2008年1月28日，當(dāng)全中國(guó)仍致力于抵抗百年難遇的“天災(zāi)”之時(shí)，一場(chǎng)“人禍”已經(jīng)在網(wǎng)絡(luò)上悄然發(fā)端。雖然由于春節(jié)的“時(shí)間壕溝”，使得這個(gè)涉及眾多香港演藝明星的風(fēng)波在大陸的全面爆發(fā)被推遲了幾天，但深患“春節(jié)疲勞癥”的上班一族甫入職場(chǎng)，即被鋪天蓋地的艷照信息弄得目瞪口呆!公眾人物的八卦新聞滿足了蕓蕓眾生的審美加審丑的雙重訴求，而網(wǎng)絡(luò)圖片和手機(jī)短信的天地互動(dòng)。也集中顯示了全新媒體的巨大能量!

平心而論，如迷途羔羊般的明星們和傷心欲絕的粉絲們都是受害者，當(dāng)洶洶輿情潮起湖落，所有當(dāng)事人心靈上的深深傷痕是否會(huì)隨風(fēng)而逝?而作為這個(gè)特大風(fēng)波的見證者，我們?cè)趪@息之余是否應(yīng)該有更為深刻的思考?

網(wǎng)絡(luò)化的社會(huì)給人類描繪了一個(gè)全新_的生活圖景，但一個(gè)個(gè)更為狡黠無形的竊賊正獰笑著潛伏在我們身邊。公司的核心技術(shù)、資金秘密、調(diào)研信息、戰(zhàn)略決策，都在貌似堅(jiān)固的鋼筋水泥的閣籠中成為待殺的“肉雞”!只要觸網(wǎng)，電腦中的所有信息都可能瞬間流失，而光波技術(shù)所擁有的如同武俠小說中的“凌空取物”的超級(jí)探測(cè)方式，則構(gòu)成了信息管理者和信息盜取者的“無間道”!

信息安全在2008年的初春以這樣一個(gè)極端的方式凸顯在我們面前。如何在海量信息的工作、生活模式中徜徉時(shí)保證組織和個(gè)人的信息安全，是這次余韻悠長(zhǎng)的艷照事件給我們最有價(jià)值的啟迪!

信息資產(chǎn)，我拿什么保護(hù)你 段 鵬

在信息化管理體系建立的過程中，信息安全管理體制的建設(shè)成為其中的關(guān)鍵一環(huán)。信息化為我們提供了科學(xué)，便捷、智能化的管理工具和手段，但在實(shí)際的操作過程中卻出現(xiàn)了一系列問題，給信息的擁有者、管理者造成了巨大的困擾，特別是對(duì)于企業(yè)來講，必須通過提高管理者對(duì)這一問題的認(rèn)識(shí)，規(guī)范監(jiān)督使用者的操作行為，用相應(yīng)的制度去約束成果共享、數(shù)據(jù)共享、信息共享的行為，杜絕數(shù)據(jù)信息使用的隨意性。 我國(guó)企業(yè)信息安全管理存在的問題 電子商務(wù)政務(wù)信息安全的問題相對(duì)突出。目前對(duì)電子商務(wù)政務(wù)信息系統(tǒng)進(jìn)行侵害的主要方式有：偷竊、分析，冒充、篡改等。我國(guó)企業(yè)的信息網(wǎng)絡(luò)系統(tǒng)存在著突出的安全隱患，網(wǎng)絡(luò)犯罪與信息犯罪情況日益增多。近年，金融機(jī)構(gòu)內(nèi)部利用計(jì)算機(jī)犯罪的個(gè)案大幅度增加，機(jī)密文件在網(wǎng)上泄露的案件屢有發(fā)生，造成了重大的損失。

我國(guó)企業(yè)網(wǎng)絡(luò)安全管理的主要問題大致分為三類：一類是缺乏基本的企業(yè)防毒知識(shí)，購(gòu)買一些單機(jī)版防毒產(chǎn)品來防護(hù)整個(gè)企業(yè)網(wǎng)絡(luò)的安全，二是采購(gòu)了并不適合自身網(wǎng)絡(luò)系統(tǒng)的企業(yè)防毒產(chǎn)品，因此留下許多安全隱患，三是技術(shù)力量薄弱，雖然部署了企業(yè)防毒產(chǎn)品，但是這些產(chǎn)品操作難度大、使用復(fù)雜，最終導(dǎo)致很難全面發(fā)揮效用，甚至成了擺設(shè)。

之所以出現(xiàn)這種現(xiàn)象，主要在于目前許多企業(yè)單位在防毒和安全產(chǎn)品的選擇上，出于節(jié)約采購(gòu)費(fèi)用和使用成本等方面的考慮，企業(yè)在選擇防毒和安全產(chǎn)品等方面沒有選擇到真正適合企業(yè)自身網(wǎng)絡(luò)環(huán)境的產(chǎn)品，而自身的技術(shù)操作水平往往又制約了軟件功能的發(fā)揮?！叭旨夹g(shù)，七分管理”是信息安全領(lǐng)域的至理名言。在采購(gòu)和使用安全產(chǎn)品時(shí)，既要重視產(chǎn)品的管理功能、解決方案，還要關(guān)注部署和使用時(shí)對(duì)企業(yè)安全管理人員的技術(shù)水平的要求。

