新書推薦:
《
学术的中心:英法德美
》
售價:NT$
398.0
《
为什么要读人类学
》
售價:NT$
352.0
《
井邑无衣冠 : 地方视野下的唐代精英与社会
》
售價:NT$
434.0
《
星地融合移动通信系统与关键技术从5G NTN到6G的卫星互联网发展
》
售價:NT$
968.0
《
妈妈,你好吗?(一封写给妈妈的“控诉”信,日本绘本奖作品)
》
售價:NT$
194.0
《
保守主义:为传统而战
》
售價:NT$
704.0
《
不同境遇的36岁:无尽与有限+人生半熟
》
售價:NT$
510.0
《
小时光 油画棒慢绘零基础教程
》
售價:NT$
403.0
|
內容簡介: |
本书作者将自己多年来对互联网的研究经验成果进行总结,详尽解释了当今社会存在很多网络危险的原因,并指导企业、行业管理部门、政府部门如何采取措施防范风险。本书内容包罗万象,融合了云计算、移动互联网、社交媒体等,提出数字化适应力是真正的解决方案,指出通向未来的安全策略。
|
目錄:
|
推荐序
前 言
导 论
第1章 网络攻击危及公司的创新步伐/1
网络攻击风险降低了信息技术的价值/2
对每个人来说风险都很高,而且风险无处不在/9
防御者落后于攻击者/18
第2章 情况会好转,也可能变糟糕:3万亿美元经济损失/31
场景规划及网络安全/33
场景1:得过且过的未来/37
场景2:数字反弹/41
场景3:数字化适应力/47
第3章 优先考虑风险及目标保护/55
漫无目的的安全措施只是在为攻击者服务/56
制定信息资产及风险优先级,并让业务领导参与其中/59
给最重要的资产提供差别保护/69
使用全面控制进行分层/71
在实践中为优先级信息资产提供有针对性的保护/74
第4章 以数字化适应力方式经营生意/81
在所有业务过程中构建数字化适应力/82
让一线员工参与保护他们所使用的信息资产/93
第5章 将IT现代化,以确保IT安全性/103
将网络安全嵌入IT环境的六个方法/104
为实现所需的改变,与IT领导合作/121
第6章 采取主动防御措施对抗攻击者/125
被动防御措施的局限性/126
了解敌人,采取相应的措施/128
第7章 遭遇攻击后:提升所有业务部门的应急响应能力/143
制订应急响应计划/145
利用模拟作战来测试计划/151
对真正的网络攻击进行事后分析以完善计划/156
第8章 构建起推动企业走向数字化适应力的项目/159
要实现数字化适应力需要什么条件/160
推出数字化适应力项目的六步骤/166
第9章 创造有适应力的数字化生态系统/185
数字化生态系统/186
有适应力的数字化生态系统的影响力/187
创建有适应力的数字化生态系统需要什么/191
为创造有适应力的生态系统而协作/195
结语/209
致谢/212
作者简介/213
|
內容試閱:
|
推荐序
我们正处于一个科技创新涌现的时代,沟通、协作以及企业和机构的变革速度十分惊人。然而,在我们的生活、工作日益依赖于科技进步时,也出现了同样惊人的安全风险。如果你经常关注每日的安全漏洞新闻,就会了解科技带来的经济风险、经营风险以及信誉风险。
作者将自己多年的研究成果全部写入本书,详尽解释了当今社会造成很多网络不安全的原因,网络安全为何成为一个极为棘手的问题,问题为什么变得越来越糟糕,以及企业、行业管理部门、政府部门应该采取哪些措施。重要的是,五位作者詹姆斯M.卡普兰(James M. Kaplan)、图克·拜莱(Tucker Bailey)、克里斯·雷策克(Chris Rezek)、德里克·奥哈洛伦(Derek O扝alloran)和阿兰·马库斯(Alan Marcus)不仅仅介绍了现今面临的网络安全风险,还详尽描述了如何缓解风险,并评估了如果不采取缓解措施可能导致的危害。
