文/本刊记者 卢敏
要想在云端充满信心,IT部门必须采取措施以确保其对于信息及应用的控制能力与目标始终保持一致的能力。
10月21日,赛门铁克公司公布了《2011云端现状调查》结果。该调查重点关注企业如何部署云计算以及如何处理云计算给IT管理带来的变化等。调查显示,企业对于云安全问题持矛盾态度——大多数企业将安全性同时列为迈入云端的最大担忧和首要目标。调查结果同时表明,企业可能还没有充分做好迈入云端的准备,因为几乎一半的受访者声称其IT员工目前还没做好实现云计算的准备工作。
“此次调查结果进一步验证了用户目前的态度和需求,安全性是其迈入云计算领域的最大担忧,”赛门铁克企业产品和服务集团总裁Francis deSouza指出,“想要在云端充满信心,IT部门必须采取措施以确保其对于信息及应用的控制能力与目标始终保持一致的能力,无论企业已经实现云计算环境,还是仍停留在原有的基础架构上。”
在提到报告对中国企业的借鉴意义时,赛门铁克中国区技术支持部首席解决方案顾问林育民介绍说,报告提供了对信息安全市场前景策略的预期。将研究成果分享给业界,尤其是IT负责人,将能为企业对自身网络安全维护工作进行自我评价提供一个衡量标准。国内比较重视对传统网络安全的防护,像病毒控制、防火墙等的安全投入,国外有近一半开始关注合规管理到安全策略的制定与执行,并应对新型安全威胁的攻击。这对提高国内企业的信息安全防范意识有很好的借鉴意义,并使安全体系做得更健全、更健康。
林育民:将研究成果分享给业界,尤其是IT负责人,将能为企业对自身网络安全维护工作进行自我评价提供一个衡量标准。
根据调查显示,企业在准备防范和应对网络攻击方面仍有改善的余地。只有略超半数的受访者表示,企业在部署常规安全措施方面表现非常出色。认为企业在应对安全攻击和破坏方面做得非常好的受访者数量略低一些。同时,不足半数的受访者表示企业合规性方面表现良好,在采取创新型或战略性安全措施应对威胁方面,则表现欠佳。
报告也就企业安全的保障需要技术和管理相结合,制定并执行IT策略,以确保企业的员工能够增强安全意识等问题给企业提供了以下几点建议:
首先,企业需要制定并执行IT策略。通过在所有地点优先考虑风险及定义策略,企业能够以内置自动化和工作流程来实施政策,从而保护信息、识别威胁,在事故发生时尽力避免损失,或者在事故还没有发生时及时预测。
其次,企业需要采取以信息为中心的方式来主动保护信息。采用内容感知的方法来保护信息是非常重要的,它可以帮助企业识别保密信息和敏感信息并对它们进行分类,同时了解这些信息的存储位置和访问者,知道这些信息是如何进入或者离开企业等。主动为终端加密也可以帮助企业将设备丢失导致的各种损失降至最低。
再次,为帮助控制访问,IT管理人员需要验证并保护用户身份、整个企业的场地和设备等。此外,他们还需要提供受信任的链接,并在适当的时候对交易进行验证。
最后,IT管理人员需要保护所有的端点,包括日益增加的移动设备以及消息和网络环境,从而保护其基础架构。为关键的内部服务器提供保护并进行数据备份和恢复,也是非常重要的。此外,企业需要获得可见性、安全智能,还需要对环境进行持续的恶意软件评估,从而对威胁做出快速响应。
此外,对于安全厂商而言,云计算的浪潮给他们带了了诸多挑战,首先是传统的终端设备变得更加多样并且更具移动性,其次是如何有效保护虚拟化环境的安全,原有物理机上的防病毒无法直接搬到虚拟机上。在此,数据不再只是在普通设备上,而是分布在各个分支机构。