|风|

IT安全：风控不仅是IT部门的工作

发布时间:2011-01-11 15:20 作者:商学院来源:商学院点击:加载中...次

在我们的工作和生活越来越依赖IT技术和网络的同时，IT安全问题也日渐显得重要。“这不是一个新问题，”微软大中华区战略安全官裔云天表示，“但却是一个足以让企业面临倒闭的风险。因为信息泄露而导致企业被上诉直至破产的案例并非子虚乌有。从损害上来说，IT安全带来的风险问题跟企业面临的其他风险一样，带给企业的损害也是严重的。”

　　但对于不少企业而言，IT风险并不是一种“看得见、摸得着”的损害，甚至也想象不出。而且，对应不同行业、不同经营规模，对IT风险采取的措施是不同的。“很多企业在咨询IT安全风险的时候不知道从哪里下手。”裔云天说，“更重要的是，很多企业并没有认识到这个风险，往往认为IT是研究室的产物，玩IT是专家的事情。事实上，现在的IT已经渗透到各行各业，帮企业进行运营。同时，也因为是新兴事物，相关法律法规并不完善。即便是在Internet发源地的美国，也是在《萨班斯法》颁布之后，才对应上上市企业信息安全问题的负责人——CEO。”

　　行业主要面临哪些安全挑战？

　　裔云天告诉我们，目前行业主要面临四大安全挑战：

　　● 病毒和恶意软件：病毒、间谍软件和蠕虫；僵尸网络和Rootklts；钓鱼和欺诈。

　　● 与商业的融合：法规的符合；安全策略的制定和实施；上报机制和负责流程。

　　● 安全纵深防御体系：身份管理和访问控制；远程访问控制；未被管理PC的安全风险。

　　● 安全管理：分发安全更新；系统身份识别和配置管理；安全策略的强制实施。

　　在病毒、间谍软件、蠕虫、僵尸网络以及钓鱼欺诈等肆虐的情况下，越来越多的安全威胁是与商业利益相融合的，构成了大规模有组织的网络犯罪生态链，加大了安全防护的难度。而在身份管理和访问控制、远程管理以及PC的管理等方面，受限于普通用户的能力，需要对计算机系统实施多层次的纵深防御体系，从而加大黑客和病毒的破坏难度。因此裔云天强调，安全管理十分必要，广大用户及企业要提升安全意识，实行系统身份识别和安全管理以及安全策略的强制实施。

　　购买了安全设备就安全了吗？

　　裔云天常常会遇到这样的询问，“我在企业投入并且布置了防火墙、病毒软件等安全设备，但为什么还会有风险？” “我想这里有个误区。”裔云天说，“不是买来安全产品放在那里就能安全了，需要维护和经营。由于企业资源有限，钱要用在‘刀刃’上。通常应该是这样来分配IT安全风险防御资源：评估的时候，列出对企业经营产生大的安全事件的列表。比如，是ERP系统还是CRM系统出现问题会导致公司巨大风险，或者是HR系统、财务系统、销售系统等等业务层面。企业要作出判断和决断，然后加强防御。重要的是，IT风险是跟企业经营息息相关的。如果不把企业的经营活动和与经营有关产生巨大损害的风险纳入到IT风险里面，购置的安全设备就发挥不了作用。”

　　IT安全到底是谁的事？

　　现在，一个关键问题提出来了：如果IT安全问题跟IT技术那么相关，是不是这个问题就应该由企业的IT部门来负责？

　　答案是否定的。

　　“企业和Internet之间的防火墙，起的是‘边界’的防御作用。但如果风险发生在企业内部，恐怕任何防火墙都无法解决。”裔云天说，“比如，你公司某个新产品发布之前，产品信息被内部员工泄露了。企业内部泄密，再好的防火墙也无能为力。这就不仅仅是IT部门的事情了，可能需要企业内控手段来干预，比如法律、员工教育，就涉及到法律部、HR部门等。这是个浩大的工程，不仅仅是IT技术能解决的。”

　　裔云天强调，正如前面所述，IT风险与企业经营息息相关。如果不把企业的经营活动和与经营有关产生巨大损害的风险纳入到IT风险里面，那么，再贵的安全产品和再牛的技术人员也解决不了风险问题。

　　裔云天建议在组织架构上可以参考国外一些企业的方式，设置CSO (Chief Security Officer，即首席安全官)这一职位。它跟IT部门相对独立。在国外很多银行、保险公司等其他类型公司都有设置。在不同的公司，CSO有不同的含义，有的负责保护物理安全，例如保护公司数据中心各种设备的安全；有些负责数字信息安全，例如防止公司网络遭到黑客的攻击。CSO主要负责监控、协调公司内部的安全工作，包括信息技术、人力资源、通信、设备管理以及其他组织，CSO还负责制定公司安全措施和安全标准。此外，CSO还需要经常举办或参加相关领域的活动，例如参与跟业务连续性、预防损失、诈骗预防和保护隐私等议题相关的活动。

　　业界企业应做什么努力？

　　“IT架构由各个部件构成，比如防火墙、路由器、操作系统、杀毒软件等等。只有整体安全性增强，整个IT安全才更有保障。”裔云天说，“微软也一直将安全性作为软件开发的重要标准，早在2002年，比尔·盖茨就宣布推出‘可信赖计算’这一创新理念。并承诺微软将通过开发更安全、可靠的软件，为用户提供更值得信赖的计算体验，用软件帮助人们更好地保护个人隐私和数据。”

　　与过去的情况相比，裔云天认为现在应用软件的安全威胁已经远高于操作系统。这是因为随着微软操作系统安全性的不断提升，黑客的破坏难度加大因而转向应用软件。而目前大多数应用软件的开发问题在于只重视其功能性而忽视安全性，因此造成各种漏洞频发引起大规模的破坏。

　　事实上，在2001年“9·11”事件后，比尔·盖茨曾给整个公司发邮件强调信息安全的重要性，并组织所有的技术工程师放下手头的工作，连续三个月时间请安全专家培训如何书写安全的代码。他表示，在2002年之后微软大力重视安全工作并着眼于建立可信赖的安全架构。微软相信要创建更可信赖的计算环境主要包括以下三个方面：首先是创建一个可信架构，在这个架构下，安全植根于硬件，而且架构内部的组件可以在恰当的条件下互相验证；第二个方面，在于如何管理验证身份的请求；最后，微软认为要实现这一目标不仅需要与业界合作伙伴在建立更安全隐秘和可靠的计算体验方面做出持续的努力，还需要结合技术、社会、政治和经济方面的力量来取得实质性进展。目标是使用户能够控制他们的计算环境，提高安全性和隐私程度，而同时又不损害大家所珍视的互联网的优点，例如匿名性和言论自由。

(责任编辑：)