「解讀」怎樣通過IT資產(chǎn)管理降低IT安全風(fēng)險(xiǎn)

　　企業(yè)信息技術(shù)資產(chǎn)管理的概念聽上去可能一點(diǎn)都不吸引人，但信息安全從業(yè)人員會驚訝于這兩個領(lǐng)域交織的方式。信息安全專業(yè)人員可以利用IT資產(chǎn)管理最佳實(shí)踐來降低企業(yè)內(nèi)的IT風(fēng)險(xiǎn)，而這正是本篇文章將要討論的內(nèi)容。

　　什么是ITAM?

　　信息技術(shù)資產(chǎn)管理是業(yè)務(wù)流程集，其目的在于管理技術(shù)資產(chǎn)的生命周期和庫存。它可以通過適當(dāng)?shù)念A(yù)定義資產(chǎn)管理來減少IT成本、降低IT風(fēng)險(xiǎn)以及提高生產(chǎn)力，從而為企業(yè)提供價值。IT資產(chǎn)管理(ITAM)作為正式的業(yè)務(wù)流程系列已經(jīng)存在了十年，不過，與典型的業(yè)務(wù)流程相比，它還不太成熟。

　　IT資產(chǎn)管理和企業(yè)信息安全交織的領(lǐng)域可能并不是很明顯。信息安全是涉及高技能IT工程師、架構(gòu)師和戰(zhàn)略師的復(fù)雜活動，其任務(wù)包括抵御垃圾郵件和網(wǎng)絡(luò)釣魚攻擊，以及抵御通過計(jì)算機(jī)攻擊活動給金融市場制造混亂的跨國恐怖主義活動，還有這兩者之間的各種攻擊活動。

　　而IT資產(chǎn)管理有很多目標(biāo)，包括最大限度地提高企業(yè)在信息技術(shù)的投資。為了滿足這個目標(biāo)，一種常見方法是了解企業(yè)的IT需求，然后建立標(biāo)準(zhǔn)來滿足這些需求。這將帶來資產(chǎn)類型的合理化(定義可接受IT資產(chǎn)的具體準(zhǔn)則)，以及資產(chǎn)類型的減少。例如，通過應(yīng)用合理化，企業(yè)可以看到軟件應(yīng)用數(shù)量的顯著減少，這種做法涉及定義哪些類型的應(yīng)用程序滿足預(yù)定義準(zhǔn)則(支持企業(yè)的IT目標(biāo))，并試圖消除不滿足這些準(zhǔn)則的應(yīng)用。隨著應(yīng)用的不斷精選，這能夠?yàn)镮T安全團(tuán)隊(duì)提高安全性，因?yàn)樗麄冃枰�硬化、修�?fù)、監(jiān)控和審計(jì)的應(yīng)用更少了。

　　ITAM的另一個優(yōu)勢是了解企業(yè)內(nèi)誰需要哪些IT資源來幫助其完成本職工作。采用這種做法的企業(yè)能夠了解誰可以訪問敏感數(shù)據(jù)，并且，用戶權(quán)限可以基于需求進(jìn)行更邏輯化的限制，在某些情況下，甚至可以作為特權(quán)管理系統(tǒng)的基礎(chǔ)或者邏輯檢查。

　　正如你所看到的，事實(shí)證明，這兩個領(lǐng)域其實(shí)在很多方面都有交織。

　　ITAM的過去和目前的趨勢

　　在21世紀(jì)初期，IT資產(chǎn)管理和信息安全之間幾乎沒有任何關(guān)聯(lián)。ITAM側(cè)重于通過硬件管理和軟件授權(quán)合規(guī)來贏得企業(yè)的支持。其主要重點(diǎn)是在任何時候知道物理硬件的位置，控制其在企業(yè)的進(jìn)出，以及利用價格杠桿實(shí)現(xiàn)批量購買機(jī)會;從軟件的角度來看，其重點(diǎn)是鞏固授權(quán)談判，建立關(guān)于授權(quán)合規(guī)的普遍意識，以及確保供應(yīng)商審計(jì)讓成本符合預(yù)期。ITAM最初讓人們覺得，IT資產(chǎn)管理人員只是清點(diǎn)“東西”。

　　目前的趨勢表明，ITAM在多個方面與數(shù)據(jù)安全流程和關(guān)注領(lǐng)域有著重疊，特別是在報(bào)廢處理以及處理過程中的數(shù)據(jù)安全。此外，重疊領(lǐng)域還包括移動庫存控制和風(fēng)險(xiǎn)管理的責(zé)任，這側(cè)重于網(wǎng)絡(luò)接入點(diǎn)的管理以及設(shè)備在企業(yè)控制之外的安全性。

　　這是這兩個領(lǐng)域之間真正的重疊區(qū)域，這個重疊區(qū)域?qū)⒏�多的ITAM工具帶到信息安全領(lǐng)域，本來這些工具可能不會存在，或者對于沒有強(qiáng)大ITAM方案的企業(yè)，需要專門購買或從零開始開發(fā)。ITAM資產(chǎn)管理控制和報(bào)廢處理過程現(xiàn)在已經(jīng)非常成熟，現(xiàn)在資產(chǎn)都有條形碼標(biāo)簽或RFID標(biāo)簽，還有成熟的庫存跟蹤系統(tǒng)，以及明確到個人的資產(chǎn)分配。這些功能加上信息安全身份管理和強(qiáng)大的訪問跟蹤及訪問管理控制為這兩個領(lǐng)域提供了廣泛的功能，這些功能提供的強(qiáng)大控制能夠解決安全風(fēng)險(xiǎn)，讓企業(yè)更方便地知道在特定時間誰在對特定IT資產(chǎn)做了什么。

