企业安全的启蒙时代|启蒙时代

　　似乎我们在安全方面投入的财力和资源越多，逮到的坏家伙就越多。伴随着每一项新技术创新而来的是对你业务新的威胁，这种威胁有时会更严重。而且这种威胁只不过是以不同形式出现而已。
　　为了荣誉而发起的大张旗鼓、大规模病毒攻击被偷偷摸摸的、具有经济动机的、旨在获取机密信息的攻击所取代。垃圾邮件不再仅局限于兜售免费的药品。它成为钓鱼攻击、身份盗窃和恶意代码的载体。而恶意代码不仅仅通过电子邮件传播，还会通过网络插件、即时信息、智能手机以及U盘传播(这只是其中的几种)。
　　目前，对公司品牌和效益的最大威胁不是来自黑客，而是来自内部的威胁。
　　最大的威胁可以是心不在焉的承包商将自己存有未加密敏感信息的笔记本电脑遗忘在飞机上，最大的威胁也可以是心存不满的员工从后端数据库中偷窃数千个顾客的信用卡号码，然后在黑市上出售。
　　这些林林总总的风险可能会让人大伤脑筋，但它们并不是无法管理的。只不过对安全的管理方式应该与今天的有所不同。
　　要解决内部和外部威胁问题，同时不会限制合作或使银行瘫痪，需要在安全的认识方面采取完全不同的方式。
　　首先，安全不是为了完全消除风险。没有风险，就不会有机会。相反，企业以及其所依赖的IT和安全专业人员应更加注重对那些产生最大影响的风险进行了解，然后确定消除这些风险的最佳方法。
　　组织周围再也不存在密不透风的墙了，人是新的边界线。员工四处分布，合作者也不确定，你的品牌不只是在你自己手里。公司不得不将自己的资料托付给第三方，还要保证资料的安全，而这些资料又不总是在自己的控制之下。
　　在这种情况下，安全就不只是将东西锁起来。安全应该帮助指导组织，使组织能够兴旺发展，使组织相信自己的设施、信息和互动得到了充分的保护。
　　这就是Security 2.0。正如web 2.0为改善效率、增加收入、降低成本提供了新的途径，这种下一代的安全软件也是如此。
　　Security 2.0不是一种涅磐，它是一种演进。security 1.0将重点放在使系统安全、据居心不良之人于门外方面，它是必要的，但已不再能够满足需要了。
　　Security 2.0基于1.0之上，且将安全保护扩展到信息和互动本身。因此，我们需要更加动态的看待安全问题，并拥有与设备、人员和具体应用的声誉和行为相配套的技术和流程。Security 2.0首先是受到政策驱动，然后受到技术驱动，它的运行将加速发展步伐，降低成本。
　　
　　不仅保护设备，还保护信息资料
　　
　　我们所使用的设备和系统只不过是我们所要保护的真正资产的载体，这种资产就是信息。由于周围边界无法被关闭，安全手段就应该集中在保护信息本身上。
　　这就需要知道你的信息在何处，什么信息是敏感的或机密的，谁能够读取这些信息，谁需要读取这些信息，以及你如何确保在你需要这些信息时，它们受到保护并能够获取到。要回答这些问题，需要安全部门、运营部门及业务部门通力合作。
　　根据IT Policy ComplianceGroup最近发布的一份报告，68％的组织每年经历六起敏感信息遗失事件。
　　数据泄露导致收入减少，股价下降，罚款或顾客忠诚度受损，使公司遭受成百上千万的损失，因而，众多公司在防止数据泄露的新措施方面进行投入也就不足为奇了。
　　一系列防止数据丢失的新方案应运而生，这些方案使公司能够发现自己内部的信息存放在何处，围绕着权限或读取制定相关政策，对电子邮件和即时信息终端保密信息进行过滤，或对能够显示恶意活动的安全事件及数据库模式进行监控。但没有手到病除方法。
　　数据丢失的预防靠单一一种技术是无法解决的，要了解潜在的流程弱点，对你的员工进行培训。这些是别的东西所无法替代的。
