信息安全 需内外兼修
- 来源:计算机世界
- 关键字:信息,安全,IT,代表
- 发布时间:2010-12-06 13:53
中国IT两会信息安全分论坛以“新挑战新思路新安全技术”为主题,聚集了安全领域内的100多位专家、用户代表和来自联想网御、东软、SafeNet、航天信息等厂商的代表,一起探讨了新形势下确保企业信息安全的解决之道。
近年来,企业面临的信息安全威胁正在变得多样化、复杂化:一方面,企业继续面临着海量增长的数据、利益驱动下的身份盗用以及各种法规监管等老问题,而另一个方面是新技术的引入又引发了新的安全问题。比如,随着企业迈入云计算时代,企业的安全边界已经超出了企业网而进入到广域网中。再加上Web2.0和社交网络已成为互联网的主流,社交网络以及论坛社区等鼓励用户参与和分享的应用使得传统的自上而下、集中式的控制方式和传统的被动式防御手段显露出不足。
新的安全威胁要求信息安全领域拿出新的解决办法和思路。在这种背景下召开的中国IT两会信息安全分论坛以“新挑战新思路新安全技术”为主题,聚集了安全领域内的100多位专家、用户代表和来自联想网御、东软、SafeNet、航天信息等安全厂商的代表,一起探讨了新形势下企业信息安全的解决之道。
建设安全的“云”
在云计算、物联网等概念被热炒的背景下,如何应对云计算、物联网带来的安全威胁也是各位嘉宾讨论最多的话题之一。来自IDC的调查研究显示,在困扰云计算落地的诸多因素中,对安全的担心是主要原因之一。
“从某种程度上说,如果不能消除人们对云计算安全的担心,云计算就不可能走得很远。”联想网御助理总裁马虔说。
马虔总结了云计算给安全带来的三个挑战:一是新的计算模式带来的安全问题。原来的数据都保存在自己的数据中心里,现在它们被保存在云端,客户凭什么相信云服务商;第二是新的存储模式带来的安全问题。包括在共享存储的同时,如何实现数据的安全隔离,在数据迁移的时候,如何确保数据的安全清除;第三是新的运营模式带来的安全问题。包括法规遵从、业务持续性问题,云服务的终止给企业带来的影响可能要比以前更大。
为了构建安全的“云”,马虔提出以下建议:建立统一的安全接入服务平台;建立统一认证与授权服务平台;建立统一数据加密服务平台;建立一个管理与审计监控平台。
面对云计算环境中的数据安全挑战,SafeNet提出了智能化、以数据为中心、贯穿信息全生命周期的云数据保护方案。SafeNet技术支持经理陈海林说:“云环境中,数据的全生命周期保护就是从身份认证、数据加密控制到加密传输进行统一的安全保护。我们能在有效地保护企业内部数据的基础上,把这种安全性再扩展到云环境中。”
当然,云计算对安全而言也有好的一面。云计算是一种集中运营的模式,更便于安全的管控,而更重要的是,安全领域也可以借助云计算实现从被动防御到主动防御的变革。比如,越来越的安全厂商推出了基于信誉的主动式防范机制,它通过一些特征判定一个网页或者网站可能的病毒的概率来提醒用户注意。
东软网络安全营销中心安全服务部部长席斐则提醒说,无论是云计算还是物联网,我们都要注意基于业务来谈安全,也就是安全要和业务相结合,先从业务经理、生产经理的角度来考虑业务如何实现、其中有什么安全风险,否则就容易陷入技术的误区。
立体的防护体系
除了云计算等热门话题外,嘉宾最关注的还有更为现实的企业信息安全问题,也就是如何让企业IT系统更安全。
“信息安全要实行全方位、多层次的综合防护。防护方针是积极防御,综合防范。”国家电力监管委员会信息中心网络与信息安全处副处长温红子博士在演讲时表示。
