为什么安全需要赶上Web 2.0技术

思科总经理Tom Gillis'的安全技术业务部门,详细介绍了安全专业人员在新技术进入组织(无论是否喜欢)时所面临的挑战

安全经理可以继续阻止Facebook,拒绝支持移动设备并否决基于云的服务,但是他们并没有消失。思科安全技术业务部门副总裁兼总经理,新书作者汤姆•吉利斯(Tom Gillis)表示,忽略在安全计划中为他们腾出空间的方法就像把头埋在沙子里。 保护无边界网络:Web 2.0世界的安全性.

另请参阅 从正常到不安全的跨越 在当今的Web 2.0办公室

Gillis在书中的主要信息是,当今的新Web 2.0,虚拟化,移动性和协作应用程序具有增强生产力和竞争优势的巨大潜力。但是它们还带来了复杂的新安全问题。他与CSO讨论了在规则已更改的技术环境中安全专业人员面临的挑战。

公民社会组织:让我们从谈论您认为新技术(例如移动设备)为组织带来的潜力开始。汤姆·吉利斯: 在1970年代和80年代,我是一名工程师,过去曾在IBM Selectric上编写设计备忘录。当个人计算机出来时,我正在使用MAC SE / 30。我为完成工作这么快而感到惊讶。

但是,当您提高这些机器的最高生产率时,就会令经济学家,政治领导人和商业领袖感到失望。在此期间,即70年代和80年代,我们看到GDP每年增长约2-3%。

直到我们弄清楚如何连接这些设备,引入局域网和互联网后,GDP才飙升4%至5%。这就是我们在90年代和2000年代后期所看到的,它的驱动主要是由于这种新的信息交流。

我相信,而且许多分析人士认为,移动互联网将产生同样程度的影响。我们正在寻找将生产率提高4%到5%的十年。具有安全策略前瞻性的公司将能够采用这些技术,并比其他未采用的技术更好地从4%到5%的生产率提高中受益。

当您说移动互联网时,是指在企业中采用智能手机等技术吗?

各种移动技术。 iPhone是手持设备中第一个真正可用的Web浏览器,但是现在有数百种类似的设备。而且,正如我儿子指出的那样:“这东西是一台计算机。”用户可以使用基于Palm的应用程序和手持式智能手机(而不是笔记本电脑)来完成他们需要做的所有事情。

在新的Web 2.0时代,组织在政策方面将面临哪些挑战?

采取新政策并不是那么多。公司有安全政策。他们通常遵循以下原则:我是总经理,我需要访问财务信息。 Nuaf是我的工程副总裁,他需要访问源代码。但是我不需要访问源代码,而Nuaf也不需要访问财务信息。那是简单的政策。

随着这些移动设备进入企业环境,表达起来变得越来越困难,执行这些策略也变得更加困难。我们提倡的是,公司在新技术和新基础架构上进行投资,以使它们能够执行昨天将要在明天出现的分布式策略,无边界的移动企业中明显执行的策略。

除了移动性之外,当今的IT环境还有许多其他新方面。有使用社交网络,有虚拟化和云计算。这些技术有哪些困难?

我将使用Web 2.0来解释虚拟化和云计算,这几乎是移动性的罪魁祸首。如果移动性意味着我在传统边界之外的更多设备上拥有更多用户,则Web 2.0云计算趋势意味着我的数据可能不在数据中心的传统边界后面。

当将两者结合时,从安全角度来看,最坏的情况是我的销售副总裁在他的智能手机上的Salesforce.com上执行销售团队任务时,该交易中根本没有传统的防火墙或传统的安全解决方案。作为IT人员,我如何确保资产安全?基本的东西;如客户清单,客户名称?

我如何放置控件以显示谁可以访问此信息并在需要时撤消那些特权,并提供有关何时何地,何时何地访问谁的某种程度的责任。我们确实需要重新考虑如何构建和部署安全性以解决这些类型的用例。

您认为企业组织采用技术和基础架构来应对您所描述的这种新环境的立场如何?

在思科,我们得到官方支持的iPhone用户总数约为100个用户。我们认为iPhone用户的实际数量在6,000到9,000之间。我到处都是这种情况。无论我们喜欢与不喜欢,这些设备正在进入企业。因为他们很好,并且可以帮助人们完成工作。

保护这些设备的解决方案非常必要。在整个无边界的分销企业中,客户需要我们提供许多用例,但我们尚无法适当解决。我们正在努力,并且有远见。我认为其中很多工作尚待完成;在供应商社区和IT社区中,都将推出和部署其中的一些内容。

您在书中提到犯罪分子已经在利用许多这些新技术并加以利用。引起关注的最大原因是什么?

我认为专门针对移动设备的攻击范围很窄。面临的挑战是执行安全策略,基本访问控制。当销售代表使用移动设备访问基于云的应用程序时,我们终止了该员工,那么当他们终止合同后仍然可以从他们的设备进入(专有数据)并下载客户时,要阻止他们列出并去找竞争对手?在我的职业生涯中曾经发生过这种事情,基本上您无能为力。非常令人沮丧。

因此,关注范围从恶意软件和漏洞利用到基本访问控制和知识产权保护。安全专业人员需要解决各种各样的问题。

在Web 2.0世界中,如何在保护网络安全方面扮演更大的角色?产品或政策?

归根结底,这显然是受政策驱动的。政策然后驱动产品。 我可以给您提供十个我所制造产品的示例,这些示例超越了政策和人们吸收技术的能力。因此,它始于政策和心态。

我们希望看到我们的客户摆脱不安全的态度。除了说“ Google Android?不,我们不能支持这样的话。基于Web的应用程序(例如Google docs)?不安全,不要使用它”。 我们希望摆脱这种状况,说“绝对。请使用有助于您有效完成工作的工具”。

您在书中提到了未来和Web 3.0。 Web 3.0将包括哪些内容?

如果您看看投资公司在建立数据中心基础架构以支持其业务方面的投资,我确实认为从现在起的十到二十年后,我们会回头说:“哇,那太疯狂了。为什么人们要自己建造东西?”

想象一下,如果世界上每家公司都制造自己的锤子。当然,他们可以制造那把锤子,使其完全适合需要完成的工作,在其上放一个尖头,一个特殊的手柄。但是,对于世界上每家公司而言,构建自己的工具效率都非常低下。

我们为什么不能进入这样一个世界,在这个世界上,有许多组织专注于制造锤子,擅长并有效地进行工作,并以较低的成本为企业提供更好的产品? Web 3.0将采用复杂的企业基础结构,并使它更具动态性,可用性和成本更低。

版权© 2010 IDG通讯,Inc.