信息化觀察網(wǎng)

乍看起來，部署網(wǎng)絡(luò)安全措施和追求創(chuàng)新似乎是相互排斥的。加強(qiáng)安全的戰(zhàn)略旨在降低風(fēng)險(xiǎn)，而創(chuàng)新工作則要求敢于承擔(dān)風(fēng)險(xiǎn)。

企業(yè)正在想方設(shè)法推出創(chuàng)新的數(shù)字業(yè)務(wù)新項(xiàng)目，同時采取措施保護(hù)數(shù)據(jù)和其他IT資產(chǎn)。因此，他們建立了改善客戶體驗(yàn)、獲得新收入和新市場機(jī)會的途徑，同時還加強(qiáng)了安全要求、保護(hù)系統(tǒng)和數(shù)據(jù)并遵守法規(guī)。

畢竟，這才是當(dāng)今業(yè)務(wù)環(huán)境中成功的秘訣：推動變革性舉措，以確保寶貴的系統(tǒng)和數(shù)據(jù)安全的方式，采用云、移動技術(shù)、人工智能、數(shù)據(jù)分析和物聯(lián)網(wǎng)（IoT）等創(chuàng)新技術(shù)。

對此，當(dāng)今的企業(yè)應(yīng)找到一種平衡的方法，既要走在競爭的前列，試驗(yàn)新技術(shù)，將概念證明應(yīng)用到生產(chǎn)中等等，又能更好地規(guī)避風(fēng)險(xiǎn)，保證這些舉措是安全的。

在某些情況下，這可能涉及增加所有系統(tǒng)安全相關(guān)的預(yù)算和資源；在其他一些情況下，這意味著留出預(yù)算和資源，以保證能開展純粹的創(chuàng)新工作。不管怎樣，我們的目標(biāo)都是創(chuàng)新，但要以一種安全、明智的方式來進(jìn)行。

本文介紹一些企業(yè)怎樣既能創(chuàng)新又能很好地保證安全的例子——無論是針對具體項(xiàng)目還是作為一般實(shí)踐。

在保證數(shù)據(jù)安全的同時部署新的在線服務(wù)

高等教育機(jī)構(gòu)應(yīng)關(guān)注是否遵守《家庭教育權(quán)利和隱私法案》（FERPA），該法案旨在保護(hù)學(xué)生數(shù)據(jù)的隱私。

印第安納州賓夕法尼亞大學(xué)（IUP）首席信息官Bill Balint介紹說：“合規(guī)一直是我們最重視的問題，而傳統(tǒng)的校內(nèi)學(xué)生信息系統(tǒng)和數(shù)據(jù)通常被鎖定在這些系統(tǒng)和文件中，認(rèn)為外部訪問基本上沒什么問題。

但是，現(xiàn)在能夠通過網(wǎng)絡(luò)訪問受保護(hù)的系統(tǒng)，今后有可能出現(xiàn)的大規(guī)模安全泄露事件和數(shù)據(jù)暴露問題使得FERPA合規(guī)成為當(dāng)務(wù)之急。”

Balint說，隨著高等教育轉(zhuǎn)變成更像是企業(yè)那樣運(yùn)作，這個問題日益嚴(yán)重了。他說：“各院校為了實(shí)現(xiàn)招生和學(xué)生成功目標(biāo)，越來越多地轉(zhuǎn)向客戶關(guān)系管理和數(shù)據(jù)分析解決方案等領(lǐng)域中基于云的快速實(shí)施服務(wù)。”

IUP正在通過基于云的訂閱服務(wù)來使用這類技術(shù)，這使得該大學(xué)能夠提供創(chuàng)新服務(wù)，例如，幫助創(chuàng)建經(jīng)過優(yōu)化的個性化助學(xué)金包和定制的學(xué)術(shù)分析功能，這些有助于吸引并留住成功的學(xué)生。