現(xiàn)有解決方案及存在問題

為了抵御目前復(fù)雜的安全威脅，多數(shù)《財(cái)富》(Fortune)1000強(qiáng)企業(yè)為此而付出的年均成本高達(dá)500萬～1000萬美元。多數(shù)企業(yè)都是通過投資購(gòu)置防病毒軟件、防火墻、公鑰基礎(chǔ)設(shè)施(PKI)以及入侵檢測(cè)系統(tǒng)(IDS)，由安全操作員監(jiān)控整個(gè)企業(yè)中的活動(dòng)來揭示網(wǎng)絡(luò)攻擊或漏洞而進(jìn)行外圍防護(hù)的。他們以手工方式來處理每臺(tái)安全設(shè)備中所包含的極大量信息，并創(chuàng)建關(guān)于正在發(fā)生事件的全面視圖。這些設(shè)備的數(shù)量每年都會(huì)大幅增加。外圍防御戰(zhàn)略的最顯著特征之一就在于安全基礎(chǔ)設(shè)施中每臺(tái)設(shè)備會(huì)產(chǎn)生極大量的事件數(shù)據(jù)。在一個(gè)一般的企業(yè)中，一臺(tái)設(shè)備每一天都會(huì)產(chǎn)生多達(dá)10億字節(jié)的告警信息。同樣，一個(gè)IDS檢測(cè)器每一天也可產(chǎn)生50多萬條消息。這就表明了安全管理的一個(gè)首要問題：安全設(shè)備所產(chǎn)生的數(shù)據(jù)量實(shí)在太多，導(dǎo)致安全團(tuán)隊(duì)無法有效監(jiān)控。

以安全分析方法為基礎(chǔ)建立法律分析系統(tǒng)的過程既耗費(fèi)時(shí)間又代價(jià)高昂，而且還會(huì)占用本可用于其他更有價(jià)值的運(yùn)營(yíng)或安全活動(dòng)的專家資源。此外，傳統(tǒng)的安全數(shù)據(jù)分析方法需要若干天或若干周來執(zhí)行。到分析結(jié)束時(shí)，網(wǎng)絡(luò)也許已經(jīng)遭到了若干次攻擊，并可因數(shù)據(jù)盜竊、客戶和合作伙伴失去服務(wù)或機(jī)構(gòu)生產(chǎn)效率降低等而導(dǎo)致重大損失。

不難看出，企業(yè)信息化發(fā)展到一定階段，建設(shè)重點(diǎn)就會(huì)從系統(tǒng)實(shí)施轉(zhuǎn)向以應(yīng)用提升為主，運(yùn)維保障、安全機(jī)制變得重要起來，這時(shí)除了技術(shù)的保障以外，制度保障越顯得重要。信息管理制度是使信息系統(tǒng)正常運(yùn)行和推廣應(yīng)用公司正規(guī)化文件發(fā)布的規(guī)章制度，它涉及計(jì)算機(jī)系統(tǒng)的使用、計(jì)算機(jī)機(jī)房的管理、計(jì)算機(jī)網(wǎng)絡(luò)管理、信息系統(tǒng)的使用和推廣等。它通過公司規(guī)章化和內(nèi)部法律化形式，來建立信息系統(tǒng)穩(wěn)定、有效運(yùn)行的運(yùn)行機(jī)制。加強(qiáng)制度建設(shè)和科學(xué)規(guī)范的管理，是信息系統(tǒng)能夠正常運(yùn)轉(zhuǎn)、有效應(yīng)用和推廣的保證。

從我國(guó)企業(yè)信息化工作發(fā)展的現(xiàn)狀看，雖然各企業(yè)在信息管理方面都有一些初步制度，但是由于這項(xiàng)工作在企業(yè)中并不受重視，且缺乏系統(tǒng)性研究，面臨著很多問題，企業(yè)的信息管理制度的不完善，造成企業(yè)信息化發(fā)展不均衡和高失敗率高，也是企業(yè)信息化不能深入開展的重要原因之一。

企業(yè)信息化管理制度的內(nèi)容一般包括：制定本項(xiàng)制度的目的，制度適用范圍、制度涉及的人、部門的任務(wù)、職責(zé)以及要約束的具體內(nèi)容，對(duì)違反和維護(hù)制度的人、部門的獎(jiǎng)勵(lì)和懲罰的具體內(nèi)容等。企業(yè)信息化制度類型和有關(guān)內(nèi)容要根據(jù)企業(yè)的自身情況而設(shè)定，要基本履蓋企業(yè)的信息管理內(nèi)容。目前，企業(yè)的信息管理制度主要存在兩方面的問題：一是企業(yè)信息化管理制度的內(nèi)容不完整、制定的方法不科學(xué)，企業(yè)信息化制度制定工作缺乏科學(xué)、規(guī)范、合理、全面的方法。從總體上看，目前企業(yè)信息化管理制度內(nèi)容，側(cè)重硬件和網(wǎng)絡(luò)方面的制度管理，而缺乏對(duì)軟件、IT流程管理、IT資源的內(nèi)容管理，企業(yè)信息化制度不能科學(xué)全面地覆蓋各項(xiàng)信息管理工作，造成信息管理上的漏洞；二是企業(yè)信息化制度流于形式，缺乏必要的約束力。由于企業(yè)信息化管理制度體系不健全，企業(yè)信息化制度多數(shù)成為企業(yè)項(xiàng)目建設(shè)檔案保存或作為應(yīng)付對(duì)企業(yè)相關(guān)檢查的材料，信息化制度只是形式，對(duì)于違反制度行為和相關(guān)人員的并沒有任何直接約束，影響到企業(yè)信息化制度工作的權(quán)威性，制約著企業(yè)信息化工作的深入開展。

