提及EMC這品牌,IT業界人士均即時聯想到儲存系統;同樣地,IT業界人士對RSA這品牌並不陌生,甚至擁有其代表性的保安產品密碼鑰匙〈token〉;然而清楚RSA已併入EMC旗下的IT專業人士卻僅約兩成。
RSA全球客戶營運高級副總裁Thomas Heiser強調,EMC與RSA均為業界中的領導品牌,但要讓外界將兩者視為一體,則需要花更大的努力去建立公司的整體形象。綜觀EMC的收購項目,實跟他們提出的未來IT及保安策略不謀而合。Heiser形容,未來的安全措施不僅是一個方案,更將是嵌入IT基建的一部分;而今年炙手可熱的雲端技術,與虛擬化技術亦不無關係。EMC先後併購VMware和RSA,正是逐步邁向整合式IT保安基建的目標。
七大指引原則
建立系統性保安策略的七大指引分別為:
一、安全措施必須嵌入IT基建中 — 第一個原則指出,保安措施不應該只整合到基建中,而應該嵌入其中。這種理念推動RSA的發展,包括其與思科的合作。來自RSA和思科的團隊,聯手將防止數據遺失功能嵌入到如思科IronPort電郵保安閘道器等裝置中。RSA和VMware也結盟成技術合作夥伴,將核心的保安控制措施嵌入到虛擬基建中,以協助企業降低風險,並提高他們的整體保安水平。
二、開發解決方案生態系統 — 建立生態系統能確保來自各商業機構的產品和服務協作並解決共同的保安問題。RSA eFraud NetworkTM社群乃RSA與全球數千家金融機構合作開發的生態系統,共享病毒源碼及保安數據,以便監控全世界流竄的欺詐行為。
三、創建無縫、高透明度的保安措施 — 保安措施必須對受保護的用戶和系統提供最高的透明度。建立無縫和高透明度保安措施的目標,推動RSA與付款處理公司First Data Corporation進行技術合作,宣布一項為保護商戶信用卡資料而設的服務。透過這項服務,商戶毋須將信用卡資料儲存在IT系統內。因服務已內嵌到First Data Corporation的付款處理系統中,對商戶和他們的客戶來說都是無縫且具高透明度。
四、確保保安控制措施之關聯性且具內容識別功能 — 隨着用戶對資訊的存取量以倍數增長,有關資訊保護的法例和守則亦大幅增加。在EMC關鍵事故回應中心(Critical Incident Response Center),保安資訊的管理集中進行,能夠對來自各資訊控制措施,例如防止資料遺失,風險身份認證等身份控制措施,以及如修補程式,配置和漏洞管理系統等基建控制措施的資料進行互聯。
五、保安必須由外至內並同時由內至外 — RSA認為保安必須雙管齊下,同時保護周邊(由外至內)和資訊本身(由內至外)的安全。由於存取資訊的人來至網絡內外和雲端環境中的各種設備,保安策略和控制措施必須緊附在整個資訊基建中移動的資訊上。
六、保安必須靈活多變並以風險為本 — 不法份子不受任何法規限制,可以自由地部署更富創意的攻擊。為抵禦這種現狀,商業機構須靈活地聯繫來自不同來源的資訊,並對基建和資訊相關的實時風險作出回應。RSA早前便宣布了全新的諮詢及顧問服務,協助企業實行或提升其保安營運能力,從而更有效地管理風險與IT法規遵循項目。
七、有效的保安須自我學習 — IT基建和針對它們所發起惡意攻擊動態的本質,令其速度和複雜性遠遠超越了人們能處理的能力。因此,資訊保安策略必須靈活多變並以行為為基礎。為實現此目標,RSA早前宣布與趨勢科技(Trend Micro)合作,透過運用Trend Micro Smart Protection Network所提供的即時威脅情報,進一步加強RSA FraudActionTM服務終止網絡攻擊的能力。
就今年政府多個部門不斷傳出泄漏市民個人資料的保安事故,Heiser認為除了保安策略及部署,保安政策的執行亦相當重要。而EMC香港區總經理梁成琯則透露曾與相關部門接觸,形容政府亦有意進一步加強各部門對外保安。
沒有留言:
發佈留言