安全,不是个单纯的技术活儿

绝大多数的组织和企业均已深知安全重要性,也在不遗余力地将系统做到安全,但遗憾的是,系统只存在两种状态:已经被攻破和即将被攻破——数据也是,只有已经被泄露的和即将被泄露的。这难道是防护技术的问题么?

对抗安全威胁的决心与投入

安全防范这件事情,不在于其实现的难度而是在于决心和资源的投入。

棱镜门项目之所以如此无处不在令人发指,是由于NSA拥有一群世界一流的计算机专家和网络安全专家,他们手里握有各种途径获取的漏洞和技术优势及工具,利用这些资源实施国家级的监听活动。而且,从03年制定《确保信息安全的国家战略》,美国用了10年,拥有完备的信息安全法案、分工明确的信息安全政策体系。从国家层面、机构层面形成了自上而下、分工明确、响应及时的信息安全政策执行体系。

在意识上,我们确实与他们差了一大步。

对抗安全威胁的决心与投入

(想想美国拿“棱镜”这样的项目拍过多少部大片来圈钱了。)

单靠技术无法抑制安全事件增长

安全战略涉及行业政策法规,技术装备、安全保障目标,IT基础设施,但是多数情况下安全工作还是停留在技术层面,机构安全和安全企业面对的诸多问题难以得到解决。

在这种态势面前,安全绝不仅仅是安全技术问题,业务流转的全部过程也参与其中,设备、意识、制度和监管都是安全战略的重要组成部分。

2013年中国网民信息安全状况研究报告

泄密往往通过日常的、局部的风险累积

拿窃听手段来说,隐藏针孔摄像头和安装在各种匪夷所思地点的窃听器什么的,都属于过去式了;在今天这个互联网无处不在的世界,通过一个人在网络世界留下的各种零散信息印记,就可以会拼接出一个重要的信息。

以往的信息防护,将数据和信息划分成不同的安全级别,安全级别越高防护措施越好。但是在现下,对一个系统或者设备做风险评估的方式已经不能适应今天的形势,而是要对整个行业做综合的整体评估。

泄密行为

泄密的常常是一些日常行为,比如传照片发微博,比如聊天时截个图

“棱镜门”最大的意义,就是全所未有地唤醒了人们对于信息的危机意识。在产业中的影响力——政府、金融、电信、教育等各行各业掀起了一股重视机密数据安全的热潮。作为企业,要自觉承担起更多的社会责任,提高主观上的重视程度和防范意识,不仅仅要保护支撑企业立足的数据安全,也要自觉维护起消费者基于信任才交付给企业的那些数据安全。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注