【IT168 资讯】11月3日消息,RSA2011信息安全国际论坛第二天大会,继续Alice和Bob的奇幻冒险。IT168安全频道现场专题报道了此次大会。
EMC公司首席信息安全官Dave Martin先生演讲(以下为全文):
早上好!谢谢大家给我这个机会,在这个重要的会议上发言。在今天我想要借此机会给大家简单的介绍一下内部的数据访问,EMC是如何管理数据访问,并且改变内部的相关对话。
实际上我们和我们的竞争对手一样,有类似的方式,就是从一开始进行管理,每次当有人把Ipad和Android这类的设备带到工作环境,他们会说,为什么你们会阻止我们相关技术访问,我觉得今天我们应该变换一下对话,我们应该看一下如何用传统技术和技巧帮助我们处理一些问题,如何才可以帮助我们进行数据访问。当我们进行例外讨论的时候,你会发现,我们这次可能是Android的设备,可能下次是另外一种应用,另外一种网络。所以每一种设备会有不同的访问,不同的控制,会有不同数据的访问。所以对于我们内部讨论团队,对于消费者而言,我们就变得很困难,实际上用户所处的环境是非常奇怪的,摆在我们面前是多种多样的网络类型,包括蜂窝数据和网络数据等等。
此外还有不同的平台,比如一分钟前他们用笔记本上网,之后开使用移动手机上网,有不同的控制台,有不同的应用程序。所以用户希望我们真正实现商业价值获得数据,但同时不同设备的应用也更加趋同。此外用户也有自己的数据,比如facebook,人们希望能访问自己的信息,也希望同一个平台上访问公司信息,所以安全的专业人员,现在面临这样的困境。他们会不停的出现另外的情况。
所以今天我想看一些最基本的问题,我想让大家从不同的角度看看策略,我们拥有不同的类型,如何对这些类型进行分类,如何有合规的准入规则。另外我们有全新的方式进行平台控制,可能是更加动态化的,然后再加强连续性。最后我们把对话从公开数据转变成控制环境的数据。我们并不想阻碍人们对数据的访问,我们希望数据所有方能有效或者说正确的应用程序,应用程序的提供方也要确保用户能访问正确的数据,并且要有必要的平台,以及相关的服务。
首先我们看一下表格的最上盲,在这里我们要看企业到底需要什么,他们在安全当中有一些困惑,我们要把我们要控制的风险跟企业的要求结合在一起。所以我们要看一下策略,策略可以帮助企业做真正要做的事情,另外要控制风险,最后要把这些控制跟技术结合在一起。过去我们总要采取一些先发制人的控制措施。实际上我们能阻碍风险的可能性会越来越少,因为总是会出现新的平台,不的应用。之前防止风险的出现带来低成本的可能性正在减少,黑客和其他的围绕这个控制的人数量在增加,所以我们要识别这些人,这是我们要做的,而不是传统的阻碍数据访问的方式。
此外,我们要考虑到一切都十分动态,我们要知道他们都是什么样的应用开发程序,他们要保护什么样的数据。另外我们要看一下人们在每次访问数据的时候,需要不同的身份认证,我们要把这个和风险环境结合在一起,那也就是说,要考虑到企业的内部环境,在企业内部环境之中,哪些事情更加重要?有的时候事情太多,你必须进行自动化的监测,我们要尽全力列出哪些事件是最重要的。此外我们要把这些和企业应用,企业数据架构建立在一起,我们需要知道真正监测的数据是什么,并且作出相关反应。我们要证实合规方面我们的确是可控制环境当中,另外要微调,调整自己的策略获得成功。
其中一点就是治理,这是我们EMC在过去12个月当中制订的治理结构,过去我们是传统单层的架构,传统而言,我们有一个安全团队,他们主要是进行风险分析,包括我自己,还有更高层的安全总裁。所以在我们的讨论当中,我会和我的高管在一起,告诉他们我所看到的安全风险,给我们一些资金,有的时候需要派出专门人才配合我们改动。如果在公开模式下,我必须确保秩序在合适情况下公开,所以我需要高管给我支持,我经常需要参加一些会议,这些会议上企业代表会告诉我们风险,以及他们需要我们进行的风险控制。但有的时候,他们同辈的其他部门的经理也会提出一些质疑,所以往往不是我们直接对话,而是他们告诉我们为什么他们需要安全,为什么他们需要绕过安全控制,这实际上是一个很大的变化,这能确保我们并不是由高管执行相关策略,尽管这个很重要,但在不同架构,不同级别,我们也要执行相关策略。
所以有业务经理的人向我提出质疑的时候,我可以给他看这个流程表。我觉得每一级业务和相关团队都应该获得支持,这一点很重要。
