CIO們?cè)搹暮诿贝髸?huì)中吸取的五大安全經(jīng)驗(yàn)

黑帽大會(huì)每年都會(huì)準(zhǔn)時(shí)在拉斯維加斯與全球IT同仁相聚，共同探討最新最值得關(guān)注的黑客活動(dòng)、破解消息以及IT安全隱患。這次盛會(huì)吸引到全球范圍內(nèi)各行各業(yè)對(duì)安全問(wèn)題充滿熱情的參與者，其中既不乏身著繪有神秘語(yǔ)言符號(hào)的T恤、經(jīng)驗(yàn)老道的編程高手，也召集到了西裝筆挺、不茍言笑，一副CIA特派員甚至是黑衣人范兒的現(xiàn)場(chǎng)安保。而CIO們面對(duì)安全這個(gè)最令他們頭痛的話題，也不得不拿出積極的態(tài)度，積極參與進(jìn)來(lái)——畢竟我們不關(guān)注安全，麻煩就來(lái)騷擾我們。

下面我們就來(lái)總結(jié)本屆黑帽大會(huì)上最值得吸取的五大安全經(jīng)驗(yàn)。

1. 理解自己到底要保護(hù)什么。 傳統(tǒng)IT安全觀念中最核心的“防火墻機(jī)制”與“外圍保護(hù)”概念已經(jīng)完全跟不上時(shí)代變化，移動(dòng)設(shè)備與社交網(wǎng)絡(luò)的興起令舊有防范手段在新型安全威脅下顯得不堪一擊。CIO必須集中精神，深刻理解哪些信息需要廣泛的可靠性保障、哪些信息又需要嚴(yán)格的約束機(jī)制加以控制。

在本屆黑帽大會(huì)上，前FBI執(zhí)行助理部門主管Shawn Henry（他目前擔(dān)任CrowdStrike公司總裁）就安全保障方面的問(wèn)題進(jìn)行了主題演講。盡管Henry的演講有點(diǎn)頭大身小——一味宣揚(yáng)未來(lái)網(wǎng)絡(luò)侵襲之迅猛與可怕，卻沒(méi)有具體提出防范策略——但他對(duì)于數(shù)據(jù)保護(hù)的概念性理解仍然值得借鑒。在他看來(lái)，要想真正保護(hù)數(shù)據(jù)安全，首先要確保敏感信息不會(huì)進(jìn)入公共可用數(shù)據(jù)池。舉例來(lái)說(shuō)，在統(tǒng)計(jì)分析工作中將企業(yè)客戶的全部數(shù)據(jù)都?xì)w納進(jìn)去顯然不夠明智，事實(shí)上我們只要把過(guò)去一年中客戶的活躍數(shù)據(jù)（且不包含驗(yàn)證信息）作為統(tǒng)計(jì)對(duì)象就足以得出準(zhǔn)確結(jié)論了。

2. 不要馬虎大意，對(duì)云合同中的內(nèi)容錙銖必較。大家還記得那些觸目驚心的血淚史嗎？軟件供應(yīng)商故意在產(chǎn)品介紹及合作協(xié)議中隱瞞或忽略其固有缺陷，并由此給買家?guī)��?lái)重大損失。如果我們仔細(xì)閱讀這些協(xié)議文件，常常會(huì)發(fā)現(xiàn)供應(yīng)商絕不會(huì)把自己的賠償責(zé)任擴(kuò)大到軟件購(gòu)買價(jià)格的范圍之外。在這種情況下，即使能夠證明正是由于軟件供應(yīng)商提供的文字編輯工具存在問(wèn)題，才導(dǎo)致我們的知識(shí)產(chǎn)權(quán)文件因?yàn)閮?nèi)容錯(cuò)亂而失效，這幫無(wú)良賣家也絕不會(huì)踏踏實(shí)實(shí)為客戶承擔(dān)損失。他們通常會(huì)找各種理由拖延訴訟進(jìn)展，并最終根據(jù)原始合同，僅僅賠付對(duì)應(yīng)軟件的購(gòu)置費(fèi)用。

