在今天,IT已成为企业业务发展和管理不可或缺的组成部分,其作用和影响力已从单一的业务部门扩散到企业与组织的每一个领域。在IT系统给企业带来活力、利润和竞争力的同时,也给企业增加了因此而带来的风险——日益依赖IT系统的企业面临着因IT系统故障导致的业务灾难。不难看出,如何最大限度地降低IT对业务的负面影响,IT系统如何充分为企业战略目标服务,如何获得IT价值最大化,这便是每个企业都必须要真接面对的信息安全与IT治理的问题。
一问理念:如何理解信息安全架构与IT治理的关系?
2007年在上海举办的“IT治理与安全大会”上,微软公司大中华区信息安全总监何迪生先生表示,假如把信息安全治理比作指引组织进行安全项目的路标,那么安全架构和设计便是组织通往信息安全这个目标所用的交通工具的基本结构。它包括用于设计、实施、监控和保护操作系统、设备、网络、应用以及用以实施各种级别保密性、完整性和可用性控制的概念、原则、结构和标准。
事实上,建立完善的信息安全架构对于整个IT治理来说至关重要。没有了信息安全架构,IT治理根本无从谈起。
据Hillstone安全专家介绍,IT治理需要遵从特定的原则,并在企业统一、完善及健全的安全架构中去实现,这是一个系统工程,需要从信息安全本身直至企业内部的每个员工共同来实现。每个期望通过信息化来达到快速发展的企业都需要将应用安全架构以及IT治理作为工作重心之一。
任何事物都有它的两面性。正确、恰当地使用IT系统能为企业带来飞速的发展,但由于系统缺陷、人为误操作、系统攻击等不可预料的各种风险也同样使得企业面临着巨大的灾难。因此,企业用户更应该建立统一、完善、健全的信息安全架构来规范IT系统行为,通过建立冗余机制、灾备机制、详尽的策略遵从机制等各种风险控制机制来降低整个企业的IT系统风险。
事实上,IT系统诞生之初就决定了它不可能“坚如磐石”,系统问题在所难免,但“因噎废食”的做法和思路绝不可取,用户需要的是在问题出现的时候能够迅速获得有效的解决办法来避免中断造成的影响。
此前深信服的安全产品经理邬迪举例说,早在2005年,国务院信息化办公室携手电子政务、银行、电力、铁路、民航、证券、保险、海关、税务等行业,联合起草的《重要信息系统灾难恢复指南》就正式出台了,灾备的作法将是解决IT系统故障的一方良药,但很可惜因国内广域网的缓慢传输速度,灾备至今还未得到普遍推广和应用,如何大幅提升广域网的传输速度将是这方良药能否发挥作用的前提。
另外,数据传输的安全性也是必须考虑的问题。员工利用企业网络访问一些不良网站,同时一些员工在上班时间在论坛博客上发表一些不负责任的言论……这些行为无疑给企业带来一系列的法律风险和商业灾难。
其实解决此类问题非常简单,只需在企业网络部署一台专用的内容管理设备就可以了。此类设备通过强大的数据中心,很方便地控制审计企业内网流向外网的每一个数据,防止机密的泄露和引起法律风险,即使问题出现也可以做到有据可查。而类似的处理方式都预示着一个问题:IT系统风险随时存在,但是任何风险都可以降低,甚至是可以完全避免的。IT系统问题导致业务灾难的风险,IT监管问题导致法律灾难的风险,都可以利用IT自身的安全架构与技术设计来应对。
二问风险:如何才能平衡IT架构中的风险?