Balint說：“但要想實(shí)現(xiàn)這些，供應(yīng)商通常還要求將有關(guān)學(xué)生的大量敏感學(xué)術(shù)和/或財(cái)務(wù)數(shù)據(jù)導(dǎo)入到供應(yīng)商控制的云應(yīng)用程序中。這類活動使得大學(xué)無法實(shí)施一些安全控制措施。取而代之的是，大學(xué)不得不承認(rèn)供應(yīng)商的‘合同承諾’，即敏感數(shù)據(jù)在傳輸和靜止?fàn)顟B(tài)時都能得到保護(hù)。”

為了確保敏感數(shù)據(jù)不會被泄露，IUP采取的第一步是考慮到基于云服務(wù)的安全和隱私的實(shí)際意義，只共享對工具功能最為重要的數(shù)據(jù)。

Balint說：“例如，與專注于學(xué)術(shù)成功的供應(yīng)商分享成績信息是很重要的。但社保號碼對他們而言毫無價值，不應(yīng)該共享。”

除此之外，IUP還要求其合作的所有云供應(yīng)商通過正式的合同和服務(wù)等級協(xié)議（SLA）來滿足數(shù)據(jù)隱私和安全的行業(yè)標(biāo)準(zhǔn)。

Balint說：“很少有高等教育機(jī)構(gòu)自己有專家能夠履行這些供應(yīng)商的職能，而供應(yīng)商所提供的服務(wù)對很多機(jī)構(gòu)的發(fā)展越來越重要。業(yè)界應(yīng)繼續(xù)發(fā)展保護(hù)敏感和機(jī)密數(shù)據(jù)的最佳實(shí)踐。”

提高新移動應(yīng)用程序的安全性

2019年底，科羅拉多州宣布在其myColorado移動應(yīng)用程序中推出科羅拉多數(shù)字ID，實(shí)現(xiàn)了居民與州政府互動方式的變革。myColorado的愿景是為州居民提供創(chuàng)新、安全和方便的移動解決方案，通過該解決方案，他們能夠與數(shù)字身份和政府服務(wù)建立連接。

科羅拉多州首席信息安全官Deborah Blyth說：“我們的目標(biāo)是通過中央移動平臺把居民與服務(wù)連接起來，讓居民們更方便地辦理州政府相關(guān)的業(yè)務(wù)，例如，更新駕照等。這樣，居民們就不必去州政府辦公室了，從而減少了時間和交通成本，最終有助于提高居民滿意度。”

自10月份公開發(fā)布以來，已經(jīng)有3萬多居民下載了myColorado應(yīng)用程序。

Blyth說，州政府意識到，如果想要讓居民們廣泛地采用某種產(chǎn)品或者服務(wù)，那么獲得并維持公眾信任是最為重要的，而實(shí)現(xiàn)這一點(diǎn)的最佳舉措是一定要保證應(yīng)用程序開發(fā)的安全性。

myColorado中的個人信息受到多重身份驗(yàn)證和數(shù)據(jù)加密的保護(hù)，以確保整個應(yīng)用程序的隱私和安全。Blyth介紹說，此外，myColorado在多個層面上使用了用戶身份驗(yàn)證、認(rèn)證和聯(lián)合措施來確保用戶的身份安全。

Blyth說：“當(dāng)myColorado還只是一種想法的時候，安全架構(gòu)師就在應(yīng)用程序設(shè)計(jì)團(tuán)隊(duì)中發(fā)揮了不可或缺的作用。從項(xiàng)目開始，就需要驗(yàn)證移動用戶的身份，以便將用戶與州系統(tǒng)中包含的適當(dāng)信息相匹配。”

其他考慮因素包括確保通過適當(dāng)?shù)纳矸蒡?yàn)證持續(xù)訪問用戶信息以防止未經(jīng)授權(quán)的訪問，以及評估并選擇支付提供商來安全地處理付款。

開發(fā)團(tuán)隊(duì)進(jìn)行了測試，以確保移動應(yīng)用程序和后端服務(wù)器不存在可能被利用的漏洞，避免敏感數(shù)據(jù)被暴露。Blyth說，在開發(fā)過程中還采取了其他預(yù)防措施，以防止開發(fā)人員訪問敏感數(shù)據(jù)。

Blyth說，myColorado成功部署安全功能的一個關(guān)鍵因素是，在設(shè)計(jì)和開發(fā)應(yīng)用程序時，所有的安全需求都得到了一致同意，并通過迭代過程整合到應(yīng)用程序中。

