金融危机@@和经济低迷@@使得@@CIO不得不勒紧裤腰带@@,公司因此@@削减成本将成为非常现实的措施@@。许多@@CIO透露其公司近期也正考虑调整一@@些@@IT项目@@,将有限的预算资金重新调配@@。
但是@@@@一@@项调查显示@@,大多数公司@@CIO还是@@希望在@@@@IT安全@@上@@的投入能够有所增长或者至少在@@@@IT安全@@投入上能够保持不变@@。该调查还发现@@,IT安全@@问题越来越受企业@@重视@@,与@@IT安全@@相关的决策都会往上呈报给更高主管@@,说明对多数企业@@而言@@,IT安全@@已不只是@@@@IT部门的事情@@。
一@@.经济低迷@@,CIO面临削减@@IT预算压力@@
目前@@,世界经济体都在@@经历经济滑坡@@,企业@@正在@@寻求削减开支@@、改善收支状况的良方@@。因此@@在@@经济低迷@@的时候@@,一@@个大的挑战就是@@@@要用更少的成本做更多@@的事情@@,力求用好每一@@分钱的预算@@。虽然@@IT安全@@预算@@在@@企业@@的总成本基数中所占的比例通常较小@@,但企业@@高管们仍不可避免地会将他们的注意力转向@@IT安全@@预算@@,要求@@CIO对其进行大幅削减@@。
企业@@IT安全@@风险@@产生的成本可分成两种@@:一@@是@@@@“硬钱成本@@”(Hard-dollar costs),主要衡量实际现金损失以及@@IT人员@@投入修复的时间与@@资源@@;二@@是@@@@“软钱成本@@”(Soft-dollar cost),包括开会@@、生产效率@@、沟通关系以及商机消失等间接损害@@。对企业@@来说@@,IT安全@@问题不只是@@不被黑客入侵@@@@,还包括对重要资料的妥善保管@@。在@@一@@般情况下@@,IT安全@@投资通常是@@保障企业@@的正常运营的工具@@,其效益可远远超过按惯例削减@@IT成本所能节省的资金@@。
简单的说@@,IT安全@@说穿了就是@@@@消弭公司的风险@@。因此@@在@@最糟糕的经济环境下希望削减@@IT安全@@预算@@时@@,应该要问这样的一@@个问题@@:在@@经济低迷@@时@@公司的@@IT安全@@风险@@会降低吗@@?实际上@@,当经济低迷@@的时候@@,企业@@的信息安全@@的状况也不太好@@,而且更不幸的是@@@@IT安全@@问题反而剧增@@。
此次@@由@@CIO参与@@的名为@@“IT安全@@:如何在@@经济低迷@@时@@保护生产力@@”的调查显示@@,随着经济下滑规模不断扩大@@,企业@@受到的@@IT安全@@威胁也越来越严重@@,而且造成的损害后果也越来越大@@,信息安全@@的紧迫性日益凸现@@。所以@@,在@@经济下滑时停止@@IT安全@@投资可能效果适得其反@@。因此@@,经济低迷@@时@@IT安全@@管理@@,不能只是@@简单削减成本@@,IT安全@@问题已经成为制约企业@@渡过经济危机的关键问题之一@@@@。
二@@.为什么@@IT安全@@风险@@随经济下滑反向剧增@@?
(1)IT安全@@风险@@如影随形@@
统计数据@@表明@@,IT安全@@风险@@随经济下滑反向剧增@@,涉及@@IT信息的违法犯罪活动会不断攀升@@,黑客的攻击手法更是@@花样翻新@@。IT系统由多种设备@@、设施构成@@,因此@@其面临的威胁是@@多方面的@@。总体而言@@,这些威胁可以归结为三@@大类@@:一@@是@@@@对@@IT设备的威胁@@;二@@是@@@@对业务处理过程的威胁@@;三@@是@@对数据@@的威胁@@。要加强@@IT系统的安全@@防范@@,就要研究上述威胁@@,查清影响@@IT安全@@的因素@@。
