信息安全

安全的神奇三角

我们都知道(或者应该知道)金融时间的神奇三角,也就是在流动性、(资产)安全和投资盈利能力三者间存在差异,你不能同时保证这三个要素,但是这需要取决于你的目标。同样的道理在IT和安全世界也是如此:

解读IT安全的神奇三角

图3:信息安全的三角结构

  信息安全也存在这样的三角结构(如图3所示)。在IT的“前数据泄漏时期”,IT和业务方面之间的讨论一般是围绕所需要的功能以及实现功能所需要的投资来进行的,安全几乎不是讨论的内容,并且供应商和安全公司没有适当强调安全的重要性。虽然我们在安全方面做出了很多努力,但是看看大型供应商方面的安全漏洞的数量就知道安全问题还远远没有解决。真正的模式转变将需要几年的时间,在企业购买安全产品时应该想想一些必要的问题:这个产品能够提供适当的安全性吗?当我们使用这件产品时能保证企业以及个人数据的安全性吗?

现在我们需要向这个等式添加另一项内容:那就是安全。在很多情况下,安全是与功能/便利相对的,为了保证安全性,我们需要进行非常复杂的操作,这包括:分配角色和访问权限、限制广泛的功能选项到“必要的功能”、确定唯一的ID号、撤销没有必要使用管理权限的权限、组织电子邮件的大部分附件内容、减少互联网接入/限制网站访问及时间、增加杀毒软件(包括反间谍软件和反恶意软件)、进行备份、DR/BCP、建立防火墙规则、必须使用复杂而长的密码以及所有非常复杂烦人的操作。

而且通常情况下,安全的实现需要资源、人力、时间和管理。谁愿意花钱在看不到并且还没有发生的事情上面?所有先进的安全基础设施(外包、托管、管理或者内部操作等)都是非常昂贵的,问题在于:安全投资多少比较合适?

要回答这个问题,你需要与企业老板(即掌管企业预算支出的人)进行商讨,让他们了解安全与功能便利的关系,以及企业能够承受怎样的安全风险。请记住:你不可能确保企业部署最安全的解决方案,但是应该要确保企业的足够安全,让黑客将目光转移到那些安全低的目标,从而让你的企业可以专心经营业务。

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据