解決辦法在于針對(duì)特定的威脅來(lái)保護(hù)安全。可問題是，說(shuō)到采用有系統(tǒng)的風(fēng)險(xiǎn)管理流程，IT人員遠(yuǎn)遠(yuǎn)落后于其他方面。不過(guò)有些技術(shù)專業(yè)人士已經(jīng)在積極分類IT資產(chǎn)、賦予風(fēng)險(xiǎn)值、評(píng)估威脅、然后確定何處及如何緩解風(fēng)險(xiǎn)，他們發(fā)現(xiàn)，風(fēng)險(xiǎn)管理流程極其重要。

簡(jiǎn)而言之，風(fēng)險(xiǎn)管理原則為信息安全帶來(lái)了精確性。

這次安全調(diào)查表明了風(fēng)險(xiǎn)管理如何可以讓公司把注意力放在對(duì)付最重要的威脅上：不安全的代碼編寫方法讓所有調(diào)查對(duì)象都遭了殃。所在組織已落實(shí)風(fēng)險(xiǎn)管理計(jì)劃的調(diào)查對(duì)象當(dāng)中近一半在設(shè)計(jì)應(yīng)用程序時(shí)就具體規(guī)定了安全功能。在沒有落實(shí)風(fēng)險(xiǎn)管理計(jì)劃的調(diào)查對(duì)象當(dāng)中，只有22%專注于代碼的安全性。

我們需要這次安全調(diào)查帶來(lái)的那種震撼。21%的公司從來(lái)沒有進(jìn)行過(guò)安全風(fēng)險(xiǎn)評(píng)估；而在進(jìn)行過(guò)這項(xiàng)工作的公司當(dāng)中，只有五分之一嚴(yán)格使用了專業(yè)的外部審計(jì)人員。盡管63%的公司需要滿足與數(shù)據(jù)安全有關(guān)的政府或者行業(yè)法規(guī)，但其中許多法規(guī)并沒有為如何遵守提供充分的指導(dǎo)。在這類灰色地帶，最佳實(shí)踐是最佳防御之道。

公司還沒有及時(shí)部署加密技術(shù)，以此保護(hù)客戶和員工的數(shù)據(jù)。我們?cè)认Ｍ?，不斷發(fā)生的一系列重大數(shù)據(jù)丟失事件會(huì)讓大多數(shù)公司開始積極采取綜合的隱私保護(hù)措施。所以我們發(fā)現(xiàn)一半以上的公司為了保護(hù)客戶數(shù)據(jù)而采取的惟一措施居然就是向員工告知安全標(biāo)準(zhǔn)、在網(wǎng)站上發(fā)布隱私政策，覺得灰心喪氣。這些是正確步驟，但并不排斥需要加密（只有34%的公司采用了加密）或者需要隱私政策審計(jì)（只有25%的公司采用了審計(jì)）。讓人震驚的是，11%的公司表示沒有隱私方面的防范措施來(lái)保護(hù)客戶數(shù)據(jù)。任何措施都沒有。

投資能得到怎樣的回報(bào)？

沒必要責(zé)怪掌握財(cái)務(wù)大權(quán)的人員或部門。對(duì)近30%的調(diào)查對(duì)象來(lái)說(shuō)，安全這一塊至少占了IT總預(yù)算的11%。但壞消息是：各種病毒、網(wǎng)絡(luò)釣魚攻擊和蠕蟲在繼續(xù)興風(fēng)作浪，讓人頭痛不已；許多公司不斷把錢砸入到防火墻和反病毒保護(hù)技術(shù)上。由此猜測(cè)這些產(chǎn)品類別會(huì)銷聲匿跡，或者至少會(huì)被并入到其他技術(shù)，未免為時(shí)過(guò)早，因?yàn)?3%的調(diào)查對(duì)象表示，就容易遭到安全泄密和惡意代碼攻擊的程度而言，今年與去年一樣，甚至還要糟糕。防火墻和反病毒保護(hù)是一半以上的調(diào)查對(duì)象認(rèn)為很有效的惟一兩個(gè)產(chǎn)品類別。

罪魁禍?zhǔn)资钦l(shuí)？復(fù)雜性，62%的調(diào)查對(duì)象提到復(fù)雜性是最大的安全挑戰(zhàn)。如今，更多的數(shù)據(jù)出現(xiàn)在網(wǎng)絡(luò)上；更多的代理程序在公司計(jì)算機(jī)上運(yùn)行，員工們期望對(duì)自己使用的個(gè)人電腦擁有一定的控制權(quán)；隨著出差和能源成本急劇攀升，公司越來(lái)越多地采用分支機(jī)構(gòu)和遠(yuǎn)程員工，這一潮流使得數(shù)據(jù)到處分布，因?yàn)槿藗兤谕軌驈目蛻衄F(xiàn)場(chǎng)、家里或者街道那邊的咖啡店安全辦公。

