信息安全是企業信息化過程中的一個永恒話題,今天,云計算正在深度的變革著企業的信息化模式,信息安全管理的天平也必然會在云時代下,進行相應的調整。
一、云計算對企業信息安全的新挑戰
云計算以一系列的技術變化為基礎,最終的核心是實現軟硬件資源的“服務化”,云計算對企業信息化帶來的變化,都源于“服務”這倆字。而以“服務”為基礎的企業信息化正在加速轉變的過程中。這將為企業信息安全管理帶來兩方面的新挑戰:
1、信息安全管理物理邊界的泛化:實體的物理邊界,正在被虛擬化改變,你所管理的信息安全主體不再是單獨的物理服務器和存儲設備,而是一個打通各個物理邊界的資源池,甚至不同物理地點的資源,將在一個資源池中打通;企業信息安全的“劃片范圍“也不再是一個清晰的企業網。我們會發現,混合云正在讓企業網的邊界越來越模糊;我們也發現,企業辦公云端的設備也越來越多樣,我們力圖實現任何時間,任何地點,任何設備都能使用企業應用服務。
2、信息安全管理責任邊界的泛化:隨著信息系統從封閉向融合的轉變,信息安全管理的相關干系人責任關系也將被改變:各個服務提供商將必須對所提供的服務的安全性承擔更多的責任,而企業的IT部門也必然會在信息安全的管理中面臨劇增的雙邊甚至是多邊責任邊界;另一方面,用戶在獲得以便捷和效率為主要價值訴求的云計算服務時,也應有更為明確的承擔相應風險與責任的義務,這一點,在云計算時代必然會更加凸顯,否則,安全與便捷的矛盾沖突將會前所未有的增加。
二、企業信息安全管理如何應對新挑戰
那么,面臨這些挑戰,我們該如何應對呢?
以上是企業信息安全管理的五個維度。企業針對云計算帶來的信息安全管理新挑戰的應對舉措,也可從五個方面展開:
1、在基本治理原則與策略上,要進一步強化信息化管理的統一性原則和各干系方的權責對等原則并加以落實。所需強調一點的是,這里的權責對等的主體,不僅是傳統安全管理中針對用戶和管理者雙方,在云時代下,還要包括大量的云服務提供方,所謂要明確建立多邊安全責任策略。
2、在傳統的管理架構基礎上,要以相應的制度和流程,落實統一性原則和權責對等原則的固化,尤其是在“服務商管理”維度中,在云服務商選擇標準,云服務商權責管理等方面都要特別的進行探索加強。
3、在技術架構上,要轉變視角,從云計算的開放視角,構建企業云計算架構下的信息安全技術部署。下圖給出了一個企業在混合云架構下,如何部署從“云—管—端”的安全技術的示例。在這種方式下,很多安全的技術將從獨立的第三方通過服務的方式獲得。同時,也要解決這些眾多的第三方安全服務和私有云安全的集成與聯動問題。同時,在“云-管-端”的安全機制建立之后,讓端更加開放,讓需要保護的資源在云中更加強化,也是讓服務的便捷性和安全性協調發展的重要技術布局理念。
4、要建立并完善以風險管理為基礎的信息安全過程管理,包括信息安全風險評估制度,應用分級制度,應用的生命周期管理。在這里需要構建一個明確的安全平衡體系:基于應用分級制度,不同級別的應用不同級別的安全管理力度,同時對應匹配的應用服務的便捷度。在企業面對混合云的架構時,哪些應用和數據可以遷移到公有云上,除了技術上的評估外,必須依靠類似的管理機制才能完成。
5、實現讓“安全作為服務”(Security as a Service)。讓安全成為一個個可以選擇或者必選的服務,在云計算的時代背景下,已經具備了技術上的基礎,公有云的提供商,大都將安全以服務的方式向用戶提供出來,眾多的安全廠商也在進行著將產品轉化成服務的云轉型。對于企業信息安全管理而言,以上的技術趨勢必要性不言而喻。它不僅讓企業在信息安全管理中的靈活度更高,更重要的是實現了安全與服務的矛盾統一。對于用戶而言,他其實是在享用一種安全服務,而不是在被迫的接受一種安全管理。在云時代下,這也是安全管理期望達到的更高境界。
京公網安備 11010502049343號