今天，信息安全已經(jīng)正式成為我國(guó)一個(gè)產(chǎn)業(yè)。目前，我國(guó)的信息安全產(chǎn)品市場(chǎng)規(guī)模已經(jīng)超過7億元人民幣，專門從事信息安全產(chǎn)品生產(chǎn)的企業(yè)已超過1000家。安全管理是現(xiàn)代企業(yè)管理的一個(gè)重要組成部分，隨著傳統(tǒng)企業(yè)向現(xiàn)代企業(yè)的轉(zhuǎn)型，安全管理在企業(yè)的整體管理活動(dòng)中也將占據(jù)越來越重要的地位。

附錄：最近2年媒體公開披露的部分企業(yè)信息危機(jī)案例

2008年5月，央視3·15晚會(huì)驚爆全國(guó)一半手機(jī)用戶信息泄露。

2008年3月，青島2.6萬個(gè)車主私人信息泄露，包括家庭住址、車牌號(hào)、車型等。

2007年9月，美國(guó)交易公司的經(jīng)濟(jì)公司被披露，有人入侵了他們其中一個(gè)系統(tǒng)，竊取了超過6200萬零售業(yè)和公共團(tuán)體用戶的合同信息，諸如名稱、地址和電話號(hào)碼。

2007年8月，Monster.com大約有1600萬求職者的姓名、電子郵件地址、郵箱地址、電話號(hào)碼和簡(jiǎn)歷ID通過訪問了Monster.Com的簡(jiǎn)歷數(shù)據(jù)庫(kù)泄露。

2007年7月，富達(dá)國(guó)民信息服務(wù)公司一家子公司Certegy Check Services的資深數(shù)據(jù)庫(kù)管理員非法下載數(shù)據(jù)并將其出賣給經(jīng)紀(jì)人，導(dǎo)致超過8500萬個(gè)人信息泄露。

2007年5月，惠普把一封內(nèi)部電子郵件意外地發(fā)給了外部人員泄露了財(cái)務(wù)信息，被迫在美國(guó)股票市場(chǎng)當(dāng)期開盤之前公布最新的財(cái)報(bào)指南。

2007年4月，麥肯錫證實(shí)利用Google提供的搜索功能可以很容易得到麥肯錫公司內(nèi)部通信會(huì)議的撥號(hào)號(hào)碼和口令。

2007年2月，全美第二大的超市連鎖公司Supervalu被釣魚者偽造的兩家公司驗(yàn)證供應(yīng)商銀行賬戶的電子郵件所欺騙，向這兩個(gè)賬戶匯入1000萬美元。

2007年，Gary Min在離職杜邦前5個(gè)月秘密下載和訪問公司機(jī)密文件(價(jià)值約4億美元)，此事件直至他投奔競(jìng)爭(zhēng)對(duì)手后才被披露。

2007年，曾擔(dān)任洛杉磯3G通訊公司安全顧問的Johnschiefer在25萬臺(tái)pc上大規(guī)模運(yùn)行僵尸網(wǎng)絡(luò)，并進(jìn)一步感染到其他的機(jī)器。他還利用間諜軟件竊取銀行和Pay Pal賬戶信息。

2007年，美國(guó)TJX零售公司發(fā)生4500多萬客戶的信息卡及保密資料丟失事件，導(dǎo)致客戶和銀行業(yè)對(duì)其提起訴訟，最終TJX公司向客戶賠付1.01億美元，并承受嚴(yán)重的企業(yè)聲譽(yù)損失。

“艷照門”陰影下的企業(yè)信息安全 黎錫崴 暴能全

主持人語：互聯(lián)網(wǎng)正在改變世界，在提供更簡(jiǎn)潔高效的信息溝通渠道和更使得快捷的信息交流方式的同時(shí)，互聯(lián)網(wǎng)與生俱來的弊病也會(huì)給企業(yè)帶來許多潛在的危險(xiǎn)。特別是對(duì)于中國(guó)企業(yè)而言，信息技術(shù)更是把“雙刃劍”，提升提升同時(shí)，又可能遭致信息安全隱患的巨大威脅——

對(duì)于陳冠希艷照泄漏的根源，坊間流傳著不同的版本：電腦送修時(shí)看管不嚴(yán)、黑客入侵、廢棄硬盤等等，但歸根結(jié)底，都是安全意識(shí)淡薄或保護(hù)手段不力所致?！捌G照門”的影響終將淡去，但對(duì)于企業(yè)而言，陳冠希的狼狽無奈正為我們長(zhǎng)期忽視信息安全的企業(yè)敲響了警鐘。