政策控制规划,我们已经制订了相关目标,我们需要向我们策略进行映射,而且我们还需要将他们做的可测量。所以今天我跟大家提到合规的时候,无论是内部合规机构,还是外部审计员,还是内部审计员,我们都需要确保我们安全项目是合规的,而且我们还需要对其进行测量,看看这些策略是不是有效,让我们效率更加客观。
在风险控制的时候,我们需要确保我们有服务的主线帮助我们提供服务,而且我们还需要对不同类型的数据部署不同类型的控制,还需要对这些数据进行维护。下面我要跟大家介绍一下我们传统上实施这些工作的方法,可能需要随着时间推移来变化。毫无疑问,我们需要不断建造起这样的架构,我们需要公共数据,还有不同类型的数据,包括敏感数据,我们还需要适应,比如应用层上,我们也可能有一些敏感数据,但是这些应用可能位于一个不可靠的平台上,谁有可能访问这些数据,我们也需要控制。还有对知识产权来说,我们也面临一些挑战,有可能访问会被阻拦。比如wapmail,可能有用户手机上面有,对这些wapmail,我们需要部署安全环境设施,以保证数据不被泄露。而在电脑上使用一致性是必须的。
我们看看我们最传统的模式,对于终端用户来说,他们所面临困扰是如何获得数据,他们会面临海量数据,他们会选择合适的设备,获得数据之后,我们在考虑数据的时候,也需要了解他们遇到什么样的用户,他们如何访问这些信息呢?基于地理位置,以及基于网络使用种类,无论是内部还是外部的办公室,他们是不是使用虚拟化的桌面,还是使用物理机等等,都需要打造一个连贯的体验,这样随着时间推移,用户就会习惯,他就知道我要获得数据需要什么样的系统。所以一开始我们要让用户知道他们想要读取的不同数据。而且我们要帮助他们实现这个目标,这个实现方式跟我们今天做法是不一样的,我们不能把一个信息进行阻隔或者拦截就够了,我们需要提供安全访问的途径。
所以我们可以看看,我们过去的一些控制未来还会继续存在下去。我们今天所拥有的控制,比如在VPN的网络中可能容易做到,但不同类型的设备我们需要考虑,比如IPAD和IPOD就需要做加密,数据加密,需要进行远程的读取,我们需要更多的可用性。这是从用户的角度来说这是未来的挑战,今天我们没有办法实现这一点,但是我们应该有能力管理Windows操作系统,IOS的操作系统等等,我们有这么多平台,每个平台都有不同的控制,那么不同平台是不是可以用同样的设置,我们需要一个地方来管理这么多的平台,而且我们也需要一个地方对员工进行管理教育。
在我看来,这些应该是网络中越来越常见的威胁,比如CPU和电池寿命在不断增加,这是很好的事情,但是很多CPU的增长和电池寿命增加并不是做安全性能的,所以我们需要考虑网络层面上的安全控制。我们还需要在后台应用方面,还需要更多的考虑是不是能保持安全的连贯性,从而创造连贯一致的用户体验,如果我们能让用户简单的知道在哪里可以获得数据的话,而且他们进行访问的时候就做一次认证,对于认证来说,如果认证太复杂的话,他们使用我们的系统这种可能性就越小,因为我们觉得对于用户来说,我们所配置的环境是会越来越平缓,我听到很多人说,一切都已经成为服务,混合云,还有环境,现在都推出以应用和设备为导向的版本,这样可以更好的引导人们使用信息,我们必须推出简单的一致的用户体验。
最后一点,我们目前还需要进一步确保我们在不同平台上尽可能多的获得信息,以及尽可能多的日志,而且这些事件源越来越多样,这些会越来越智能,而且还有智能系统会对它映射,这样就可以控制检测,积极响应。所以今天,我们可以将日志放在中央平台上,但是我们加入到智能化的应用方面还不是特别顺畅,目前还没有办法很有效的对日志进行智能化的应用,我们需要更好的将这些信息映射到组织中,了解我们用户他们在哪里,过去一小时中有什么活动,过去一天,过去三天有什么活动?这样可以优秀排序,帮助我们了解哪些数据是最重要的,哪些基础架构是最重要的,然后映射到风险环境来应对措施和采取控制措施。
同时我们需要报告给企业领导人,让他们了解我们安全并不是没有作用的,我们知道有时候有一些公司高管对我们IT部门并不是特别感兴趣的,但是通过这样的日志和报告可以证明我们工作是非常有价值的。同时我们可以告诉他们你的人在做错误的事情,我们可以利用这个数据跟他讨论。所以我们认为我们可以在日常讨论中,我们需要了解每天每人都会需要不同的平台,使用不同的设备访问不同的数据,所以我们需要采取不同策略,让这些数据可以得到控制,而且这些设施部署是非常容易的,可以快速让用户获取到,能正确作出决策。而不是说面临安全方面的约束。