有业内人士指出,风险控制是一门系统科学,风险降得越低需要的支出就越多。所有的企业都在寻找一个合适的平衡点来保障企业能够在可接受的风险范围内支出尽量少的钱。设备级别的冗余机制是企业用户选择最多、也是见效最快的一种降低设备故障风险的方法。
当然,不可否认,利用先进的信息系统架构确实能够帮助企业很好地完成一部分风险管理和企业治理的工作。但是Hillstone的安全专家认为,风险管理和企业治理中有很大一部分工作是针对自然人的,这就为风险管理和企业治理工作带来了很大的不确定性以及不统一性。
无疑,这就要求IT经理在进行信息系统架构设计与治理的同时,必须了解到安全架构设计应该和企业的安全策略相吻合,否则就不能实现企业的安全目标。换句话说,只有在充分考虑人的因素的前提下,用IT治理IT才能发挥出更大的积极作用。
因此一些用户反映,在进行一个信息系统的设计时,需要对目标系统的众多需求进行平衡,这些需求包括功能、灵活性、性能、易用性、成本、业务需求和安全。需要强调的是,安全应该在系统设计中的开始阶段就作为一个要害因素进行考虑。
此前新华人寿的IT经理杜大军表示说,如果在信息架构的开发过程中使用了超过业务需求的安全性能,就会导致用户体验的恶化,但降低安全性能也会导致系统的部署和运行维护成本大增。
不难看出,想要平衡IT架构中的安全风险,就必须在IT系统设计的过程中平衡多种需求,这些需求可能是来自业务部门,或者来自企业的方方面面。安全架构的设计者通常需要根据组成构架的每个元素的重要性来确定如何进行取舍和开发。
在设计阶段考虑安全性并不会增加太多的工作量,恰恰相反,这种安全思路贯穿始终的做法可以平滑地嵌入到架构设计的各个阶段,这样就可以保证安全性随着架构设计逐渐的完成而完成。
基于此,不少安全专家认为安全架构从概念上说,就是从安全角度审阅整个系统架构,它主要提供系统架构所需要的安全服务、机制、技术和功能,不仅可以平衡架构设计与应用中的安全风险,而且可以提供如何进行安全设施部署的建议。
但无论如何,信息系统架构安全仍然是一个相对的概念,安全威胁无时无刻不在增加,只有不断地加固才能获得更加有效的安全。整个IT系统的安全涉及方方面面,任何一个地方的疏漏都会成为整个系统的致命短板。因此对用户来说,目前情况下在整体信息安全架构的基础上搭建安全防护设备能够确保企业IT安全的最大化。
三问出路:如何解决信息安全架构与IT治理实现中的技术与管理挑战?
首先,从技术方面看,目前随着网络应用的快速发展,基于数据应用层的安全防护以及风险控制得到越来越多企业用户的关注。然而为了实现整个信息系统的安全架构,核心网关设备的应用层性能成为了各个企业实现统一安全架构的拦路虎。据Hillstone的安全专家介绍,基于应用处理的高性能安全网关是推动安全架构发展的技术因素之一,只有越来越多的高速设备出炉,才能从技术上确保网关层面的安全。
前面说了,高度集中的应用层安全网关还只是技术环境中的一方面。据何迪生透露,企业如果希望获得完整的信息系统架构安全并在此基础上获得IT治理的效益,那么部署一套全方位的安全系统方案是不可避免的。
比如,对现代企业来说,确保其信息基础架构的安全性已经成为主要任务。在这个过程中,信息与各种协作工具对大多数企业的日常运营来说都至关重要。不幸的是,这些工具常常成为攻击者的目标。因此,企业的CIO必须确保信息和协作基础架构不受外部威胁的干扰,避免企业的工作效率受到影响,从而导致内部问题或者泄露机密信息。
面对种类繁多且不断变化的安全威胁,信息和协作基础架构应具备多层保护机制,在攻击影响到企业网络之前就要解决问题。对此,他的看法是,多个保护层能够减少因单一威胁而导致的网络瘫痪问题。目前的焦点在于,所有的安全厂商都有各自独特的需求,他们提供不同的安全产品和服务。因此,如果要实现全架构的安全防护,安全技术本身也要具有适应性。
以微软的技术方案为例:Microsoft Exchange Hosted Services可在垃圾邮件和病毒渗透到网络之前就进行过滤;Microsoft Forefront内部部署软件可以保护关键应用服务器免受内部威胁侵害,并能执行内容规则;Microsoft Internet and Security Acceleration(ISA)Server 2006可实现协议层和应用层的检查,以确保安全地实现Exchange Server、Live Communication Server和SharePoint Portal Server的远程访问;而Microsoft Windows Rights Management Services(RMS)与Microsoft Office Outlook 2003客户端应用配合工作,可以确保敏感的电子邮件和文档不致泄漏出公司之外。