她說：“讓安全架構(gòu)師作為創(chuàng)新團(tuán)隊(duì)中積極而且平等的參與者，這保證了從一開始就能建立起重要的安全標(biāo)準(zhǔn)，而不是在開發(fā)周期結(jié)束時簡單地將其視為一個附加項(xiàng)。”

采用試驗(yàn)性方法開展IT創(chuàng)新

為客戶提供員工認(rèn)可和獎勵服務(wù)的O.C. Tanner公司正在啟動利用人工智能、3D打印和DevOps等新技術(shù)和方法的項(xiàng)目。在此過程中，該公司遵循了一些實(shí)踐，以保證數(shù)據(jù)和系統(tǒng)的安全，并確保隱私得到保護(hù)，同時又不會扼殺創(chuàng)新。

其中最重要的一點(diǎn)是，要把新的IT計(jì)劃視為謹(jǐn)慎的科學(xué)試驗(yàn)。O.C. Tanner進(jìn)行的技術(shù)試驗(yàn)規(guī)模很小，使用的是公司現(xiàn)有的流程和工具，并將這些工作與企業(yè)外部的實(shí)體隔離開來。

該公司高級副總裁兼首席信息官Niel Nickolaisen介紹說：“如果我們的一個試驗(yàn)有或者產(chǎn)生了一個漏洞，那么，我們現(xiàn)有的流程應(yīng)該會發(fā)現(xiàn)這個漏洞。但如果沒有發(fā)現(xiàn)，漏洞也不會讓我們的環(huán)境整體上處于危險(xiǎn)之中。”

有時，漏洞可能會導(dǎo)致公司取消試驗(yàn)，或者找到補(bǔ)救和繞過問題的方法。Nickolaisen說：“在一個案例中，我們試驗(yàn)了一種新技術(shù)，發(fā)現(xiàn)了一些問題，然后與初創(chuàng)公司提供商合作解決了這些問題。”

隨著試驗(yàn)通過了某些驗(yàn)證點(diǎn)（這些驗(yàn)證點(diǎn)因技術(shù)和試驗(yàn)類型而異），Nickolaisen介紹說，“我們逐步提高了試驗(yàn)的生產(chǎn)價值標(biāo)準(zhǔn)，因此要求變得更加嚴(yán)格。在任何東西發(fā)布到我們的生產(chǎn)環(huán)境中之前，它必須符合我們的標(biāo)準(zhǔn)——這些標(biāo)準(zhǔn)包括安全和隱私。”

在一個例子中，O.C.Tanner認(rèn)為自己有足夠豐富的數(shù)據(jù)，能夠?yàn)榭蛻籼峁﹩T工離職原因的深度分析。

為了證明這一點(diǎn)，需要使用客戶端員工數(shù)據(jù)（必須保證數(shù)據(jù)的安全），以便構(gòu)建基于云的人工智能/機(jī)器學(xué)習(xí)算法。

Nickolaisen說：“從小處著手，我們匿名化了客戶數(shù)據(jù)的一個子集，并在云服務(wù)中做了初步的概念驗(yàn)證。結(jié)果令人鼓舞，我們認(rèn)為應(yīng)該繼續(xù)前進(jìn)。但是，在某些時候，我們需要使用實(shí)際的、而不是匿名的數(shù)據(jù)。”

O.C.Tanner擴(kuò)大了試驗(yàn)規(guī)模，還評估了可用云人工智能和機(jī)器學(xué)習(xí)服務(wù)的安全和隱私過程。Nickolaisen說：“同時，我們與客戶合作，讓他們參與我們對云提供商安全/隱私舉措的評估。我們希望他們能夠像我們一樣，對我們的選擇感到滿意。”

另一個例子涉及公司正在使用的DevOps過程和工具。為了確保DevOps過程滿足其安全標(biāo)準(zhǔn)，而且仍然能夠快速部署，O.C.Tanner想實(shí)現(xiàn)一定程度的自動化，以便新服務(wù)和功能的創(chuàng)建者可以只是自行部署預(yù)先批準(zhǔn)的更改。