温博士所在的电力监管委员会是电力行业信息安全的监管机构,承担电力行业信息安全的监管工作,其中包括国家电网公司、华能集团公司、大唐集团公司等20家重点电力企业。温博士介绍说,近年来这些重点电力企业立足于综合防护来保证信息安全,这些手段包括:对各类网络接口和互联网出口实行实时在线网络监测;在生产控制区和管理信息区之间使用专用设备横向隔离;在上下级调度机构之间、调度和电厂之间部署纵向加密认证装置;还有信息内外网的物理隔离等,都取得了很好的效果。
电力行业在信息安全方面另一个值得一提的重要举措是安全产品的国产化。“我们最关键的信息系统,包括能量管理系统、电能量采集系统、电网实时动态监测系统等都是国产的。在硬件系统方面,产品国产化率这些年也在逐步提高。”温博士说,企业对安全产品的国产化程度的重视,也给了像航天信息这样的具有自主研发密码算法和安全芯片能力的公司更多的机会。据航天信息股份有限公司副总经理郭宝安介绍,航天信息股份有限公司研发出了一套用于三网融合下的版权保护系统,采用的是我国自主研发的密码算法、自主开发的芯片,在市场上颇受欢迎。
数据库专家、百度首席DBA(数据库管理员)李京生非常认同温博士提出的安全需要综合防范的观点。李京生认为,企业信息安全需要在各个层面上展开,包括基础设施安全、服务器和网络设备安全,以及数据库及应用程序安全等。“每一项都做好,整个信息系统才能安全。而在每个环节上,都需要多层保护。比如数据库安全,就需要制定规范的流程、严格的账户管理制度、设立数据库防火墙、进行日志分析和审计等多种手段来保证。”
严格的信息安全管理制度和规范的信息安全体系也是参会代表热议的话题,电力监管委员会就正在指导电力行业的安全等级保护测评和安全整改工作,此举将有力地提升整个行业的安全水平。英标管理体系认证有限公司技术经理潘蓉专门从事各种国际标准的咨询和研究工作。她提出,在信息安全管理制度的建立上,可以借鉴一下信息安全管理体系国际标准27001,它是信息安全管理的最佳实践,基于这种标准来识别、评估及应对企业内部的安全风险是一种提升企业信息安全水平的有效手段。
……
近年来,企业面临的信息安全威胁正在变得多样化、复杂化:一方面,企业继续面临着海量增长的数据、利益驱动下的身份盗用以及各种法规监管等老问题,而另一个方面是新技术的引入又引发了新的安全问题。比如,随着企业迈入云计算时代,企业的安全边界已经超出了企业网而进入到广域网中。再加上Web2.0和社交网络已成为互联网的主流,社交网络以及论坛社区等鼓励用户参与和分享的应用使得传统的自上而下、集中式的控制方式和传统的被动式防御手段显露出不足。
新的安全威胁要求信息安全领域拿出新的解决办法和思路。在这种背景下召开的中国IT两会信息安全分论坛以“新挑战新思路新安全技术”为主题,聚集了安全领域内的100多位专家、用户代表和来自联想网御、东软、SafeNet、航天信息等安全厂商的代表,一起探讨了新形势下企业信息安全的解决之道。
建设安全的“云”
在云计算、物联网等概念被热炒的背景下,如何应对云计算、物联网带来的安全威胁也是各位嘉宾讨论最多的话题之一。来自IDC的调查研究显示,在困扰云计算落地的诸多因素中,对安全的担心是主要原因之一。
“从某种程度上说,如果不能消除人们对云计算安全的担心,云计算就不可能走得很远。”联想网御助理总裁马虔说。
马虔总结了云计算给安全带来的三个挑战:一是新的计算模式带来的安全问题。原来的数据都保存在自己的数据中心里,现在它们被保存在云端,客户凭什么相信云服务商;第二是新的存储模式带来的安全问题。包括在共享存储的同时,如何实现数据的安全隔离,在数据迁移的时候,如何确保数据的安全清除;第三是新的运营模式带来的安全问题。包括法规遵从、业务持续性问题,云服务的终止给企业带来的影响可能要比以前更大。