在调研过程中,我有机会了解他们的研究方法及初步结果。他们在全球诸多企业机构看到的事实,与我看到的或者我从RSA客户处听到的事情基本一致。在2014年RSA大会上,作者们将初步研究成果展示给来自欧洲、亚洲、美洲的各国代表,引起了大家的共鸣,一致同意本书所呈现的事实。让我感到振奋的是,会议中所有国家都认为当前大家共同合作解决网络安全问题非常必要。
从研究成果中可以看出,融合了云计算、移动互联网、社交媒体技术的当代数字化商业发展迅速,大幅增加了组织机构的受攻击面,传统的安全边界(perimeter)不再是有效的防护。过去各机构与外部世界的屏障已被打破,网络边界呈现新的特点,即碎片化、飘忽不定且与内网关联紧密,致使我们原来依赖的安全控制效果大大降低。这就需要新的安全模型。本书作者推荐了一种基于数字化适应力(digital resilience)概念的多层次方法,目前一些世界领先公司已经开始使用,并很快接受了这个方法。
数字化适应力不仅是一种理论,也是一种策略,是在日益不安全的世界里带来真正安全的策略、过程以及控制的框架。首先,需要透过企业的业务目标、发展重点及关键资产,全面理解风险种类以及处理风险的必要性。其次,要在商界领袖群体中创建一种安全文化,使高级管理人员在商业决策时时刻想到安全,而非事后才想起安全的重要性。再次,要时刻做好应对任何来源的攻击,包括来自内部的威胁。为了及时应对不可避免的入侵,要采取必要的可视化手段、分析工具及动态控制措施。最后,要将所有这些因素有机地结合起来,创建起真正的深度防御体系。
但是,每个组织机构都不是孤立的岛屿,仅靠自己的努力很难成功抵御风险。作者认识到,这需要政府、监管者、供应商、行业共同组成生态系统,通力合作,形成一个保护生态系统的良好对策。
对于很多组织机构来说,网络安全这一话题仍旧是讳莫如深的,恐惧及绝望感弥漫在很多组织机构。如本书作者在阐述持续的网络安全带来的经济影响时说道,因为恐惧及网络风险的不确定性,阻碍了企业采用创新性、有潜在变革性的技术,因此,由于对网络安全缺乏清晰认识所造成的影响要远超过目前我们面临的挑战。正如两次荣获诺贝尔奖的居里夫人所说:“生命中没有可畏惧的东西,它只是尚待理解。我们要更多、更充分地去了解,这样我们就少了畏惧。”
本书作者潜心研究,帮助人们加深这份理解,为读者提供必要的分析,指出了一条非常清晰、有说服力的路径,这条路通往安全的未来。
我相信,本书可以极大地帮助安全从业人员、技术部门主管,不仅让他们用现实世界的安全防御成果来作为衡量标准,而且,本书作为一种工具,向高层管理人员阐述了网络安全对其所在组织机构的未来以及企业的生存能力都是非常重要的。
政府公务员及行业监管者应将此书视为指南,制定周到、行之有效的政策及切合实际的管理规章,为企业提供更多的安全支持。
最后,本书对于高管及董事会成员来说也颇具价值,可帮助他们很好地理解所有组织机构面临的问题。我经常受邀在组织机构的董事会发言,讲述他们的网络安全现状与前景,在这些对话中,我时常总结自己的经验和世界各地客户的体验,现在,很感谢让我也能在这里与读者分享本书。
亚瑟W.科维洛(Arthur W. Coviello, Jr.)EMC公司信息安全事业部RSA执行总裁
后记
在本书编写过程中,我们采访了很多领域的专家,并与一位国家商业出版社的记者交流了有关网络攻击对经济的影响和数字化适应力的话题。
我们都认为,当前全球经济很明显已经面临风险,采取相应行动是非常有必要、非常紧迫的。记者说他理解企业没有有效地保护自己,但他也提出了一个需要进一步讨论的问题:很明显,企业不仅仅应将网络安全视为一种控制功能,而且应保护最重要的资产,得到员工的帮助,将安全与信息技术紧密结合,那么为何企业都没有这么做呢?
