今日頭條
官方微信
官方抖音
資訊頻道 2009年10月26日 剛剛在英國倫敦召開的RSA® 2009歐洲大會,其開幕演講主題是:建立系統性的安全策略,協助組織更好地應對挑戰,把握下一代技術發展趨勢所創造的機會。在聯合主題演講中,EMC(NYSE:EMC)信息安全事業部RSA總裁Art Coviello和高級副總裁Christopher Young分別強調指出,各組織建立系統化安全策略、應付不斷提升的技術趨勢,這不是一個負擔,而是一個前所未有的機遇,這樣可以提高安全性,建立更安全的信息基礎架構。
“在過去100年里,技術和信息發生了翻天覆地的變化,但人們應對這種發展的行為卻進步得非常緩慢,我們跟進我們所面臨的復雜性能力非常有限,”Art Coviello說。“因此,今天我們發現,克服復雜性非常有價值。這樣,人類才可以充分利用這些引人矚目的技術發展和進步。這就是世界各地IT組織所面臨的挑戰。”
在聯合主題演講中,兩位EMC高層的演講都針對即將到來的、正在改變安全應用方式的趨勢:例如,數據中心虛擬化、云計算、移動應用和社會化計算的發展。Coviello和Young鼓勵組織順應這些趨勢,抓住機遇,在信息基礎架構中建立更好的安全性,而不是抗拒這些趨勢,無視它們所構成的風險。為了加速這一轉變,他們為與會者提供了七項指導原則,涵蓋當今不斷變化的安全版圖下建立高效信息安全戰略所需的關鍵要素。
“順應趨勢的人將在創新浪潮中處于有利的位置,收入增加,成本降低,基礎架構更快捷、更靈活”,Young說,“為做到這一點,我們必須作為一個行業崛起,用新一代的信息安全戰略迎接新一代的趨勢。”
RSA 7項指導原則:建立系統的信息安全策略
EMC信息安全事業部RSA斷言,現在就是企業信息安全負責人確定系統化戰略的時機。系統化戰略不僅可以讓組織有效地保護當前快速變化的環境,而且可以讓它們在將來提供更安全的信息基礎架構。這一系統承認獨立產品,但提請信息安全從業者注意這些產品是否能夠協同工作,解決共同問題,是否能夠開創新的機遇。
以下通過RSA自身業務的實例,展示如何實施七項指導原則:
1. 信息安全措施必須嵌入到IT基礎架構之中——第一個原則認為,信息安全措施不應該只是集成到基礎架構中,而應該嵌入其中。這種理念推動了RSA一系列重大舉措,包括與思科的合作。來自RSA和思科的團隊聯手將數據丟失防護嵌入到思科IronPort電子郵件安全網關等設備中。RSA和VMware也結盟成了技術合作伙伴,將核心的信息安全控制嵌入到虛擬基礎架構,幫助組織降低風險,提高它們的整體信息安全狀況。
2. 發展解決方案生態系統——必須形成生態系統,讓多家組織的產品和服務協同工作,解決共同的信息安全問題。 RSA投資了RSA eFraud NetworkTM社區,它是與全球數千家金融機構合作創建的生態系統,能夠在網絡欺詐分子流竄于全世界范圍內各金融機構之間時發現他們。
3. 創建無縫、透明的安全性——信息安全措施對所要保護的用戶和系統具備很大的透明性,這對于彌合技術進步速度和人們技術跟蹤能力之間的差距非常重要。RSA與全球最大的付款處理公司第一數據公司(First Data Corporation)開展技術合作,其背后的動機就是建立無縫、透明的信息安全措施。 RSA和第一數據公司最近宣布了一項服務,可以保護支付數據于商家,因此商家無需將信用卡數據存儲在其IT系統內。這項服務內置到第一數據公司的付款處理系統中,對商家和它們的客戶都是無縫和透明的。
4. 確保信息安全控制是關聯而且內容感知的——用戶對信息的平均訪問量以指數級的速度增長,信息保護的法規數量也在大幅增加。在EMC關鍵事件響應中心(Critical Incident Response Center,CIRC),安全信息管理是集中進行的,這樣它就能夠關聯各種信息控制措施的數據,例如數據丟失防護,基于風險的身份驗證之類的身份控制措施,以及補丁、配置和漏洞管理系統等基礎架構控制措施。這種先進的信息安全運營的方法,可以提高信息安全分析師獲取所需信息的速度,盡快區分出良性安全事件和高威脅性的事件。
5. 信息安全措施的重點既要由外而內,又要由內而外——RSA認為信息安全的方式必須雙管齊下,既保護邊界(由外而內),又保護信息本身(由內而外)。既然用戶是從網絡內外的各種設備和云環境中訪問信息的,當信息在整個信息基礎架構中移動時,信息安全策略和控制措施就必須依附在信息上。
6. 信息安全必須是動態的、基于風險的——由于犯罪分子和網絡欺詐者不需要遵守規則和法規,他們可以無拘無束地部署越來越富創造性的攻擊。為迎戰這一現實,各組織就需要動態關聯大量來源的信息,響應基礎架構和信息相關的實時風險。 RSA當天宣布了新的咨詢顧問服務,幫助企業實施或改善信息安全運營功能,更有效地管理風險與IT合規項目。
7. 有效的信息安全措施需要自學習——IT基礎架構和針對它們所發起惡意攻擊的動態特性,已經遠遠超越了人類跟進其速度和復雜性的能力。為此,信息安全戰略必須是動態的、基于行為的。為實現這一目標,RSA當天還宣布,它正攜手趨勢科技,利用趨勢科技威脅資源中心搜集的間諜軟件、病毒、垃圾郵件及其它數據實時情報。為提高對RSA ® FraudActionsm反木馬服務客戶的終端保護,這些重要信息將直接導入RSA ®反網絡欺詐指揮中心。
來源:第一財經日報
http://www.gkong.com/ 2010-4-27 9:30:01
北京市公安局海淀分局備案號:11010802023656號