白宮是美國政府最高水平的行政部門,人們會發(fā)現(xiàn)這里有兩種截然不同的人群。一種是負責定義未來愿景的得到政治任命的官員,直接指揮下屬從事政治使命。而另一種是公務員,受政治風向的影響,無論哪個政黨執(zhí)政,都必須執(zhí)行命令。這是每個在任總統(tǒng)面臨的一個問題,也是一個呈現(xiàn)在快速變化的IT世界中獨特的挑戰(zhàn)。
“如果你仔細想想,白宮就像是一個新的初創(chuàng)公司,每四年或八年更換一次CEO。”白宮前副首席信息官阿利薩·約翰遜說。而年復一年,從上至下任命的官員都有著變動和升遷,但無論是誰在負責,仍有300多名IT專業(yè)人士為總統(tǒng)行政辦公室服務。前政治任命首席信息官,CISO醫(yī)療技術(shù)公司現(xiàn)任首席信息安全官史賽克回憶說,奧巴馬政府在2009年接手時,就有一些戰(zhàn)略問題需要解決。
“我們當時配備的還是有著軟盤驅(qū)動器的臺式機。”約翰遜說。她的主要職責是保障白宮信息安全,主要目標之一并為未來的行政部門制定信息安全計劃。
因為大多數(shù)安全漏洞都是人為錯誤或缺乏適當?shù)木S護造成的,必須具備先進的技術(shù)與理念,才能成功保障信息安全。重要的是,約翰遜提醒道,作為一項長期計劃的一部分,技術(shù)人員需重新審視基礎(chǔ)架構(gòu),然后積極貫徹落實。
核心原則
確保數(shù)據(jù)安全的首要關(guān)鍵是完善的信息安全戰(zhàn)略,而不是遍歷數(shù)據(jù)中心基礎(chǔ)設施。“數(shù)據(jù)的重要性超過了基礎(chǔ)設施建設。”約翰遜表示。
“我不會告訴你會有什么驚天動地或新的技術(shù)和策略。學習就是記住你已經(jīng)知道的東西,把它們以不同的方式結(jié)合在一起。”約翰遜說,就因為她在白宮工作過,這并不意味著她就能給出圣人一般的建議。“記住,我們?nèi)栽谠噲D取消軟盤驅(qū)動器。”她開玩笑地說。
雖然下面的原則列表并不詳盡,前白宮副首席信息官表示,用戶信息安全有哪些缺失和漏洞基本從這些原則中就可以找出來:
(1)脆弱性和威脅管理
(2)身份和訪問管理
(3)事件與危機管理
(4)配置和變更管理
(5)事件和數(shù)據(jù)管理
(6)用戶管理
(7)風險與合規(guī)(這是他們的核心原則)
約翰遜觀察到,有漏洞的網(wǎng)站的比例是驚人的,因此要在數(shù)據(jù)備份方面投更多的預算。而定量措施是而且將永遠是要滿足這一目標。
約翰遜表示,身份認證和訪問管理是許多方法失敗的一個領(lǐng)域。在她看來,沒有理由要采取每月、每周,甚至每天去提供用戶憑據(jù),一旦一個人離開一個組織,“在科技時代,當有人離開單位時,你不能只是關(guān)閉他們的帳戶,有時要嚴格到甚至清除他的一切痕跡。”她說。“而只關(guān)閉帳戶在某些時候是一種懶惰的感覺。”
“當有事情發(fā)生時,網(wǎng)絡安全是最重要的。”約翰遜解釋說,解決事件最重要的一點就是組織根據(jù)原則對事件和危機進行管理,這是她的意見。根據(jù)她的經(jīng)驗,在通常的情況下,當高層的電話泄密或以前不關(guān)心的漏洞導致事件發(fā)生時,人們才會在網(wǎng)絡安全功能方面進行投資。
