孫杰賢

徐工集團(tuán)信息化管理部副部長(zhǎng)張啟亮這樣形容信息化：徐工集團(tuán)的每個(gè)子公司，子公司的每個(gè)業(yè)務(wù)和生產(chǎn)部門就像一顆顆珍珠，但是徐工集團(tuán)想成為美麗的項(xiàng)鏈中間還缺少一根線，信息化便是這根線。他說：“在徐工，信息化已經(jīng)從成本中心變?yōu)槠髽I(yè)的利潤(rùn)中心”。

的確，在信息技術(shù)為核心的知識(shí)經(jīng)濟(jì)時(shí)代，信息是重要的生產(chǎn)力要素，也是支撐企業(yè)長(zhǎng)遠(yuǎn)發(fā)展的核心競(jìng)爭(zhēng)力。信息化對(duì)于企業(yè)來(lái)說不是做與不做的問題，而是如何做的問題。

我國(guó)政府一直高度重視信息化工作，特別在十八大提出“兩化深度融合”和“四化協(xié)同發(fā)展”的戰(zhàn)略部署后，各行各業(yè)信息化的熱情高漲。

技術(shù)崇拜

企業(yè)在信息化建設(shè)時(shí)有一個(gè)普遍的現(xiàn)象，那就是對(duì)新技術(shù)和新應(yīng)用趨之若騖。一方面，這些新技術(shù)和新應(yīng)用的價(jià)值對(duì)于企業(yè)來(lái)說具有非常高的吸引力，但更重要的是企業(yè)希望借助新技術(shù)來(lái)提高整個(gè)信息化系統(tǒng)的先進(jìn)性，同時(shí)延伸信息系統(tǒng)的生命周期以最大程度保護(hù)投資。

云計(jì)算，大數(shù)據(jù)，物聯(lián)網(wǎng)，社交網(wǎng)絡(luò)，BYOD是當(dāng)前最為流行也最受企業(yè)追捧的幾大新技術(shù)和新應(yīng)用，而這些技術(shù)也的確有著非常突出的應(yīng)用價(jià)值。

傳統(tǒng)軟件部署很麻煩，比如，買服務(wù)器、安裝、調(diào)配等，但是云模式就很簡(jiǎn)單，只要開通賬號(hào)，登陸后便馬上能用，也不需要配備專業(yè)人員，所以，云計(jì)算具有部署快，成本低的優(yōu)勢(shì)。由于其按需付費(fèi)，所以不需要一次性付出一大筆錢。這對(duì)企業(yè)尤其是中小企業(yè)的吸引力是巨大的。再比如大數(shù)據(jù)，它有兩個(gè)關(guān)鍵核心價(jià)值：一是能夠幫助管理者更快、更科學(xué)、更有根據(jù)的決策；二是基于大量的數(shù)據(jù)，可以開發(fā)新產(chǎn)品新服務(wù)。大數(shù)據(jù)技術(shù)的應(yīng)用，可以依托現(xiàn)有客戶發(fā)現(xiàn)新的藍(lán)海，重新定義客戶關(guān)系，推出新的產(chǎn)品和服務(wù)，創(chuàng)造新的價(jià)值，給企業(yè)帶來(lái)新的市場(chǎng)機(jī)會(huì)和利潤(rùn)增長(zhǎng)。

這些新技術(shù)和新應(yīng)用也不乏成功的實(shí)踐，也產(chǎn)生了實(shí)實(shí)在在的經(jīng)濟(jì)效益。《2012-2013年英特爾IT業(yè)績(jī)報(bào)告》顯示，過去一年中，該公司利用大數(shù)據(jù)預(yù)測(cè)引擎把芯片設(shè)計(jì)時(shí)間大大縮短，使其上市速度加快了25%；在過去的兩年，從云計(jì)算中獲得的節(jié)約高達(dá)1500萬(wàn)美元；至去年年底，員工使用私有電子設(shè)備（BYOD）增加至23500臺(tái)，幫助員工在過去三年中工作效率提升超過700萬(wàn)個(gè)小時(shí)?？梢哉f，諸多IT解決方案相互配合共同貢獻(xiàn)于英特爾的業(yè)務(wù)發(fā)展，為其業(yè)務(wù)團(tuán)隊(duì)帶來(lái)了寶貴的商業(yè)價(jià)值和機(jī)會(huì)。