國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的《網(wǎng)絡(luò)安全工作報(bào)告》指出，各種網(wǎng)絡(luò)安全事件都有顯著增長(zhǎng)，僅在2007年上半年，網(wǎng)絡(luò)仿冒事件和網(wǎng)頁惡意代碼事件已分別超出2006全年總數(shù)14.6％和12.5％，被植入木馬的主機(jī)IP遠(yuǎn)遠(yuǎn)超過2007年全年，增幅達(dá)21倍，而且攻擊者的目標(biāo)越來越明確、攻擊手段越來越多變、而攻擊行為的趨利化特點(diǎn)表現(xiàn)得也越來越明顯……面對(duì)越來越猖獗的網(wǎng)絡(luò)勒索、信息犯罪，許多專家感嘆，信息安全將逐漸成為中國(guó)企業(yè)的阿喀琉斯之踵，也許，在不久的將來，許多企業(yè)版的“艷照門”將會(huì)陸續(xù)上演。

從信息經(jīng)濟(jì)學(xué)的角度來看，信息資產(chǎn)(Assets)、其所受的威脅(Threats)以及風(fēng)險(xiǎn)防范措施(Risk management)構(gòu)成了信息安全體系最核心的三要素，而在這三方面，中國(guó)企業(yè)普遍存在著三大誤區(qū)：

一、信息資產(chǎn)角度

在理念上對(duì)信息資產(chǎn)認(rèn)識(shí)不足，企業(yè)內(nèi)部缺乏管理信息資產(chǎn)的專門組織。對(duì)一個(gè)組織而言，信息和其他商業(yè)資產(chǎn)一樣有價(jià)值，信息也是一種資源、一種資產(chǎn)，甚至信息可能比其他資產(chǎn)更具價(jià)值，需要像對(duì)待資金一樣重視、保護(hù)。許多企業(yè)家都研習(xí)過木桶理論，但信息時(shí)代的新木桶理論告訴我們，一個(gè)木桶能不能裝水，裝多少水，除了看最短的木板之外，還要看其他一些關(guān)鍵的因素：一是這個(gè)木桶是否有堅(jiān)實(shí)的底板，二是木板之間是否有縫隙。在信息時(shí)代，信息資產(chǎn)就是企業(yè)這個(gè)木桶的底板，而信息資產(chǎn)的保護(hù)體系是否得當(dāng)，便決定了木桶的各個(gè)木板間結(jié)合得是否緊密。

99％的企業(yè)家都缺乏一個(gè)意識(shí)：在信息時(shí)代，信息資產(chǎn)才是一個(gè)企業(yè)最寶貴的資產(chǎn)!因此，企業(yè)應(yīng)該在組織上進(jìn)行調(diào)整，在決策層給信息安全工作以一席之地。在西方企業(yè)中，一般都由管理層牽頭、組織專門的信息安全管理小組來討論和批準(zhǔn)信息安全策略、分派安全任務(wù)、協(xié)調(diào)安全工作的實(shí)施，這樣才能高效應(yīng)對(duì)層出不窮的信息威脅。

二、信息威脅角度

在工作重心上重硬輕軟、重外輕內(nèi)，缺乏有效應(yīng)對(duì)信息威脅的管理模式。信息資產(chǎn)是非常脆弱的，各式各樣的威脅行為都可能會(huì)對(duì)信息資產(chǎn)造成無可挽回的損失。信息安全的作用便是要保證信息資產(chǎn)的保密性、完整性，一個(gè)完善的信息安全系統(tǒng)，必須符合“五不原則”：

1．進(jìn)不來，通過物理隔離等手段，阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)。

2．拿不走，使用屏蔽、防下載機(jī)制，實(shí)現(xiàn)對(duì)用戶的權(quán)限控制。

3．讀不懂，通過認(rèn)證和加密技術(shù)，確信信息不暴露給未經(jīng)授權(quán)的人或程序。

4．改不了，使用數(shù)據(jù)完整性鑒別機(jī)制，保證只有允許的人才能修改數(shù)據(jù)。

5．跑不掉，使用日志、安全審計(jì)、監(jiān)控技術(shù)追蹤進(jìn)攻者，并通過證據(jù)的保存使得攻擊者不能抵賴自己的行為。

信息安全不僅是一個(gè)技術(shù)問題，也是一個(gè)管理問題，技術(shù)是手段，而管理是基礎(chǔ)。中國(guó)企業(yè)在信息化建設(shè)中普遍重硬件、輕軟件，許多企業(yè)認(rèn)為買了幾臺(tái)電腦、建了個(gè)局域網(wǎng)，能夠接入互聯(lián)網(wǎng)就是實(shí)現(xiàn)了信息化，IT人員在企業(yè)中沒有相應(yīng)的地位，很多打著信息經(jīng)理、信息主管頭銜的IT人實(shí)際上只是“高級(jí)硬件佬”，裝裝軟件、修修硬件、最多進(jìn)行些簡(jiǎn)單的網(wǎng)絡(luò)維護(hù)。與此同時(shí)，中國(guó)企業(yè)在信息風(fēng)險(xiǎn)防范上普遍重視對(duì)外部攻擊的防御，而忽視了對(duì)內(nèi)部員工的管理。許多企業(yè)總是把注意力集中在防火墻是否完善、殺毒軟件是否先進(jìn)上。但西方成功企業(yè)的經(jīng)驗(yàn)表明，信息化實(shí)施，三分技術(shù)，七分管理，安全事故75％是由于疏忽造成，25％才是來自于外部的攻擊，大部分的信息安全問題是由于企業(yè)沒有必要的安全管理制度而產(chǎn)生的。例如，企業(yè)員工利用工作電腦上網(wǎng)聊天玩游戲、瀏覽不良網(wǎng)站、擅自下載安裝軟件、未經(jīng)允許拷貝敏感文件，甚至使用黑客軟件等，這些行為如果不能有效制止，會(huì)大大增加信息網(wǎng)絡(luò)的風(fēng)險(xiǎn)。

