信息时代,个人、企业甚至是国家除了关心信息科技对生活、对社会的影响之外,最关心的可能还是这个时代的主题,信息和数据的安全问题了吧。由于各种信息安全事件的不断发生,人们对于安全的关注度正逐年提高,伴随各种看不懂的信息技术和网络攻击事件的发生,更让人们对于这个时代的安全有了不同的解读。但是这些解读中有不少是错误的,而真实的信息安全又是怎样的呢?
十个对于信息安全的误解与真实情况
误解一:安全专业人士的晋升空间有限
事实:在过去,对于某些组织而言信息安全被视为高科技工作、专业化领域,而且通常属于大型IT机构的组成部分。不过随着当前业务开展与信息技术之间的联系愈发紧密,企业已经开始理解到信息安全在关键性业务流程中所扮演的重要角色。
安全专业人士正在越来越多地与企业高层管理者进行互动,并成为企业获得成功的重要推动者之一。如今高层管理队伍中已经为安全工作保留了更多席位,相信安全专业人士能够借此获得更多晋升机遇,从而走的更远。
误解二:每一位从事安全工作的人员都是安全专家
事实:安全事务其实是个区划明确、专业性很强的门类。IDS人员不知道如何在Web应用程序当中寻找安全漏洞,而软件安全人员也不知道如何进行数字化取证。
误解三:安全专业人士都是偏执狂,喜欢怀疑一切并且牢牢掌控着公共密钥交换事务
事实:最近美国国家安全局曝出的监控丑闻确实证明,十几年前以科幻式眼光作出的攻击理论预测得到了应验。尽管如此,统计数据与经济学解读仍然告诉我们,纵然是最为老练的攻击者也很难撼动大多数人移动设备或者家用计算机的安全屏障。
误解四:安全专家认为合规性意味着安全
事实:现实情况是,目前的合规性检测还仅仅属于一种验证标准;如果大家的安全态度仅仅足以保证员工不至于怨声载道,那么这样的水准显然还不能让我们高枕无忧。这种误区产生的原因之一在于,合规性往往成为CSO用来推进并获取安全项目预算的主要手段。不过千万别因此而误会了安全管理者,他们只不过需要借着这个机会来完成工作、实际成效通常都会超越监管要求以满足企业对安全的实际需求。
误解五:安全与基础设施/运营永远无法和睦相处
事实:尽管在所谓的CIA(即保密性、完整性及可用性)当中,可用性往往被人们视为基础设施/运营的根本性前提与推动力。然而对于真正互相了解彼此角色定位的部门来说,这三大支柱的作用必须全部得到承认与严格执行。
误解六:信息安全属于技术性极高的学科
事实:在通常情况下,这种指向性太过广泛的总结都会有所偏颇或者产生遗漏。当然,在信息安全领域中确实存在对技术专长要求较高的特定角色。
不过随着信息安全事务的角色逐步向风险管理转化,我们需要更多了解业务部门需求而且能够以业务语言与非专业人士顺畅沟通的从业者加入进来。技术细节并不是全部内容,我们同样需要解释风险内容、并向管理者以及普通员工讲解不同安全方案的对应执行流程及技术风险。
误解七:黑客活动就像影视作品中表现的那样
事实:人们应该会意识到影视作品中的一切内容都经过了夸张,但却未必能体会到具体被夸张到了什么程度。让我们先澄清几点——首先,成功侵入目标设备时、其指示灯不会狂闪;其次,我们不可能一个一个字母破解他人的密码内容。
当我们成功完成入侵之后,屏幕上绝对不可能以3D方式显示出数据库结构、或者让我们像玩游戏那样从一个模块跳转到另一个模块。乱码字符也绝不会在我们面前突然转化为可直接阅读的文本。虽然电影中偶尔也会出现一些真实存在的安全工具,但由于不够花里胡哨而很难成为观众的关注焦点,因此往往登台的时长也就一、两秒钟。
误解八:安全专家认为安全价值高于实用性
事实:尽管以“安全”为职称头衔,但大多数CSO都明白只有适合作出权衡与让步企业业务才有可能蓬勃发展。我们不可能强行要求员工生活在战壕里,不可能用那些刚刚出现甚至之前闻所未闻的状况当成实际威胁,更不可能仅仅以IT部门无法管理为由阻止某些方案的推广。
这一误区的出现主要是由于多年以来,CSO一直扮演着阻挡者角色甚至在很多人心目中成为一道不可逾越的鸿沟。不过这种情况在过去几年中已经出现了显著变化。尽管CSO们仍然不可能对所有新型机制大开绿灯,但IT消费化以及云计算等新兴趋势已经让安全组织迎来了变化态势,从而保持安全工作与业务之间的相关性。
误解九:安全工作从来不忙也不烦
事实:没有哪种工作能在八小时之内带给员工100%的兴奋点。大部分安全工作所涉及的都是操作安全产品,汇总并分析异常日志内容,编写用于实现日常任务的自动化工具,而其中最糟糕的部分就是通过某些特定审计工作而不得不完成的任务或者项目。
误解十:安全的全部内容就是防范攻击活动
事实:对于大多数企业来说,信息安全团队的任务应该是帮助整个企业管理风险,从而保证IT资产的保密性、完整性以及可用性。
当然,在信息安全团队内部确实有专门负责预防类安全控制工作的资源存在。不过根据目前的威胁环境来看,企业需要将注意力集中在检测方面,旨在保证任何成功回避了预防控制机制的攻击活动都能被快速检测到并得到控制。威胁环境极为活跃而且在不断发展,企业绝不能单纯将命运托付给预防这一个方面。
避免更多的误解 客观本源的防护或是最好的手段
从以上的十大误解我们可以看出,其中有很多是对于安全防护人员和相关防护策略的误读,其中不乏许多主观的误区。虽然安全是一个相对的挂念,主观的意识占了很大一部分的衡量标准,但是面对问题越来越多的信息安全防护,采用更客观、更灵活的防护技术或是另一种选择。而现今能做到这一点的非国际先进的多模加密技术莫属。
多模加密技术采用对称算法和非对称算法相结合的技术,在确保了数据本源防护质量的同时,其多模的特性能让用户自主地选择加密模式,从而展现了技术的灵活性。而这项技术的客观性也主要体现在加密防护的特点,加密防护不同于其他安全防护技术,它是直接作用于数据本身,使得数据即使遭遇了各种泄密危机和安全危机,其真实内容依然可以在离开安全环境后得到安全防护,而在加密算法不断进步的今天,想要破译则比电影或电视剧中所表现的要难得多得多。
随着信息技术和互联网的发展,人们对于信息安全可能会有更多地看法,但为了避免这些误读或者误解造成真实的损失,采用更客观地、灵活且本源的加密技术及其软件进行防护或是最好的选择! |
