在上几篇博文中,我关注了新技术带来的变化。一方面,除正常商业活动之外,许多公司想要使用“云”、移动性、大数据以及社交工具来创造与顾客进行新型互动式交流的能力,以扩大商机。另一方面,此类活动给企业的IT部门,特别是CIO的地位带来了挑战。如今,IT和CIO在企业中的地位都相当明确,但这仅仅是基于现有技术一直以来都在防火墙后,从企业内部支持整个商业过程,保证其安全性。
因此,“由内而外”的概念将传统IT技术定义于防火墙“内”,当从企业内部使用客户服务器技术或企业IT管理模型进行外部操作时,我们称之为“由内而外”。相反,“由外而内”则表示使用互联网网页结构为顾客和企业员工等提供“服务”。而顾客和企业员工在防火墙“外”进行基本的商业活动,与企业IT部的联系仅为有限的网页而已。与之有关的更多细节问题请下载凯捷白皮书《云时代已经来临》。该文完整地解释了企业为何需要将上述两种情况结合使用。
当我们说到“安全”时,第一时间想到的与传统IT相关的定义自然是“有必要保护企业的核心财产,即企业的商业信息和其内部使用合理成本和效率水平进行商业活动的能力”。
传统意义上的IT同时也意味着“基于电脑”,在CIO和IT部门的控制下,在工作现场以计算机和数据为中心的形式使用客户端服务器架构来实现与企业应用相关的操作。在此基础上加入云或远程控制的使用,安全概念仍为维持防火墙内部沿线安全,而问题则变成了我们该如何实现此安全。
许多人都写过关于这个问题的文章,而且云安全联盟目前就解决这个问题也有不错的进展。值得一读的文章有关于怎样解决这个问题,所采取的具体方法以及目前所取得的实质性的进步。但是有一个相对不那么明显但已经有日益严重的问题是你的数据到底被保存在哪里,保存或者使用这些数据会有怎样的法律后果。这可能并不是一个我们会第一时间想到的“安全”问题,但是随着越来越多的企业使用外部数据中心,您的企业确实应该把此作为一个管理问题而加以重视。 Bruce Schneier有一篇很好的文章讨论了这个问题,使读者能够迅速地理解问题所在。但Peter Cartier则最直接地描述了到底什么是“美国爱国者法案”和其涵盖的内容。
基于许多在此领域有研究的人都是美国人以及我们多使用全球资源来管理数据,这已经变成了一个需要我们特别理解的问题。因为如果美国政府觉得有必要的话,你的数据将被相当“合法”地检查。当然理解传统安全问题的同时,我们也必须清楚地理解数据中心到底有多安全,而操作者对数据的管理有多么有效。最近Amazon增加了在其EC2 弹性云服务上设置Check Point防火墙的能力。
对于许多CIO来说,安全问题迅速地变成了与人们以及他们在工作中使用设备范围相关的问题。该问题常被成为BYO,即将自己的设备带到工作中。如果“由内而外”的传统IT没有得到完全的保证,这个问题可能并不是外表看来那么必要。相反,在“由外而内”模型中,人和设备都被放在了防火墙外。如果你不知道这个模型,那么我建议你读读前面提到的凯捷白皮书《云时代已经来临》,里面有更为详细的介绍。
如果你认为这个问题与你的企业无关,那么你真的错了。不久前一家瑞典银行告诉我他们员工中高达40%的人应该被移至防火墙外,让他们处于“由外而内”的使用环境中以提高银行的安全性。禁止员工登陆企业核心系统和数据将提高他们为顾客服务的效率。
将员工和其设备移至防火墙外并且拒绝对于企业应用程序的访问,这种行为惊人地有效并且易于实行。但是,计算机和数据需要安全性,人们则需要隐私。从3月12日起,Google将修订它们的隐私政策,你可能已经注意到了Google主页上包含了一个对话框显示“我们正在修改我们的隐私政策和条款。这是一个很重要的问题”。这确实很重要,因为法院正在受理越来越多的相关案件。这显然是个复杂的话题,因此很难通过免费的网上下载来得到任何简单的指导。我能找到的最好方法-而且现在我认为我应该说我不推荐该链接或以个人名义作出其他任何法律上有效的保证,仅仅是我个人觉得这些内容非常有用而已。所以当你看到某个网页上的消息说它们提供具体的指导时请自行决定是否要相信他们。
我还在以下地方发现了有用的信息:一个关于英国法律对于隐私的相关政策的网页法律指导和一个声称能产生企业隐私政策的美国网站。坦白地说,我不认为上述网站能够完全解决安全问题,但阅读它们会让你了解关于这个话题当前有怎样的讨论和进展。真正解决问题的方法是与企业的法律部门多进行合适的调查确定在支持公司员工上网的同时什么样的隐私政策能够保证企业的安全。