先進(jìn)的信息安全技術(shù)是必須的，但要保障信息安全，僅僅依靠技術(shù)上的優(yōu)勢(shì)是遠(yuǎn)遠(yuǎn)不夠的，只有建立一套科學(xué)的信息安全管理體系，才能從管理上、程序上確保信息的安全。如果企業(yè)有比較系統(tǒng)全面的信息安全制度，并能在企業(yè)內(nèi)部得到貫徹執(zhí)行。90％的信息安全威脅都是可以避免的。因此，建立一個(gè)全面系統(tǒng)、有整體規(guī)劃的信息安全管理體系，才是保障企業(yè)信息系統(tǒng)與業(yè)務(wù)的安全與正常運(yùn)作的關(guān)鍵所在。

三、風(fēng)險(xiǎn)防范角度

在具體做法上重細(xì)節(jié)輕體系，缺乏信息安全的規(guī)范流程和標(biāo)準(zhǔn)。中國(guó)企業(yè)的信息風(fēng)險(xiǎn)防范工作，往往給人以顧頭不顧尾的感覺，許多IT人員都在抱怨：“今天讓我們打系統(tǒng)補(bǔ)丁，明天讓我們升級(jí)殺毒軟件，一天到晚疲于奔命。但做事越多，要做的事情也越多，安全事故還是一波未平一波又起，我們都變成專業(yè)打雜了?！逼鋵?shí)，做好信息安全工作，關(guān)鍵是要建立一個(gè)內(nèi)部控制的標(biāo)準(zhǔn)，這樣才能治標(biāo)治本地解決安全問題。

為了更好地進(jìn)行信息安全管理和信息安全體系的建設(shè)，國(guó)際上也出臺(tái)了相應(yīng)的安全標(biāo)準(zhǔn)，其中BS7799是世界上應(yīng)用最廣泛的信息安全管理標(biāo)準(zhǔn)，至2005年全部被國(guó)際標(biāo)準(zhǔn)化組織吸收，形成了ISO/IEC27001：2005信息技術(shù)一安全技術(shù)一信息安全管理體系要求和ISO/9IEC17799：2005信息技術(shù)一安全技術(shù)一信息安全管理實(shí)施細(xì)則兩個(gè)國(guó)際標(biāo)準(zhǔn)。它包括11個(gè)控制領(lǐng)域、39個(gè)控制目標(biāo)和133項(xiàng)控制措施，能為企業(yè)提供全方位的信息安全保障。

簡(jiǎn)單地說，ISO27001標(biāo)準(zhǔn)便是要求企業(yè)首先通過規(guī)范的信息安全管理體系風(fēng)險(xiǎn)評(píng)估流程(見圖1)，識(shí)別、控制信息風(fēng)險(xiǎn)，而后建立策略、組織、操作和技術(shù)四個(gè)風(fēng)險(xiǎn)管理的框架層次。

1．策略架構(gòu)：體現(xiàn)整個(gè)組織的信息安全方針、標(biāo)準(zhǔn)、制度、規(guī)范、指南等。

2．組織架構(gòu)：建立有效的信息安全組織，并賦予組織中的人員明確的角色和職責(zé)，實(shí)施安全教育，提高全員的安全意識(shí)。

3．操作架構(gòu)：用戶管理、物理和環(huán)境安全，系統(tǒng)的開發(fā)和維護(hù)，業(yè)務(wù)的持續(xù)性等。

4．技術(shù)架構(gòu)：網(wǎng)絡(luò)安全的最新技術(shù)和產(chǎn)品。

總之，中國(guó)企業(yè)只有先在意識(shí)上認(rèn)識(shí)信息資產(chǎn)的重要性，在組織架構(gòu)，管理模式和管理流程上做出應(yīng)有的改進(jìn)，才有可能在新的時(shí)代里打贏信息安全這場(chǎng)無硝煙的戰(zhàn)爭(zhēng)。

天網(wǎng)行動(dòng)，打造e時(shí)代的企業(yè)信息防火墻 劉 超 賴派燦

主持人語：今天，數(shù)字化生存已經(jīng)成為企業(yè)經(jīng)經(jīng)營(yíng)必須直面的一道世紀(jì)命題，商業(yè)帝國(guó)的戰(zhàn)略軌跡必然向著比特級(jí)當(dāng)量的網(wǎng)絡(luò)世界遷移，信息安全在企業(yè)戰(zhàn)略標(biāo)靶是的位置已然升級(jí)，甚至已經(jīng)成為企業(yè)生命線上關(guān)乎生死的重要一環(huán)——