但是企業(yè)在追逐新技術(shù)和新應(yīng)用的同時(shí)對(duì)另外一個(gè)問題卻有點(diǎn)避重就輕，這就是網(wǎng)絡(luò)和信息的安全。雖然英特爾信息風(fēng)險(xiǎn)和安全管理總監(jiān)Perry Olson說，“并沒有數(shù)據(jù)顯示，安全事件因我們廣泛使用云技術(shù)、社交網(wǎng)絡(luò)、大數(shù)據(jù)等新技術(shù)和新應(yīng)用而明顯增加”。但不可否認(rèn)的是風(fēng)險(xiǎn)和威脅是客觀存在的。

新隱患

我們知道，BYOD模式是IT消費(fèi)化的一個(gè)戲劇性結(jié)果。這一模式的原動(dòng)力來(lái)自于員工而非企業(yè)，員工對(duì)于新科技的喜好反過來(lái)驅(qū)動(dòng)企業(yè)變更和適應(yīng)新技術(shù)的變化。十年前，我們上班的時(shí)候就用公司的電腦，不安裝其他軟件，很安全。BYOD則意味著我們可以在辦公室使用自己的電腦設(shè)備辦公，可以任意安裝自己需要或者喜歡的軟件，打開自己感興趣的鏈接。與此同時(shí)，企業(yè)的安全策略并沒有考慮這樣的應(yīng)用環(huán)境和要求，自然帶來(lái)的安全風(fēng)險(xiǎn)。

其它新技術(shù)和新應(yīng)用會(huì)帶來(lái)同樣的問題。做為大數(shù)據(jù)領(lǐng)域的代表技術(shù)，許多企業(yè)聚焦在Hadoop之上。但像許多開源的IT技術(shù)一樣，Hadoop的概念并非來(lái)自企業(yè)，企業(yè)安全更是無(wú)從談起。使用Hadoop的最初目的是管理公開可用的信息，如Web鏈接，是針對(duì)大量的非結(jié)構(gòu)化數(shù)據(jù)在分布式計(jì)算環(huán)境中設(shè)計(jì)的，并沒有形成書面的安全、合規(guī)、加密、政策支持和風(fēng)險(xiǎn)管理等協(xié)議。此外，傳統(tǒng)的數(shù)據(jù)安全技術(shù)的概念是建立在保護(hù)一個(gè)物理實(shí)體（如數(shù)據(jù)庫(kù)或服務(wù)器）基礎(chǔ)之上，這與Hadoop集群獨(dú)特的大數(shù)據(jù)分布式計(jì)算環(huán)境有所不同。傳統(tǒng)的安全技術(shù)在這種分布式的、大規(guī)模的環(huán)境中不能有效發(fā)揮作用。

但是，如果問一句，新技術(shù)和新應(yīng)用所帶來(lái)的安全隱患引起企業(yè)的足夠重視了嗎？讓我們看一份安永的企業(yè)安全調(diào)查報(bào)告。安永基于對(duì)全球1700多家企業(yè)（其中大約有8%為中國(guó)企業(yè)）相關(guān)人士的調(diào)查發(fā)現(xiàn)，72%的受訪者認(rèn)為信息安全風(fēng)險(xiǎn)水平因新技術(shù)的部署和應(yīng)用而上升，但僅有三分之一的受訪者表示在過去的12個(gè)月中對(duì)其企業(yè)的信息安全策略進(jìn)行了更新，超過一半的受訪者還表示自己所在的企業(yè)并沒有一個(gè)針對(duì)未來(lái)1到3年的、成文的信息安全戰(zhàn)略。

