏感數(shù)據(jù)，但是這些應(yīng)用可能位于一個(gè)不可靠的平臺(tái)上，誰有可能訪問這些數(shù)據(jù)，我們也需要控制。還有對(duì)知識(shí)產(chǎn)權(quán)來說，我們也面臨一些挑戰(zhàn)，有可能訪問會(huì)被阻攔。

傳統(tǒng)的模式，對(duì)于終端用戶來說，面臨困擾是如何獲得數(shù)據(jù)，面臨海量數(shù)據(jù)，他們會(huì)選擇合適的設(shè)備，獲得數(shù)據(jù)之后，也需要了解他們遇到什么樣的用戶，他們?nèi)绾卧L問這些信息呢?基于地理位置，以及基于網(wǎng)絡(luò)使用種類，無論是內(nèi)部還是外部的辦公室，他們是不是使用虛擬化的桌面，還是使用物理機(jī)等等，都需要打造一個(gè)連貫的體驗(yàn)，這樣隨著時(shí)間推移，用戶就會(huì)習(xí)慣，他就知道我要獲得數(shù)據(jù)需要什么樣的系統(tǒng)。所以一開始我們要讓用戶知道他們想要讀取的不同數(shù)據(jù)。而且我們要幫助他們實(shí)現(xiàn)這個(gè)目標(biāo)，這個(gè)實(shí)現(xiàn)方式跟我們今天做法是不一樣的，我們不能把一個(gè)信息進(jìn)行阻隔或者攔截就夠了，我們需要提供安全訪問的途徑。

今天所擁有的控制，比如在VPN的網(wǎng)絡(luò)中可能容易做到，但不同類型的設(shè)備我們需要考慮，比如IPAD和IPOD就需要做加密，數(shù)據(jù)加密，需要進(jìn)行遠(yuǎn)程的讀取，我們需要更多的可用性。這是從用戶的角度來說這是未來的挑戰(zhàn)，今天我們沒有辦法實(shí)現(xiàn)這一點(diǎn)，但是我們應(yīng)該有能力管理Windows操作系統(tǒng)，IOS的操作系統(tǒng)等等，我們有這么多平臺(tái)，每個(gè)平臺(tái)都有不同的控制，那么不同平臺(tái)是不是可以用同樣的設(shè)置，我們需要一個(gè)地方來管理這么多的平臺(tái)，而且我們也需要一個(gè)地方對(duì)員工進(jìn)行管理教育。

在Dave Martin看來，這些應(yīng)該是網(wǎng)絡(luò)中越來越常見的威脅，比如CPU和電池壽命在不斷增加，這是很好的事情，但是很多CPU的增長(zhǎng)和電池壽命增加并不是做安全性能的，所以我們需要考慮網(wǎng)絡(luò)層面上的安全控制。我們還需要在后臺(tái)應(yīng)用方面，還需要更多的考慮是不是能保持安全的連貫性，從而創(chuàng)造連貫一致的用戶體驗(yàn)，如果我們能讓用戶簡(jiǎn)單的知道在哪里可以獲得數(shù)據(jù)的話，而且他們進(jìn)行訪問的時(shí)候就做一次認(rèn)證，對(duì)于認(rèn)證來說，如果認(rèn)證太復(fù)雜的話，他們使用我們的系統(tǒng)這種可能性就越小，因?yàn)槲覀冇X得對(duì)于用戶來說，我們所配置的環(huán)境是會(huì)越來越平緩，我聽到很多人說，一切都已經(jīng)成為服務(wù)，混合云，還有環(huán)境，現(xiàn)在都推出以應(yīng)用和設(shè)備為導(dǎo)向的版本，這樣可以更好的引導(dǎo)人們使用信息，我們必須推出簡(jiǎn)單的一致的用戶體驗(yàn)。

最后，我們目前還需要進(jìn)一步確保我們?cè)诓煌脚_(tái)上盡可能多的獲得信息，以及盡可能多的日志，而且這些事件源越來越多樣，這些會(huì)越來越智能，而且還有智能系統(tǒng)會(huì)對(duì)它映射，這樣就可以控制檢測(cè)，積極響應(yīng)。所以今天，我們可以將日志放在中央平臺(tái)上，但是我們加入到智能化的應(yīng)用方面還不是特別順暢，目前還沒有辦法很有效的對(duì)日志進(jìn)行智能化的應(yīng)用，我們需要更好的將這些信息映射到組織中，了解我們用戶他們?cè)谀睦?，過去一小時(shí)中有什么活動(dòng)，過去一天，過去三天有什么活動(dòng)?這樣可以優(yōu)秀排序，幫助我們了解哪些數(shù)據(jù)是最重要的，哪些基礎(chǔ)架構(gòu)是最重要的，然后映射到風(fēng)險(xiǎn)環(huán)境來應(yīng)對(duì)措施和采取控制措施。

同時(shí)需要報(bào)告給企業(yè)領(lǐng)導(dǎo)人，讓他們了解我們安全并不是沒有作用的，有時(shí)候有一些公司高管對(duì)IT部門并不是特別感興趣，但是通過這樣的日志和報(bào)告可以證明IT部門工作是非常有價(jià)值的。Dave Martin強(qiáng)調(diào)，在日常管理工作中，需要了解每天每人都會(huì)需要的不同平臺(tái)，使用不同的設(shè)備訪問不同的數(shù)據(jù)，所以需要采取不同策略，讓這些數(shù)據(jù)可以得到控制并正確作出決策。

huanghui

<acronym id="exlyc"></acronym>