新的安全问题和挑战不断涌现意味着安全必须并将继续在每个IT商店的前端。特别是随着数字时代的发展。
关键的原因是 没有绝对的安全。新的威胁以令人震惊的规律出现。这意味着 - 不管操作要求,安全技术或应用程序限制如何,永远保持警惕,始终是任何组织的成功代价。
随着数字时代的到来,所有的系统,网络和应用程序都需要对安全的各个方面进行全面和持续的审查。这项活动包括从政策和规划到技术,部署,验证,运营,升级和演进的所有活动。
IT领域,没有什么应该 永远 不涉及底层的安全后果的一个完整的审查,并考虑进行更改。
让我们看看数字世界的安全生命周期:
要求和政策:
任何其他活动开始之前,一个可行的 安全策略 是必不可少的。这不需要是一个复杂或复杂的文件。相反,它只能把重点放在三个关键项目上:
哪些信息被分类为敏感信息,并且至少需要某种程度的保护。
谁有权访问这些信息以及在什么情况下。
如果违规,应该怎么做。
安全策略不应该定义需要什么特定的技术,工具和解决方案。这是IT部门的安全专家的工作。
但是它 确实 需要确保遵守整个组织的使命和目标。通过分发文件,在线或课堂培训,和/或定期加强,在组织内广泛传播政策至关重要。
安全团队需要监视可能危害安全的行为和做法,因为任何安全实施与其下的安全实施一样好。
日常工作中第三方云应用程序的使用越来越多,例如像Dropbox这样的文件存储和共享服务以及Box等协作应用程序,都需要扩展应用于存储在企业中的信息的相同数据安全策略和保护。
规划:
必须考虑如何实施该政策及其对用户的影响。大众解决方案总是会引起个人变通,可能会导致安全目标的妥协。更不要提到敏感信息。安全必须是尽可能透明,与 实现 ,而不是个人用户的决策驱动的结果。例如,如果用户不允许将包含安全策略中定义的信息的文件复制或打印为敏感,则操作实施应该防止这种情况发生,而不是仅依赖于用户的合作。
技术和工艺:
任何安全实施的核心都是两个基本功能:
认证: 这是一方在交易中证明其身份的行为 - 理想情况下,这应该是相互的。这里最常用的技术是传统的用户名/密码对。一个更好的技术是 双因素认证,通常被描述为“你所拥有的东西加上你知道的东西”。这可能采取USB密钥加用户名/密码技术的形式,或者发送消息给授权的手机并等待为了适当的回应。
加密:这是信息编码,只有授权方才能阅读和使用。这里有各种各样的标准技术(例如https),但是 在安全策略中定义为敏感的所有信息在居住 或过境中随时随地进行加密 至关重要 。当数据放在服务器或手机中的磁盘驱动器上时,数据加密失败是一个常见的(常见的)错误,而这个错误常常是妥协的来源。今天,虚拟专用网络(VPN)的使用非常容易,没有理由不在每个数字应用中使用这种技术。
部署和验证:
在没有“试用”或“测试”的情况下推出新的数字服务或应用程序永远不是一个好主意。这意味着只有一小部分用户才能使用它,验证应用和密切监控的能力的各个方面。支持小组必须始终处于循环之中,以确定在成为主要生产规模支持成本和头痛之前可以消除的常见问题。
使用“白帽”或“道德”黑客从各个角度攻击新解决方案的安全性也是一个好主意。内部人员通常不可能知道每一个可能的攻击媒介,并且探索每个可能的漏洞。
今天的安全格局非常复杂,专家们几乎总是要参与其中。预先测试和验证可以是非常便宜的保险。这是因为应对违规或相关挑战的代价是无法估量的。
操作:
一旦数字解决方案正式生产并进行大规模生产,监控任何形式的异常情况至关重要。安全挑战随时可能蔓延。这是监视性能,安全性和其他本地定义约束的管理控制台和其他工具的领域。软件定义网络(SDN)目前的趋势将在运营保障领域随着时间的推移提供显着的优势,在定期的更新周期和其他重大设备采购活动中应该考虑这项技术的优势。
升级和演变:
在所有重新配置,升级,增强,新功能部署和相关的大规模更改期间,都必须仔细评估安全性。在部署应用程序更新时也是如此 - 在计算安全成功的价格时,回归和其他测试可能是相对较小的组件。
当然,对整体安全政策进行定期(每年至少两次)的审查是必不可少的。这有助于验证它是否与整体组织目标保持一致并服务于整体组织目标。
请记住, 安全是IT从未做过的一个领域。
转向全数字世界的经济和功能优势使得数字化演进成为本地每个组织的关键IT优先事项。保安都必须保持一个核心焦点- 永远。
上一个教程:网络安全:一次打一场战争
下一个教程:大数据更好的安全性