復(fù)雜性還源于需要同時(shí)滿足多項(xiàng)法規(guī)遵從需求、對(duì)員工和用戶進(jìn)行安全意識(shí)方面的培訓(xùn)和教育，以及應(yīng)對(duì)技術(shù)越來(lái)越復(fù)雜的網(wǎng)絡(luò)。

大多數(shù)公司（63%）必須遵守一項(xiàng)或者多項(xiàng)政府或行業(yè)法規(guī)，其中許多法規(guī)措辭含糊，并沒有給出具體的指導(dǎo)表示可以采用哪些技術(shù)來(lái)滿足需求。為了滿足法規(guī)遵從方面的目標(biāo)，美國(guó)政府部門的信息系統(tǒng)安全辦公室項(xiàng)目經(jīng)理Kevin Sanchez Cherry表示他運(yùn)用了最佳實(shí)踐；他所說(shuō)的最佳實(shí)踐是指咨詢眾多有關(guān)方，包括美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）、SANS Institute、以及面臨類似挑戰(zhàn)的同行。由于實(shí)施了最佳實(shí)踐，他不需要把大量時(shí)間用在使多項(xiàng)法規(guī)遵從需求規(guī)范化上。

我們從來(lái)不缺攻擊者，也從來(lái)不缺期望向我們推銷解決方案以趕走攻擊者的廠商?？蓡栴}是，旨在緩解安全問題的產(chǎn)品大多數(shù)針對(duì)范圍比較狹窄的一批威脅，所以有許多競(jìng)爭(zhēng)性的技術(shù)可供選擇。要對(duì)付眾多系統(tǒng)上種類越來(lái)越廣泛的威脅，仍需要一大批這樣的單點(diǎn)產(chǎn)品。這對(duì)廠商們來(lái)說(shuō)是好事，但對(duì)IT人員來(lái)說(shuō)是壞事。

毫無(wú)疑問，我們正面臨迅速增加的一大批威脅，從外部攻擊者、不懷好意的員工到授權(quán)用戶，不一而足。雖然比較讓人害怕的是那些身份不明的計(jì)算機(jī)犯罪分子，但內(nèi)部用戶卻是最大的威脅，這是因?yàn)樗麄兊玫焦镜男湃危瑩碛性L問權(quán)，而且了解內(nèi)情。個(gè)別內(nèi)部用戶會(huì)另有私心，但極可能發(fā)生的一幕是：毫不知情的員工受騙上當(dāng)后，透露了公司機(jī)密，或者導(dǎo)致泄密事件發(fā)生，而他們的本意是想起到幫助作用。這種威脅很難對(duì)付，哪怕采用嚴(yán)格的流程和員工安全意識(shí)計(jì)劃也收效不大。足足35%的調(diào)查對(duì)象表示通過(guò)培訓(xùn)來(lái)阻止員工共享密碼效果不大，或者完全沒有效果。只有38%的調(diào)查對(duì)象認(rèn)為，自己能夠成功地阻止員工上社會(huì)工程學(xué)伎倆的當(dāng)。

Sanchez Cherry提議使用與目標(biāo)受眾切身有關(guān)的實(shí)際案例，能夠讓對(duì)方具體了解問題所在。比方說(shuō)，2006年，退伍官人管理署的一名員工丟失了含有私人信息的一臺(tái)筆記本電腦。這個(gè)典例可以表明一名出于好意的員工也有可能導(dǎo)致數(shù)據(jù)丟失。對(duì)Sanchez Cherry這樣的人來(lái)說(shuō)，就可以趁此機(jī)會(huì)反復(fù)強(qiáng)調(diào)，讓人牢記教訓(xùn)。

風(fēng)險(xiǎn)管理是解決之道

法規(guī)遵從難題、更廣泛的攻擊途徑、容易上當(dāng)?shù)淖罱K用戶。IT負(fù)責(zé)人應(yīng)當(dāng)如何是好？大致上來(lái)說(shuō)，信息安全工作要有所側(cè)重，最好的辦法就是不要再去考慮漏洞，而要開始考慮風(fēng)險(xiǎn)。沒有哪家公司堵得住每一個(gè)漏洞，因?yàn)槿狈ψ銐虻馁Y源，也從來(lái)不會(huì)有足夠的資源。就算擁有無(wú)限的預(yù)算，威脅格局也在不斷變化。

