金融危机 CIO增加预算力求IT安全

      金融危机和经济低迷使得CIO不得不勒紧裤腰带,公司因此削减成本将成为非常现实的措施。许多CIO透露其公司近期也正考虑调整一些IT项目,将有限的预算资金重新调配。

      但是一项调查显示,大多数公司CIO还是希望在IT安全上的投入能够有所增长或者至少在IT安全投入上能够保持不变。该调查还发现,IT安全问题越来越受企业重视,与IT安全相关的决策都会往上呈报给更高主管,说明对多数企业而言,IT安全已不只是IT部门的事情。

      一.经济低迷,CIO面临削减IT预算压力

      目前,世界经济体都在经历经济滑坡,企业正在寻求削减开支、改善收支状况的良方。因此在经济低迷的时候,一个大的挑战就是要用更少的成本做更多的事情,力求用好每一分钱的预算。虽然IT安全预算在企业的总成本基数中所占的比例通常较小,但企业高管们仍不可避免地会将他们的注意力转向IT安全预算,要求CIO对其进行大幅削减。

      企业IT安全风险产生的成本可分成两种:一是“硬钱成本”(Hard-dollar costs),主要衡量实际现金损失以及IT人员投入修复的时间与资源;二是“软钱成本”(Soft-dollar cost),包括开会、生产效率、沟通关系以及商机消失等间接损害。对企业来说,IT安全问题不只是不被黑客入侵,还包括对重要资料的妥善保管。在一般情况下,IT安全投资通常是保障企业的正常运营的工具,其效益可远远超过按惯例削减IT成本所能节省的资金。

      简单的说,IT安全说穿了就是消弭公司的风险。因此在最糟糕的经济环境下希望削减IT安全预算时,应该要问这样的一个问题:在经济低迷时公司的IT安全风险会降低吗?实际上,当经济低迷的时候,企业的信息安全的状况也不太好,而且更不幸的是IT安全问题反而剧增。

      此次由CIO参与的名为“IT安全:如何在经济低迷时保护生产力”的调查显示,随着经济下滑规模不断扩大,企业受到的IT安全威胁也越来越严重,而且造成的损害后果也越来越大,信息安全的紧迫性日益凸现。所以,在经济下滑时停止IT安全投资可能效果适得其反。因此,经济低迷时IT安全管理,不能只是简单削减成本,IT安全问题已经成为制约企业渡过经济危机的关键问题之一。

      二.为什么IT安全风险随经济下滑反向剧增?

      (1)IT安全风险如影随形

      统计数据表明,IT安全风险随经济下滑反向剧增,涉及IT信息的违法犯罪活动会不断攀升,黑客的攻击手法更是花样翻新。IT系统由多种设备、设施构成,因此其面临的威胁是多方面的。总体而言,这些威胁可以归结为三大类:一是对IT设备的威胁;二是对业务处理过程的威胁;三是对数据的威胁。要加强IT系统的安全防范,就要研究上述威胁,查清影响IT安全的因素。

      这些因素有哪些呢?①是IT系统软硬件的内在缺陷。这些缺陷不仅直接造成系统故障,还会为一些人为的恶意攻击提供机会。最典型的如微软的操作系统设计缺陷,一些病毒、木马盯住其破绽兴风作浪。②是恶意攻击。攻击的种类有多种,有的是对硬件设施的干扰或破坏,有的是对数据的攻击,有的是对应用的攻击。严重时可导致硬件永久性故障或损坏;对数据的攻击也可破坏数据的有效性和完整性,或可能导致敏感数据的泄漏、滥用;对应用的攻击则会导致系统运行异常甚至中断。③是使用不当,如误操作。这类使用不当会导致系统安全性能下降甚至系统异常也经常发生。

      (2)经济低迷时,高价值数据外泄危机更是频繁

      在2008年《IT 风险管理研究报告》中一项调查结果引人注意,那就是58%的受访者表示在近期发生过一次重大IT安全数据外泄事件。之所以形成这样的趋势,很重要的一个原因就是经济犯罪色彩越来越浓。现在以盈利为目的的IT安全攻击目标已不再是基础架构(如软/硬件和网络设备),而是以运营在基础架构上的数据信息为目标,它造成的现实损失是一些关键信息被破坏或者是被泄露出去,这种损失对大多数企业来说更难以承受,。

