6月12日,DOIT传媒采访了CA Technologies亚太及日本地区安全副总裁Vic Mankotia先生。采访过程中Vic Mankotia先生诙谐的语言和丰富的知识给记者留下了很深的印象。
CA Technologies亚太及日本地区安全副总裁Vic Mankotia先生
过去三年整个互联网改变很大,原来企业考虑安全的时候主要考虑防火墙,考虑情报库系统、入侵预防系统和防病毒系统。但是目前企业比较关注的是信息。这包括如何保护企业数据,什么类型的用户使用什么样的设备访问信息,例如通过USB,社交网络等等。而CA Technologies正是在身份和访问控制、认证这个领域的市场领导者,因此在本次采访中Vic Mankotia先生也像媒体详细阐述了CA Technologies在这些方面所能给企业带来的好处。
身份认证+内容保护 CA Technologies全面护航企业信息安全
Vic Mankotia表示:在整个安全防护领域中,有传统的身份认证和访问管理解决方案提供商,也有内容保护、信息系统保护的提供商。CA Technologies目前做的恰恰是将这两个方面的解决方案结合在一起,是这个中间领域唯一的提供商。
据悉,目前CA Technologies是唯一把身份管理和信息保护这两个方面连接在一起的。比如说有的提供商只做信息保护,有的做身份管理,企业如果分别找了两个方案提供商提供相应的解决方案,他们的解决方案是不能把这两块结合在一起的,而CA Technologies是可以把这两块解决方案连接在一起的。
CA Technologies方面也提出,目前在企业信息安全中,除了需要阻拦错误信息,还需要维护正确信息的正常交易。企业需要确保正确的用户访问正确的数据,并以正确的方式处理这些数据。同时还需要保护重要的信息不能丢失和泄露。这是在新的IT世界中企业需要考虑的。
云时代的信息安全
云起云涌的时代,几乎很多企业也都开始了“云计算”的征程。对于云时代的信息安全, Vic Mankotia也有他较为独到的见解。他认为目前很少的企业是全部的云化,大部分的企业都处于混合云这样的一个环境中。因此首先对于数据保护来说,不管是结构化数据还是非结构化的数据,即使是影像数据,其实都无所谓。不论数据所在的是虚拟的环境还是混合环境,首先还是需要关注在数据这个层面。如何去保护数据呢,还是需要从认证开始。
所以不论企业是混合的云环境,还是虚拟化的环境,都要集中在数据保护。CA Technologies是从四个层面提供云服务。CA Technologies通过SaaS服务提供身份管理、联邦身份认证(跨机构的身份认证)、强认证管理(双或多因素的认证管理),以及风险管理(基于交易风险管控的认证管理)。
他还举例说明假如数据泄露防护,它能够了解系统里的内容以及存在的问题。强认证能够通过两层或者三层的认证识别用户信息。例如普通的用户密码交易,这是一个因素认证。但是强认证是双因素认证,不仅需要密码,还需要证书方式认证,或者短信认证、一次性密码认证,这些都是双因素。就是通过多层次的认证来识别用户身份。
为了加强安全强度,CA Technologies也有自己独特的安全令牌即CA ArcotID。CA ArcotID是一次性密码的软件令牌,不是硬件令牌。RSA使用的是硬件令牌,CA Technologies提供的是软件领牌,使用的是一种革新的防伪技术。
此外,Vic Mankotia先生还提到目前CA Technologies还可以提供基于风险的管控认证。
企业不分大小 安全同样重要
会上,记者提到对于小企业和大企业应该如何分别制定安全策略的这一问题。Vic Mankotia很明确的表示:“无论什么规模的公司,制定安全策略都是一样的,都需要防止病毒入侵。”相信这也是很多企业的真实现状。Vic Mankotia先生告诉记者:企业规模比较小的时候,所有的服务都可以从服务提供商来购买。当企业规模比较大了,企业可以自己组建一部分安全系统,另一部分以云服务的方式来购买。
此外,他还表示安全的真正意义不在于花费多少钱去保护数据,而是在于若出了安全问题,企业会损失多少。因为若发生安全问题,对企业的损失是非常大的。
对此Vic Mankotia先生举了一个很鲜活的例子告诉企业这其中的必要性:汽车里的安全带是司机的首要安全保护系统。安全气囊是司机的次要保护系统。那现在企业的安全防护,首要的是身份认证和访问管理、数据泄露防护、强认证,次要的是防病毒入侵等传统的方式。这和以前的方式是相反的。以前的方式的隔离错误信息,例如不联网或者不访问。现在的方式是要了解用户信息,用户访问权限,用户使用的设备,这是现在的安全管理所关注的。以前是方式是说不(No),而现在的方式是获知(Know)。
最后Vic Mankotia先生总结出目前CA Technologies在安全防护方面的五个重要的层面:
第一,CA Technologies能够帮助企业确保正确的用户使用正确的设备访问正确的信息。
第二,CA Technologies能够帮助企业保护在线交易系统的安全,确保业务的正常运转。不仅保护在线业务,同时保护企业混合云环境情况下的IT信息系统。
第三,CA Technologies的解决方案是基于风险防控的解决方案,同时结合基于内容感知的身份认证和访问管理解决方案,这非常重要。
第四,社交网站需要让用户正确的连接、使用社交网站,确保安全。IT的消费化,携带自己的设备办公(Bring Your Own Device)这样的趋势也需要企业去加强安全管理。
最后,若企业发生安全事故,损失的不只是金钱,同时包括企业的声誉、无形的资产,股票市场也会受到影响。
所以如今IT世界变化很快,企业需要加强管理和保护IT整个系统,确保正确的用户访问正确的数据,并以正确的方式处理这些数据。
