用相当、甚至更好的解决方案来加固企业的IT系统,以面对不断变化的安全威胁。
何迪生对此抱有充分的信心:首先,IT已经不仅仅是企业的成本中心,一套完善、健康的IT系统完全可以成为企业业务的助推器,帮助企业成功。少花钱多办事主要是落实到几个方面——第一是企业内部管理成本,信息管理不能复杂,复杂的管理必须要花时间花钱去参加很多的培训或者是招聘更多的管理员;第二就是企业希望厂商最好能够提供一站式的服务,具体来说,信息部门尤其是安全部门都希望减少服务交付的时间,他们需要简化服务供应商的数量,让服务提供商尽量是单一厂商。当前,有些用户的方案都是集成商把多家厂商的产品打包来做的,这个成本显然高于单一厂商的集成解决方案。
何迪生特别强调ROSI——安全投资回报率,通过这个指标,可以向企业负责人介绍安全投资的回报和业务表现。
如果一个CIO或者是CEO,或者是相关的利益方,不能够认识到保护数据的重要性,那么将很难说服他们投入足够的资源来用于解决IT风险的问题。但是,与商业直接密切相关,与股东权益直接相关的信息,都必须要采取一些措施保证投入足够多的钱和资源来解决安全防护问题。显然这不是一个轻松的工作,比如用ROSI去充分说明其重要性。
在具体措施上,大致可以分为如下步骤:
首先应当进行商业的风险评估,从商业发展的角度来看,什么是最重要的东西,如何来保护。
然后,才能进入制定策略和公司的流程的阶段。讨论的安全的组织架构,这都是如何实施这些战略的基础。比如,可以组成一个虚拟的安全团队,动员各个部门的力量参与进来,包括人力资源部门和营销部门,让他们都理解安全性与重要性。
下一步是安全的架构和控制,关于公司的政策和流程。
随后进行安全的确保,令每一个部分运转正常,并通过一系列的测试验证其是否可以防止黑客侵犯。
通过安全监测来确保整个流程都是有效的。对于大公司,有可能需要每季度进行一次,或者是每月一次,来确保网络每天都是安全的。
最后就是安全评估。安全主管需要知道如何来和领导进行沟通,来展示一下这个系统它的功效。
对于微软这样的安全厂商来说,构建一套完整的安全生态系统,必须能够应对这些挑战,包括防御攻击和不必要的通信干扰,并且尽量预知用户的业务发展趋势,并努力提高自身的安全透明度,以便为用户提供最优的安全防御方案。
从技术革新上看,目前以微软为代表的安全厂商正在努力推动分层的系统安全建设模式,包括了:负责ACL、RMS以及数据加密的数据层;强化防病毒结构的应用程序层;负责操作系统强化、修补管理、身份认证和HIDS的主机层;统筹网络段,开展IPSec和NIDS的内部网络层;管理防火墙和VPN等设备的周边设备层;以及提供防护、锁定、追踪功能的物力安全与策略通告层。这些技术层和非技术层组合在一起构成了企业实践中的深层防御(DID)机制。
何迪生建议,目前最为有效的企业安全生态系统建设战略,除了要从技术上进行革新,同时还要为企业提供最佳的安全实践与操作方式指导,同时安全厂商与企业的CIO最好能够与一些国际安全组织进行合作,比如与ISACA, ISSA, CFIP-ISA和BCM保持交流可以获得最新的安全防御指导意见,有助于安全生态圈的搭建。
在了解了一般方法,以及如何评估安全管理的效果之后,用户可以借此改善安全防护的水平,来提升保护IT环境的能力。而在技术方面的很多因素,比如怎样保护系统,加密等深层次的技术知识,都可以利用在日常保护IT的工作中去。但是对于IT