在我個人的觀察里,人們往往認為復(fù)雜性本身就是獎賞�。如果我們沒有投入大量的精力,并且把問題簡化簡化再簡化�����,那么常常我們不能在自己能夠控制的范圍內(nèi)結(jié)束問題���。這才是在安全層面��、技術(shù)層面和管理層面的真正的問題所在��。
記者:在今天的安全環(huán)境下����,您如何看待評估和管理風(fēng)險?
SN:在信息安全方便我們需要確保自身不會輕視任何一個問題��,我們力求把風(fēng)險呈現(xiàn)給企業(yè)的高級管理人使得他們可以做出明智的決策�����。我覺得可以做到以下3點:
1使用計量檢測和定量風(fēng)險�����。使用工具如安全信息�����、事件管理(SIEM)和漏洞管理產(chǎn)品等��,始終在內(nèi)部提供定量評分�。
2 需要描述業(yè)務(wù)目標的風(fēng)險�����。不要總是說"可能遭到黑客攻擊"�����,我們需要解釋數(shù)據(jù)異常��、數(shù)據(jù)破壞或者篡改的造成的金融成本�。
3 我們需要在管理層面上很好的呈現(xiàn)信息�。
記者:邁入云計算時代風(fēng)險會增加嗎?
SN:現(xiàn)在黑客可以編寫一個非常有效地蠕蟲通過傳播,它可以清除主機驅(qū)動上的所有數(shù)據(jù)��,這是迄今為止我們面臨的最具有破壞力的情況���。但是09年初一次大型的攻擊���,黑客闖入了Vaserve�����,刪除100,000網(wǎng)站��,其中一半沒備份,導(dǎo)致其一去不復(fù)返了。這說明了我們正處在一個巨大的風(fēng)險水平上�。令人吃驚的是人們沖進了云計算卻沒有評估它帶來的風(fēng)險。這種水平的風(fēng)險甚至超過了銀行的次級房貸���。