其实,类似的技术方案有很多,无怪乎都是从多层次、大纵深为出发点。换句话说,一个有效的技术方案,除了为企业整个基础架构提供防御之外,还必须采用纵深防御策略,通过多种技术来发现并防御安全威胁。事实上,依靠多种技术低于攻击或误操作,有助于消除整体安全架构中的单个故障点。
其次,从管理方面看,在企业IT与业务部门的配合上,也是难点之一。有媒体对此曾专门进行过报道:黄先生是国内某银行软件开发部的成员,作为软件的开发者,他对软件开发过程中的安全和和法规遵从两方面都不太感兴趣。他说,“这不是我们考虑的问题。法规遵从是在业务部门提需求时,银行的法律合规部门介入,看提出的需求符不符合法律的规定。
我们只需要满足业务部门的需求——业务部门都很强势,只要按时把项目完成,其他都可以忽略。”
目前来看,类似的现象在企业中大量存在,从某种意义上说,这对CIO的工作构成了挑战。因为CIO必须在业务与IT之间进行衡量,同时承担起安全架构与IT治理的双重责任,但在最终落实上,CIO的角色往往又没有太大的影响力。
此前ISSA中国区总监、毕马威风险管理部资深经理冯嘉诺在接受采访时表示,企业的IT经理或CIO在和公司老板或CEO之间必须进行科学地沟通,其目的就是为了取得老板们的重视和支持,这样IT治理或IT部门的工作才可以得以顺利地开展。换句话说,这就是要求IT经理必须站在老板们的角度来考虑问题。比如如何帮助公司多赚钱;如何可以减少成本;如何可以规避法律法规的制约。
而微软安全技术顾问尹川先生也曾提出,通常企业的信息系统基础架构主要有以下四个阶段:1. 基本型;2. 标准型;3. 合理型;4. 动态型。其中基本型是最简单原始的阶段,而动态型是最合理、最科学的阶段,也是企业IT架构最终的目的。其最终阶段的实施与企业的内部管理不可分割。换句话说,一个企业的IT管理者的最终目标应该是:1.、提高管理效率;2、降低IT管理成本;3、为业务提供保障。
有趣的是,AMT咨询合伙人彭一先生提出,作为企业的CIO,在落实安全架构与IT治理过程中必须具备三个素质:相关IT技术(硬件、软件、网络等)、应用软件系统(ERP、CRM、OA)、业务流程(采购、财务等相关的流程)。企业在不同的阶段对IT治理的要求也有非常大的区别,IT治理或相关规范应该满足企业在变动中使其能够平稳地发展。
四问立场:治理之路从哪里开始?
据2007年底IDC的研究统计表明,全球差不多有85%的安全或风险问题,都来自于企业的内部。而这些风险很大一部分都是来自于企业内部跟IT相关的管理,也就是说现在越来越多的客户认识到安全管理或防范不只是构建一道外界防御的工具。
此前IBM全球治理与风险管理的战略总监Kristine Lovejoy在接受采访时透露说,一次她去参观一位用户的数据中心时,工作人员向她开放了自己的全部设备。其中,路由器就放在门口放衣服的地方,没有引起企业的重视。Kristine认为,在一个企业中,员工的信息如果不进行量化,会造成很大的风险,因为他们不知道什么是可以透露的信息,什么是不能泄漏的信息,以及他们的安全级别。
同样是来自IDC的统计,北美地区80%的CIO认为,企业的安全措施要从头开始。用户采购了很多相关工具,但是他们互相不关联,不集成,应用起来比较复杂。传统的点到点的安全解决方案不再起作用,容易造成数据孤岛和冗余成本,并且复杂性高、资产应用低效。不难看出,当前用户需要一种全新的,基于流程的安全管控方式。
德勤华永会计师事务所企业风险管理服务经理朱磊表示,信息系统风险管理的驱动因素主要包括了三个方面:1、企业自身业务量的膨胀;2、投资业态的多元化;3、信息化系统对企业运营的影响越来越显著。而风险的最终解决之道,则是提出企业的内部管控由原来的IA(Internal Audit)到IC(Internal Control)。即一个大的企业在各个层面上都有IT的因素。
有鉴于此,很多企业开始推广全新的端到端安全解决方案。此前网康科技的安全专家表示,企业当前所处的IT计算环境非常复杂,任何局部的、支离破碎的安全技术或方案都不足以应对形形色色的风险问题。企业需要的是由最先进的产品和技术组成的“端到端”的风险管理解决方案,只有这样才能确保业务数据的安全,并获得对法规遵从性的管控。
当然,在这个过程中记者无法预期哪一种具体的安全防护是最适合的。比如在以风险导向型的安全架构(SRM)或者以安全运营为导向的架构(SOC),流行程度取决于实际的效果。一般来说,企业的应用环境不尽相同,采用的安全架构也不会一样。
据Hillstone的安全专家介绍,针对一个企业我们不应该笼统的说哪一种安全架构更加适合它,而是这个企业内部的哪些应用更加适合风险导向型安全架构,哪些应用应该使用安全运营管理中心的方式。两者的充分结合以及充分协同才是企业真正需要的安全架构。
最后,从企业的内部分析,搭建一套完整的安全架构首先要做的就是根据企业能够承受的风险水平编写企业安全规范。对CIO而言,当自己有了一套可以行之有效的安全规范的时候,自然也就能找到那些需要进行安全加固的地方了。