艷照門這一多米諾骨牌式的“大事件”，絕不亞于懸念大師希區(qū)柯克筆下任何一部偵探大片綿密推演后的驚悚與余韻繞梁。君不見，事件始作俑者的偵緝與追剿，迄今依然是疑竇叢生、神龍無尾；偶像明星轟然問的形象崩盤，不啻于又為向來飽受爭(zhēng)議的娛樂生態(tài)再次抹上一層厚重的灰色；不雅照的網(wǎng)際瘋傳與熱捧，乃至其間司法判例超乎想象的嚴(yán)厲與絕然，所影射的恰是當(dāng)今社會(huì)倫理、法制等諸多領(lǐng)域隱然可見的真空與軟肋……這些，都為艷照門這一充滿誘惑的伊甸園增添了無盡的看點(diǎn)與談資。

然而，當(dāng)我們撥開上述攝人心魄、意欲迷離的重重迷霧，去追溯和反思艷照門東窗事發(fā)的孽緣與原罪時(shí)，卻倏然驚覺：這何嘗又不是一座不設(shè)防的伊甸園——事主疏于防范的大意乃至無意識(shí)的漠然，或許正是艷照門自擺烏龍間自釀苦酒的致命機(jī)樞。

在黑客當(dāng)?shù)?、木馬肆虐的信息社會(huì)，伊甸園到失樂園的距離，或許只有鼠標(biāo)輕啟間電光火石般的時(shí)間漂移與悸動(dòng)。如何在e時(shí)代的背景下為企業(yè)信息安全拉起一幕全息化的天網(wǎng)，以構(gòu)筑起堅(jiān)如磐石的防火墻，值得企業(yè)經(jīng)營(yíng)者們戰(zhàn)略性地深思和未雨綢繆地設(shè)計(jì)與執(zhí)行。

鋼鐵是這樣煉成的：企業(yè)信息安全的天網(wǎng)編織術(shù)

所謂信息安全管理(Information Security Management，ISM)，是組織通過維護(hù)信息的機(jī)密性、完整性和可用性等特征，來管理和保護(hù)組織所擁有的信息資產(chǎn)的一項(xiàng)體制。當(dāng)下，信息安全事件頻發(fā)對(duì)于企業(yè)影響的直接體現(xiàn)，就在于IT服務(wù)管理需求的增長(zhǎng)與凸現(xiàn)，以及IT部門角色的轉(zhuǎn)變及戰(zhàn)略地位的提升。然而，令信息安全管理者們倍覺尷尬的是，一方面，其職責(zé)以實(shí)現(xiàn)企業(yè)信息安全的零風(fēng)險(xiǎn)為使命，不可能像銷售經(jīng)理們那樣，可以憑借外顯的銷售額增長(zhǎng)作為其自詡的資本；另一方面，頗具諷刺和悖論意味的是，信息安全管理的價(jià)值卻往往只有在安全事例發(fā)生之后才能得到充分的證明與認(rèn)同。“9·11”事件中，當(dāng)Morgan Stanley集團(tuán)和American Express等公司能在世貿(mào)中心遭受攻擊后數(shù)小時(shí)內(nèi)迅速恢復(fù)服務(wù)時(shí)，沒有人懷疑災(zāi)難恢復(fù)計(jì)劃這一信息安全管理核心模塊的重要性；SARS肆虐時(shí)，成功實(shí)施業(yè)務(wù)持續(xù)性計(jì)劃的亞信、摩托羅拉、惠普等公司使人們看到，面對(duì)這樣的重大災(zāi)害時(shí)，企業(yè)怎樣才能借助信息安全管理體系的強(qiáng)力預(yù)警與規(guī)制，避免束手無策。

可見，要想樹立穩(wěn)固的戰(zhàn)略地位，信息安全管理者有必要首先向企業(yè)決策者們進(jìn)行自我價(jià)值的宣示與聲明：信息安全管理不只是“花錢”的部門，同時(shí)也是“省錢”的部門，它在企業(yè)價(jià)值鏈條上扮演著重要的“看門人”角色。通過制定具有針對(duì)性的信息安全投資回報(bào)計(jì)劃(圖1)，能夠有效提高信息安全的成本效益，從而為企業(yè)信息資產(chǎn)增值附加有力的籌碼。這里有一個(gè)認(rèn)識(shí)上的誤區(qū)，即我們總會(huì)下意識(shí)地認(rèn)為追求信息安全的零風(fēng)險(xiǎn)是天經(jīng)地義的，但事實(shí)上，“適度防范”才是制定信息安全預(yù)算計(jì)劃時(shí)更可取的原則。一般來說，如果沒有特別的需要，信息安全的投入不應(yīng)超過信息化建設(shè)總投資額的15％，過高的安全成本將使安全失去意義。

