传统安全已不够用 2014年CIO不能忽视云和移动双重风险

　信息系统的安全在今天已是一个热门的话题，尤其许多焦点都集中在数据保护的议题之上。到了2014年，企业仍然需要使用安全产品如防火墙与入侵检测系统，持续地维护网络边界的安全。但不幸的是，随着移动设备的增加和云端服务的成长，传统的安全方案已经变得不太够用了。

　　回顾过去，安全的目标主要是针对实体设备的保护，但随着企业开始采用云端技术和允许员工使用私有设备如智能型手机和平板计算机，景况已经明显不同，一般而言，只要企业能够保护这些设备，理论上数据也能够受到保护。

　　到了今天，确保数据安全已成为企业的头号目标，企业不可能永远保护那些存放数据的设备，或是被用来存取数据的移动设备，因为对云端服务而言，企业的边界将延伸到企业之外，并且依据所提供的应用服务，所有人员都需要链接企业的网络来存取使用，所以防火墙和传统的安全产品，可能需要允许这些移动设备跳过既有的安全组态环境，能够直接地存取企业的内部网络。

　　因此，对企业和资安人员最大的挑战是，来自世界各地的黑客、犯罪集团，正虎视眈眈地看着这些由于云端服务和移动设备所产生的安全漏洞，然后想趁机大举来犯，也就不用再提那些对资安仍然怀着不切实际想法的高层管理人员，以及停留维持和过去一样的安全系统水平，到底要如何应对这些不断更新且具有高度破坏力的恶意软件与威胁。

　　实施多层次防御策略

　　许多的安全产品虽然能够用来降低安全风险，但也经常受限于只能抵御特定的黑客工具与攻击，因此，建议采用多层次的安全做法，才能有效地提升企业的防御能力，以下是三点建议企业将要迈入新年度时，需要关注的重点：

　　第一点、资料分级分类

　　在部署完整且复杂的安全产品方案之前，企业需要明白到底自己要保护的对象是什么，这个问题能够透过针对数据分级与分类来完成。一般而言，数据可区分为机密、财务金融、智慧财产、员工与客户个人资料、公开资料等等，不同等级的数据，对应的是不同的安全要求，并且可能受到来自法规与工业标准的强制保护规定，因此，企业应透过数据分级分类去定义数据存取的安全要求。

　　如果企业本身已受到法规的规范，那么采用云端服务时更应小心，以医疗产业适用的HIPPA法规为例，如果相关的数据被存放至云端上，那么就应要求云端服务供货商需提供由第三方定期实施的独立稽核报告，以确认云端服务的作业流程、系统安全及实务运作，皆能符合法规的规范与要求。

　　第二点、签定明确的服务等级协议

　　虽然企业将系统与应用服务外包给云端服务供货商，但是对于安全、可靠性及存取系统的责任仍然落在企业自己身上，为了能够区分并接受各自的安全责任，企业应将责任要求纳入合约之中，这包括了签订明确的服务等级协议，以及要求独立的稽核报告，以便确认云端服务供货商，能够满足企业的安全需求。

　　第三点、政策与移动设备管理并行

　　当员工使用私有设备登入企业的网络时，你不能仅依赖信息技术就能够处理所有的资料安全问题，事实上，许多的安全与管理工作，都需要透过文件化的政策来予以落实。因此，针对私有设备的管理，第一项工作就是建立BYOD的使用政策，明确规范使用者的责任、企业的权力，以及违反安全规定时将采取的移动。如果可能的话，将这些政策与产品方案如移动设备管理(MDM)和移动应用程序管理(MAM)相结合，透过自动化的方式来管理这些员工使用的移动设备。

　　对企业来说，若能透过整合以上三个安全重点，就能够更有效地去控管你企业数据安全，这或许也是在2014年，企业的管理团队应该要进行的首要任务了。