大数据时代的大安全

big-security
大数据不仅成为互联网行业的热门词汇,更是目前信息化领域关注的创新技术焦点。

将信息系统应用于业务创新之时,不断产生的大量数据给传统IT管理带来挑战,特别是基于大数据的深度分析和有效利用,让IT重回业务创新流程的核心。IT初期建设之后的优化和改进在大数据时代朝气蓬勃,同时,如何有效利用大数据,将老旧的、不合时宜的、维护成本过高的信息系统顺利迁移到新的应用平台上呢?如何将安全威胁隔离出来呢?这是不少关注信息安全的IT管理者的头等大事儿。

通常关键性的行业如互联网、通讯、金融等领域拥有海量的数据,信息化程度也很高,性能问题不能一直靠简单增加服务器、网络设备及带宽来解决。高可用性的需求也时刻要求我们避免系统故障和停工时间。有效预知未来可能发生的安全事件,则是大数据时代最大的安全研究课题。

信息安全技术派可能喜欢搭建强大的信息系统来监控和侦测各信息系统的使用情况,并进行大量的条件设定,以便能通过使用大数据来实现我们所期望的大安全,进而让各类安全威胁能够被自动识别、预知、报告和进行高度关联式的响应。

偏执的信息安全技术派简单地将大安全想象成Hadoop版本的SOC,这不免有些天真的可爱。因为对于业务来讲,关心的更多的是界面和功能,对后台的深层次的技术东西,比如是用IBM,还是HP或Oracle的平台,业务部门的兴趣不大。昆明亭长朗然科技有限公司大数据安全观察员James Dong说:实际上,在后台技术方面,他们更愿意交给IT人员来做决定,当然业务部门的要求也很有道理,系统最好能够有很好的扩充性,以便满足业务不断发展的扩张的需求,此外便是价钱要合理,而且尽可能少花钱多办事儿。

那大安全如何办呢?信息安全关乎业务安全,这可是不能打折的。但是在业务眼中的信息安全是什么呢?防病毒防黑客?远不是。业务持续运行不中断,或意外中断后能快速恢复?有点道理。更重要的一点儿,业务安全期望IT安全的目标和战略能够满足到业务的目标和战略实现。

说到信息安全目标和战略,便是大数据时代大安全应该积极与其保持一致的,这不是夸夸其谈纸上谈兵来点虚妄的理论。在实践方面,大安全当然要跳出IT的思维圈子,也不仅仅是将传统的物理安全、生产安全、职业安全等纳入进来。

大安全,之所以要大,海纳百川,有容乃大。把安全做大的同时也是在创新,在安全创新方面,我们要想业务所想,急业务所急,细化业务安全目标与职责,通过大数据系统来驱动业务安全的实现。强化业务风险识别与监管、内控与合规、公司治理、防内幕交易、防腐败……

大安全不是搞一套监控信息系统的安全管理系统,而是将安全理念和安全控制内置到业务流程之中,比如在关键业务信息系统的审批和流向之中加入必要的控管措施,防止专权或渎职、防止太过于保守和太过于激进等等影响业务持续健康发展的安全隐患。

要让大安全得以成功实施,需要较多的沟通协调和人员培训。这是一项大工程,每家公司都不一样,所以需要量身定制的大安全培训解决方案。使用昆明亭长朗然科技有限公司的信息安全培训解决方案,客户可以获得物超所值的精致实用的而且贴身可靠的安全培训产品和服务。

实施和运作信息安全管理体系

依照ISO27001的指导思想,部署信息安全管理体系ISMS的第一阶段,包括完成适用性声明SoA。SoA必须识别出控制目标和选定的控制措施,以及选定它们的原因,它又同时回应到风险评估和风险应对计划。标准还要求识别出目前已实施的控制,以及识别出信息安全管理体系日常运作中涉及到的绝大多数控制。昆明亭长朗然科技有限公司信息安全管理专员董志军对此表示,很多安全人员以为信息安全就是安装各种安全系统,然而安装安全系统也需要有指导纲领,也需要有方法论。

差距分析

下一步的关键是进行差距分析。差距分析的目的是确定风险评估进程中识别出的控制和SoA中记录的控制,以及实际部署的控制之间的差距。在大多数组织中,实际上拥有的控制措施和它们所需要的并不一致,这种情况并非罕见。这种不一致并非仅仅包含说组织缺乏相应的控制措施,而且也包含已有的控制措施没有得到恰当正确的操作,或者一些控制根本没有必要。差距分析需要同时对信息安全管理体系和流程管理方面进行评估,同时还要对已经实施的技术控制进行评估,最好是由独立于被评估领域之外的专家进行。

差距分析使本组织能够将风险处置计划的第二也是最重要的部分放在一起,“管理信息安全风险的管理行动、资源、责任和优先级别”是一套详细的行动计划,运用它们,可使组织切实实施其信息安全管理体系。如前所述,风险处理计划是联接信息安全管理体系PDCA循环的四个阶段的关键文件,并确保一切需要做的得到了贯彻执行。

部署实施

信息安全管理体系的设计和实施的剩余第二阶段包括以下五项活动:

  1. 实施风险处理计划和SOA中确定的控制;
  2. 定义如何衡量和评估所有控制的有效性;
  3. 实施信息安全意识,教育和培训和宣传活动方案。从高处看,信息安全管理体系的成功,离不开人们的行为。有效的信息安全是技术、人员和流程三大要素的紧密配合,少了任何一项,都不足够。
  4. 管理信息安全管理体系,所有的联锁控制和程序必须继续工作,新的威胁需要得到识别、评估和进行必要的处理。人员需要招募和训练,要监督他们的绩效表现,以及按照业务不断变化的需求开发他们的技能。ISMS的有效性必须加以管理,长期的持续改进必须得到计划和领导;
  5. 实施事件检测和响应程序,它连接到ISO27002的信息安全事件管理。它包含两项控制目标和五项控制措施。开发和实施信息安全事件管理流程合乎标准的要求,并且经常开始于信息安全管理体系项目的启动。

总结与补充

信息安全人员要注意站在全局角度看安全控制系统,这样才能走出狭窄封闭的小圈子。大的图景在心中,在部署落实控制措施时心中有数,对控管目标和总体方向有适当的把握,就不会走偏,也不会钻牛角尖。要补充强调的是,信息安全管理是人员、技术和流程的有效结合,很多事情仅靠技术解决不行,可能成本过高、难被理解、易被突破或存在争议,这时需要更多使用流程和人员方面的控制措施和手段进行弥补。

管理层需要确保有广泛而充分的安全意识和培训计划,以让所有人员对信息安全的认知满足最低的标准,同时不断引导新入职人员,并且保持所有人员对最新安全威胁、风险和防范措施的认知刷新。在这方面,昆明亭长朗然科技有限公司专注于帮助安全管理人员强化针对全员的信息安全意识宣教活动。我们有大量的方案和素材,可供选择使用。欢迎有兴趣和需求的安全人员联系我们。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机/微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898