簡(jiǎn)單說(shuō)來(lái)，風(fēng)險(xiǎn)就是你因某項(xiàng)活動(dòng)而蒙受損失的可能性。風(fēng)險(xiǎn)管理方法使用人員、流程和產(chǎn)品來(lái)降低發(fā)生不妙事件的可能性；如果真的發(fā)生，就盡量減小損失。從IT的角度來(lái)看，這不僅僅是落實(shí)安全政策–接受調(diào)查的公司當(dāng)中差不多54%如今設(shè)法落實(shí)了安全政策。

IT人員需要不走常規(guī)路，對(duì)自己進(jìn)行培訓(xùn)，以便關(guān)注數(shù)據(jù)價(jià)值以及數(shù)據(jù)受到危及的可能性，而不是關(guān)注如何可能受到危及。明白如何受到危及固然很重要，但一旦數(shù)據(jù)泄露出去，就沒有辦法把它收回來(lái)。

使用風(fēng)險(xiǎn)評(píng)估的做法相當(dāng)廣泛，79%的調(diào)查對(duì)象在采用這種做法，不過(guò)不是所有公司隨后充分利用評(píng)估結(jié)果。在進(jìn)行評(píng)估的公司當(dāng)中，76%用來(lái)制訂安全政策，但只有41%用來(lái)幫助采購(gòu)和規(guī)劃。

當(dāng)然，不是說(shuō)你非得是MBA才能知道風(fēng)險(xiǎn)評(píng)估牽涉的不僅僅是IT和數(shù)據(jù)安全。許多公司推出新產(chǎn)品、管理營(yíng)銷預(yù)算、進(jìn)行資本投資時(shí)，一直在運(yùn)用風(fēng)險(xiǎn)分析。IT團(tuán)隊(duì)需要運(yùn)用自己公司里面的這種知識(shí)和見解。

美國(guó)電氣保險(xiǎn)公司（Electric Insurance）的系統(tǒng)工程與支持經(jīng)理Michael Hannigan表示，該公司把大約20%到25%的項(xiàng)目規(guī)劃時(shí)間用在了風(fēng)險(xiǎn)分析和管理上。因?yàn)閺囊?guī)劃到后期制作的整個(gè)流程都包括了風(fēng)險(xiǎn)分析環(huán)節(jié)，Hannigan發(fā)現(xiàn)能夠及時(shí)找出潛在問題，并加以解決。事后補(bǔ)救問題的成本要比在設(shè)計(jì)階段解決問題高得多。就拿美國(guó)電氣保險(xiǎn)公司來(lái)說(shuō)，風(fēng)險(xiǎn)管理已成為其公司文化的一部分–這對(duì)金融公司來(lái)說(shuō)不足為奇。我們都應(yīng)當(dāng)這樣積極主動(dòng)。

風(fēng)險(xiǎn)評(píng)估的大筆先期成本主要會(huì)來(lái)自分析資產(chǎn)和風(fēng)險(xiǎn)；確定項(xiàng)目、產(chǎn)品線和服務(wù)的價(jià)值；然后列出每個(gè)類別的風(fēng)險(xiǎn)。不過(guò)一段時(shí)間過(guò)后，這個(gè)流程會(huì)帶來(lái)回報(bào)。

Hannigan說(shuō)："你一定要有戰(zhàn)略。像身份管理和密碼管理這些重大的IT項(xiàng)目實(shí)施起來(lái)成本非常高昂，但你希望三五年過(guò)后得到怎樣的結(jié)果、什么才是最簡(jiǎn)單的捷徑？你不希望出現(xiàn)多個(gè)安全孤島。你希望標(biāo)準(zhǔn)化、不背離那些標(biāo)準(zhǔn)，除非存在誘人、合理的原因需要偏離標(biāo)準(zhǔn)。"

為了證明繁榮的安全產(chǎn)品市場(chǎng)，我們?cè)儐柌扇×四男┐胧﹣?lái)緩解風(fēng)險(xiǎn)時(shí)，72%的調(diào)查對(duì)象提到的第一個(gè)答案就是運(yùn)用技術(shù)來(lái)解決問題。這本身沒什么不對(duì)–技術(shù)問題需要技術(shù)方案來(lái)解決，但你要把它與一些更有戰(zhàn)略性的非技術(shù)方案作比較：只有18%的調(diào)查對(duì)象對(duì)敏感數(shù)據(jù)實(shí)行了基于角色的訪問機(jī)制。

