我主要是想和大家探討一下在信息安全所面臨的嚴(yán)峻的挑戰(zhàn)下，我們要怎樣去理解，怎樣去構(gòu)建一個(gè)多位速效的信息安全。

　　信息安全的新形勢(shì)

　　首先，大家看報(bào)紙，看電視可能注意到安全事件在全球各地都在成為頭條新聞。因?yàn)楝F(xiàn)在這種情形勢(shì)下，安全的破壞力，安全的攻擊一般存在三種特點(diǎn):首先規(guī)模很大，有點(diǎn)超過以前的，還有就是影響非常大，損失非常大。包括大批量的個(gè)人的信息和隱私被盜用，或者企業(yè)的重要的資料被競(jìng)爭(zhēng)對(duì)手所獲取。

　　造成這種大規(guī)模的信息安全攻擊的原因。我們認(rèn)為首先第一方面是安全威脅的不斷增長。 從08年的一個(gè)安全調(diào)研中我們可以看到在過去幾年中，各種安全時(shí)期的手段，方式和工具都在成倍的增長，尤其是值得注意的是雖然我們?cè)谶^去幾年在安全管理方面作了大量的工作，從員工內(nèi)部入侵導(dǎo)致安全損失的比例在過去幾年當(dāng)中增長的速度很快。

　　另一方面，我們認(rèn)為當(dāng)前的安全攻擊也出現(xiàn)了質(zhì)的變化。如果說十年前我們聽到有關(guān)安全的破壞可能是由于個(gè)人的興趣愛好主動(dòng)先擇一些有漏洞的網(wǎng)絡(luò)進(jìn)行破壞從而取得一定的成就感的話，那么當(dāng)前的安全攻擊越來越多則是一種有組織的犯罪行為，已經(jīng)成為一種隱形攻擊或者說地下攻擊。如今在國際上幾分錢的價(jià)格就可能買到一張病毒報(bào)，一萬美金就可以預(yù)定一次對(duì)企業(yè)的安全攻擊的行為。所以這種攻擊的復(fù)雜程度和使用的手段的先進(jìn)信息遠(yuǎn)遠(yuǎn)超過十年前的攻擊.

　　那么在這種情況下，十年前作為CIO或者安全負(fù)責(zé)人在IT安全過失上往往負(fù)有很少的責(zé)任，但是由于現(xiàn)在損失越來越大，所以我們可以看到因?yàn)榘踩珦p失造成的企業(yè)罰款或者解雇高管以及刑事處罰的案例會(huì)不斷出現(xiàn)。所以說對(duì)于CIO或者說安全主管人符合法律法規(guī)，嚴(yán)格管理信息安全已經(jīng)成為一種必然的趨勢(shì)。那么在這種形勢(shì)下，其實(shí)一個(gè)懂得安全合規(guī)性是對(duì)安全主管負(fù)責(zé)人的挑戰(zhàn)之一。

　　另外一個(gè)方面，作為一個(gè)企業(yè)，它必須面臨一個(gè)不斷的縮減成本或者說提高整體的運(yùn)作效率的這樣的一種矛盾，所以說怎樣平衡這種安全管理的合規(guī)性和企業(yè)運(yùn)作成本不斷降低的要求的矛盾，以及面臨這種全球化的整合。面向協(xié)同的業(yè)務(wù)模式和架構(gòu)，以及更專業(yè)化的威脅。我們大家可以看到，IT的產(chǎn)品消費(fèi)化的趨勢(shì)越來越明顯。

　　面對(duì)來自這么多方面的壓力，我們應(yīng)該如何去平衡它?根據(jù)我們的總結(jié)，這些壓力因素，主要導(dǎo)致兩個(gè)業(yè)務(wù)之間的沖突。這種壓力主要來自六個(gè)方面。第一個(gè)呢就是IT的消費(fèi)品化?？梢哉fU盤，或者說手機(jī)，都可以隨時(shí)在企業(yè)的電腦中進(jìn)行插卡來獲取一些文件的下載，這種具有風(fēng)險(xiǎn)的管理下，企業(yè)如何保證信息安全，如何使企業(yè)核心的數(shù)據(jù)得到保護(hù)，還有就是協(xié)同技術(shù)，越來越多的跨企業(yè)的信息交換和信息共享，在這種情況下，既要作到能夠開放同時(shí)又能保護(hù)自己的核心資產(chǎn)，還有就是全球化定位，我們既要保護(hù)全面的交互開放，同時(shí)又因?yàn)楦鱾€(gè)國家在信息管理方面有不同的法律法規(guī)。怎樣保證這些法律法規(guī)能夠遵守，這也是面臨的另外一個(gè)威脅。所以包括專業(yè)化等各個(gè)壓力都是企業(yè)必須處理好的一些壓力。

