西方有個段子叫“Dealt bad cards,played them well”,中文大意是“起了手臭牌,好好打就是了”,這句話拿來形容企業IT安全,特別是中國企業IT安全,特別熨帖。
和那些步子邁得比較大的前沿技術相稱起來,安全技術的發展往往是不同步的,且平心而論,照比先進國家的IT安全建設,我們國家從意識、技術及法律方面都尚處于學生時代。而野蠻生長的網絡犯罪更是不斷敲打著各行各業的脆弱神經,實是防不勝防。
那么,就這么棄療了?
顯然不可能的。企業是社會創新的主力,也是最有能力對網絡惡勢力進行喊話的一方。面對技術發展不均衡、網絡攻擊常態化等諸多不利因素,企業所應做的就是盡可能利用現有資源,將拿到手的爛牌出好。其他的,盡人事,聽天命。
折騰好過溫水煮青蛙
首要一個就是關于企業安全風險意識的話題。老實講,棱鏡門事件引發的蝴蝶效應讓網絡安全上升到國家高度,而國內企業,特別是銀行、電信等支柱行業領域的大企則已對安全問題分外敏感,這與國家主唱的自主可控密不可分,當然,也是一件件突發安全事件折騰教育的結果。總之,企業開始關注IT安全,這是一個好現象。
但還不夠。在中國,開始關注是一回事兒,實際部署則又是另一回事兒。因為企業安全風險管理不是個立竿見影的活兒,若非出了事故,很難了解安全短板所在,自然也無從評判安全管理的效果。傳統IT安全問題可以通過設備采購填補不足,但現在,已不能再孤立地看待安全問題了,盲目堆疊可能還會適得其反,影響效率,更何況你不能置那些財不大氣不粗的企業于不顧。安全事件的發生會讓需求變得明顯,好過企業在威脅中不知不覺。
投資硬件安全還是軟件安全
是硬件安全問題重要還是軟件安全問題重要?其實都不是,沒有安全問題比較重要。企業在安全事故中發現安全需求,才能更好地根據需求去擬定更有針對性的安全策略,做出更為理性的資源采購(這里的資源包括硬件和軟件)。不過這里有個不平衡的問題,大型企業進行的硬件安全投資一般不在小企業的接受范圍內。且隨著硬件發展趨近峰值,開發者更傾向于尋求尚有發展前景的軟件安全。
此外,技術的發展也給小企業帶來一種介于中間道路的模式。過去一年,國內外均有大型互聯網公司推出基于自身的計算、安全等資源的出租服務,一方面無需企業大動干戈,另一方面也可以享受到足夠的服務和安全保障。且隨著技術更迭速度的加快及市場環境的變化,硬件安全的價格將會拉低,這給企業的安全投資留了很大的余地。
注重人的因素 安全“聯產承包”
現在中國的企業都在講互聯網化,拋去技術革新盈利模式這另一個領域的話題不談,無非是線下與線上的資源整合,但追本溯源,企業構成自始至終都沒有變——依舊是人。人是承擔具體運作的主體,若有安全事故發生時,自然也應成為承擔責任的主體。且在對事故進行事后分析時,恰恰發現很多時候是人為管理失誤造成的;那么在機器學習大規模來臨前,企業還是要重視對安全管理團隊的培訓及建設。
在這方面,先進國家已走得相對平穩。其企業除首席信息官(CIO)外,另設首席信息安全官(CISO),專門管理企業IT安全。這項職位不是空頭將軍,由其率領的安全團隊對整個企業IT安全負責,出了事,也是責任到戶,專項承擔。反觀國內企業,不少CIO的權責難分,更遑論CISO了。對于國內企業來說,將安全權責落到人頭上是一個有待進行的重要課題。
若把國家、企業到用戶整個生態系統的形成比作外循環,那么從安全戰略制定、到采購再到安全維護則是企業內循環,短期內改變外循環很難,但企業可以從改變內循環開始,從而反哺外循環。有些安全損害是可以避免的,對企業來說,應當把那些能避免的先避免了,剩下的,交給時間。
京公網安備 11010502049343號