考慮到針對(duì)性的風(fēng)險(xiǎn)管理需要大量精力和資金，評(píng)估日常流程的成功就至關(guān)重要。60%的調(diào)查對(duì)象使用內(nèi)部審計(jì)來(lái)評(píng)估風(fēng)險(xiǎn)管理項(xiàng)目是不是在取得成效；近一半的調(diào)查對(duì)象使用法規(guī)遵從來(lái)評(píng)估成效。但這些步驟沒有一項(xiàng)與請(qǐng)滲透測(cè)試專家來(lái)進(jìn)行破壞測(cè)試那樣來(lái)得有效，金融服務(wù)公司注意到了這一點(diǎn)；其中69%評(píng)估獨(dú)立審計(jì)的成效?？偟膩?lái)說(shuō)，取得成效的比例只有43%。

誰(shuí)控制、誰(shuí)負(fù)責(zé)所有這些預(yù)算費(fèi)用呢？在63%的公司當(dāng)中，IT預(yù)算資助風(fēng)險(xiǎn)管理項(xiàng)目，而這適用于各行各業(yè)。更值得關(guān)注的是，制訂風(fēng)險(xiǎn)管理計(jì)劃的公司當(dāng)中69%表示，從長(zhǎng)遠(yuǎn)來(lái)看，這種方法可以為自己節(jié)省費(fèi)用。只有22%的公司表示，風(fēng)險(xiǎn)管理項(xiàng)目會(huì)不斷消耗預(yù)算。人們常想到風(fēng)險(xiǎn)管理方面的永久成本，上述調(diào)查結(jié)果倒是讓人耳目一新。

雖然我們沒有詢問可以從哪些方面節(jié)省成本，但可以從其他問題推斷出可以取得哪些成效。風(fēng)險(xiǎn)評(píng)估主要用于制訂風(fēng)險(xiǎn)緩解政策、堵住安全漏洞；這可能會(huì)提高流程效率，比如利用數(shù)據(jù)庫(kù)簡(jiǎn)化資產(chǎn)管理和政策遵從。相似的是，明白漏洞來(lái)源、查明根源可以提高整個(gè)公司的效益。法規(guī)遵從也通常會(huì)得益于風(fēng)險(xiǎn)管理，無(wú)論是加強(qiáng)基礎(chǔ)設(shè)施安全和存儲(chǔ)管理，還是加強(qiáng)身份管理和文檔記錄流程。

最后的結(jié)論就是，風(fēng)險(xiǎn)評(píng)估的初期成本可能看似很高，不過(guò)一些長(zhǎng)遠(yuǎn)效益使得這筆成本是值得投入的，比如簡(jiǎn)化數(shù)據(jù)管理、記錄現(xiàn)有流程，更不用說(shuō)實(shí)際提高數(shù)據(jù)安全了。

鏈接：SaaS幫助降低安全成本和復(fù)雜性

中小企業(yè)通常面臨與信息安全有關(guān)的兩大"頑疾"：一是缺少充足時(shí)間，二是缺少專業(yè)團(tuán)隊(duì)。對(duì)它們而言，SaaS安全有望成為解決之道。

所有公司領(lǐng)導(dǎo)都密切關(guān)注確保本公司的安全。小企業(yè)與大企業(yè)有分歧的地方在于，如何進(jìn)行規(guī)劃及采取行動(dòng)，從而挫敗安全威脅。小公司向來(lái)極其缺乏資源，這就縮小了可供選擇的余地，迫使業(yè)務(wù)和IT決策者努力為一系列安全策略和對(duì)應(yīng)措施確定優(yōu)先級(jí)，以此獲得最高的投資回報(bào)。

中小企業(yè)通常面臨與信息安全有關(guān)的兩大"頑疾"：一是缺少充足時(shí)間，二是缺少專業(yè)團(tuán)隊(duì)。對(duì)它們而言，SaaS安全有望成為解決之道。趨勢(shì)科技公司的中小企業(yè)產(chǎn)品營(yíng)銷經(jīng)理Jon Clay說(shuō)："對(duì)即使有IT人員、也缺少資源來(lái)管理安全解決方案的中小企業(yè)而言，SaaS安全再適合不過(guò)了。SaaS廠商可以借助SaaS安全為中小企業(yè)管理、維護(hù)及更新安全解決方案，提供全年365天、每天24小時(shí)的不間斷服務(wù)。許多大型企業(yè)擁有充足的資源、一大批技能豐富的IT管理員以及基礎(chǔ)設(shè)施，可以集中資源來(lái)監(jiān)控自己的安全解決方案，從而確保得到及時(shí)更新、正常運(yùn)行。中小企業(yè)的IT人員卻很少享有這種優(yōu)勢(shì)，因此改用SaaS安全服務(wù)讓他們得以把注意力放在其他方面上，不必為安全解決方案而擔(dān)憂。"