Nickolaisen說：“這需要我們目前還沒有的功能和工具。”O.C. Tanner找到了這樣一款工具，但它來自一家剛創(chuàng)立的初創(chuàng)公司，因此會有一些風(fēng)險(xiǎn)。他說：“我們用他們的工具做了一項(xiàng)試驗(yàn)來評估他們的功能。那次試驗(yàn)成功后，我們開始應(yīng)用我們的生產(chǎn)價值標(biāo)準(zhǔn)，并發(fā)現(xiàn)了他們產(chǎn)品中的一些安全和認(rèn)證差距。”

O.C. Tanner隨后與該公司合作，在投入生產(chǎn)前解決了這些問題。

優(yōu)先考慮客戶體驗(yàn)和數(shù)據(jù)保護(hù)

公共機(jī)構(gòu)雇員全球保險(xiǎn)公司（WAEPA）是一家提供團(tuán)體定期人壽保險(xiǎn)的公司，其目標(biāo)是通過超出文職聯(lián)邦雇員和退休人員的期望，在為他們提供服務(wù)方面超越競爭對手。

首席信息官Brandon Jones說：“隨著服務(wù)和數(shù)字化工具的發(fā)展，WAEPA意識到需要變革和優(yōu)化用戶體驗(yàn)中的每一個平臺和接觸點(diǎn)。”

Jones說，擁有強(qiáng)大的數(shù)字化展示功能是實(shí)現(xiàn)這一愿景的基礎(chǔ)。為了增強(qiáng)其在線展示能力，該公司首先進(jìn)行了一項(xiàng)可用性研究，分析客戶數(shù)字化體驗(yàn)的當(dāng)前狀態(tài)，開展可用性測試和用戶訪談，并綜合數(shù)據(jù)以確定所收集信息的趨勢、模式和共性。

研究和分析揭示了有機(jī)會進(jìn)一步提高可用性，WAEPA因此產(chǎn)生了很多發(fā)現(xiàn)和建議。

接下來，WAEPA啟動了一項(xiàng)“客戶旅程地圖工作”，以確定客戶和潛在客戶在交易過程中所經(jīng)歷的各個階段，他們在每個步驟中有什么期望，他們在每個步驟中有哪些問題，以及他們在每個步驟中的感受。

Jones說：“這項(xiàng)工作使我們能夠確定會員參與我們產(chǎn)品和服務(wù)的步驟，以及與他們旅程其他部分的聯(lián)系、改進(jìn)的機(jī)會，以及應(yīng)該在哪些地方進(jìn)行步驟合并或者拆分。通過有條不紊地繪制我們成員的步驟，我們可以將此項(xiàng)工作用作診斷工具。”

WAEPA利用可用性研究和客戶旅程地圖的發(fā)現(xiàn)，開始建立一個新的網(wǎng)站和會員門戶網(wǎng)站。新網(wǎng)站的目標(biāo)是更好地向用戶介紹產(chǎn)品和應(yīng)用過程；提高整個網(wǎng)站的一致性和易用性；提供自助工具和信息，以便用戶作出明智的決定；還有“人性化”的體驗(yàn)，以幫助、引導(dǎo)和安撫在線用戶。

在整個過程中，首先考慮的是保護(hù)好客戶數(shù)據(jù)，安全也融入到新網(wǎng)站和支持基礎(chǔ)設(shè)施中。安全策略包括使用冗余防火墻、虛擬專用網(wǎng)（VPN）、防止垃圾郵件和網(wǎng)絡(luò)釣魚、身份和訪問管理等工具。

通過采取這些以及其他步驟，WAEPA能夠?yàn)槠淇蛻魟?chuàng)造更好的客戶體驗(yàn)，同時還進(jìn)一步提高了安全保障等級。

作者：Bob Violino目前在紐約，是Insider Pro、Computerworld、CIO、CSO、InfoWorld和Network World的特約撰稿人。

編譯：Charles

原文網(wǎng)址：https://www.cio.com/article/3521009/security-vs-innovation-its-trickiest-balancing-act.html?nsdr=true