安全措施:是技術、是過程、是哲學
近日不同的機構均向傳媒發出不同的安全威脅警告,並希望傳媒能向大眾分享這些訊息,令企業能盡早作出相應的預防;這一系列的威脅除包括常見的網絡威脅之外,付款閘道(Payment Gateway)的安全措施不足等亦榜上有名。原因何在?這與普遍企業的想法有很大關係。
第一點是企業很多時在安全事件發生前忽略安全措施的重要性,往往在安全事件發生後才急忙補救;第二點是企業中很大部份的技術人員並沒有深入地設計方案部署政策以及親自完成實施工作。
其實要有效落實完美的安全措施是一個過程,而這個過程需多方面合作才可;例如安全專家需建立強而有效的政策,從而確保往後所部署的種種均符合企業法規要求的同時,亦能提供到足夠的安全保護;而對於編程人員來說,在編寫商業應用時,從開發的過程中利用較少能被作為攻擊的程序亦相當重要,所以說安全裝置、安全政策與開發者編程時所使用的程序流程亦同樣重要。
商業應用是企業的重要資產,因此確保其安全性並非單單是開發者的責任,事關他們只是專業的開發人員,而非安全專家;因此企業主管應將商業應用的安全性責任從開發者轉移到通過專業的安全方案把關,這樣對於開發者來說才是較公平的做法,而對商業應用的安全亦最有保證。
由此看來,安全性是一個端對端的流程,並配合上各種政策的配合下從而監管用戶與企業設備的互動過程,例如是用戶使用設備的過程、存取過程、使用網絡過程、使用商業應用及存儲的過程等等;基於不同方案各有其複雜性,因此我認為將多個方案合併管理,例如透過一些融合方案作管理是不錯的做法。
簡單說,這就是化繁為簡的管理辦法,或者可以商業世界裡常聽說的「業務流程重組(BPR)」來作比喻;而對於欠缺 IT 知識的企業 CFO 來說,他們亦較容易理解到這種做法所帶來的裨益,事關這種綜合管理的方式基本上能直接節省大量資金,同時更可提升控管的效率,因此對 CFO 來說這種方式應是較能接受的。
舉個例子,當企業的應用層面出現安全風險時,一般情況下企業都會通過部署 Application Delivery Controllers(ADCs)來確保用戶的安全性;現時 ADCs 已明顯成為商業應用的守護神,通過 ADCs 的協助下,企業便可有效監控並拒絕未經授權的存取;同時這類型方案大部份亦容許企業後加不同的模組從而應付最新及最複雜的應用層攻擊。
不過近年來流動裝置盛行亦增加了整體安全措施的複雜性及落實的難度;現時年輕新一代的 IT 人均希望以自攜裝置完成各種 IT 工作,並要求同時於工作期間可無限制地從公司的網絡切換到私人的網絡以便隨時掌握朋友最新動向;據了解,現時 CIOs 均經常面對著這種問題。
這種新的「潮流」為 CIOs 帶來了很大麻煩,事關他們需思索著如何能同時確保安全性同時亦可在合法情況下有效控制員工的自攜裝置;可能你會說通過雲端及虛擬化的協助下,便可解決這問題;這當然有助進一步解決現時的困境,但資金從何來呢?CIOs 需要說服公司絕非易事!
面對兩難局面,我認為企業極需一套能同時兼顧員工所想及企業應用安全性的方案才可解決問題;安全機構 F5 相信安全措施是一項「信任」工程,除了需對員工進行培訓之外,選擇到切合需要的方案亦非常重要;決策者需選擇到一套「對的方案」,而非一套只有強大功能但卻不能針對企業實際情況的方案,否則將會做成無可估計的反效果,所以說安全措施是技術、是過程、是哲學。
鳴謝
Kunaciilan Nallappan
F5 Director, Marketing, Asia Pacific
Kuna 是 F5 的 IT 方案市場部主管,在 F5 之中主要負責於亞太區推廣不同的 IT 方案,同時亦需制定適合的營銷策略和計劃,以提高 F5 品牌在亞太區的知名度及市場佔有率;通過他多年來於科技及商業世界之經驗,他制定了一系列針對亞太區的 GTM 策略。
在加入 F5 前,他在 EMC 從事產品經理一職,並主要面向亞太區的客戶推廣中階儲存方案;而再於 EMC 前,Kuna 負責於 Citrix 中向太平洋地區的客戶推銷其 ADS 方案(Application Delivery Solutions),並同樣地為產品制定了相應的 GTM 策略。
Kuna 擁有長達 15 年的 IT 及資訊科技行業經驗,並曾擔任多個要職,包括銷售部門、渠道及產品銷售、產品市務宣傳工作等;由於 Kuna 擁有多年的實戰經驗,令他經常成為 APAC 區內,不同研討會的主要演講者;Kuna 擁有新加坡國立大學的工程學位,同時亦擁有南洋大學的工商管理碩士(MBA)。