不是只有趨勢(shì)科技這家廠商看好SaaS安全具有的潛力。邁克菲、賽門鐵克和Webroot及其他公司現(xiàn)在都提供基于服務(wù)的解決方案。調(diào)研公司Gartner在最近舉行的IT安全峰會(huì)上發(fā)布的一項(xiàng)估計(jì)預(yù)測(cè)，到2018年，將有85%的安全智能、70%的通信安全以及65%的安全Web網(wǎng)關(guān)將以服務(wù)的方式來(lái)提供。

趨勢(shì)科技公司的中型企業(yè)營(yíng)銷主管Dan Woodward認(rèn)同Gartner公司的上述估計(jì)，指出電子郵件安全和Web網(wǎng)關(guān)是的兩項(xiàng)，另外三項(xiàng)服務(wù)是終端安全、法規(guī)遵從管理以及電子商務(wù)保護(hù)。

據(jù)賽門鐵克的產(chǎn)品管理與業(yè)務(wù)運(yùn)營(yíng)高級(jí)主管Chris Schin聲稱，幾乎任何一種解決方案中的部分都可以通過(guò)SaaS模式來(lái)提供。他說(shuō)："就連端點(diǎn)安全這樣與內(nèi)部部署方案緊密相關(guān)的部分也可以通過(guò)SaaS來(lái)提供，政策管理、報(bào)告和警報(bào)等部分在云計(jì)算環(huán)境中來(lái)提供。某些解決方案確實(shí)比其他解決方案更適合使用SaaS，但其實(shí)還沒有這樣的解決方案：其中的一些部分無(wú)法通過(guò)SaaS解決方案來(lái)提供。"

趨勢(shì)科技公司的Woodward強(qiáng)調(diào)，每家公司都能夠得益于SaaS，無(wú)論作用只是單單保護(hù)、替換現(xiàn)有的保護(hù)方案，還是成為多層方法的一部分，不過(guò)他對(duì)Gartner公司列出的部署SaaS時(shí)需要考慮的幾個(gè)組織因素表示了認(rèn)同。有些公司不太適合部署SaaS，包括具有以下特點(diǎn)的小公司：

·擁有數(shù)量有限的一組集中式互聯(lián)網(wǎng)接入點(diǎn)；

·遠(yuǎn)程員工的比例比較少；

·IT人員數(shù)量比較多；

·擁有高效的服務(wù)器管理運(yùn)作流程；或者

·重視細(xì)粒度控制，而不是技術(shù)解決方案。

在評(píng)估SaaS方案時(shí)，決策者必須權(quán)衡不同的可變因素。拿SaaS與內(nèi)部部署解決方案作比較時(shí)，需要分析總體擁有成本，而不是單單分析采購(gòu)及安裝成本。另外，由于服務(wù)質(zhì)量決定了SaaS解決方案的價(jià)值，因此公司嚴(yán)格評(píng)估服務(wù)級(jí)別協(xié)議、認(rèn)真審查提供商的信譽(yù)及執(zhí)行能力就顯得很重要。

SaaS的價(jià)值主張很吸引人，不僅適用于安全，還適用于其他商業(yè)應(yīng)用；如今，越來(lái)越多的小公司在行動(dòng)起來(lái)，積極使用SaaS。據(jù)調(diào)研公司AMI-Partners聲稱，從2004年到2007年，中型企業(yè)的SaaS采用率提高了一倍（從15%增長(zhǎng)至30%），預(yù)計(jì)今年會(huì)繼續(xù)保持這種勢(shì)頭；在同一期間，小型企業(yè)的SaaS采用率也從10%增長(zhǎng)至21%。

隨著更多的安全提供商提供SaaS安全解決方案，小企業(yè)會(huì)有更大的選擇余地，以便經(jīng)濟(jì)有效地滿足安全需要，從而騰出寶貴的時(shí)間和資源，致力于公司的業(yè)務(wù)發(fā)展上。

多易