EMC公司首席安全官Dave Martin

每當(dāng)有人把Ipad和Android這類的設(shè)備帶到工作環(huán)境，他們會問為什么會阻止相關(guān)訪問，其實(shí)應(yīng)該變換一下對話，如何用傳統(tǒng)技術(shù)和技巧幫助我們處理一些問題，如何才可以幫助他們進(jìn)行數(shù)據(jù)訪問。管理中你會發(fā)現(xiàn)，這次可能是Android的設(shè)備，可能下次是另外一種應(yīng)用，另外一種網(wǎng)絡(luò)。所以每一種設(shè)備會有不同的訪問，不同的控制，會有不同數(shù)據(jù)的訪問。擺在我們面前的是多種多樣的網(wǎng)絡(luò)類型，包括蜂窩數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)等等，還有不同的平臺，比如一分鐘前他們用筆記本上網(wǎng)，之后使用移動手機(jī)上網(wǎng)，有不同的控制臺，有不同的應(yīng)用程序。

如何對這些類型進(jìn)行分類，并制定合規(guī)的準(zhǔn)入規(guī)則。我們希望數(shù)據(jù)所有方能有效或者說正確的應(yīng)用程序，應(yīng)用程序的提供方也要確保用戶能訪問正確的數(shù)據(jù)。

實(shí)際上我們能阻礙風(fēng)險(xiǎn)的可能性會越來越少，因?yàn)榭偸菚霈F(xiàn)新的平臺，不的應(yīng)用。Dave Martin提到，我們要知道他們都是什么樣的應(yīng)用開發(fā)程序，他們要保護(hù)什么樣的數(shù)據(jù)。另外我們要看一下人們在每次訪問數(shù)據(jù)的時(shí)候，需要不同的身份認(rèn)證，我們要把這個(gè)和風(fēng)險(xiǎn)環(huán)境結(jié)合在一起，那也就是說，要考慮到企業(yè)的內(nèi)部環(huán)境，在企業(yè)內(nèi)部環(huán)境之中，哪些事情更加重要?有的時(shí)候事情太多，你必須進(jìn)行自動化的監(jiān)測，我們要盡全力列出哪些事件是最重要的。此外我們要把這些和企業(yè)應(yīng)用，企業(yè)數(shù)據(jù)架構(gòu)建立在一起，我們需要知道真正監(jiān)測的數(shù)據(jù)是什么，并且作出相關(guān)反應(yīng)。我們要證實(shí)合規(guī)方面我們的確是可控制環(huán)境當(dāng)中，另外要微調(diào)，調(diào)整自己的策略獲得成功。

“另外一點(diǎn)就是治理， EMC在過去12個(gè)月當(dāng)中制訂的治理結(jié)構(gòu)，過去是傳統(tǒng)單層的架構(gòu)，傳統(tǒng)而言，我們有一個(gè)安全團(tuán)隊(duì)，他們主要是進(jìn)行風(fēng)險(xiǎn)分析，包括我自己，還有更高層的安全總裁。所以在我們的討論當(dāng)中，我會和我的高管在一起，告訴他們我所看到的安全風(fēng)險(xiǎn)，給我們一些資金，有的時(shí)候需要派出專門人才配合我們改動。如果在公開模式下，我必須確保秩序在合適情況下公開，所以我需要高管給我支持，我經(jīng)常需要參加一些會議，這些會議上企業(yè)代表會告訴我們風(fēng)險(xiǎn)，以及他們需要我們進(jìn)行的風(fēng)險(xiǎn)控制。” Dave Martin同時(shí)強(qiáng)調(diào)，有的時(shí)候，其他部門的經(jīng)理也會提出一些質(zhì)疑，為什么需要繞過安全控制，這實(shí)際上是一個(gè)很大的變化，這能確保我們并不是由高管執(zhí)行相關(guān)策略，盡管這個(gè)很重要，但在不同架構(gòu)，不同級別，我們也要執(zhí)行相關(guān)策略。所以有業(yè)務(wù)經(jīng)理的人向我提出質(zhì)疑的時(shí)候，我可以給他看這個(gè)流程表。我覺得每一級業(yè)務(wù)和相關(guān)團(tuán)隊(duì)都應(yīng)該獲得支持，這一點(diǎn)很重要。

政策控制規(guī)劃，我們已經(jīng)制訂了相關(guān)目標(biāo)，我們需要向我們策略進(jìn)行映射，而且我們還需要將他們做的可測量。所以今天我跟大家提到合規(guī)的時(shí)候，無論是內(nèi)部合規(guī)機(jī)構(gòu)，還是外部審計(jì)員，還是內(nèi)部審計(jì)員，我們都需要確保我們安全項(xiàng)目是合規(guī)的，而且我們還需要對其進(jìn)行測量，看看這些策略是不是有效，讓我們效率更加客觀。

在風(fēng)險(xiǎn)控制的時(shí)候，我們需要確保我們有服務(wù)的主線幫助我們提供服務(wù)，而且我們還需要對不同類型的數(shù)據(jù)部署不同類型的控制，還需要對這些數(shù)據(jù)進(jìn)行維護(hù)。

