作为赛门铁克和VMware公司的前任CIO，Mark Egan已经看到了他分享的数据威胁以及这些威胁如何快速变身。拿云计算和虚拟化来说，几年前，因为安全问题，CIO们畏缩不前。他解释道，没有其他原因，就是因为厂商自己的安全控制措施不成熟——因为客户需要更好的数据安全和隐私。今天，Egan是一家优秀的技术咨询公司——StrataFusion集团（The StrataFusion Group）——的合作伙伴。并且他出版了一本名为“信息安全执行指南”的书。在他的新角色中，他认为他应该做一些工作转换。结果CIO们都要求他先关心一下“小的安全问题”。本文是访谈的第一部分。

　　问：在您2009年的一篇名为“增强数据保护的7个提示”的文章中，您提醒CIO们，当前针对云服务和虚拟化的数据保护技术还不成熟。现在在这些领域的数据威胁得到解决了吗？

　　Mark Egan：亚马逊，或者亚马逊与第三方供应商一起正被政府服务所使用。他们正开始被接受。他们正在消除那些安全问题。这个行业正在走向成熟，但使用时要小心，因为一些供应商提供的安全控制措施非常脆弱，以至于我14岁的儿子都可能越过它们。与此同时，一些云服务提供商在应对安全问题上的工作已经做了很长的时间，如ADP。工资数据是超级敏感的数据，但他们已经在这些数据的保护方面工作了很多年。

　　当我在VMware工作的时候，公司提供了大量资源专门用于确保vSphere的安全。但是，曾经，安全性并不是什么大不了的事情。我可以告诉您，是因为我了解专门做这项工作的员工，并且我看到他们是如何重新确保资源的安全的。另外，安全性成为了一个优先考虑的事项，因为客户说，“我们不能使用这种虚拟化的东西，因为它不安全。”如果这影响到供应商的业务，很显然他们将重新安排工作的优先级。

　　问：今天的顶级数据威胁是什么？

　　Mark Egan：许多安全问题是来自某些国家的持续性的威胁。他们是非常非常好的。在我看来，一些国家在研发上可能需要花费数十亿美元，但窃取将是更廉价的。大多数公司没有投入这样的时间或投入资源来保护自己的知识产权（IP）。他们认为法律将保护他们——比如版权等。他们不关心这些。看看华为和思科。比如，在某些情况下，华为甚至没有修改思科的代码就进行使用。在知识产权方面，有些公司和国家认为，窃取比开发更容易。

　　问：对于这些数据威胁，您的关键建议是什么？

　　Mark Egan：当他们打电话给我们时，总是关乎两件事情之一：一个是类似消防演习的修复模式，或者主动问我：“我对目前的工作环境感到不安全，您能帮帮我吗？”

　　在这两种情况下，我们做一个评估或给他们定一个基准。他们在哪里？他们有什么风险？让我们适时绘制一个路线图。您所要做的是一个渗透测试。像一个坏家伙一样展开行动，并试图攻破他们提到的环境。环境相当复杂，包含所有的硬件、软件和第三方（参与方）。攻破所有这些小的IP漏洞是其中一个目的之一。另一个目的是窃取您的钱。这是比较成熟的领域，如银行和金融服务;他们因为这些坏家伙而损失了钱财。安全已经成为了业务的一部分。

　　当我离开VMware时，我想我应该做一些工作转换：云、社交、移动、大数据。我正在做一些这方面的工作，但他们说：“有一点安全问题，我想请您先帮我一下。”这个小问题最后证明比他们想象的大很多。

版权声明：

凡本网内容请注明来源：T媒体（http://www.cniteyes.com）”的所有原创作品，版权均属于易信视界（北京）信息科技有限公司所有，未经本网书面授权，不得转载、摘编或以其它方式使用上述作品。

本网书面授权使用作品的，应在授权范围内使用，并按双方协议注明作品来源。违反上述声明者，易信视界（北京）信息科技有限公司将追究其相关法律责任。