安全管理是最近几年人们谈论较多的话题,然而,安全管理应该包含哪些内容?在实际中应该如何应用?这些都是一直让CSO们困惑的话题。在本组的两篇文章中,相关人士分别从概念和应用的角度对这些问题进行相应的解答。
虽然还只是一个新兴领域,但一些企业正逐渐把安全管理作为信息安全的重要组成部分。
CA公司资深副总裁兼首席安全战略师 Ron Moritz
近日,CA公司资深副总裁兼首席安全战略师Ron Moritz(以下简称Ron)先生来到中国,记者借此就安全管理的问题与他进行了交流。Ron是国际著名的信息安全管理顾问。
记者:最近,信息安全管理技术和产品在全球不断升温,请您谈一下信息安全管理究竟是什么?我们为什么需要安全管理?
Ron:要了解这个问题,首先我们应该了解信息安全技术和产品经历了哪几个发展阶段?
我认为,安全经历了四个发展阶段。第一个阶段是物理安全,比如说门禁系统;第二个阶段是防御阶段,它是一种被动的体系,比如网络中出现了病毒,我们必须被动地应对已出现的问题,目前大部分公司都是属于这一阶段;第三个阶段,是一种比较有意思的趋势,是把安全作为投资而不是作为成本,安全是一种业务的推动因素而不是一个障碍,比如安全就是开展网上银行业务的一个重要推动因素。即使是CA这样一个全球性的公司,也在利用安全作为我们的业务推动因素。
第四代安全是目前大部分企业都还没有到达的阶段,就是设立IT风险官职位,就像金融行业的信贷风险官一样,他能够完全了解各种IT服务的风险是多少。这就需要IT管理技术来支撑,所以说安全管理是一个风险管理的过程。
这完全是一个新兴的领域,全球大部分企业正在思考,而中国的许多企业还属于第二代安全阶段,但从第二代向第三代过渡将非常快。因此,企业正逐渐转移到把安全管理作为重要的组成部分。
记者:那么,安全管理技术和产品究竟应该包含哪些具体内容?
Ron:可以这样形象地比喻,安全建设的过程是个盖房子的过程,可以分成打地基、主体框架和房顶等部分。基础的打地基部分就是通常所说的防御,它包括通常的反病毒、入侵检测、防火墙等防范技术,它会防止别人获取我们的信息;但到了第二个层次,我们则要打开门,让合适的人去使用合适的信息,这是真正对业务具有推动的安全,是具有投资回报率的安全,是一种业务的推动因素;第三个层次就是房顶——实际是安全管理部分,它可以被比作一个透明的房顶,可以看到各个安全部分的运转是否是有效?它的风险性如何等?
CA的完整的安全管理方案包括三个部分:威胁管理、身份和访问管理以及安全知识管理。
其中,CA的威胁管理就是IDC所定义的安全内容管理——SCM的概念,目前市场上存在的大量信息安全产品,都是威胁管理方面的产品;身份和访问管理也就是IAM部分,它包括目录、目录的虚拟化、用户身份的管理、用户资源配置的管理、所有用户的关联、信任的管理等;安全知识的管理包括安全漏洞管理、网络漏洞管理、安全策略管理等。
记者:我们知道,网络管理市场已经非常成熟,那么,它与安全管理有何不同?
Ron: 网络管理市场是一个成熟的市场,它是一个寡头垄断的市场,供应商的数量并不多;但是安全管理的市场是一个新兴的市场,它仍然是一个产品技术型的市场,由几百家公司提供的几千种产品组成。
目前安全管理市场情况,就像10~15年之前的网络管理市场,当时有很多技术和产品,但通过融合和累加,最终形成少数几类产品寡头垄断的局面。安全管理市场也将重复同样的演进过程。我们看到目前市场上有不同的单个安全技术和产品,比如分成设备管理、安全信息管理、身份和访问管理等,但最终,这些功能会集成在一起。
通过采访,记者发现,虽然安全管理的概念和方法已经出现,主流厂商也在大力宣传和推进安全管理的技术和产品,但在中国的实际应用,就连移动这样信息化程度比较高的领域,目前也仅仅到达相对较低的设备管理的层次。也许,概念与技术之间还存在较大的鸿沟,要实现专家所述的安全管理,未来还有很长的路要走。