这些因素有哪些呢@@?①是@@IT系统软硬件的内在@@缺陷@@。这些缺陷不仅直接造成系统故障@@,还会为一@@些人为的恶意攻击提供机会@@。最典型的如微软的操作系统设计@@缺陷@@,一@@些病毒@@、木马盯住其破绽兴风作浪@@。②是@@恶意攻击@@。攻击的种类有多种@@,有的是@@对硬件设施的干扰或破坏@@,有的是@@对数据@@的攻击@@,有的是@@对应用的攻击@@。严重时可导致硬件永久性故障或损坏@@;对数据@@的攻击也可破坏数据@@的有效性和完整性@@,或可能导致敏感数据@@的泄漏@@、滥用@@;对应用的攻击则会导致系统运行异常甚至中断@@。③是@@使用不当@@,如误操作@@。这类使用不当会导致系统安全@@性能下降甚至系统异常也经常发生@@。
(2)经济低迷@@时@@,高价值数据@@外泄危机更是@@频繁@@
在@@2008年@@《IT 风险管理研究报告@@》中一@@项调查结果引人注意@@,那就是@@@@@@58%的受访者表示在@@近期发生过一@@次@@重大@@IT安全@@数据@@外泄事件@@。之所以@@形成这样的趋势@@,很重要的一@@个原因就是@@@@经济犯罪色彩越来越浓@@。现在@@以盈利为目的的@@IT安全@@攻击目标已不再是@@基础架构@@(如软@@/硬件和网络设备@@),而是@@以运营在@@基础架构上的数据@@信息为目标@@,它造成的现实损失是@@一@@些关键信息被破坏或者是@@被泄露出去@@,这种损失对大多数企业@@来说更难以承受@@,。
(3)垃圾邮件@@造成经济损失成@@IT安全@@最大威胁@@
据不完全统计@@,黑客转让此类垃圾邮件@@的用户信息每年@@就能进账数百万甚至上千万元人民币@@,而这种病毒和垃圾邮件@@形成的连锁垃圾邮件@@经济也成了近年@@垃圾邮件@@屡禁不止的主要原因之一@@@@。垃圾邮件@@、病毒这两个@@“网络骚扰者@@”随便遇上哪一@@个@@,都足以让@@CIO头疼不已@@,而且这类事件还有随着经济下滑有进一@@步加剧的趋势@@。
(4)内部裁员情绪的成最大@@IT安全@@隐患@@
面临经济不景时@@,公司在@@需要裁员时在@@@@IT安全@@方面的最大挑战是@@什么@@?根据调查报告显示@@,最大的威胁和隐患是@@用户情绪不稳定和受到裁员威胁@@。在@@公司可能裁员的敏感时期@@, IT安全@@的风险也受这个因素的影响而大大增加@@,这种过渡时期导致的不仅是@@安全@@泄露@@,更严重的是@@可能使到@@IT系统崩溃@@。
常言道@@:堡垒总是@@最易从内部攻破@@,公司越来越重视@@IT安全@@建设@@,但是@@@@都主要在@@对付外来的攻击上@@,而忽略了来自内部的隐患和攻击@@。在@@这个过渡时期@@,不可避免的是@@来自以破坏信息完整性或者窃取信息机密为目标的恶意攻击呈飞速增长之势@@。无论员工是@@因为不满@@,还是@@只是@@感觉没有人看到@@,我们经常看到当企业@@可能裁员的情况下@@,代表巨大公司价值的@@IT信息资产可能首先被错放或者被窃取@@,而且很难判定这些信息是@@否用用于欺骗或者其他的非授权@@的目的@@。
另外@@,卡耐基梅隆大学研究表明@@,那些由内部人员@@发起的攻击中@@,86%的犯罪者都是@@技术人员@@@@。在@@这些人中@@55%的人是@@在@@离职后进行攻击的@@。在@@前段时间媒体上广为报道的一@@个例子是@@@@,某公司用了@@20名员工花了@@280小时才修复那些被一@@个对公司不满的内部人员@@删除的数据@@@@。进行攻击的时候@@,犯罪者曾经是@@该公司@@IT部门的一@@名职员@@,他能够远程访问关键系统@@。从报道中我们可以看出@@,IT内部人员@@通常拥有对关键系统的访问权@@,即使在@@离职之后@@,他们也可以是@@用特别的帐户和密码访问这些系统@@。
因此@@,IT部门和人力资源部必须了解可能导致@@IT安全@@失误的事件@@,离职员工和公司管理人员@@必须明确了解哪些信息离职人员@@可以带走@@,哪些必须交接和保密@@。公司必须慎重管理@@、防御信息泄露和安全@@问题@@。其实@@,不单单只有裁员的公司面临这种困境@@,许多@@公司的在@@正常的内部管理也面临同样的难题@@。CIO要明白到当今@@IT安全@@最大的威胁其实@@是@@源自很小的事情@@,但这些事情往往被忽视了@@。
三@@.经济低迷@@时@@,CIO如何应对@@IT安全@@风险@@?
