IT环境已经出现了新的变化,第一方面是新的计算环境,即云计算和虚拟化;第二方面是新的网络环境,包括移动互联网、物联网、智能电脑、软件定义网络(SDN)等等;第三方面是大数据。这些新的计算资源、新的计算方式、新的网络环境和新的数据类型,促使整个信息安全行业的关注焦点,从系统层面慢慢向应用服务,向数据资源转移。它们既对信息安全提出了新的需求和挑战,也给信息安全带来了新的思路。
云计算给信息安全带来的挑战包括:第一,传统安全产品无法应对云计算环境下的网络结构和协议。在云计算环境中,可能前端的Web服务器和后端的数据库都在一个物理服务器上,这样它们之间的网络交互直接用虚拟交换机就可以了,数据根本不经过物理交换机,如果不到物理交换机,则信息安全设备拿不到它的数据,导致对它的访问控制、审计、攻击的检测,都没办法实现。第二,云计算环境对安全产品的计算性能提出了非常大的挑战。目前,安全产品的性能已经远远落后于网络设备。第三,云计算业务特性带来一些新的安全需求,比如产生了一些新的攻击方式,例如虚拟机逃逸,就是分配的用户级虚拟机,通过特殊的指令或者攻击方式,被攻击者获得整个虚拟化底层的根权限。这种攻击是以前的环境中没有出现过的。
随着企业职员的技术掌握水平越来越高,为了加强协作、互动和生产的关系,他们对新技术的渴望度也越来越大。如果把技术需求提交给公司,公司批准发展此技术,那么CIO必须找到在不影响企业资产安全的前提下整合企业现有的系统的方法,并使此技术发挥最大作用。
对于CIO来说,如何缩小安全风险和商业利益成本两者之间的关系是公司最终的希望和要求。作为一名CIO,如何确保企业信息安全,如何体现IT的真正价值,如何节约IT成本,如何更有效的管理整个企业的IT部门,这是CIO最应关注的核心业务。