十個(gè)對(duì)于信息安全的誤解與真實(shí)情況

責(zé)任編輯:editor004

2014-02-07 17:25:54

摘自:比特論

信息時(shí)代,個(gè)人、企業(yè)甚至是國(guó)家除了關(guān)心信息科技對(duì)生活、對(duì)社會(huì)的影響之外,最關(guān)心的可能還是這個(gè)時(shí)代的主題,信息和數(shù)據(jù)的安全問(wèn)題了吧。

信息時(shí)代,個(gè)人、企業(yè)甚至是國(guó)家除了關(guān)心信息科技對(duì)生活、對(duì)社會(huì)的影響之外,最關(guān)心的可能還是這個(gè)時(shí)代的主題,信息和數(shù)據(jù)的安全問(wèn)題了吧。由于各種信息安全事件的不斷發(fā)生,人們對(duì)于安全的關(guān)注度正逐年提高,伴隨各種看不懂的信息技術(shù)和網(wǎng)絡(luò)攻擊事件的發(fā)生,更讓人們對(duì)于這個(gè)時(shí)代的安全有了不同的解讀。但是這些解讀中有不少是錯(cuò)誤的,而真實(shí)的信息安全又是怎樣的呢?

十個(gè)對(duì)于信息安全的誤解與真實(shí)情況

誤解一:安全專業(yè)人士的晉升空間有限

事實(shí):在過(guò)去,對(duì)于某些組織而言信息安全被視為高科技工作、專業(yè)化領(lǐng)域,而且通常屬于大型IT機(jī)構(gòu)的組成部分。不過(guò)隨著當(dāng)前業(yè)務(wù)開(kāi)展與信息技術(shù)之間的聯(lián)系愈發(fā)緊密,企業(yè)已經(jīng)開(kāi)始理解到信息安全在關(guān)鍵性業(yè)務(wù)流程中所扮演的重要角色。

安全專業(yè)人士正在越來(lái)越多地與企業(yè)高層管理者進(jìn)行互動(dòng),并成為企業(yè)獲得成功的重要推動(dòng)者之一。如今高層管理隊(duì)伍中已經(jīng)為安全工作保留了更多席位,相信安全專業(yè)人士能夠借此獲得更多晉升機(jī)遇,從而走的更遠(yuǎn)。

誤解二:每一位從事安全工作的人員都是安全專家

事實(shí):安全事務(wù)其實(shí)是個(gè)區(qū)劃明確、專業(yè)性很強(qiáng)的門類。IDS人員不知道如何在Web應(yīng)用程序當(dāng)中尋找安全漏洞,而軟件安全人員也不知道如何進(jìn)行數(shù)字化取證。

誤解三:安全專業(yè)人士都是偏執(zhí)狂,喜歡懷疑一切并且牢牢掌控著公共密鑰交換事務(wù)

事實(shí):最近美國(guó)國(guó)家安全局曝出的監(jiān)控丑聞確實(shí)證明,十幾年前以科幻式眼光作出的攻擊理論預(yù)測(cè)得到了應(yīng)驗(yàn)。盡管如此,統(tǒng)計(jì)數(shù)據(jù)與經(jīng)濟(jì)學(xué)解讀仍然告訴我們,縱然是最為老練的攻擊者也很難撼動(dòng)大多數(shù)人移動(dòng)設(shè)備或者家用計(jì)算機(jī)的安全屏障。

誤解四:安全專家認(rèn)為合規(guī)性意味著安全

事實(shí):現(xiàn)實(shí)情況是,目前的合規(guī)性檢測(cè)還僅僅屬于一種驗(yàn)證標(biāo)準(zhǔn);如果大家的安全態(tài)度僅僅足以保證員工不至于怨聲載道,那么這樣的水準(zhǔn)顯然還不能讓我們高枕無(wú)憂。這種誤區(qū)產(chǎn)生的原因之一在于,合規(guī)性往往成為CSO用來(lái)推進(jìn)并獲取安全項(xiàng)目預(yù)算的主要手段。不過(guò)千萬(wàn)別因此而誤會(huì)了安全管理者,他們只不過(guò)需要借著這個(gè)機(jī)會(huì)來(lái)完成工作、實(shí)際成效通常都會(huì)超越監(jiān)管要求以滿足企業(yè)對(duì)安全的實(shí)際需求。