就本質(zhì)而言，信息安全是管理問題而非單純的技術(shù)問題，即“三分技術(shù)，七分管理”。這個(gè)在其他領(lǐng)域總結(jié)出來的實(shí)踐經(jīng)驗(yàn)和基本原則，在信息安全領(lǐng)域也同樣適用。有關(guān)部門統(tǒng)計(jì)，在所有的計(jì)算機(jī)安全事件中，約有52％是人為因素造成的，25％由火災(zāi)、水災(zāi)等自然災(zāi)害引起，技術(shù)錯(cuò)誤占10％，組織內(nèi)部人員作案占10％，僅有3％左右是由外部不法人員的攻擊所造成。簡(jiǎn)單歸類，屬于管理方面的原因比重高達(dá)70％以上，而這些安全問題中的95％是可以通過科學(xué)的信息安全管理加以避免的。因此，管理已成為信息安全保障能力的重要基礎(chǔ)。正如信息安全治理專家孫強(qiáng)先生所指出的：“技術(shù)本身實(shí)際上是信息安全體系里最不重要的部分。不管一項(xiàng)技術(shù)有多先進(jìn)，都只不過是輔助實(shí)現(xiàn)信息安全的手段而已。我們并不是認(rèn)為技術(shù)不重要，但在信息安全的架構(gòu)里，它一定要建立在好的信息安全治理的基礎(chǔ)上，信息安全歸根到底是管理和治理層面的問題?！?/p>

秉承“以管理為主，以技術(shù)為輔”的戰(zhàn)略理念，ING，這家老牌的全球著名金融機(jī)構(gòu)，實(shí)施的正是與整個(gè)集團(tuán)公司治理機(jī)制相符合的全球性信息安全管理體系，ING董事會(huì)一致視這種結(jié)合為其成功的基礎(chǔ)。ING信息安全管理機(jī)制的一個(gè)關(guān)鍵特性是在除了擁有信息安全技術(shù)做支持外，著重于強(qiáng)化管理的執(zhí)行力，在管理層面成立了一個(gè)獨(dú)立的信息安全指導(dǎo)委員會(huì)，這個(gè)行動(dòng)既向ING董事會(huì)和高管層充分表明了信息安全的重要性和嚴(yán)肅性，也為ING在全球提供了一個(gè)跨區(qū)域、跨業(yè)務(wù)的關(guān)于信息安全工作的正式推進(jìn)機(jī)制。在這個(gè)定期舉辦的會(huì)議平臺(tái)上，ING的董事們常常會(huì)問到信息安全問題，而董事會(huì)成員有責(zé)任確保采取了提供答案的機(jī)制。同所有企業(yè)一樣，有時(shí)答案回答起來令人不舒服，但是至少觸及了信息安全問題，還找到了答案。同時(shí)，ING的董事們深信“不知即為福，其實(shí)預(yù)示著災(zāi)難?！惫芾砩系摹安恢?，往往就是信息安全大堤崩潰的“蟻穴”。ING這種“以管理為主，以技術(shù)為輔”的信息安全管理信念，見微知著的理性而謹(jǐn)慎的信息安全管理態(tài)度，正是其全球性信息安全管理的成功之道。

同樣值得關(guān)注的是，當(dāng)今信息安全威脅已經(jīng)從外部轉(zhuǎn)向內(nèi)部。根據(jù)美國(guó)洋基集團(tuán)一項(xiàng)針對(duì)北美和西歐600家公司的調(diào)查顯示，2004年的信息安全問題有5成源自內(nèi)部，高于前一年的3成。每年企業(yè)界動(dòng)輒投資上千萬防毒防黑，但企業(yè)防御失效的另一個(gè)容易被忽略的問題卻是：來自員工、廠商或其他合法使用系統(tǒng)者的內(nèi)部濫用。在漏洞攻擊愈來愈快速的今日，有可能因?yàn)橐粋€(gè)訪客攜入的計(jì)算機(jī)而癱瘓幾千萬IT設(shè)備?；谶@樣的客觀現(xiàn)實(shí)，企業(yè)在制定信息安全計(jì)劃時(shí)既要“向外看”，嚴(yán)防外部“恐怖分子”的襲擊；更要“向內(nèi)看”，堵死“內(nèi)鬼”作祟的無間道。

從操作的層面上看，保護(hù)核心信息資產(chǎn)，加強(qiáng)信息資產(chǎn)傳遞渠道的管理，通過建立與企業(yè)文化相適應(yīng)的安全體系，提高整個(gè)企業(yè)在信息安全管理上的執(zhí)行力，即所謂的“護(hù)”、“堵”、“執(zhí)行力”，是有效提高企業(yè)信息安全水平的重要管理方法。(見圖2)

以信息安全組織建設(shè)為例，在“9·11”事件以后，為了加強(qiáng)對(duì)安全的統(tǒng)一管理，在美國(guó)有一種把安全保衛(wèi)部門與信息安全部門合并的趨勢(shì)，許多大公司設(shè)置一個(gè)首席安全官(chief Security Officer)職位，負(fù)責(zé)包括信息安全在內(nèi)的所有安全事務(wù)。摩托羅拉無疑是這一理念的身體力行者。

摩托羅拉的管理層認(rèn)為，信息安全是其成長(zhǎng)目標(biāo)中重要的一環(huán)。摩托羅拉的信息安全管理機(jī)制，是通過管理層面的管理委員會(huì)和執(zhí)行層面的信息安全官實(shí)現(xiàn)的。同時(shí)，摩托羅拉對(duì)安全事務(wù)的關(guān)注還反映在其組織結(jié)構(gòu)和角色分配上，反映在其治理安排(特別是架構(gòu)流程)中，即自始至終將信息安全治理擺在戰(zhàn)略的優(yōu)先位置上。