Dave Martin介紹了傳統(tǒng)上實(shí)施這些工作的方法，可能需要隨著時(shí)間推移來變化。毫無疑問，我們需要不斷建造起這樣的架構(gòu)，我們需要公共數(shù)據(jù)，還有不同類型的數(shù)據(jù)，包括敏感數(shù)據(jù)，我們還需要適應(yīng)，比如應(yīng)用層上，我們也可能有一些敏感數(shù)據(jù)，但是這些應(yīng)用可能位于一個(gè)不可靠的平臺上，誰有可能訪問這些數(shù)據(jù)，我們也需要控制。還有對知識產(chǎn)權(quán)來說，我們也面臨一些挑戰(zhàn)，有可能訪問會被阻攔。

傳統(tǒng)的模式，對于終端用戶來說，面臨困擾是如何獲得數(shù)據(jù)，面臨海量數(shù)據(jù)，他們會選擇合適的設(shè)備，獲得數(shù)據(jù)之后，也需要了解他們遇到什么樣的用戶，他們?nèi)绾卧L問這些信息呢?基于地理位置，以及基于網(wǎng)絡(luò)使用種類，無論是內(nèi)部還是外部的辦公室，他們是不是使用虛擬化的桌面，還是使用物理機(jī)等等，都需要打造一個(gè)連貫的體驗(yàn)，這樣隨著時(shí)間推移，用戶就會習(xí)慣，他就知道我要獲得數(shù)據(jù)需要什么樣的系統(tǒng)。所以一開始我們要讓用戶知道他們想要讀取的不同數(shù)據(jù)。而且我們要幫助他們實(shí)現(xiàn)這個(gè)目標(biāo)，這個(gè)實(shí)現(xiàn)方式跟我們今天做法是不一樣的，我們不能把一個(gè)信息進(jìn)行阻隔或者攔截就夠了，我們需要提供安全訪問的途徑。

今天所擁有的控制，比如在VPN的網(wǎng)絡(luò)中可能容易做到，但不同類型的設(shè)備我們需要考慮，比如IPAD和IPOD就需要做加密，數(shù)據(jù)加密，需要進(jìn)行遠(yuǎn)程的讀取，我們需要更多的可用性。這是從用戶的角度來說這是未來的挑戰(zhàn)，今天我們沒有辦法實(shí)現(xiàn)這一點(diǎn)，但是我們應(yīng)該有能力管理Windows操作系統(tǒng)，IOS的操作系統(tǒng)等等，我們有這么多平臺，每個(gè)平臺都有不同的控制，那么不同平臺是不是可以用同樣的設(shè)置，我們需要一個(gè)地方來管理這么多的平臺，而且我們也需要一個(gè)地方對員工進(jìn)行管理教育。

在Dave Martin看來，這些應(yīng)該是網(wǎng)絡(luò)中越來越常見的威脅，比如CPU和電池壽命在不斷增加，這是很好的事情，但是很多CPU的增長和電池壽命增加并不是做安全性能的，所以我們需要考慮網(wǎng)絡(luò)層面上的安全控制。我們還需要在后臺應(yīng)用方面，還需要更多的考慮是不是能保持安全的連貫性，從而創(chuàng)造連貫一致的用戶體驗(yàn)，如果我們能讓用戶簡單的知道在哪里可以獲得數(shù)據(jù)的話，而且他們進(jìn)行訪問的時(shí)候就做一次認(rèn)證，對于認(rèn)證來說，如果認(rèn)證太復(fù)雜的話，他們使用我們的系統(tǒng)這種可能性就越小，因?yàn)槲覀冇X得對于用戶來說，我們所配置的環(huán)境是會越來越平緩，我聽到很多人說，一切都已經(jīng)成為服務(wù)，混合云，還有環(huán)境，現(xiàn)在都推出以應(yīng)用和設(shè)備為導(dǎo)向的版本，這樣可以更好的引導(dǎo)人們使用信息，我們必須推出簡單的一致的用戶體驗(yàn)。

最后，我們目前還需要進(jìn)一步確保我們在不同平臺上盡可能多的獲得信息，以及盡可能多的日志，而且這些事件源越來越多樣，這些會越來越智能，而且還有智能系統(tǒng)會對它映射，這樣就可以控制檢測，積極響應(yīng)。所以今天，我們可以將日志放在中央平臺上，但是我們加入到智能化的應(yīng)用方面還不是特別順暢，目前還沒有辦法很有效的對日志進(jìn)行智能化的應(yīng)用，我們需要更好的將這些信息映射到組織中，了解我們用戶他們在哪里，過去一小時(shí)中有什么活動，過去一天，過去三天有什么活動?這樣可以優(yōu)秀排序，幫助我們了解哪些數(shù)據(jù)是最重要的，哪些基礎(chǔ)架構(gòu)是最重要的，然后映射到風(fēng)險(xiǎn)環(huán)境來應(yīng)對措施和采取控制措施。

同時(shí)需要報(bào)告給企業(yè)領(lǐng)導(dǎo)人，讓他們了解我們安全并不是沒有作用的，有時(shí)候有一些公司高管對IT部門并不是特別感興趣，但是通過這樣的日志和報(bào)告可以證明IT部門工作是非常有價(jià)值的。Dave Martin強(qiáng)調(diào)，在日常管理工作中，需要了解每天每人都會需要的不同平臺，使用不同的設(shè)備訪問不同的數(shù)據(jù)，所以需要采取不同策略，讓這些數(shù)據(jù)可以得到控制并正確作出決策。

huanghui