Web 2.0世界需要一种新的安全方法

　　现在的情形与过去可是大不一样了。

　　网络连接正在驱保移动性、网上交互和协作越来越强。网络沟通现在成了商业的基础。公司雇员很分散，他们在多个地方使用多种设备和应用程序。协作能够让工作效率迈上新的台阶，而最终用户和公司企业之间的界限随之模糊起来。交易事务以及它们包含的敏感信息都在网上传输。在这样一个新的Web 2.0世界，人们成了边界。

　　遗憾的是，诸多黑客和网络犯罪分子也在这个新的领域“与时俱进”。如今的攻击者们是越来越狡猾、越来越有组织性。实际上，他们已经开始采用类似传统软件开发和商业惯例的手法。随着安全措施开发出来并加以部署，从而保护计算机、保护存储在计算机上面及通过其传输的数据，攻击者也在相应改变新的手法和策略，以便规避这些安全措施。

　　另外，随着攻击活动变得更加以牟利为动机，攻击的许多方面都变得职业化和商业化。从许多方面来看，如今的攻击工具体现了一种繁荣的地下经济，需要专门工具才能满足这样一个暴利行业的要求。

　　更糟糕的是，来自外部的威胁只是问题的一方面。许多企业还容易受到来自组织内部的威胁的攻击：无论是心怀不满的雇员窃取敏感的客户信息，还是注意力分散的承包商弄丢了里面装满机密但未经加密的信息的笔记本电脑。

　　显然，在这样一种高度互联的商业世界，昔日的安全方法再也不管用了。随着从事交易的新方式随着Web 2.0出现在世人面前，我们必须采取下一代安全方法，才能确保企业安全进入更明智的一个时代。不妨称之为安全2.0（Security 2.0）；这种不断进化的安全方法不仅仅致力于保留系统、把黑客拒之门外；还致力于保护信息和联系的安全。它采取了一种更加动态的视角来看待安全；许多技术和流程可以根据设备、人员和应用程序的声誉或者行为，进行相应调整。策略驱动安全2.0；技术实现安全2.0；操作加强安全2.0。

　　保护策略

　　从设计上来说，安全策略记录了一家组织用来定义所需安全基本级别的诸多规则。在Web 2.0世界，安全策略必须不但致力于保护设备，还要致力于保护信息安全。毕竟，组成IT基础架构的诸多设备和系统的主要目的就是，传输及控制一家组织当中最宝贵的资产：信息。

　　因而，安全策略必须帮助一家组织管理及控制出入内容，从而保护它们、以防有人无意或故意分发；或者以防有人访问机密及敏感的信息。为此，市面上各种各样的解决方案，让组织能够知道自己的信息在何处、制订访问信息的策略、过滤电子消息中的敏感内容，以及管理和控制数据库泄露风险。结合雇员安全教育和安全意识加强，这些解决方案就能防范数据丢失。

　　安全和风险

　　如今的攻击越来越狡猾，这就需要更具可扩展性的安全方案。如今，企业需要积极主动的安全措施，能够灵活应对，以防范某家组织面临的最直接、最紧迫的风险。比方说，虽然几年前，传统的反病毒软件、反间谍软件及其他基于病毒特征的保护措施（它们主要是被动型的）可能保护组织的重要资源很有效，但面对Web 2.0世界，它们需要结合更加积极主动的基于行为的技术。

　　一种更加有效的安全方法需要兼顾各种各样的考虑因素：从与威胁有关的风险级别，需要保护的信息，直到企图访问组织的系统和信息的那些人其声誉如何。在安全2.0环境，积极主动的技术可自动分析应用程序的行为和网络通信，从而检测及阻止可疑活动；而设备和应用程序控制功能让管理员可以拒绝被认为高风险的设备和应用程序的某些特定活动。这些下一代技术甚至还能够根据用户的位置来阻止某些动作。更棒的是，不符合安全策略的端点设备会自动得到补救，从而进一步保护了公司的信息资产。

　　标准的操作程序

　　也许安全2.0需要的最重要的其中一个变化是，需要把安全变成一种标准的业务流程。传统的企业安全方法调动的是组织当中各自独立工作的单个部门，往往使用没有联系的流程和技术；而下一代安全策略结合了标准安全和数据管理，从而把安全融入到了组织的业务流程当中。然后，这些流程实现标准化和自动化，不但可以降低日常安全活动的成本，同时还提供了更加积极主动的保护机制。

　　由于在连接性和协作性越来越强的Web 2.0环境下，企业面临来自内外的威胁，所以需要一种新的方法来保护信息和联系。

　　安全2.0就代表了安全的未来。它有望让组织不但能够保护信息资产、避免越来越多的威胁；还能够充分利用互联环境下出现的新机会。这种新的保护方法使安全的角色从仅仅锁定系统，变成了有助于保护用户和信息。

　　在Web 2.0世界，进化和动态的安全2.0确实必不可少。