隨著IT技術(shù)的發(fā)展���,全球越來越多的企業(yè)正在逐步完善業(yè)務(wù)流程及信息處理���,將其從人工操作轉(zhuǎn)移到IT平臺上來�。
由于微軟的Windows操作系統(tǒng)有著易于使用、成本較低等特性���,許多企業(yè)已經(jīng)或者正在把Windows作為主要的業(yè)務(wù)流程和信息處理平臺���。從邊界服務(wù)器到內(nèi)部網(wǎng)絡(luò)�����,從企業(yè)總部到各分支機(jī)構(gòu)����,企業(yè)中存在著大量使用Windows操作系統(tǒng)的服務(wù)器和客戶端。
但是��,隨著Windows作為主流平臺的廣泛使用��,也隨之出現(xiàn)了層出不窮的安全威脅��。而當(dāng)金融風(fēng)暴洶涌來襲�����,全球企業(yè)的生存環(huán)境發(fā)生了劇烈的變化�。包括敏感數(shù)據(jù)�、客戶信息以及公司基礎(chǔ)設(shè)施等都面臨著日益嚴(yán)峻的IT風(fēng)險(xiǎn)���,而在經(jīng)濟(jì)動(dòng)蕩時(shí)期�,企業(yè)更加無法承受自身安全所帶來的問題���。
所以����,如何在目前這個(gè)非常時(shí)期�,嚴(yán)格控制有可能發(fā)生的隱患,對企業(yè)進(jìn)行有效的IT風(fēng)險(xiǎn)管理�����,是所有企業(yè)都必須直面的問題�����。
對此�,暢享網(wǎng)走訪了國際信息系統(tǒng)審計(jì)和控制協(xié)會(ISACA)北京事務(wù)委員會主席及微軟大中華區(qū)信息安全總監(jiān) 何迪生先生,請他來深入剖析現(xiàn)今“IT風(fēng)險(xiǎn)管理之道”���。
多角度認(rèn)知IT風(fēng)險(xiǎn)
何迪生有著多重身份: 國際信息系統(tǒng)審計(jì)和控制協(xié)會(ISACA)北京事務(wù)委員會主席����、信息系統(tǒng)安全協(xié)會(ISSA)香港分會總裁、中國信息化推進(jìn)聯(lián)盟 (CFIP) -信息安全專業(yè)委員會 (ISA) 副主任����、-業(yè)務(wù)持續(xù)管理專業(yè)委員會(BCM)高級顧問、微軟大中華區(qū)信息安全總監(jiān)�。復(fù)雜的身份幫助他從不同的角度去思考IT風(fēng)險(xiǎn)管理的問題,因此也就對IT風(fēng)險(xiǎn)管理有了更加全景的認(rèn)知���。
談到IT風(fēng)險(xiǎn)管理,首先需要了解威脅是什么?今天有哪些威脅?未來又會有哪些威脅?
對企業(yè)來說����,任何安全技術(shù)和手段所要保護(hù)的核心內(nèi)容都是數(shù)據(jù),目的也是為了企業(yè)正常網(wǎng)絡(luò)業(yè)務(wù)的運(yùn)轉(zhuǎn)��。在此基礎(chǔ)上�����,何迪生解釋說:從企業(yè)外部來看���,IT風(fēng)險(xiǎn)一直在不斷加劇�����。對于企業(yè)IT系統(tǒng)的惡意攻擊也在變得越來越復(fù)雜����,有越來越多的方法可以對IT系統(tǒng)進(jìn)行攻擊。同時(shí)��,威脅已經(jīng)不僅僅單純來自于企業(yè)外部���,更多來自企業(yè)內(nèi)部的威脅已經(jīng)變的越發(fā)嚴(yán)重�����。
在開放的網(wǎng)絡(luò)環(huán)境中開展業(yè)務(wù)�����,至少面對四大挑戰(zhàn):第一�����,內(nèi)部身份認(rèn)證的安全性;第二�,有組織犯罪的威脅;第三,各種來自于網(wǎng)絡(luò)的內(nèi)外部攻擊;第四���,各種軟硬件的安全漏洞����。
從業(yè)務(wù)角度來看��,在上個(gè)世紀(jì)80年代時(shí)�����,完全并不需要管理很多的身份���,但是隨著IT應(yīng)用越來越復(fù)雜,越來越多的功能開始被啟用����。因?yàn)椋枰貌煌墓δ軕?yīng)對業(yè)務(wù)發(fā)展需求���,比如:進(jìn)入財(cái)務(wù)系統(tǒng)時(shí)�,有很多網(wǎng)關(guān)保護(hù)著數(shù)據(jù)�。在訪問數(shù)據(jù)之前,就首先需要經(jīng)過身份的認(rèn)證。顯然���,隨著IT應(yīng)用愈加復(fù)雜����、數(shù)據(jù)量的激增�,所以,身份認(rèn)證所帶來的問題也就越來越復(fù)雜����。
外部環(huán)境的變化也正在逼迫企業(yè)積極主動(dòng)的應(yīng)對IT風(fēng)險(xiǎn)。從發(fā)布更新到漏洞被利用的時(shí)間間隔已經(jīng)越來越短�,從最開始的1年降到了2天甚至是1天。另外��,過往的黑客更多是出于技術(shù)目的�����,只是想進(jìn)入系統(tǒng)����,炫耀自己的技術(shù)水平以獲得成就感。但是今天的黑客不是為了破壞系統(tǒng)����,他們更看重的是系統(tǒng)里面的數(shù)據(jù)����,并從中獲利�。所以,黑客已經(jīng)從過去的技術(shù)目的�����,變成現(xiàn)在的業(yè)務(wù)目的�。而且,他們所能采用的惡意攻擊的形式也越來越復(fù)雜���。
此外��,還有一個(gè)極其重要的問題�,IT風(fēng)險(xiǎn)最重要的部分是人���。人永遠(yuǎn)是最薄弱的一個(gè)環(huán)節(jié),必須教育員工�����,讓他們有足夠的知識來理解有關(guān)的防護(hù)措施。否則��,即使防護(hù)再完備�����,企業(yè)依然會面臨巨大的風(fēng)險(xiǎn)�����。
所以��,IT風(fēng)險(xiǎn)是復(fù)雜的����,包括了很多因素,可以想見�,今天的CIO們工作異常艱巨,需要找到正確的戰(zhàn)略��、方法去管理系統(tǒng)��。
對于