CIO們該從黑帽大會中吸取的五大安全經驗

黑帽大會每年都會準時在拉斯維加斯與全球IT同仁相聚，共同探討最新最值得關注的黑客活動、破解消息以及IT安全隱患。這次盛會吸引到全球范圍內各行各業對安全問題充滿熱情的參與者，其中既不乏身著繪有神秘語言符號的T恤、經驗老道的編程高手，也召集到了西裝筆挺、不茍言笑，一副CIA特派員甚至是黑衣人范兒的現場安保。而CIO們面對安全這個最令他們頭痛的話題，也不得不拿出積極的態度，積極參與進來——畢竟我們不關注安全，麻煩就來騷擾我們。

下面我們就來總結本屆黑帽大會上最值得吸取的五大安全經驗。

1. 理解自己到底要保護什么。 傳統IT安全觀念中最核心的“防火墻機制”與“外圍保護”概念已經完全跟不上時代變化，移動設備與社交網絡的興起令舊有防范手段在新型安全威脅下顯得不堪一擊。CIO必須集中精神，深刻理解哪些信息需要廣泛的可靠性保障、哪些信息又需要嚴格的約束機制加以控制。

在本屆黑帽大會上，前FBI執行助理部門主管Shawn Henry（他目前擔任CrowdStrike公司總裁）就安全保障方面的問題進行了主題演講。盡管Henry的演講有點頭大身小——一味宣揚未來網絡侵襲之迅猛與可怕，卻沒有具體提出防范策略——但他對于數據保護的概念性理解仍然值得借鑒。在他看來，要想真正保護數據安全，首先要確保敏感信息不會進入公共可用數據池。舉例來說，在統計分析工作中將企業客戶的全部數據都歸納進去顯然不夠明智，事實上我們只要把過去一年中客戶的活躍數據（且不包含驗證信息）作為統計對象就足以得出準確結論了。

2. 不要馬虎大意，對云合同中的內容錙銖必較。大家還記得那些觸目驚心的血淚史嗎？軟件供應商故意在產品介紹及合作協議中隱瞞或忽略其固有缺陷，并由此給買家帶來重大損失。如果我們仔細閱讀這些協議文件，常常會發現供應商絕不會把自己的賠償責任擴大到軟件購買價格的范圍之外。在這種情況下，即使能夠證明正是由于軟件供應商提供的文字編輯工具存在問題，才導致我們的知識產權文件因為內容錯亂而失效，這幫無良賣家也絕不會踏踏實實為客戶承擔損失。他們通常會找各種理由拖延訴訟進展，并最終根據原始合同，僅僅賠付對應軟件的購置費用。

在大家將包括云服務在內的各類新興技術引入自身IT基礎設施之前，請務必搞清楚服務供應商的安全責任與為此承擔的義務。因為一旦有人通過這些新的途徑竊取數據，明確的責任劃分是解決問題的必要前提。閱讀合同及協議內容的過程無疑枯燥甚至令人抓狂，但這是保護自身安全的最佳辦法。作為CIO，即使不親自處理這一工作，也要把它交給團隊中值得依賴的同事負責。有證據表明，大多數企業的管理層在云計算領域反應遲緩，很少有人提前對技術、業務以及法律問題做出明確分析。

3. 在移動安全問題方面多思考。 智能手機從設計理念上就秉持著以不同運營商及Wi-Fi熱點為載體，始終保持接入移動世界的連通狀態。因此智能手機供應商必須從一開始就把安全保護機制與產品本身融為一體。在企業應用領域，智能手機的保護措施主要包括應用程序沙箱環境、操作系統與用戶數據彼此隔離、內置加密機制以及遠程數據清除技術等等，這一系列特色方案都是企業長久以來使用的臺式機及筆記本電腦所不具備的。

明智的CIO會選擇一套理想的移動安全保護模式，并以此為基準貫徹到企業中的每一臺用戶設備上。這種積極的應對方式顯然比消極等待、力圖通過降低移動設備普及率的辦法減少安全威脅要科學得多。今年的黑帽大會首次邀請到蘋果公司的參與，這家新興移動設備巨頭在大會上演示了iPhone iOS軟件在安全保護方面的心得及具體措施。

4.開發人員與安全專家不需要也不可能經常碰頭，但他們必須協同合作。大部分技術人員在從事軟件開發工作時，都喜歡將關注重點放在用戶界面及快速部署等表面工夫上，而安全問題則被放在一邊。與此同時，安全專家則花費大量時間與精力用于檢測并修改開發者已經犯下的錯誤，而不是在應用程序設計早期就參與進來、將問題扼殺在搖籃中。“開發人員一直是軟件產品的主導者，”安全研究員Dan Kaminsky在黑帽大會上不無抱怨地指出。

5.最終，數據與設備物理安全將合二為一。所謂“物聯網”及機對機通信的出現，意味著可能遭受惡意活動侵襲的不再只是數據基礎設施，現在任何一套采用計算機加以控制的物理系統（例如采暖、電氣等等）都必然要面臨各種安全威脅。在本屆黑帽大會中，安全專家演示了如何對一系列架構相似的酒店門卡系統進行破解，結果令人心驚同時發人深省。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]