杨帆：下一代安全架构 与“时”俱进

——访联想网御助理总裁 杨帆

企业及组织大量的业务都已经走在信息系统上，做好企业的信息安全防护从而保障业务的正常运转，CIO及安全管理者责任重大。

近年来，尽管大量的投资涌入计算机和网络安全领域，但是安全问题并没有随之消失，相反却在不断地增长。各种新的威胁不断出现，使得信息安全管理面临的问题越来越复杂。所以，如何在当前的风险环境下，对企业的信息安全威胁进行有效的防控，是所有企业都必须直面的问题。

日前，就当前信息安全发展趋势及2010企业信息安全管理之道，kaiyun体育官方人口 专访了联想网御助理总裁杨帆。

当前企业信息安全发展趋势

刚从ISA大会返回不久的杨帆，仍对本次的世界安全大会记忆犹新，并通过本次安全大会的所见所感结合国内信息安全发展的现状，总结了2010年信息安全领域的发展趋势。

联想网御助理总裁 杨帆

杨帆介绍，从全球范围来看，强调信息安全的合规性是今年的一个显著特点，国外的SOX法案及其他内控规范等对审计均有明确的要求；安全信息与事件管理渐成气候，网络、主机及安全设备记录了大量日志，集中收集并综合分析，及时准确定位安全事件已成为普遍需求。

而随着越来越多的企业用户将核心业务系统转移到网络上，Web应用安全成为新形势下信息安全保障的关键所在；此外，云计算的到来，使得云安全下的身份认证和权限管理将受到越来越多的关注；种种迹象表明，用户正在逐渐告别使用单一功能的防火墙，综合防护的UTM时代已经来临。

总体上，国外的信息化建设及风险需求与国内仍有一定的差距，不过，全球范围的信息安全发展状况及趋势必然会对国内的信息安全发展提供一些思路和指导。

杨帆认为，国内信息安全发展呈现出两个显著的趋势。首先也是合规性的要求，企业和政府两大类市场对合规性的需求与理解都在提升，随着国家信息安全等级保护规范的进一步落地、国内即将全面启动的等级保护整改工作的开展及各行业主管部门的规范要求的加强，政府和企业的信息安全管理需要在这些要求的框架下，分不同的层次加以满足。这必将使得国内的信息安全建设盲目性减少，系统性增强，同时便于客观横向地评价政府和企业在信息安全管理方面的水平。

另一个不可忽视的趋势是，随着基于互联网的业务模式的开展，越来越多的企业对高性能的综合安全防护设备的需求明显增加，特别是网络基础设施的提升速度非常快，从最早的百兆到前几年的千兆再到现在很多用户核心层面使用的万兆设备，用户对于网络web或综合层面的要求越来越高。

构建可持续的信息安全体系

大部分用户或许都存在这样的困惑：企业花了大把的银子做信息安全的投资，到头来却发现，尽快拥有了很多设备和工具，安全方面仍存在不少问题。因此，对于用户来说，持续性的安全体系应该怎么建？这也是联想网御在深入思考的问题。

杨帆认为，一般来说，企业在建设安全体系方面要从二个纬度着手，首先是企业整体的管理、运营、制度及标准等方面的体系建设，这些“软”条件将对企业的安全体系建设产生重大的作用，毕竟，不管上多少设备，最终是靠人来使用的和应用的。“如果管理体系方面的东西没建立起来，再上多少设备也将是疲于奔命。”

杨帆进一步分析，在国内，很多用户的安全体系还没有完全落地，有对安全投入不足的原因。但必须要承认的是，信息安全服务提供商对用户提供的安全咨询并没有真正符合用户的业务模式及管理模式的特点，用户得到的服务缺乏差异性和特殊的针对性，这也是用户的困惑所在。

无疑，信息安全体系建设是一项系统工程，由管理者、使用者、IT服务提供商多种要素组成，需要从管理、技术、人员等多方面综合考虑。因此，“不只看IT管理人员或安全管理人员怎么做、做什么，同时，还要对整个IT环境中工作的会产生安全风险或提出安全需求的用户有针对性地提出相应的体系上的要求，这样才能使得安全体系的建设相对完善。” 杨帆说。

下一代安全架构：与“时”俱进

针对用户面对的各种安全威胁，很多专业的安全厂商或其他安全厂商提出的安全框架，更多地是基于具体的风险防范。“我们的安全框架不仅仅着眼于具体的风险防范，而且密切关注信息化的下一步发展趋势。”杨帆解释，“我们基于用户下一步的信息化发展，确定信息安全管理往哪些方向走？”

在杨帆看来，由于业务发展与信息化越来越密不可分，对于很多企业或组织来说，没有信息化业务将无法开展，信息化的价值是对业务的促进、保障与提升。因此，安全建设也应该遵循这样的思路，需要认真考虑信息化能提供什么样的价值，在这样的价值体系下，需要解决什么样的安全问题才能保障信息化的建设。

在新的环境下，用户的IT建设正呈现出一些新的特点和变化，信息化建设对IT的弹性及可靠性等方面提出了更高的要求，因此，服务导向、合规性、体系化是建立整体安全体系必须遵循的问题。

联想网御简介：

联想网御1999年进入信息安全行业，目前已成长为中国信息安全产业的领军企业之一。该企业主要发展安全产品、安全咨询服务及解决方案集成三大业务，在信息安全领域拥有众多核心技术，是国内信息安全产品线最全的企业。
 

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友