为了构建安全的“云”,马虔提出以下建议:建立统一的安全接入服务平台;建立统一认证与授权服务平台;建立统一数据加密服务平台;建立一个管理与审计监控平台。
面对云计算环境中的数据安全挑战,SafeNet提出了智能化、以数据为中心、贯穿信息全生命周期的云数据保护方案。SafeNet技术支持经理陈海林说:“云环境中,数据的全生命周期保护就是从身份认证、数据加密控制到加密传输进行统一的安全保护。我们能在有效地保护企业内部数据的基础上,把这种安全性再扩展到云环境中。”
当然,云计算对安全而言也有好的一面。云计算是一种集中运营的模式,更便于安全的管控,而更重要的是,安全领域也可以借助云计算实现从被动防御到主动防御的变革。比如,越来越的安全厂商推出了基于信誉的主动式防范机制,它通过一些特征判定一个网页或者网站可能的病毒的概率来提醒用户注意。
东软网络安全营销中心安全服务部部长席斐则提醒说,无论是云计算还是物联网,我们都要注意基于业务来谈安全,也就是安全要和业务相结合,先从业务经理、生产经理的角度来考虑业务如何实现、其中有什么安全风险,否则就容易陷入技术的误区。
立体的防护体系
除了云计算等热门话题外,嘉宾最关注的还有更为现实的企业信息安全问题,也就是如何让企业IT系统更安全。
“信息安全要实行全方位、多层次的综合防护。防护方针是积极防御,综合防范。”国家电力监管委员会信息中心网络与信息安全处副处长温红子博士在演讲时表示。
温博士所在的电力监管委员会是电力行业信息安全的监管机构,承担电力行业信息安全的监管工作,其中包括国家电网公司、华能集团公司、大唐集团公司等20家重点电力企业。温博士介绍说,近年来这些重点电力企业立足于综合防护来保证信息安全,这些手段包括:对各类网络接口和互联网出口实行实时在线网络监测;在生产控制区和管理信息区之间使用专用设备横向隔离;在上下级调度机构之间、调度和电厂之间部署纵向加密认证装置;还有信息内外网的物理隔离等,都取得了很好的效果。
电力行业在信息安全方面另一个值得一提的重要举措是安全产品的国产化。“我们最关键的信息系统,包括能量管理系统、电能量采集系统、电网实时动态监测系统等都是国产的。在硬件系统方面,产品国产化率这些年也在逐步提高。”温博士说,企业对安全产品的国产化程度的重视,也给了像航天信息这样的具有自主研发密码算法和安全芯片能力的公司更多的机会。据航天信息股份有限公司副总经理郭宝安介绍,航天信息股份有限公司研发出了一套用于三网融合下的版权保护系统,采用的是我国自主研发的密码算法、自主开发的芯片,在市场上颇受欢迎。
数据库专家、百度首席DBA(数据库管理员)李京生非常认同温博士提出的安全需要综合防范的观点。李京生认为,企业信息安全需要在各个层面上展开,包括基础设施安全、服务器和网络设备安全,以及数据库及应用程序安全等。“每一项都做好,整个信息系统才能安全。而在每个环节上,都需要多层保护。比如数据库安全,就需要制定规范的流程、严格的账户管理制度、设立数据库防火墙、进行日志分析和审计等多种手段来保证。”
严格的信息安全管理制度和规范的信息安全体系也是参会代表热议的话题,电力监管委员会就正在指导电力行业的安全等级保护测评和安全整改工作,此举将有力地提升整个行业的安全水平。英标管理体系认证有限公司技术经理潘蓉专门从事各种国际标准的咨询和研究工作。她提出,在信息安全管理制度的建立上,可以借鉴一下信息安全管理体系国际标准27001,它是信息安全管理的最佳实践,基于这种标准来识别、评估及应对企业内部的安全风险是一种提升企业信息安全水平的有效手段。
关注读览天下微信,
100万篇深度好文,
等你来看……