約翰遜說,即使已經(jīng)離開白宮,她還是接到了前雇主的電話,討論近期關(guān)于如何對網(wǎng)絡安全事件作出正確回應。她表示,這不僅是一次性事件的響應,而應該是進一步的成長與教育“終身的機會”。
如今,網(wǎng)絡安全一定是企業(yè)業(yè)務環(huán)境的推動者,根據(jù)她以前的說法,這是一個成長的機會。“如果網(wǎng)絡安全失敗,那么其他一切都會有可能出問題,”她說,“如果網(wǎng)絡安全沒有正確處理,那么業(yè)務指標、銷售和機遇這些方面都有可能出問題。”
整體缺乏網(wǎng)絡安全防范是約翰遜主要關(guān)注的一個問題,特別是在眼下的物聯(lián)網(wǎng)時代,她解釋說,我們現(xiàn)在生活在一個信息孤島,沒有進入到一個真正的物聯(lián)網(wǎng)的世界:“如果我們不能獲知和處理現(xiàn)在的安全危機,那么在發(fā)生危機時,我們所有的信息已經(jīng)都在那里,那時已進入一個融合狀態(tài)。”她總結(jié)說,人們不僅考慮到現(xiàn)在所面對的情況,而且要考慮到做出的決定將如何影響其未來,因此要衡量風險和安全。
管理變革
絕大多數(shù)的安全漏洞并不是那些老練的黑客利用漏洞攻擊的結(jié)果。大多數(shù)漏洞可以通過適當維護和配置系統(tǒng)有效地彌補。約翰遜引用的數(shù)據(jù)表明42%的漏洞是由于系統(tǒng)錯誤配置造成的。
這些錯誤配置的系統(tǒng)幾乎在所有組織中普遍存在。“我曾工作在國家安全局,聯(lián)邦調(diào)查局,中央情報局,國防情報局,洛克希德-馬丁公司,諾瑟普-格魯門公司,甚至白宮,他們在配置管理并沒有采取很好的做法。”約翰遜說,白宮需要招募一個變更管理聯(lián)絡負責人,以協(xié)調(diào)網(wǎng)絡上發(fā)生的所有變化。
但是,管理配置的變化并不是安全計劃所需的唯一類型。如何與IT安全部門交互,轉(zhuǎn)變業(yè)務視圖將是至關(guān)重要的,并將推動安全領(lǐng)域業(yè)務的發(fā)展。
采用新產(chǎn)品或更新產(chǎn)品,必須經(jīng)過網(wǎng)絡安全評估,這個過程是非常必要的,企業(yè)可以與客戶交流并對他們產(chǎn)生潛在的影響,約翰遜說。“網(wǎng)絡安全一直被視為可怕的群體。”她感嘆道。她希望人們從“沒有,但”轉(zhuǎn)為“是的,和”的態(tài)度,從而讓安全文化更加具有前瞻性。
這是人們對于安全和風險的認識。對于管理一個企業(yè),安全計劃的過渡意味他們會評估其他業(yè)務的風險,以確定是否愿意接受他們,或減輕它們。
填補漏洞
有許多問題需要解決的時候,就需要制定一個全面的信息安全計劃。但企業(yè)如何制定簡化策略?在約翰遜看來,可以采用三種方法,大多數(shù)公司會在任何時間使用這三種方法的組合。所謂的“信息安全”的三個階段是:激活(建立安全);適應(內(nèi)置安全);預期(超越安全)。
“我認為所有的組織經(jīng)歷了所有這三個階段”,據(jù)約翰遜觀察。組織采用靜態(tài)的防御姿態(tài)只是反應事件,而動態(tài)的預測安全,可防止事故發(fā)生或?qū)崟r檢測到危險靠近。
“這就像填補漏洞一樣,”約翰遜說,“人們總是在填補漏洞,除非有一個很好的改變改變未來的策略。如果只是填補漏洞,那就永遠是被動而不是主動。我不是漏洞填充物。”約翰遜總結(jié)道。