史蒂芬·比德尔(Stephen’Biddle)在《军事力量:解释现代作战的胜与败》一书中也遇到了这种窘境。他在论证20世纪战争胜利的决定因素时,充分证明了军队利用自身力量的方式,比军队规模大小和技术装备的先进性等因素要重要得多。他特别展示了自第一次世界大战以来的军事部署现代化体系,包括掩护、隐蔽、疏散、压制、小分队独立战斗、联合作战、纵深防御、后备队及差别集结(differential concentration)等紧密关联的一套机制’,保证军队在每场主要武装战斗中取胜。
然而虽然这套现代化体系取得了巨大的成功,但只有较少的军队采用了该体系。原因何在?比德尔解释道,部署现代化体系的能力建设过程非常困难,对军队中很多人构成了组织上的威胁。举例来说,身为独裁者的将军会对授权士兵做独立决策感到不是滋味。
网络安全中的情况也类似。更多资源投入未必能产生相应的保护能力。没有哪一种技术(不管在广告中吹嘘得多么天花乱坠)能单独提供保护。反而是,本书中描述的一系列紧密相关、相互促进的方法可用于实现数字化适应力。
企业只有了解了业务风险及信息资产,才有能力实施差别化保护。将网络安全融人业务流程、让一线用户广泛参与才能让安全性更稳健,这两者在促进业务模型更有适应力上相得益彰。把网络安全融人应用系统及基础设施环境中,增加了安全透明度,对实施主动防御措施特别关键。通过不断测试来完善所有业务部门的应急响应流程,对其他安全手段也是一种补充。综合来说,这些方法、手段,可以让企业在面临网络攻击时更有适应力。而传统安全手段严格限制技术环境、采用多种控制流程,让企业使用创新性、创造性技术变得更难。
为何企业没有积极地采用这些方法去努力实现数字化适应力呢?如同改变军队文化一样,这么做很困难,存在组织机构方面的挑战。实现数字化适应力有以下三个要求:
(1)网络安全团队与业务伙伴共同参与制定风险优先级、做出妥善的权衡,适当的时候,改变业务流程及业务行为,而不是仅依靠实施技术方案来管理风险。 (2)在IT组织中注重适应力,促进安全、效率、灵活性三者的有机结合,使IT经理们从一开始就把技术平台设计得安全和有适应力。
(3)大幅提升网络安全团队的技术和能力,基层管理者能理解业务风险、与业务伙伴良好合作、引领快速变化的技术环境、改变应用系统与基础设施环境、开展主动防御战术。
遗憾的是,很多企业没有这样的雄心壮志来设计网络安全项目。它们认为可以一步一步地来,先实现基础的网络安全保护能力,同时想着以后再实施更全套的安全行动,然而不幸的是,攻击者没有如此耐心。很多企业的高层领导没有投入足够的时间和关注度去促成网络安全团队与业务经理们的合作,他们继续使用过时、不透明的应用程序及基础设施环境,而后者可同时存在不灵活、效率低、自身不安全等问题。
数字化经济的前景价值是明显的,能促成高效的业务流程、极为亲密的客户关系、更多基于事实的决策。
高层业务领导及决策者可继续让网络安全成为一种官僚的控制功能,然后在2020年眼睁睁地看着数字化经济固有价值缩水3万亿美元。或者,他们认识到网络安全是2 1世纪最为关键的一个社会与经济议题,并要求各部门推动向数字化适应力的过渡。特别是,高层业务领导可确保业务部门、IT部门、网络安全部门的经理们相互协作,在各部门都采用数字化适应力方法。技术供应商可以确保构建安全的产品和服务。监管者可设计前瞻性的N-1络安全战略决策,而非执着于过时的方法。
选择只有一个:超越网络安全,实现数字化适应力。
|
|