Clive Gee,IBM资深SOA从业者,在SOA Magazine中探讨了IT信息安全是如何发展到他所谓的信息风险管理这一阶段的。随着合作空间的扩张、应用整合以及面向服务的系统,他分析了面对日益提升的威胁及脆弱点的风险管理。
在SOA使得信息资产能更容易地暴露给更广泛的受众的同时,它也增加了信息资产相关的风险。虽然这对于业务运作带来了价值,同时也为安全和风险管理人员带来了更多的担忧。SOA治理团队和风险管理团队合作对(SOA带来或激化的)风险进行评估变得非常关键。
进行风险管理需要识别脆弱点、威胁、潜在的风险表现形式以及风险发生时所产生的影响,并最终做出避免、接受、减轻或转移风险的决定。风险管理人员必须权衡风险发生时可能发生的成本和对风险及相关机会成本进行管理所需的成本。
通过对威胁和脆弱点的深入观察,他提醒人们,缺乏适当的保护可能会造成信息破坏。
……信息正面临着由于缺乏合适控制或者犯罪活动而引发的向未授权方暴露的危险。如果信息遭到破坏,那么业务便利和信息的广泛共享所带来的益处就会被很快抵消。
风险管理的一部分工作应当包括识别“哪些信息易于受到攻击”和“它们面临的潜在攻击”并对它们进行编目。一旦完成了威胁的编目,我们就可对它们进行评估并根据其发生的可能性和潜在的影响进行分类。
他将脆弱点归类成:
- 知识产权(IP)——……取决于公司业务的自然特性,IP指的是公司最有价值的,或至少对其市场竞争起重大影响的资产。
- 管理合规——……确保组织符合相关法律和条例(或对被抓住违法时所受的处罚和实施控制所需的成本进行管理)……违反这些条例可能会造成重大罚单、制裁和商业机会的丢失。
- 业务关系——在当今的经济社会中,信息是B2B和B2C关系的核心。企业必须确保客户的私有信息与经济数据,必须既安全又经济地在业务伙伴间交换信息。
……威胁可归类成:
- 自然威胁——台风、洪水和地震等。
- 环境威胁——电力故障、水资源破坏和污染等。
- 人为威胁——商业间谍、病毒感染和DOS攻击等。
接着,他列举了风险管理方面的一些顾虑,探讨了在企业架构的各级别上减轻风险的多个框架与流程,如应用层的私密性、认证和授权等,保护物理设备免受非法访问,多种开发流程和运维流程。他建议通过安全分类模型建立不同级别的安全管理,如将信息划分为公共信息、敏感信息、私密信息、私有信息等,他还建议将流程作为信息风险管理的一部分,与策略和合规框架一起建立控制机制。他推荐的控制类型有:
- 管理控制——定义和维护治理信息风险的策略、过程、标准和指导原则。
- 运维控制——实施并加强管理控制。
- 审计控制——确保遵守管理控制以及运维控制的有效性。
- 业务持续性和灾难恢复——确保在电力故障、自然灾害或其他类似灾难发生时保持业务的运行是业务持续性工作的目标。
Clive重申此类项目/投资成功的关键需要组织结构内相关干系人的买账,若没有组织的支持,风险减轻措施是不可能成功实施的。“一旦我们理解了信息风险管理”,他说,“以及处理风险所需的措施,我们还必须确保组织结构一定会切实执行这些措施”。
如多数大型项目一样,组织的总监和执行委员会必须支持并资助风险管理部门。他们必须确保风险管理策略和过程与总体业务目标和战略一致。
他在总结文章时强调,随着组织结构的调整,如员工升迁、调动和离职等事件发生时,有必要重新评估信息访问控制权限并采取合适的行动。
原文发布在在线SOA杂志上。请务必去读一读原文并分享你自己的经验。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
翻译
相关推荐
-
事件驱动框架和SOA在空军的应用
空军正在利用SOA来改善数据共享,并实时跟踪战机,美国空军机动司令部的Michael Marek解释了企业可从中学习的经验。
-
SOA治理模型核心:人
治理在IT领域非常关键,但是很多时候企业的做法往往太过单向,企业SOA治理模型往往忽视了所有部分当中最关键的组件:人。
-
揭秘New Relic APM技术细节
New Relic应性能管理(APM)套件主要用于Web软件开发。它允许用户在面向服务的架构(SOA)上跟踪关键事务性能,并且支持代码级别的可见性来评估特定代码段和SQL语句对性能的影响
-
仅凭SOA和云无法解决业务数据管理风险问题
SOA和云可以是某些恼人问题高效的解决方案;这一点我们已经知道了。但是也要记住它们并不是所有事情的直接答案,特别是当你的问题是业务数据管理风险,而不是技术问题时。