国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　RSA總裁亞瑟·W·科維洛在1月26日接受本站記者專(zhuān)訪時(shí)，詳細(xì)闡述了RSA 2010年的新戰(zhàn)略，簡(jiǎn)稱(chēng)“3I+S”。該戰(zhàn)略詳細(xì)介紹了在目前越來(lái)越復(fù)雜的信息交流合作情況下，特別是環(huán)境中，RSA如果解決多平臺(tái)交叉情況下的問(wèn)題。

　　3I：由點(diǎn)到面挖掘信息風(fēng)險(xiǎn)

　　“3I”指的是Indentifies (身份保護(hù))、Infrastructure (基礎(chǔ)架構(gòu)保護(hù))、Information (信息保護(hù))。 科維洛先生說(shuō)：“不管哪種安全，都可以用這三個(gè)I進(jìn)行解釋和分析，所以我們RSA有一個(gè)非常遠(yuǎn)大的目標(biāo)，就是保證正確的人通過(guò)可信的信息基礎(chǔ)架構(gòu)訪問(wèn)正確的信息。”

　　具體的技術(shù)實(shí)現(xiàn)方式首先落實(shí)到具體的點(diǎn)上，即就是在身份方面有安全控制節(jié)點(diǎn)，信息基礎(chǔ)架構(gòu)也是一樣，同樣信息保護(hù)也是RSA關(guān)注的安全控制點(diǎn)。

　　這些具體的點(diǎn)又不是孤立的，他們之間相互聯(lián)系，相互影響。這三個(gè)I并不是獨(dú)立存在的，首先信息是人創(chuàng)造的，如何看信息的流動(dòng)呢？信息可能是由某一個(gè)應(yīng)用產(chǎn)生創(chuàng)造的，在中，通過(guò)網(wǎng)絡(luò)、路由，由人去訪問(wèn)，而人訪問(wèn)這個(gè)信息又是通過(guò)信息基礎(chǔ)架構(gòu)來(lái)實(shí)現(xiàn)的，所以談到相應(yīng)的這些安全控制點(diǎn)之間也要做到互相之間的協(xié)調(diào)。

　　如何實(shí)現(xiàn)協(xié)調(diào)？就是有賴于一家企業(yè)建立一個(gè)適當(dāng)?shù)倪\(yùn)營(yíng)策略框架。當(dāng)然首先要對(duì)這個(gè)企業(yè)的運(yùn)營(yíng)，就是存在什么樣的信息風(fēng)險(xiǎn)有一個(gè)充分的了解，然后再知道應(yīng)該采取什么樣的方式去控制風(fēng)險(xiǎn)。也就是說(shuō)要從這三個(gè)方面找出可能出現(xiàn)的信息風(fēng)險(xiǎn)，然后才能針對(duì)這三類(lèi)風(fēng)險(xiǎn)的特點(diǎn)進(jìn)行控制和治理。

　　GRC：通用規(guī)則應(yīng)對(duì)信息風(fēng)險(xiǎn)

　　接著，科維洛先生引出了GRC，其中G代表的是公司治理，R代表的是風(fēng)險(xiǎn)控制，C代表的是法律遵從以及合規(guī)。如果一家公司有適當(dāng)?shù)墓局卫?，有很好的風(fēng)險(xiǎn)控制，帶來(lái)的良好結(jié)果自然就是法律遵從。有很多的公司都是本末倒置了，他們?yōu)榱苏f(shuō)我完成了這項(xiàng)工作，先從法律遵從開(kāi)始做，但是法律遵從做了之后，由于這家公司風(fēng)險(xiǎn)控制的策略不好，治理也不好，實(shí)際上并沒(méi)有帶來(lái)很好的效果。

　　其中科維洛先生特別強(qiáng)調(diào)的一點(diǎn)就是，沒(méi)有一家安全廠商可以說(shuō)我能夠提供在這三個(gè)I方面所有的安全控制產(chǎn)品，比如說(shuō)RSA公司做身份方面的安全控制產(chǎn)品和信息安全控制產(chǎn)品。而像、網(wǎng)絡(luò)這樣一些屬于信息基礎(chǔ)架構(gòu)的安全控制，RSA還是依賴于合作伙伴這些廠商去做的。

