“让马来拉车,而不是车来拉马”

栏　目　编　辑　郑　艺　“让马来拉车，而不是车来拉马＂　●文／本刊记者李明富　－．．月２２臼，来华访问的ＲＳＡ全球总　本都很容易，真正棘手的问题是在业务中　Ｉ裁亚瑟・Ｗ・科维洛先生在北京参加　存在多个安全漏洞，而这些漏洞被利用的　了ＲＳＡ举办的庆祝活动并发表演讲，向　概率＂ｔＥ／ｈ，然而一旦被利用，造成的结果　与会嘉宾介绍了ＲＳＡ公司２０１０年的新　将非常严重，这时该怎么办？在这种情况　战略。会后，记者对亚瑟・Ｗ・科维洛。　下，尽管安全漏洞被利用的概率很小，但　先生进行了专访，就业内大家比较关心　是考虑到它的严重后果，我们仍需要大投　的信息安全风险管理相关话题进行了探　入来控制风险。　讨与交流。　记者：在企业中．ＩＴ经理在信息安　记者：无论是安全内控规范，还是　全建设方面常面临两难：一方面　高投入　防护外来黑客的攻击，商业银行对信息安　会带来低风险的回报，同时也带来了投入　全的要求目益提高、面对信息安全法例、　压力；另一方面，如果低投入，那么可能　法规及监管要求，商业银行该怎么做，是　风险就会大，同样面临很大的压力。请问　用见一个缺陷解决一个的方式，还是建立　总裁先生，这两者的关系应怎样平衡？　主动的信息安全管理机制呢？　亚瑟・Ｗ・科维洛：我们假定一个三角形，上面是安全，　亚瑟・Ｗ・科维洛：我们认为主动防御肯定比被动修补　左边是易用性，右边是成本，中间是风险，为确保安全，需　要好，否则马都跑了，再关上马厩的门是没用的。首先通过　要付出一定的成本。但要保持高水平安全，有时会影响到用　讨论Ｇ（治理Ｊ　Ｒ（风险）Ｃ（合规】这３个方面来分析这　户的易用性。这３个因素间围绕的核心就是风险程度。要很　个问题。很多银行，尤其是美国的银行都把重点放在Ｃ（合　好地诠释安全投资回报率（ＲＯ１）是很少见的。打个比方，　规）上，原因就是为了企业规避风险。要避免风险，首先要　譬如建造中国大饭店的时候，他们会对照明、供暖以及空调　建立一个适当的企业治理机制。什么叫治理？就是企业做业　制冷做一个投资回报的计算吗？回答当然是否定的。　务的指导性条规。为什么说应该让马来拉车，而不要让车来　那么，如何平衡这个关系呢？我们先从中间点的风险人　拉马呢？因为如果你有非常好的内部条规管理企业，对风险　手，首先要透彻理解企业面临的风险是什么，它的情况如何，　有正确的理解，并且有适当的降低风险策略，那么结果就是　然后设定一个适和的安全等级。我们一般建议客户理解自己　遵从法规。　所面临的风险时从３方面分析：第一，应用的潜在的漏洞在　之所以在过去一段时间里一些银行面临着严重的安全问　哪里；第二，这个漏洞被利用的概率有多大；第三，风险～　题。主要原因是以下３方面：信息量的快速攀升；访问这些　旦发生可能导致的结果。　信息的身份数量提高；支持这些信息访问的基础架构的快速　怎样用这３个方面来分析举一个例子。可能在你的业务　扩张。所以，一个良好的安全架构组成部分就是ＧＲＣ的策　或应用中存在着几个安全漏洞，但这些漏洞被利用的概率很　略框架，让它来支持这些身份、信息以及信息基础架构的管　小，风险一旦发生，后果也不严重，这意味着你在风险控制　理。为达到这个目的，我们要设计３种控制点，分别是信息、　方面的成本也可以维持在低水平。但是如果你的业务中只有　信息基础架构和身份控制点，这些控制点都由统一的ＧＲＣ　一个安全漏洞，而这个安全漏洞被利用的概率很高，风险一　的策略框架管理。这就是我们经常谈到的安全信息事件管理　旦发生，损失重大，这时候投入的成本也应很大，以保证这　（ＳＩＥＭ）ｏ正是这个ＳＩＥＭ，能让你在整个企业信息基础架构　个漏洞被利用的概率缩小。前两种情况我们判断安全投入成　上收集有关这些控制点的日志信息和事件信息。园　９２　ｆ金　电　，匕２０１０：￣３．Ｅ，Ｊ