摩托羅拉首先成立了包括CIO(首席信息官)等高層主管在內(nèi)的管理委員會(huì)，該委員會(huì)負(fù)責(zé)建立安全原則，定義信息安全項(xiàng)目的優(yōu)先級(jí)別，甚至將安全預(yù)算與其他IT預(yù)算區(qū)別開來。安全辦公室的所有職員負(fù)責(zé)設(shè)計(jì)、構(gòu)建恰當(dāng)?shù)募軜?gòu)體系，同時(shí)還要和負(fù)責(zé)IT架構(gòu)的人員一起，在企業(yè)級(jí)和部門級(jí)同時(shí)確保安全措施被嚴(yán)格地融合到架構(gòu)和應(yīng)用當(dāng)中。公司在運(yùn)營(yíng)和產(chǎn)品兩方面都嚴(yán)格遵循著信息安全的有關(guān)規(guī)定，這使得信息安全工作成為最高管理層所負(fù)責(zé)的事務(wù)，并成為公司IT治理不可或缺的一部分。CIO是公司高管層中的一員，信息安全官則直接向CIO負(fù)責(zé)，并作為CIO團(tuán)隊(duì)的一員參與每季度一次的管理委員會(huì)會(huì)議。信息安全管理最關(guān)鍵的一個(gè)要素，就是持續(xù)不斷的教育和意識(shí)養(yǎng)成。安全官的職責(zé)就是協(xié)助最高管理層認(rèn)識(shí)到各種安全問題爆發(fā)的可能性，以及這些隱患對(duì)業(yè)務(wù)的潛在影響。在這些會(huì)議中，安全官提出公司當(dāng)前所面臨的安全風(fēng)險(xiǎn)，并給出幾個(gè)候選的解決方案。

摩托羅拉所采取的這種基于安全的組織結(jié)構(gòu)設(shè)計(jì)，為企業(yè)如何根據(jù)自己的戰(zhàn)略目標(biāo)進(jìn)行信息安全管理提供了鮮活的樣板。摩托羅拉的治理安排，確保了其與安全相關(guān)的事項(xiàng)成為期望行為的一部分。正是憑借著卓越的公司治理和信息安全治理能力，摩托羅拉成功地從20世紀(jì)末全球通訊業(yè)的大蕭條中恢復(fù)過來。

不可否認(rèn)，盡管現(xiàn)代IT技術(shù)的發(fā)展可謂日新月異，但企業(yè)卻始終無法擺脫病毒侵襲、惡意攻擊和其他安全隱患等問題的困擾。是被動(dòng)防御，還是主動(dòng)管理?將考驗(yàn)企業(yè)經(jīng)營(yíng)者的戰(zhàn)略智慧與膽略。長(zhǎng)期以來，人們對(duì)保障信息安全的手段偏重于依靠技術(shù)，從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測(cè)、身份認(rèn)證等等，可謂招事盡顯，花樣百出。但如果不逾越被動(dòng)防御這一思維定勢(shì)的鴻溝，任何現(xiàn)代信息安全技術(shù)與手段的換代更新，終難免擺脫不了亦步亦趨的宿命，而被動(dòng)防御看似見招拆招的閑庭信步，同樣難掩疲于應(yīng)付的窘迫與尷尬。畢竟，病毒裂變與傳播的速率正以指數(shù)級(jí)的比率倍增，而信息技術(shù)的發(fā)展，則從另一個(gè)方向推動(dòng)企業(yè)構(gòu)建安全體系的復(fù)雜程度和成本不斷上升。要為企業(yè)找出切實(shí)有效并且能真正帶來實(shí)際價(jià)值的信息安全解決方案，或許只有從主動(dòng)管理的方向去嘗試尋求新的答案。

惠普率先提出“變被動(dòng)防御為主動(dòng)管理”的全新策略和方法，包括主動(dòng)防范式的安全服務(wù)、身份安全管理、信息安全管理、信息安全集成、病毒與黑客防御等系列安全解決方案，以此提升企業(yè)信息安全的臨界點(diǎn)。與亦步亦趨、缺乏戰(zhàn)略機(jī)動(dòng)性的被動(dòng)防御相比，主動(dòng)管理恰似一記化干戈于端倪的“化骨綿掌”，不給信息安全隱患留下任何成長(zhǎng)甚至萌芽的土壤。本著防范于未然，主動(dòng)出擊的態(tài)勢(shì)，惠普通過采用主動(dòng)式安全管理手段、搭建可信賴的軟硬件平臺(tái)、實(shí)現(xiàn)全球異構(gòu)IT環(huán)境中連續(xù)性的身份認(rèn)證和訪問控制，幫助推動(dòng)企業(yè)用戶的安全體系，使其在有效性和業(yè)務(wù)促進(jìn)能力方面達(dá)到一個(gè)全新的水平，從而幫助企業(yè)保持業(yè)務(wù)的可靠性和連續(xù)性，并滿足法規(guī)要求。

一言以蔽之，企業(yè)信息安全治理必須回歸管理的正途。只有基于信息安全管理效能的發(fā)酵，才能實(shí)現(xiàn)它與“技術(shù)防火墻”、“人力防火墻”的有機(jī)融合與相互支撐，從而為企業(yè)信息安全打造一支不可戰(zhàn)勝的“天軍”。

(欄目編輯：袁 航)