      (3)垃圾邮件造成经济损失成IT安全最大威胁

      据不完全统计,黑客转让此类垃圾邮件的用户信息每年就能进账数百万甚至上千万元人民币,而这种病毒和垃圾邮件形成的连锁垃圾邮件经济也成了近年垃圾邮件屡禁不止的主要原因之一。垃圾邮件、病毒这两个“网络骚扰者”随便遇上哪一个,都足以让CIO头疼不已,而且这类事件还有随着经济下滑有进一步加剧的趋势。

      (4)内部裁员情绪的成最大IT安全隐患

      面临经济不景时,公司在需要裁员时在IT安全方面的最大挑战是什么?根据调查报告显示,最大的威胁和隐患是用户情绪不稳定和受到裁员威胁。在公司可能裁员的敏感时期, IT安全的风险也受这个因素的影响而大大增加,这种过渡时期导致的不仅是安全泄露,更严重的是可能使到IT系统崩溃。

      从目前的情况看,国内自主研发的可信计算技术已经相对比较成熟,早在2006年由国家密码管理局专门协调联想、兆日、瑞达、中兴集成电路、卫士通、江南所、吉大正元、同方、中科院软件所、方正集团、长城电脑、国防科技大学、同方微电子等17家国内民族IT企业和重要科研院所成立了可信计算密码应用技术体系研究专项工作组。

      如今,在政府相关部门的有力支撑和指导下,中国自主研发的可信计算技术从芯片厂商、到应用厂商、再到产品生产及最终用户销售市场,早已形成了完整的产业链条。历经多年的技术研发积淀,可信计算专项组成员的多家IT厂商已将TCM可信计算根运用到了自己的产品当中,并且开发出众多适合个人操作或行业安全提升的功能及解决方案。

      但是,就国内软件行业的整体运行情况来看,相关部门还没有建立起一套完备的基础软件版本的管理机制,所以像此次的微软黑屏事件,能够在国内用户中造成极大的反响也就不足为奇了。如此看来,由国家制定基础软件版本的管理机制已经是迫在眉睫的事情,而无论是可信技术还是管理机制,它们的确立与执行都将是国内软件行业顺利发展的强有力保证。

      常言道:堡垒总是最易从内部攻破,公司越来越重视IT安全建设,但是都主要在对付外来的攻击上,而忽略了来自内部的隐患和攻击。在这个过渡时期,不可避免的是来自以破坏信息完整性或者窃取信息机密为目标的恶意攻击呈飞速增长之势。无论员工是因为不满,还是只是感觉没有人看到,我们经常看到当企业可能裁员的情况下,代表巨大公司价值的IT信息资产可能首先被错放或者被窃取,而且很难判定这些信息是否用用于欺骗或者其他的非授权的目的。

      另外,卡耐基梅隆大学研究表明,那些由内部人员发起的攻击中,86%的犯罪者都是技术人员。在这些人中55%的人是在离职后进行攻击的。在前段时间媒体上广为报道的一个例子是,某公司用了20名员工花了280小时才修复那些被一个对公司不满的内部人员删除的数据。进行攻击的时候,犯罪者曾经是该公司IT部门的一名职员,他能够远程访问关键系统。从报道中我们可以看出,IT内部人员通常拥有对关键系统的访问权,即使在离职之后,他们也可以是用特别的帐户和密码访问这些系统。

      因此,IT部门和人力资源部必须了解可能导致IT安全失误的事件,离职员工和公司管理人员必须明确了解哪些信息离职人员可以带走,哪些必须交接和保密。公司必须慎重管理、防御信息泄露和安全问题。其实,不单单只有裁员的公司面临这种困境,许多公司的在正常的内部管理也面临同样的难题。CIO要明白到当今IT安全最大的威胁其实是源自很小的事情,但这些事情往往被忽视了。

      三.经济低迷时,CIO如何应对IT安全风险?

