DoSECU 安全分析 3月10日消息:2009年对于IT部门而言无疑是严峻的一年。随着美国和整个世界经济的持续疲软,经济形势日渐低迷,IT基础架构预算出现吃紧,员工资源也面临限制。由此网络安全需求也显得前所未有的迫切。在此Knowledge Center专业评论人杰夫.普林斯对企业安全需求如何与IT基础架构预算相匹配提出了自己的建议。
在目前的经济形势下,企业在进行提高效率和生产力实践的同时也会带来安全风险的加剧。
举例来说企业会更多的采用离岸外包业务,与承包商,审计和合作伙伴的业务往来会更加频繁。这些外部人员这时就会成为内部人员。他们会访问企业的网络,运行公司的应用软件,甚至有权使用企业内部的所有权和机密信息。
离岸外包业务增加了一种新型的劳动力模式,他们比内部员工的流动性更强,可控性更小。这种新型劳动力能使用公司的IT资源。另外,他们还可以存储诸如客户和患者详细资料,产品设计方案和在线财务信息,通过网络对数据进行访问,这些都让知识产权和私人信息处于风险之中。通过互联网进行的语音通话等重要服务也面临数据攻击的风险,甚至导致服务被拒。
除了会增加风险外,许多企业还面临行业和政府机构施加的更加严格的规范,这些都是前所未有的。把所有这些因素和安全控制的需求结合起来是很有必要的。安全控制在银根紧缩的情况下还要保证不会影响到业务的发展。
但是如何让IT部门将改进安全的需求顺应目前经济的现实情况?幸运的是,最新的安全发展能为我们在经济风暴的阴霾中提供一线希望。压缩的预算和剧烈的经济滑坡迫使IT部门要透过现实寻找出路。企业必须仔细审核他们的采购方案,积极部署能改善信息和其他资产安全的成本节约型创新计划。
安全新视点
对安全事宜进行全新的远景规划能帮助IT部门在安全,预算和企业需求之间找到平衡点。确实,安全领域的某些最新发展能帮助IT部门改进信息和资源保护的访问控制,而且不会耗费资源或降低业务的运作效率,也不会让员工不堪重负。
1."首要任务是不能伤害"
"首要任务是不要伤害",这句源自西方最早的医师誓词也同样适用于IT安全。IT部门必须寻找合适的工具来加强安全控制,但是不能破坏现有的系统。工具不能强迫用户来接受新的行为,要求他们对网络基础架构做出任何改变,也不能因为要对某些IT组件进行配置而加大资金的负担。
如今有很多易于使用和配置的安全应用工具,适用于任何网络,能帮助IT部门来验证用户,应用基于角色的访问控制协议,对用户和应用软件行为进行记录。
2.对创新采取开放的态度
当成熟的IT基础架构已经应用到位,我们很容易采取惯用思维去做接下来的工作。毕竟你首次采用的方式也能发挥作用。你可以去选择合适的厂商,但为什么会对成功产生影响呢?许多IT企业常年坚持使用同一家基础架构厂商的产品,年复一年的向他们支付大额资金,却从来不去对其他可选厂商进行市场调研。
但是在经济困难时期,就需要打破这种惯常思维,对每个即将执行的网络设备采购方案进行认真衡量。创新正在网络的很多方面悄然发生,许多新厂商都凭借卓越的安全解决方案进军安全市场,IT部门也能从这些新厂商中找到所需的产品和服务。负有责任的网络基础架构厂商必须拓展和保护他们现有的用户群和产品基础。
3.考虑整合
或许创新最显著的例子就是多数用户目前都能访问局域网。将用户和应用软件的智能控制通过网络连接起来的集成解决方案能实现多种功能。他们能帮助IT部门来确保访问协议的执行,控制打印机等非用户设备,对局域网中特殊用户的所有行动-趋势,法规遵从等进行跟踪。
由于企业不再需要购买多种系统,因此集成安全解决方案就能自动减少基建投资。整合还能提高IT部门的效率,通过故障处理,法规遵从和支持运行IT语音通话的融合网络等简化任务需求来降低对多重系统的管理成本。
集成安全应用工具能让IT部门提高对网络的控制,并且不会对下层网络产生任何影响,即使他们是在基础架构上运行的。
因此IT部门应该去考虑新的网络安全创新方案,因为它并不会改变你的网络。审视你所有的选择。对集成多种安全性能的产品进行运作和成本优势的市场调研。最后,采取这些步骤还能保证IT部门在保护公司在线资产的同时让IT预算都支出合理。