企业对IT系统的依赖程度与IT风险之间的关系,就如同水与船一般,水涨船高,依赖度越强,企业的IT风险越大。而了解这些风险与相应的安全解决方案是降低这些风险的前提。新生事物和技术的出现,也必将会带来新的问题和风险,如何在有效的利用新技术的同时,及时识别和规避新的风险,也是我们一直在探索的问题。安全产业也从原先的防火墙、风险评估系统等各种单一离散的产品,转变成了各种产品之间相互融合、完整的信息安全体系。

比尔盖茨在2002年时提出了关于可信赖计算的企业战略,力求为所有的计算机用户提供一个安全可靠的、隐私得到保障的计算体验。但是在今天以云计算作为新兴技术代表的环境下,对于安全性的需求把个人电脑的可信赖计算的原则引入到了网络空间。随着处理器技术、虚拟化技术、分布式计算、互联网技术和自动化管理几大技术的综合,产生由分布式的大规模集群和服务器虚拟化实现的云计算能力,实现一个风险可控的、优化的业务信息支撑体系也变得更加重要。

在与微软公司可信赖计算副总裁Scott Charney沟通时,他特别谈到了在企业安全策略中必须要专注的几个方面。“首先是加强物理的基础架构,减少代码的脆弱性,更好的运用纵深防御策略,而且要使安全和隐私更加容易管理。第二,企业要建立起更加可信赖的认证,这可能意味着要将要将更多的安全性根植于硬件中”,Scott Charney说:“我们要使用户更容易的了解到他们的机器上运行了哪些软件,以及这些软件本身的运行方式,是不是以他们所期待的方式运行,以及是否从他们所希望的来源获得数据和信息等。认证的方式都将会起到非常重要的作用。第三点是将信息分散,通过不同的认证方式获得不同的数据模块,再将不同空间中获得的数据经过组合后,才能够获得真正全面的信息。”

如何应对云计算带来的安全隐患_云计算/云安全/可信赖计算 

微软公司可信赖计算副总裁Scott Charney

在云计算环境中,用户将主要关注云计算的安全性、可靠性和经济性。“对于不同的云的类型,他们对于安全和隐私的影响也是不同的”,Scott Charney谈到:“如果用户让云服务提供商做的事情越多,那这个云服务提供商在安全和隐私方面的责任就会越大。比如高可靠性,特别是关键业务的应用,足够的可靠性保障将成为这些业务迁移到云计算平台的前提。云计算增加了潜在的数据暴露给非授权用户的风险,因此身份认证和访问技术也是云计算服务提供商们为用户提供云安全服务的保障。不仅如此,对于企业的合规性以及为云计算服务提供的自动化管理,也都将会随之变得日益重要。”

“十年前在互联网上存储的数据绝大多数是电子邮件,而现在,我们看到的除了电子邮件之外,还有照片、多媒体等,在可预见的未来,我们有可能在云中存储任何信息,包括医疗健康记录、财务信息、照片、邮件、以及各种文档”,Scott Charney说:“同样重要的是今天对于大多数人们来讲,他们访问云端的数据,所依赖的认证手段可能仍然还是用户名和密码的方式,如果要进一步推进安全策略,认证手段、身份识别可能会是整个信息安全系统的基础。

已经变得相对较弱的用户名加密码的安全策略仍然是我们现在主要的安全应对方式。Scott Charney认为在硬件层面上对安全进行认证,会在投入较小成本的情况下有较高的安全回报。“比如现在很多的笔记本电脑中,都加入了一个可信赖的平台模块,加入这个硬件模块的成本通过计算,实际上在整个笔记本电脑成本中占的比例很小。但是对于安全性能却有了很大的提升” Scott Charney分享道:“现在美国的驾照在中间留出了一块空白,这个空白就是为确保安全的智能卡预留的。在驾照上植入智能芯片并不贵,但这使得公民在互联网上和政府之间的所有的交易、流程都能够相对安全的进行。”

不久前Scott Charney提出了建立计算机安全移植模式,来确保互联网应用的安全。“在全世界范围内,一旦发生重大的疾病疫情,世界卫生组织就会向各国政府通报情况,于是各国政府就会采取相应的措施,比如对病人进行隔离、集中治疗等。在计算机世界里,一些企业也经常会做同样的事情,比如扫描企业内网的机器是否受到病毒感染,补丁是否打全了,病毒库是不是最新的等等,直到他们确定没有问题才能让电脑接入公司的网络,如果发现有一台电脑被感染了,就会立刻将这台电脑隔离并进行修复,然后才会和公司的网络重新连接在一起”,Scott Charney谈到:所以,互联网访问的提供商是否也可以向消费者提供同样的服务,将互联网安全也作为公共安全的事件来进行处理,用隔离、清除感染了病毒的电脑的方式,保护其它的接入者不受病毒的困扰。”

随着IT系统以及互联网在企业中占据越来越重要的地位,信息安全的需求日益高涨,但是企业的信息系统所涉及到的业务流程、人员操作、应用需求都会处于动态变化的状态,因此信息系统的安全又是一个极其复杂的过程。任何一种安全策略都不能保证应用的绝对安全,部署一个可靠的、能对各种突发的安全事件作出准确、及时响应的、并能对风险进行有效管理的安全架构,便是企业运筹帷幄,转危为安的基础。