      IT安全威胁的种类包括网络攻击、入侵、恶意代码,CIO必须一马当先,带领部下建立坚固的IT安全环境,以减少IT犯罪分子攻击得手的可能性,降低损失程度。一提起企业IT安全,我们最先想到的是防火墙、防病毒、入侵检测、数据加密等独立的安全产品。但是IT安全不止这些,授权、认证与管理比单个安全软件产品更重要,IT安全应该有完整的策略。

      因此,CIO应该把IT安全看作是一种公司运营层面而不是技术层面上的挑战。它类似于传统的质量保证项目,主要是防患于未然而不是等待问题出现之后再去解决,并且要求所有员工的亲身参与而不仅仅局限于IT人员。最终的目标也不是让IT系统变得无懈可击,因为这根本不可能做到,而是把由此带来的商业风险降低到可以接受的程度。

      (1)IT安全策略

      企业IT安全问题自始至终都是一个比较棘手的事情,它既有硬件的问题,也有软件的问题,但最终还是人的问题。在对企业IT安全策略的规划、设计、实施与维护过程中,必须对保护数据信息所需的安全级别有一个较透彻的理解。

      策略要能对某个安全主题进行描绘,探讨其必要性和重要性,解释清楚什么该做什么不该做。安全策略应该简明,在生产效率和安全之间有一个好的平衡点,易于实现、易于理解。安全策略必须遵循三个基本概念:确定性、完整性和有效性。另外,安全策略不能忽略小的方面而影响整体的安全。这包括对设备、数据、e-mail、Internet等的可接受的使用策略。

      (2)进行安全分析

      这是一个经常被忽略的工作步骤,同时也是IT安全策略制订工作中的一个重要步骤。这个步骤的主要目标是确定需要进行保护的信息资产及其对公司的绝对和相对价值,在决定保护措施的时候要参照这一步骤所获得的信息。考虑的关键问题包括需要保护什么,需要防范哪些威胁,受到攻击的可能性,在攻击发生时可能造成的损失,能够采取什么防范措施,防范措施的成本和效果评估等等。

      公司的安全分析检查重点应是看入侵是否容易、哪些系统或程序易受攻击,通过制订完善的操作计划,令黑客悻然离去。例如,坚持使用安全的软件,公司如果是使用外部供应商的软件,应当时时跟踪软件的版本与修订情况,及时更新补丁;如果是自行开发软件,则必须确保开发人员遵守安全的编码与测试规则,减少软件漏洞不让黑客有机可乘。

      (3)监控高风险用户和角色

      有时公司需要积极地监视某些角色,特别是这些角色对企业会造成极高的风险,企业要监视以便发现其潜在的“不可接受”的行为。例如一位采购经理为谋求一个职位可能会将自己能够访问的敏感数据带到另外一家竞争公司那里去。这种情况下,其访问是被授权的,不过却应该监视其是否存在着滥用的情况。岗位、职责的轮换以及设定任命时间也是对付高风险的一个重要方案。另外,注意的是IT安全专家通常也属于高风险角色的范围。

      (4)加强用户教育

      对用户而言,像网页钓鱼和捕鲸(把公司高官选作下手目标的电子邮件欺骗手法)这些有针对性的攻击让人担心,因为这些攻击会利用用户没有及时接受公司教育方面的漏洞。网络访问控制和安全信息管理等技术有助于保护IT安全,但帮助非常有限。随着攻击变得更加狡猾,用户教育成了惟一选择。

      人们普遍认为,IT安全是IT部门的事情,其实这并不符合实际情况。用户才是IT安全的最大威胁,因为大多数用户对其行为的危险性不以为然。因为无论对用户进行多少次的安全知识培训,用户总是禁不住各种病毒附件的“诱惑”,或为了获取浏览速度,不惜关闭防火墙。IT安全问题人人有责、责无旁贷。让人遗憾的是许多情况是当出现IT安全问题后,IT主管总是被动应付,只能采取补救措施。实际上,IT安全责任存在于公司的各部门,应该要做到防微杜渐,以小见大。

      (5)灾难恢复

      墨菲定理说,会出错的事总会出错,如果你担心某种情况发生,那么它就更有可能发生。这个定理用到IT安全上,就是“再稳健的IT安全也会出问题。”这时候,我们老祖宗的那句话就派上了用场:凡事予则立,不予则废。CIO应趁着系统还在运行的时候,制定一个灾难恢复计划,将灾难带来的损失降低到最小,这也许是IT安全保障的最后一个策略。

      (6)IT安全演习

      最后一点,当安全系统被攻破,危急时刻要迅速抉择难免有误。因此,平时建立应急预案,演习危机处理流程非常有必要。