　　CIO 和CISO的挑戰(zhàn)

　　美國一個(gè)國家在不同的行業(yè)不同的企業(yè)要求企業(yè)遵守的安全方面的法律法規(guī)達(dá)到8500多項(xiàng)。所以平衡企業(yè)風(fēng)險(xiǎn)涉及到安全威脅和威信投資的各種因素。所以各個(gè)行業(yè)的CIO都需要知道他們關(guān)注的方向。在這個(gè)合規(guī)性之外呢，我們認(rèn)為技術(shù)發(fā)展也對(duì)信息安全管理帶來了很大的挑戰(zhàn)。由于廣泛的用戶參與。來自任何地方的用戶都可以使用各種設(shè)備進(jìn)行信息訪問。一些敏感數(shù)據(jù)很容易就可以暴漏在外面，還有一些服務(wù)的空檔。還有客戶政府和企業(yè)之間的數(shù)據(jù)共享和利益沖突，這些都是在技術(shù)層面帶來了很多的困難。

　　我們看到，在技術(shù)發(fā)展方面首先第一種趨勢(shì)大家都知道是非常明顯的業(yè)務(wù)驅(qū)動(dòng)力，能夠低成本的提高運(yùn)算的效率。包括能夠支持高峰流量等等。但是這個(gè)在安全管理方面帶來了一個(gè)很重要的挑戰(zhàn)就是我們的基礎(chǔ)設(shè)施和我們的計(jì)算機(jī)資源不再是一個(gè)企業(yè)能夠完全的控制。它所有的運(yùn)算可能會(huì)調(diào)用其它個(gè)人的甚至其它企業(yè)的一些資源。那么這種情況下，如何保護(hù)計(jì)算機(jī)資源，如何作好安全管理這是作為CIO所必須處理的一個(gè)重要問題。

　　第二個(gè)特點(diǎn)就是新型系統(tǒng)集成。只要用戶把鎖定數(shù)據(jù)模式最基本的行程錄入到這個(gè)網(wǎng)站，這個(gè)網(wǎng)站會(huì)根據(jù)你的行程到其它的包括天氣，包括景點(diǎn)的介紹，包括旅行航空公司的網(wǎng)站，去把所有的跟行程相關(guān)的信息從各個(gè)合作伙伴這收集起來。然后用戶可以自由的進(jìn)行刪改編輯。那這種系統(tǒng)集成在業(yè)務(wù)上是給客戶帶來了價(jià)值，但是在安全管理方面，如何作好真正的管理，如何在企業(yè)數(shù)據(jù)開放的情況下，信息融合在集成的情況下對(duì)這些關(guān)鍵的數(shù)據(jù)進(jìn)行有效的保護(hù)。這也是面臨的一個(gè)重要的挑戰(zhàn)。

　　最后我們也看到，在數(shù)據(jù)管理方面，安全決策在不斷的變化。因?yàn)榇蠹叶贾溃瑪?shù)據(jù)和信息是企業(yè)最重要的一個(gè)安全資產(chǎn)。我們相信，在不遠(yuǎn)的將來對(duì)于數(shù)據(jù)的管理，將會(huì)整合到企業(yè)的業(yè)務(wù)流層當(dāng)中，每一個(gè)環(huán)節(jié)都會(huì)加強(qiáng)數(shù)據(jù)的管控。其實(shí)06年，雅虎就開始招聘首席執(zhí)行官。所以說,以后未來CIO的職責(zé)可能越來越多會(huì)承擔(dān)數(shù)據(jù)的責(zé)任。

　　剛才講到這么多挑戰(zhàn)，那么我們?nèi)绻⒁粋€(gè)卓越有效的安全管理體系。作為安全管理的負(fù)責(zé)人,他所要解決的幾個(gè)問題，首先，作為一個(gè)CIO他必須能夠了解目前這個(gè)企業(yè)是否充分理解業(yè)務(wù)存在的風(fēng)險(xiǎn)。是否知道目前這個(gè)企業(yè)安全管理的水平，是否能夠看到安全的工作狀態(tài)。是否能夠確認(rèn)目前的安全投入是否經(jīng)濟(jì)有效，尤其是在現(xiàn)在這個(gè)全整經(jīng)濟(jì)整體下滑的趨勢(shì)下，這個(gè)安全投入效率和產(chǎn)出是一個(gè)重要的環(huán)節(jié)。然后就是安全控制是否有一個(gè)相對(duì)友好的界面，最后，安全管理是否能保證業(yè)務(wù)具有相應(yīng)的業(yè)務(wù)機(jī)會(huì)。