誤解五:安全與基礎(chǔ)設(shè)施/運(yùn)營(yíng)永遠(yuǎn)無(wú)法和睦相處

事實(shí):盡管在所謂的CIA(即保密性、完整性及可用性)當(dāng)中,可用性往往被人們視為基礎(chǔ)設(shè)施/運(yùn)營(yíng)的根本性前提與推動(dòng)力。然而對(duì)于真正互相了解彼此角色定位的部門來(lái)說(shuō),這三大支柱的作用必須全部得到承認(rèn)與嚴(yán)格執(zhí)行。

誤解六:信息安全屬于技術(shù)性極高的學(xué)科

事實(shí):在通常情況下,這種指向性太過(guò)廣泛的總結(jié)都會(huì)有所偏頗或者產(chǎn)生遺漏。當(dāng)然,在信息安全領(lǐng)域中確實(shí)存在對(duì)技術(shù)專長(zhǎng)要求較高的特定角色。

不過(guò)隨著信息安全事務(wù)的角色逐步向風(fēng)險(xiǎn)管理轉(zhuǎn)化,我們需要更多了解業(yè)務(wù)部門需求而且能夠以業(yè)務(wù)語(yǔ)言與非專業(yè)人士順暢溝通的從業(yè)者加入進(jìn)來(lái)。技術(shù)細(xì)節(jié)并不是全部?jī)?nèi)容,我們同樣需要解釋風(fēng)險(xiǎn)內(nèi)容、并向管理者以及普通員工講解不同安全方案的對(duì)應(yīng)執(zhí)行流程及技術(shù)風(fēng)險(xiǎn)。

誤解七:黑客活動(dòng)就像影視作品中表現(xiàn)的那樣

事實(shí):人們應(yīng)該會(huì)意識(shí)到影視作品中的一切內(nèi)容都經(jīng)過(guò)了夸張,但卻未必能體會(huì)到具體被夸張到了什么程度。讓我們先澄清幾點(diǎn)——首先,成功侵入目標(biāo)設(shè)備時(shí)、其指示燈不會(huì)狂閃;其次,我們不可能一個(gè)一個(gè)字母破解他人的密碼內(nèi)容。

當(dāng)我們成功完成入侵之后,屏幕上絕對(duì)不可能以3D方式顯示出數(shù)據(jù)庫(kù)結(jié)構(gòu)、或者讓我們像玩游戲那樣從一個(gè)模塊跳轉(zhuǎn)到另一個(gè)模塊。亂碼字符也絕不會(huì)在我們面前突然轉(zhuǎn)化為可直接閱讀的文本。雖然電影中偶爾也會(huì)出現(xiàn)一些真實(shí)存在的安全工具,但由于不夠花里胡哨而很難成為觀眾的關(guān)注焦點(diǎn),因此往往登臺(tái)的時(shí)長(zhǎng)也就一、兩秒鐘。

誤解八:安全專家認(rèn)為安全價(jià)值高于實(shí)用性

事實(shí):盡管以“安全”為職稱頭銜,但大多數(shù)CSO都明白只有適合作出權(quán)衡與讓步企業(yè)業(yè)務(wù)才有可能蓬勃發(fā)展。我們不可能強(qiáng)行要求員工生活在戰(zhàn)壕里,不可能用那些剛剛出現(xiàn)甚至之前聞所未聞的狀況當(dāng)成實(shí)際威脅,更不可能僅僅以IT部門無(wú)法管理為由阻止某些方案的推廣。