IT安全@@威胁的种类包括网络攻击@@、入侵@@、恶意代码@@,CIO必须一@@马当先@@,带领部下建立坚固的@@IT安全@@环境@@,以减少@@IT犯罪分子攻击得手的可能性@@,降低损失程度@@。一@@提起企业@@@@IT安全@@,我们最先想到的是@@防火墙@@、防病毒@@、入侵@@检测@@、数据@@加密等独立的安全@@产品@@。但是@@@@IT安全@@不止这些@@,授权@@、认证与@@管理比单个安全@@软件产品更重要@@,IT安全@@应该有完整的策略@@。
因此@@,CIO应该把@@IT安全@@看作是@@一@@种公司运营层面而不是@@技术层面上的挑战@@。它类似于传统的质量保证项目@@@@,主要是@@防患于未然而不是@@等待问题出现之后再去解决@@,并且要求@@所有员工的亲身参与@@而不仅仅局限于@@IT人员@@。最终的目标也不是@@让@@IT系统变得无懈可击@@,因为这根本不可能做到@@,而是@@把由此带来的商业风险降低到可以接受的程度@@。
(1)IT安全@@策略@@
企业@@IT安全@@问题自始至终都是@@一@@个比较棘手的事情@@,它既有硬件的问题@@,也有软件的问题@@,但最终还是@@人的问题@@。在@@对企业@@@@IT安全@@策略@@的规划@@、设计@@、实施与@@维护过程中@@,必须对保护数据@@信息所需的安全@@级别有一@@个较透彻的理解@@。
策略要能对某个安全@@主题进行描绘@@,探讨其必要性和重要性@@,解释清楚什么该做什么不该做@@。安全@@策略@@应该简明@@,在@@生产效率@@和安全@@之间有一@@个好的平衡点@@,易于实现@@、易于理解@@。安全@@策略@@必须遵循三@@个基本概念@@:确定性@@、完整性和有效性@@。另外@@,安全@@策略@@不能忽略小的方面而影响整体的安全@@@@。这包括对设备@@、数据@@、e-mail、Internet等的可接受的使用策略@@。
(2)进行安全@@分析@@
这是@@一@@个经常被忽略的工作步骤@@,同时也是@@@@IT安全@@策略@@制订工作中的一@@个重要步骤@@。这个步骤的主要目标是@@确定需要进行保护的信息资产及其对公司的绝对和相对价值@@,在@@决定保护措施的时候要参照这一@@步骤所获得的信息@@。考虑的关键问题包括需要保护什么@@,需要防范哪些威胁@@,受到攻击的可能性@@,在@@攻击发生时可能造成的损失@@,能够采取什么防范措施@@,防范措施的成本和效果评估等等@@。
公司的安全@@分析检查重点应是@@看入侵@@是@@否容易@@、哪些系统或程序易受攻击@@,通过制订完善的操作计划@@,令黑客悻然离去@@。例如@@,坚持使用安全@@的软件@@,公司如果是@@使用外部供应商的软件@@,应当时时跟踪软件的版本与@@修订情况@@,及时更新补丁@@;如果是@@自行开发软件@@,则必须确保开发人员@@遵守安全@@的编码与@@测试规则@@,减少软件漏洞不让黑客有机可乘@@。
(3)监控高风险用户和角色@@
有时公司需要积极地监视某些角色@@,特别是@@这些角色对企业@@会造成极高的风险@@,企业@@要监视以便发现其潜在@@的@@“不可接受@@”的行为@@。例如@@一@@位采购经理为谋求一@@个职位可能会将自己能够访问的敏感数据@@带到另外@@一@@家竞争公司那里去@@。这种情况下@@,其访问是@@被授权@@的@@,不过却应该监视其是@@否存在@@着滥用@@的情况@@。岗位@@、职责的轮换以及设定任命时间也是@@对付高风险的一@@个重要方案@@。另外@@,注意的是@@@@IT安全@@专家通常也属于高风险角色的范围@@。
(4)加强用户教育@@
对用户而言@@,像网页钓鱼和捕鲸@@(把公司高官选作下手目标的电子邮件欺骗手法@@)这些有针对性的攻击让人担心@@,因为这些攻击会利用用户没有及时接受公司教育方面的漏洞@@。网络访问控制和安全@@信息管理等技术有助于保护@@IT安全@@,但帮助非常有限@@。随着攻击变得更加狡猾@@,用户教育成了惟一@@选择@@。
人们普遍认为@@,IT安全@@是@@@@IT部门的事情@@,其实@@这并不符合实际情况@@。用户才是@@@@IT安全@@的最大威胁@@,因为大多数用户对其行为的危险性不以为然@@。因为无论对用户进行多少次@@的安全@@知识培训@@,用户总是@@禁不住各种病毒附件的@@“诱惑@@”,或为了获取浏览速度@@,不惜关闭防火墙@@。IT安全@@问题人人有责@@、责无旁贷@@。让人遗憾的是@@许多@@情况是@@当出现@@IT安全@@问题后@@,IT主管总是@@被动应付@@,只能采取补救措施@@。实际上@@,IT安全@@责任存在@@于公司的各部门@@,应该要做到防微杜渐@@,以小见大@@。
(5)灾难恢复@@
墨菲定理说@@,会出错的事总会出错@@,如果你担心某种情况发生@@,那么它就更有可能发生@@。这个定理用到@@IT安全@@上@@,就是@@@@“再稳健的@@IT安全@@也会出问题@@。”这时候@@,我们老祖宗的那句话就派上了用场@@:凡事予则立@@,不予则废@@。CIO应趁着系统还在@@运行的时候@@,制定一@@个灾难恢复@@计划@@,将灾难带来的损失降低到最小@@,这也许是@@@@IT安全@@保障的最后一@@个策略@@。
(6)IT安全@@演习@@
最后一@@点@@,当安全@@系统被攻破@@,危急时刻要迅速抉择难免有误@@。因此@@,平时建立应急预案@@,演习危机处理流程非常有必要@@。