　　那么不同的廠商提供的安全控制點(diǎn)之間的協(xié)調(diào)由誰(shuí)去統(tǒng)一管理？就是GRC，也就是治理、風(fēng)險(xiǎn)、合規(guī)這樣一個(gè)政策框架管理的。也就是說(shuō)不管你這家公司自己內(nèi)部是有什么樣的治理?xiàng)l例或者當(dāng)?shù)貒?guó)家有什么樣的法規(guī)，都可以被放到這樣一個(gè)GRC的政策框架中去執(zhí)行。這樣的話在這個(gè)大的框架之下，所有這些安全節(jié)點(diǎn)的運(yùn)行都是符合公司內(nèi)部條規(guī)和當(dāng)?shù)胤ㄒ?guī)的。

　　筆者認(rèn)為，這就好比大禹治水，他采用疏導(dǎo)的方式，打通了河道就降低了水壓，自然可以減少洪水的泛濫。一味的修高堤壩，只會(huì)使水壓升高，最終帶來(lái)更大的洪水爆發(fā)。風(fēng)險(xiǎn)控制也是一樣，如果一開(kāi)始只是盲目制定法律規(guī)則，也許這些規(guī)則并不能控制真正存在的安全風(fēng)險(xiǎn)。而適當(dāng)?shù)墓局卫?，則可以逐漸降低風(fēng)險(xiǎn)，并在治理過(guò)程中找到可行的法律規(guī)則。

　　S：動(dòng)態(tài)分析形成安全閉環(huán)

　　“S”指的是SIEM，就是安全信息事件管理，安全信息事件管理是屬于在后臺(tái)運(yùn)作的系統(tǒng)，這些在各個(gè)節(jié)點(diǎn)的安全產(chǎn)品它們的運(yùn)轉(zhuǎn)產(chǎn)生了很多日志信息和事件，這些日志信息和事件是由后臺(tái)的SIEM系統(tǒng)收集的。有了SIEM這樣一個(gè)信息的收集，就可以理解和分析各個(gè)控制點(diǎn)是不是在正常的運(yùn)轉(zhuǎn)，并且把這些信息反饋給我們GRC的政策框架。所以這就是對(duì)一個(gè)企業(yè)形成了非常良好的安全閉環(huán)系統(tǒng)，也就是說(shuō)RSA并不是觸及到各個(gè)角落，但是中間某些控制節(jié)點(diǎn)是RSA做的。

　　對(duì)安全產(chǎn)品運(yùn)行過(guò)程中出現(xiàn)的日志信息和事件進(jìn)行收集整理及理解分析，從中可以找到潛在的安全漏洞或安全薄弱環(huán)節(jié)并加以修復(fù)，同時(shí)決策框架也會(huì)在以后的運(yùn)行過(guò)程中對(duì)這類(lèi)安全風(fēng)險(xiǎn)加以重視，及時(shí)準(zhǔn)確地清除安全風(fēng)險(xiǎn)。

　　綜述

　　筆者認(rèn)為“3I”：Indentifies (身份保護(hù))、Infrastructure (基礎(chǔ)架構(gòu)保護(hù))、Information (信息保護(hù))分別對(duì)應(yīng)的云計(jì)算中用戶的身份保護(hù)、服務(wù)提供商的安全問(wèn)題、數(shù)據(jù)中心的信息安全這樣三個(gè)方面。也就是說(shuō)要保護(hù)用戶的隱私權(quán)，使其信息不被三個(gè)環(huán)節(jié)中的任何一個(gè)泄漏出去;同時(shí)要保障基礎(chǔ)架構(gòu)的安全，基礎(chǔ)架構(gòu)一旦被破壞了，兩端的信息都有可能泄漏出去，而且云計(jì)算整個(gè)系統(tǒng)也會(huì)癱瘓;第三點(diǎn)的影響力更大，一旦數(shù)據(jù)中心遭到，大量的資料或數(shù)據(jù)就會(huì)遭到惡意利用，后果不堪設(shè)想。因此，這三個(gè)方面都是的重中之重。

　　GRC可以幫助云計(jì)算中的三方各自管理好自身的信息安全問(wèn)題，動(dòng)態(tài)分析則又將這三者聯(lián)系到一起，將一個(gè)環(huán)節(jié)中出現(xiàn)的問(wèn)題共享，提前找出其他兩個(gè)環(huán)節(jié)中存在相似的問(wèn)題，或者檢測(cè)類(lèi)似問(wèn)題的發(fā)生，都能提高云計(jì)算的安全性能。

　　RSA對(duì)于未來(lái)云計(jì)算環(huán)境下交叉復(fù)雜的安全問(wèn)題，給出了一個(gè)多側(cè)面的安全保護(hù)模式，并進(jìn)行動(dòng)態(tài)的安全跟蹤，為2010年云計(jì)算的廣泛應(yīng)用鋪好安全基石。