這一誤區(qū)的出現(xiàn)主要是由于多年以來(lái),CSO一直扮演著阻擋者角色甚至在很多人心目中成為一道不可逾越的鴻溝。不過(guò)這種情況在過(guò)去幾年中已經(jīng)出現(xiàn)了顯著變化。盡管CSO們?nèi)匀徊豢赡軐?duì)所有新型機(jī)制大開(kāi)綠燈,但I(xiàn)T消費(fèi)化以及云計(jì)算等新興趨勢(shì)已經(jīng)讓安全組織迎來(lái)了變化態(tài)勢(shì),從而保持安全工作與業(yè)務(wù)之間的相關(guān)性。

誤解九:安全工作從來(lái)不忙也不煩

事實(shí):沒(méi)有哪種工作能在八小時(shí)之內(nèi)帶給員工100%的興奮點(diǎn)。大部分安全工作所涉及的都是操作安全產(chǎn)品,匯總并分析異常日志內(nèi)容,編寫用于實(shí)現(xiàn)日常任務(wù)的自動(dòng)化工具,而其中最糟糕的部分就是通過(guò)某些特定審計(jì)工作而不得不完成的任務(wù)或者項(xiàng)目。

誤解十:安全的全部?jī)?nèi)容就是防范攻擊活動(dòng)

事實(shí):對(duì)于大多數(shù)企業(yè)來(lái)說(shuō),信息安全團(tuán)隊(duì)的任務(wù)應(yīng)該是幫助整個(gè)企業(yè)管理風(fēng)險(xiǎn),從而保證IT資產(chǎn)的保密性、完整性以及可用性。

當(dāng)然,在信息安全團(tuán)隊(duì)內(nèi)部確實(shí)有專門負(fù)責(zé)預(yù)防類安全控制工作的資源存在。不過(guò)根據(jù)目前的威脅環(huán)境來(lái)看,企業(yè)需要將注意力集中在檢測(cè)方面,旨在保證任何成功回避了預(yù)防控制機(jī)制的攻擊活動(dòng)都能被快速檢測(cè)到并得到控制。威脅環(huán)境極為活躍而且在不斷發(fā)展,企業(yè)絕不能單純將命運(yùn)托付給預(yù)防這一個(gè)方面。

避免更多的誤解 客觀本源的防護(hù)或是最好的手段

從以上的十大誤解我們可以看出,其中有很多是對(duì)于安全防護(hù)人員和相關(guān)防護(hù)策略的誤讀,其中不乏許多主觀的誤區(qū)。雖然安全是一個(gè)相對(duì)的掛念,主觀的意識(shí)占了很大一部分的衡量標(biāo)準(zhǔn),但是面對(duì)問(wèn)題越來(lái)越多的信息安全防護(hù),采用更客觀、更靈活的防護(hù)技術(shù)或是另一種選擇。而現(xiàn)今能做到這一點(diǎn)的非國(guó)際先進(jìn)的多模加密技術(shù)莫屬。

多模加密技術(shù)采用對(duì)稱算法和非對(duì)稱算法相結(jié)合的技術(shù),在確保了數(shù)據(jù)本源防護(hù)質(zhì)量的同時(shí),其多模的特性能讓用戶自主地選擇加密模式,從而展現(xiàn)了技術(shù)的靈活性。而這項(xiàng)技術(shù)的客觀性也主要體現(xiàn)在加密防護(hù)的特點(diǎn),加密防護(hù)不同于其他安全防護(hù)技術(shù),它是直接作用于數(shù)據(jù)本身,使得數(shù)據(jù)即使遭遇了各種泄密危機(jī)和安全危機(jī),其真實(shí)內(nèi)容依然可以在離開(kāi)安全環(huán)境后得到安全防護(hù),而在加密算法不斷進(jìn)步的今天,想要破譯則比電影或電視劇中所表現(xiàn)的要難得多得多。

隨著信息技術(shù)和互聯(lián)網(wǎng)的發(fā)展,人們對(duì)于信息安全可能會(huì)有更多地看法,但為了避免這些誤讀或者誤解造成真實(shí)的損失,采用更客觀地、靈活且本源的加密技術(shù)及其軟件進(jìn)行防護(hù)或是最好的選擇!

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)