　　
　　没有“一药治百病”的安全方法
　　
　　安全措施应根据不同情况进行。“花生酱”式的安全方法在今天的威胁形式和不断变化的商业环境中是不奏效的。
　　拿信息控制来说，你不会花几千美元来保护公司野餐的照片，但为了保护设计资料、源代码或信用卡号码你会花这笔钱。你的竞争地位和品牌声誉有赖于此。
　　在Security 2.0中，根据风险级别、保护对象以及试图登录主机从而窃取资料的实体声誉不同，安保措施也有所区别。
　　安全参数应根据使用者是从防火墙内部还是从机场信息亭中连接到网络，自动进行改变，并根据使用者的行为、历史信息以及现有的政策做出最后决策。
　　这种方法已用于垃圾邮件的预防上了，它对IP地址的行为和信誉进行分析，以确定对何种信息进行阻截。
　　像赛门铁克端点保护等产品中使用的白名单(whitelisting)和主动式威胁保护是另一种基于信誉的安全方法。这些技术对良好的和恶劣的行为进行充分考量，以确定允许运行何种应用和执行程序。
　　
　　实施安全
　　
　　或许Security 2.0最大的变化是考虑一个组织内部如何实施安全措施。
　　今天，大部分组织以孤立的方式解决安全和风险问题，各个团队实施各不相同且通常互不相关的流程来降低风险。这些风险通常是相互联系的，但遗憾的是这些流程和技术却不是这样。
　　为了降低运营成本，使安全更加有效、主动和量化，就应该从一开始就将安全内置于整个业务流程中。在实现控制之前，须制定始终如一的政策，并公之于众。最成功的公司首先考虑政策，然后采用相关技术来实现它，而不是反之。
　　通过实施安全措施 标准化、自动化、降低日常安全活动成本这样可以保证公司和IT能够在安全保护方面更加主动。
　　安全对组织的健康至关重要。我们应该开始以对待我们自己健康的方式来对待安全。比如注重预防保健，不只是一有心脏病就去看医生。想想，当你补充维生素，每日饮食得当，并适当进行锻炼时，你的医疗费用会降低多少啊。而安全亦是如此。
　　
　　强调保护互动性
　　
　　“Security 2.0是赛门铁克公司推出的下一代安全解决方案，并不只限于PC”，赛门铁克执行副总裁兼首席技术官Mark Bregman在10月31日举办的2006赛门铁克大中国用户大会上指出，“新一代的安全方案用于应对新的信息环境趋势，即为Web 2.0而设计。我们知道Web2.0最突出的特点就是更强调互动，因此，其衍生出来的安全威胁也更具有变化性、互动性以及较大的侵害性。
　　因此，Security2.0必须同时保护企业与消费者在互联网上的安全。譬如网上银行交易，对于个人消费者来说，他需要确认这个网上银行是否是真实的。而对于网络银行而言，则需要确认使用者是否是合法使用者。”
　　Security 2.0包含三大要素，第一是提供在线杀毒、反垃圾邮件、恶意程序及性能调校的Norton 360；第二是Norton Confidential(网络交易安全大师)，这项服务通过网页特征分析引擎分析网站是否合法，可确保使用者不会连上伪冒及**的网站；第三个是Norton Confidential Online，它是前者的在线版，由在线银行等公司发给其用户，并需要经过使用者认证，以防止用户连到伪冒网站，同时网络银行也可确保连线的是合法使用者。
　　Security 2.0是一个长期发展的计划，而不是一夜之间可以实现的，它更象是一个远景规划。
　　因此，赛门铁克公司认为，对于企业来说，要实现Security 2.0所描绘的未来远景，需要组建一个由产品、服务和合作伙伴构成的生态系统，确保用户在联网环境中的信心。