DLP是云數(shù)據(jù)保護(hù)的重要方法——采訪RSA首席信息安全架構(gòu)官Robert Griffin

本刊記者 曉輝

RSA首席信息安全架構(gòu)官Robert Griffin

2011年11月2 日，RSA大會(huì)信息安全國(guó)際論壇在北京召開，本屆論壇的主題是Alice和Bob的歷險(xiǎn)記，會(huì)上，來(lái)自全球的信息安全專家共同就現(xiàn)階段的安全問(wèn)題進(jìn)行了探討。本次大會(huì)嘉賓云集，RSA首席信息安全架構(gòu)官 Robert Griffin在會(huì)上做了主題演講。

Robert認(rèn)為，在云計(jì)算中，DLP仍然是數(shù)據(jù)保護(hù)的重要技術(shù)，主要體現(xiàn)在兩個(gè)方面：

第一，DLP技術(shù)可以告訴我們企業(yè)內(nèi)部的敏感信息在什么地方，這樣，我們?cè)谶M(jìn)行云計(jì)算環(huán)境搭建的時(shí)候就可以知道如何把信息和數(shù)據(jù)移動(dòng)到哪里去。第二，DLP技術(shù)可以識(shí)別私有云中的信息，幫我們判斷哪些信息需要移動(dòng)，哪些信息不用移動(dòng)。

Robert還認(rèn)為信任要想搭建起來(lái)取決于兩個(gè)非常重要的條件，一是控制，二是可見性，這需要和云服務(wù)提供商清晰的說(shuō)明，你需要什么樣的機(jī)制，以及這樣的機(jī)制將進(jìn)行如何的運(yùn)作和管理。這首先是一個(gè)技術(shù)問(wèn)題，就是云服務(wù)提供商在他們的基礎(chǔ)設(shè)施和環(huán)境中有什么樣的工具可以為你提供服務(wù)，但我覺得這不僅是技術(shù)問(wèn)題，更重要的是管理問(wèn)題，即你和提供商之間如何洽談，建立一個(gè)什么樣的關(guān)系，在這樣關(guān)系的基礎(chǔ)上才能保證您對(duì)云環(huán)境是具有控制力的，同時(shí)里面所有的信息對(duì)你來(lái)說(shuō)是可見的。為了做到這一步，我們的總裁也提出了新的業(yè)務(wù)模式叫做云信任中間機(jī)構(gòu)，這個(gè)機(jī)構(gòu)將在企業(yè)和云環(huán)境服務(wù)提供商之間建立一個(gè)溝通交流機(jī)制，通過(guò)這樣的平臺(tái)可以整合各方面信息和資源。我們覺得這其實(shí)也回答了你提的第二個(gè)問(wèn)題，即如何進(jìn)行動(dòng)態(tài)管理。一個(gè)企業(yè)必須要有非常穩(wěn)定的中間談判機(jī)構(gòu)和協(xié)調(diào)性機(jī)構(gòu)才能保證業(yè)務(wù)順利進(jìn)行，比如從一個(gè)云服務(wù)商到另一個(gè)云服務(wù)商，這樣的機(jī)構(gòu)可以保障所有的過(guò)渡都是非常順暢的。

在公有云環(huán)境中也是一樣的，當(dāng)我們的信息從一個(gè)環(huán)境移到另一個(gè)公共環(huán)境中時(shí)，需要知道哪些是敏感信息，它存儲(chǔ)在哪里，哪些是不希望放在公共環(huán)境中的。

會(huì)上，Robert表示，無(wú)論是向私有云過(guò)渡，還是向公有云過(guò)過(guò)渡，最關(guān)鍵的問(wèn)題都是建立一個(gè)好的系統(tǒng)模型。一般情況下，在向云環(huán)境過(guò)渡時(shí)，都會(huì)想到安全工具，例如防病毒、防火墻、IDS等，但它們也僅僅是一個(gè)工具而已。要知道，所有的安全工具都是為了實(shí)現(xiàn)同一個(gè)目標(biāo)，那就是對(duì)我們的人、信息以及基礎(chǔ)設(shè)施進(jìn)行保護(hù)(這里所說(shuō)的對(duì)人的保護(hù)，主要是指避免個(gè)人信息的丟失或被盜用等)。

既然有這樣的目標(biāo)，該怎么做就很明白了：首先，要對(duì)風(fēng)險(xiǎn)進(jìn)行很好的分析和認(rèn)知。比如知道系統(tǒng)環(huán)境中在哪些方面是比較脆弱的，哪些地方是容易被攻擊的，一旦被攻擊，信息丟失后影響有多大；其次，安全問(wèn)題最終還是指風(fēng)險(xiǎn)防范，所以要建立好的系統(tǒng)，對(duì)風(fēng)險(xiǎn)進(jìn)行很好的評(píng)估和分類，這樣就會(huì)知道在哪個(gè)領(lǐng)域應(yīng)該采取什么樣的工具來(lái)保障它的安全。

這就是所謂的系統(tǒng)模型，即用宏觀的眼光去分析問(wèn)題，分析到每個(gè)風(fēng)險(xiǎn)級(jí)別，而不是只看某一個(gè)安全工具或某一個(gè)環(huán)節(jié)。