在大家將包括云服務(wù)在內(nèi)的各類新興技術(shù)引入自身IT基礎(chǔ)設(shè)施之前，請(qǐng)務(wù)必搞清楚服務(wù)供應(yīng)商的安全責(zé)任與為此承擔(dān)的義務(wù)。因?yàn)橐坏┯腥送ㄟ^(guò)這些新的途徑竊取數(shù)據(jù)，明確的責(zé)任劃分是解決問(wèn)題的必要前提。閱讀合同及協(xié)議內(nèi)容的過(guò)程無(wú)疑枯燥甚至令人抓狂，但這是保護(hù)自身安全的最佳辦法。作為CIO，即使不親自處理這一工作，也要把它交給團(tuán)隊(duì)中值得依賴的同事負(fù)責(zé)。有證據(jù)表明，大多數(shù)企業(yè)的管理層在云計(jì)算領(lǐng)域反應(yīng)遲緩，很少有人提前對(duì)技術(shù)、業(yè)務(wù)以及法律問(wèn)題做出明確分析。

3. 在移動(dòng)安全問(wèn)題方面多思考。 智能手機(jī)從設(shè)計(jì)理念上就秉持著以不同運(yùn)營(yíng)商及Wi-Fi熱點(diǎn)為載體，始終保持接入移動(dòng)世界的連通狀態(tài)。因此智能手機(jī)供應(yīng)商必須從一開(kāi)始就把安全保護(hù)機(jī)制與產(chǎn)品本身融為一體。在企業(yè)應(yīng)用領(lǐng)域，智能手機(jī)的保護(hù)措施主要包括應(yīng)用程序沙箱環(huán)境、操作系統(tǒng)與用戶數(shù)據(jù)彼此隔離、內(nèi)置加密機(jī)制以及遠(yuǎn)程數(shù)據(jù)清除技術(shù)等等，這一系列特色方案都是企業(yè)長(zhǎng)久以來(lái)使用的臺(tái)式機(jī)及筆記本電腦所不具備的。

明智的CIO會(huì)選擇一套理想的移動(dòng)安全保護(hù)模式，并以此為基準(zhǔn)貫徹到企業(yè)中的每一臺(tái)用戶設(shè)備上。這種積極的應(yīng)對(duì)方式顯然比消極等待、力圖通過(guò)降低移動(dòng)設(shè)備普及率的辦法減少安全威脅要科學(xué)得多。今年的黑帽大會(huì)首次邀請(qǐng)到蘋果公司的參與，這家新興移動(dòng)設(shè)備巨頭在大會(huì)上演示了iPhone iOS軟件在安全保護(hù)方面的心得及具體措施。

4.開(kāi)發(fā)人員與安全專家不需要也不可能經(jīng)常碰頭，但他們必須協(xié)同合作。大部分技術(shù)人員在從事軟件開(kāi)發(fā)工作時(shí)，都喜歡將關(guān)注重點(diǎn)放在用戶界面及快速部署等表面工夫上，而安全問(wèn)題則被放在一邊。與此同時(shí)，安全專家則花費(fèi)大量時(shí)間與精力用于檢測(cè)并修改開(kāi)發(fā)者已經(jīng)犯下的錯(cuò)誤，而不是在應(yīng)用程序設(shè)計(jì)早期就參與進(jìn)來(lái)、將問(wèn)題扼殺在搖籃中。“開(kāi)發(fā)人員一直是軟件產(chǎn)品的主導(dǎo)者，”安全研究員Dan Kaminsky在黑帽大會(huì)上不無(wú)抱怨地指出。

5.最終，數(shù)據(jù)與設(shè)備物理安全將合二為一。所謂“物聯(lián)網(wǎng)”及機(jī)對(duì)機(jī)通信的出現(xiàn)，意味著可能遭受惡意活動(dòng)侵襲的不再只是數(shù)據(jù)基礎(chǔ)設(shè)施，現(xiàn)在任何一套采用計(jì)算機(jī)加以控制的物理系統(tǒng)（例如采暖、電氣等等）都必然要面臨各種安全威脅。在本屆黑帽大會(huì)中，安全專家演示了如何對(duì)一系列架構(gòu)相似的酒店門卡系統(tǒng)進(jìn)行破解，結(jié)果令人心驚同時(shí)發(fā)人深省。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]