這就是問題所在，在新技術(shù)和新應(yīng)用的安全問題上，企業(yè)有意識(shí)但缺乏有效的行動(dòng)。原因何在，一位乳業(yè)集團(tuán)的CIO坦言，“不是不想做，關(guān)鍵是不知道如何做”。

改變策略

那么，企業(yè)該如何面對(duì)新的安全形勢(shì)呢？

一直以來(lái)，傳統(tǒng)企業(yè)的安全架構(gòu)在很大程度上依賴于預(yù)防性控制，比如防火墻。然而目前的關(guān)注重心已經(jīng)轉(zhuǎn)移至更為廣泛的用戶和設(shè)備提供受控制的訪問，而不再僅僅是阻止訪問。此外，不斷改變的IT環(huán)境和威脅模式要求必須假定企業(yè)的安全防線肯定會(huì)被攻破。一旦攻擊者成功了，預(yù)防式的安全策略便再不具備任何價(jià)值。企業(yè)需要重點(diǎn)實(shí)施可增強(qiáng)系統(tǒng)繼續(xù)運(yùn)作與恢復(fù)能力的工具以防止攻擊者成功入侵自己的IT環(huán)境。

作為一名信息安全領(lǐng)域的專家，Perry Olson認(rèn)為，隨著企業(yè)信息安全要求的不斷演變和拓展，傳統(tǒng)企業(yè)的安全戰(zhàn)略已經(jīng)無(wú)法提供完善的保護(hù)，需要重新審視企業(yè)自身信息安全策略，以符合目前的風(fēng)險(xiǎn)狀況。他說，“現(xiàn)在的企業(yè)需要一個(gè)更加靈活、更動(dòng)態(tài)的架構(gòu)用以加快新技術(shù)、新設(shè)備、新模式和新功能的應(yīng)用”。在這方面，英特爾的一些實(shí)踐值得借鑒。

在傳統(tǒng)的二進(jìn)制靜態(tài)企業(yè)信任模式下，用戶通常要么能夠獲得所有資源的訪問資格，要么無(wú)法訪問任何資源。而且，一旦獲得訪問許可，訪問級(jí)別將始終保持不變。為了能夠?yàn)槿碌募夹g(shù)和應(yīng)用提供支持，英特爾公司重新設(shè)計(jì)了自己的信息安全架構(gòu)，新架構(gòu)不再采用傳統(tǒng)信任模式，而是采用動(dòng)態(tài)的多層信任模式，可以對(duì)特定的資源訪問提供更精細(xì)的控制。新架構(gòu)基于四大要素：信任計(jì)算、安全區(qū)域、平衡的控制以及用戶和數(shù)據(jù)邊界。信任計(jì)算能夠動(dòng)態(tài)決定是否應(yīng)授予用戶特定資源的訪問權(quán)限以及訪問類型；安全區(qū)域包含重要數(shù)據(jù)和訪問收到嚴(yán)格控制的信任區(qū)域，也包含不太重要的數(shù)據(jù)和允許廣泛訪問的不信任區(qū)域，各區(qū)域的通信處于監(jiān)視和控制之下；平衡的控制則突出強(qiáng)調(diào)了在預(yù)防式控制和糾正式控制之間達(dá)成平衡的需求；用戶和數(shù)據(jù)邊界則是將用戶和數(shù)據(jù)視作額外的安全邊界并提供相應(yīng)保護(hù)。

當(dāng)然，我們不能因?yàn)榘踩珕栴}而對(duì)新技術(shù)和新應(yīng)用避而遠(yuǎn)之，否則就無(wú)法進(jìn)步。只有一步一步往前行，多實(shí)踐，多積累經(jīng)驗(yàn)，我們才知道怎么樣更好地控制，制定更合理的安全策略，從而實(shí)現(xiàn)兩邊的平衡——讓企業(yè)既可以控制安全風(fēng)險(xiǎn)，同時(shí)能夠享用新技術(shù)和新應(yīng)用帶來(lái)的價(jià)值。