IT保安新概念 以网络制衡网络


    香港接二连三发生重大的资料外泄事故,突显政府机构、企业和市民暴露于资讯安全威胁之下。市场调研机构Gartner的IT保安专家最近发表的调查报告中,亦有论述这隐患。该报告指出,相比于北美及欧洲各地,亚太区的机构不但拨出更大比例的IT预算作保安之用,更将资料安全视为保安开支增加的首要因素,反映出个人资料私隐;特别是保护存放于政府、金融服务、医疗服务等机构的个人资料,极受关注。

  IBM最近召开第六次「全球创新展望——保安与社会」系列座谈会中,提出一个崭新的保安概念:以网络制衡网络。IBM全球创新网络香港区科技专家戴剑寒解释,网络本身也是一种力量,可以组成铜墙铁壁的系统作为保安防御,这就是「以网络制衡网络」的概念。

  分布式保安联防

  事实上,与资讯科技系统一样,网络也是可积少成多的资源,将许多网络连结起来所产生的力量,必定大于个别网络的总和。长久以来,IT保安界都关注到不法之徒利用网络作恶,借力打力,造成「倍数效应」的破坏,受害的规模与他们出力的程度简直不成比例。电脑病毒借电脑传播,一传十,十传百,迅速蔓延就是倍数效应的例子。

  联合网络保安的做法是,在每个网络的边缘部署智能技术,组成「分布式保安」联防网络。例如,许多绵长复杂的全球化供应链都以香港为中心,参与这些供应链的机构很清楚所属链扣部分的安全情况,但对于整个系统的每个主要环节,则未必全盘了解。若要增进整体安全,可促使各参与机构协作分担供应链的保安责任,这样不但可提高每个环节的透明度和促进彼此的关系,更可增强整体保安和降低成本。

  除了上述的「分布式保安」联防网络外,有IT保安业人士提倡「社群保安」,由相熟及价值观一致的群体组织起来,维持同一社群的网上治安。这做法已出现于许多网上社群,例如在Second Life、Wikipedia及网上游戏World of Warcraft,参与者互相根据对方的信誉和贡献评定等级,当有玩家持续犯规或故意扰乱秩序,即被群体摒弃和禁止再玩。同样的原则已开始在供应链和互连的行业群体中,例如在金融界实行。

  有效维护市场信心

  与此同时,付款业亦推出一套全球标准,在零售层面保护消费者资料。业界人士指出,资料外泄的代价是每名用户300美元,保护资料的成本则不过是每名用户16美元,因此主动保护资料是最具成本效益。

  戴剑寒表示,不论是企业或消费者,总有些情况令他们不甘心为保安付出成本代价。不过,保安有助维持用户之间的信心,价值不容置疑,但同样重要的是,不可因小失大,破坏本身的保护系统。

  IBM的保安会议得出一个结论:完善的保安对业务有利。由于网络将世界连成一体,不论是政府、企业,抑或黑客都拥有更强大的力量,各方各尽所能去达到不同的目的,因此必须提升本身的保安能力,例如分布式保安技术协作联防,这是值得香港企业和机构考虑的可行方案。

相关内容