【电脑商网专稿】传统的信息安全规则和理念仍存在着一些误区。EMC公司执行副总裁、EMC信息安全事业部RSA全球总裁Arthur W. Coviello日前表达了这一看法。

信息安全是可以在事件发生之后采取的应对性措施，这种认识会对企业的信息安全造成极大损害。Coviello认为，信息安全应该完全纳入到信息基础架构中去。他举例说，“你会等到车发生碰撞后才想起给安装刹车装置吗？同样，在我们开始信息基础架构建设和设计的时候，就应该要考虑到信息安全问题。同时，刹车会给驾驶员一种信心，信息安全也应该发挥同样作用，赋予企业以信心，能够更快速发展。”

边际安全很重要，也是非常有效的手段，企业可以构建越来越高的防火墙。“这是一种陈旧的信息规则或思维方式，这一些理念与今天开放式环境格格不入。”Coviello 表示，“如果我们的目标是让正确的人得到相应的访问权限，越来越高的安全防卫墙并不能帮助我们实现这一个目标。所以，信息安全应该更加关注微观的内容，而不只是宏观地关注架构、防火墙和边界。”

信息安全象有形设备一样，是静态的。“这同样是一种陈旧的观念。”Coviello认为，“信息安全系统只应该在发现、识别风险的时候才发挥出作用。”

对此，Coviello阐述了RSA信息安全的思路。“想要构建以信息为核心的安全系统，我们要做的第一件事情，是要弄明白应对的是什么样的信息、信息在哪里；第二步，把信息进行分类，找寻出重要的信息并进行有效的监控。”

他介绍说，一旦对信息和风险有良好的理解和掌握之后，可以开始建立实施和执行的机制。“我们要监控哪些人有访问的权限，让正确的人享有正确的权限。我们监控信息流动的全过程，在有风险或者问题出现的时候，实施相应的安全对策。”他强调，RSA的策略并不是针对某一个具体产品，而是一揽子产品形成解决方案。“最终我们必须还要有审计、审核的能力，审计主要是确保我们履行对风险化方面的监管要求。”

另外，重复工作在安全领域并不是一件坏事。服务商必须要相互合作，厂商之间不能为企业提供彼此不兼容、不能合作的产品，否则只能为企业带来脆弱性和易攻击性。目前RSA正在和思科进行合作，RSA对数据设备进行加密。Coviello认为，RSA和思科进行的合作十分重要且非常必要。