　　此外，丟失或被盜的資產(chǎn)更容易識別和跟蹤，網(wǎng)絡(luò)通信更好地關(guān)聯(lián)到個人設(shè)備和接入點(diǎn)，并且，企業(yè)可以基于最新ITAM數(shù)據(jù)存儲庫確定軟件為已授權(quán)或未授權(quán)。雖然這里仍然存在一些真正的風(fēng)險(xiǎn)，但I(xiàn)T資產(chǎn)管理程序提供了很好的額外工具來解決數(shù)據(jù)安全問題。

　　應(yīng)用的正確部署和使用讓企業(yè)可以更有效地監(jiān)控這些資產(chǎn)。然而，在通信和教育方面，很多企業(yè)還沒有實(shí)現(xiàn)的最大回報(bào)。成功的ITAM程序在很大程度上依賴于企業(yè)內(nèi)所有人的合作，而這種合作只有在一種情況下才能實(shí)現(xiàn)，即在正確使用IT方面，員工了解其相應(yīng)職責(zé)。雖然IT對于企業(yè)非常有用，IT總是會帶來嚴(yán)重風(fēng)險(xiǎn);但完善的IT資產(chǎn)管理方案可以幫助減輕這種風(fēng)險(xiǎn)。

　　對ITAM未來的預(yù)測

　　ITAM和IT安全有著相似的目標(biāo)。正因?yàn)槿绱�，一些ITAM方案歸IT安全部門管理，或者這兩者都屬于更廣泛的IT運(yùn)營部門。在某些情況下，ITAM和安全的組合是為ITAM方案獲得資金的唯一途徑。然而，在接下來的兩到五年，ITAM程序和功能，以及信息安全的需求將會以新的有意義的方式交織和重疊。我們將會看到，在一些較大型企業(yè)，這兩組控制被融合到具有廣泛職責(zé)的單個部門。這里的主要驅(qū)動力是新興的全球定位(GPS)開始整合到各種信息技術(shù)設(shè)備中。在資產(chǎn)追蹤、用戶識別和網(wǎng)絡(luò)訪問控制方面，都會開始出現(xiàn)新的功能。

　　現(xiàn)在，網(wǎng)絡(luò)訪問主要通過企業(yè)身份驗(yàn)證系統(tǒng)來控制，并涉及各種其他技術(shù)，例如網(wǎng)絡(luò)訪問控制(NAC)。有些高端系統(tǒng)還能夠限制到特定預(yù)先核準(zhǔn)的IP地址的訪問。然而，攜帶自己設(shè)備到工作場所(BYOD)趨勢正推動著受IP控制的訪問走得更遠(yuǎn)。隨著我們加入GPS，自然的用法是添加GPS到身份驗(yàn)證協(xié)議，只允許來自特定地理區(qū)域的訪問。隨著這個功能的出現(xiàn)，ITAM將可以從資產(chǎn)追蹤的角度進(jìn)行整合，資產(chǎn)到GPS到唯一標(biāo)識符的三角追蹤將取代目前笨重的非集成資產(chǎn)標(biāo)簽。數(shù)據(jù)安全將構(gòu)建在這種功能之上，構(gòu)建在地理位置地圖中，最終第二代功能將綁定位置識別到網(wǎng)絡(luò)訪問，甚至到應(yīng)用使用情況。

　　隨著ITAM和IT安全控制共同發(fā)展，你的位置與你是誰的問題將同樣重要。

　　未來IT路線圖

　　如果你花一些時間思考ITAM的用途、新型GPS式功能以及企業(yè)對數(shù)據(jù)安全的需求，你就能看出事情發(fā)展的趨勢，特別是在現(xiàn)在這個超高風(fēng)險(xiǎn)意識和不斷變化的世界，信息安全威脅源自所有可能的領(lǐng)域：國家支持的網(wǎng)絡(luò)間諜/恐怖主義、無政府主義者和無時不在的經(jīng)濟(jì)動機(jī)的攻擊。信息安全團(tuán)隊(duì)需要記住的是，IT資產(chǎn)管理是可以帶來優(yōu)勢的趨勢。企業(yè)研究這兩個領(lǐng)域交織的方式，并開始尋找辦法來在未來幾年結(jié)合這兩者相應(yīng)的IT戰(zhàn)略和路線圖。

http://www.ardmore-hotel.com/

【「解讀」怎樣通過IT資產(chǎn)管理降低IT安全風(fēng)險(xiǎn)】相關(guān)文章：

資產(chǎn)管理制度管控的風(fēng)險(xiǎn)點(diǎn)02-22

創(chuàng)業(yè)者如何降低創(chuàng)業(yè)風(fēng)險(xiǎn)？08-09

大學(xué)生創(chuàng)業(yè)如何降低風(fēng)險(xiǎn)07-24

怎樣通過自我介紹05-27

創(chuàng)業(yè)者如何降低創(chuàng)業(yè)失敗的風(fēng)險(xiǎn)?08-09

創(chuàng)業(yè)者該如何學(xué)會降低風(fēng)險(xiǎn)？09-25

怎樣降低公司員工流失率？06-28

風(fēng)險(xiǎn)管理心得03-02

中國通過中醫(yī)藥法草案消息解讀09-17

解讀日本留學(xué)簽證提高通過率的方法07-19