- 保護視力色:
CIO如何面對企業(yè)信息安全架構(gòu)與IT治理問題(上)
-
http://mamogu.com 發(fā)稿日期:2008-4-14
- 【搜索關(guān)鍵詞】:研究報告 投資分析 市場調(diào)研 信息安全 IT 微軟 網(wǎng)絡(luò)
- 中研網(wǎng)訊:
-
2008-2009年中國移動位置服務(wù)(LBS)研究咨詢 移動定位業(yè)務(wù)產(chǎn)業(yè)如今在日常生活中有廣泛的應(yīng)用空間,除了應(yīng)用在城市交通智能化,還可以應(yīng)用于汽車2008-2009年中國路由器行業(yè)研究咨詢報告 2008年上半年,中國新增寬帶用戶959.3萬戶,總用戶數(shù)達(dá)到7600.7萬戶,用戶數(shù)繼續(xù)保2008-2009年中國計算機零配件行業(yè)研究咨詢報告 近兩年,以CPU廠商的高速發(fā)展為代表,硬件技術(shù)經(jīng)歷了突飛猛進(jìn)發(fā)展。新技術(shù)的應(yīng)用,新產(chǎn)品的發(fā)布2008-2009年中國筆記本電腦行業(yè)研究咨詢報告 2008年三季度國內(nèi)筆記本電腦市場銷量達(dá)到218.7萬臺,同比增速為34.5%,增速明顯回落一問理念:如何理解信息安全架構(gòu)與IT治理的關(guān)系?
2007年在上海舉辦的“IT治理與安全大會”上,微軟公司大中華區(qū)信息安全總監(jiān)何迪生先生表示,假如把信息安全治理比作指引組織進(jìn)行安全項目的路標(biāo),那么安全架構(gòu)和設(shè)計便是組織通往信息安全這個目標(biāo)所用的交通工具的基本結(jié)構(gòu)。它包括用于設(shè)計、實施、監(jiān)控和保護操作系統(tǒng)、設(shè)備、網(wǎng)絡(luò)、應(yīng)用以及用以實施各種級別保密性、完整性和可用性控制的概念、原則、結(jié)構(gòu)和標(biāo)準(zhǔn)。
事實上,建立完善的信息安全架構(gòu)對于整個IT治理來說至關(guān)重要。沒有了信息安全架構(gòu),IT治理根本無從談起。
據(jù)Hillstone安全專家介紹,IT治理需要遵從特定的原則,并在企業(yè)統(tǒng)一、完善及健全的安全架構(gòu)中去實現(xiàn),這是一個系統(tǒng)工程,需要從信息安全本身直至企業(yè)內(nèi)部的每個員工共同來實現(xiàn)。每個期望通過信息化來達(dá)到快速發(fā)展的企業(yè)都需要將應(yīng)用安全架構(gòu)以及IT治理作為工作重心之一。
任何事物都有它的兩面性。正確、恰當(dāng)?shù)厥褂肐T系統(tǒng)能為企業(yè)帶來飛速的發(fā)展,但由于系統(tǒng)缺陷、人為誤操作、系統(tǒng)攻擊等不可預(yù)料的各種風(fēng)險也同樣使得企業(yè)面臨著巨大的災(zāi)難。因此,企業(yè)用戶更應(yīng)該建立統(tǒng)一、完善、健全的信息安全架構(gòu)來規(guī)范IT系統(tǒng)行為,通過建立冗余機制、災(zāi)備機制、詳盡的策略遵從機制等各種風(fēng)險控制機制來降低整個企業(yè)的IT系統(tǒng)風(fēng)險。
事實上,IT系統(tǒng)誕生之初就決定了它不可能“堅如磐石”,系統(tǒng)問題在所難免,但“因噎廢食”的做法和思路絕不可取,用戶需要的是在問題出現(xiàn)的時候能夠迅速獲得有效的解決辦法來避免中斷造成的影響。
此前深信服的安全產(chǎn)品經(jīng)理鄔迪舉例說,早在2005年,國務(wù)院信息化辦公室攜手電子政務(wù)、銀行、電力、鐵路、民航、證券、保險、海關(guān)、稅務(wù)等行業(yè),聯(lián)合起草的《重要信息系統(tǒng)災(zāi)難恢復(fù)指南》就正式出臺了,災(zāi)備的作法將是解決IT系統(tǒng)故障的一方良藥,但很可惜因國內(nèi)廣域網(wǎng)的緩慢傳輸速度,災(zāi)備至今還未得到普遍推廣和應(yīng)用,如何大幅提升廣域網(wǎng)的傳輸速度將是這方良藥能否發(fā)揮作用的前提。
另外,數(shù)據(jù)傳輸?shù)陌踩砸彩潜仨毧紤]的問題。員工利用企業(yè)網(wǎng)絡(luò)訪問一些不良網(wǎng)站,同時一些員工在上班時間在論壇博客上發(fā)表一些不負(fù)責(zé)任的言論……這些行為無疑給企業(yè)帶來一系列的法律風(fēng)險和商業(yè)災(zāi)難。
其實解決此類問題非常簡單,只需在企業(yè)網(wǎng)絡(luò)部署一臺專用的內(nèi)容管理設(shè)備就可以了。此類設(shè)備通過強大的數(shù)據(jù)中心,很方便地控制審計企業(yè)內(nèi)網(wǎng)流向外網(wǎng)的每一個數(shù)據(jù),防止機密的泄露和引起法律風(fēng)險,即使問題出現(xiàn)也可以做到有據(jù)可查。而類似的處理方式都預(yù)示著一個問題:IT系統(tǒng)風(fēng)險隨時存在,但是任何風(fēng)險都可以降低,甚至是可以完全避免的。IT系統(tǒng)問題導(dǎo)致業(yè)務(wù)災(zāi)難的風(fēng)險,IT監(jiān)管問題導(dǎo)致法律災(zāi)難的風(fēng)險,都可以利用IT自身的安全架構(gòu)與技術(shù)設(shè)計來應(yīng)對。
二問風(fēng)險:如何才能平衡IT架構(gòu)中的風(fēng)險?
有業(yè)內(nèi)人士指出,風(fēng)險控制是一門系統(tǒng)科學(xué),風(fēng)險降得越低需要的支出就越多。所有的企業(yè)都在尋找一個合適的平衡點來保障企業(yè)能夠在可接受的風(fēng)險范圍內(nèi)支出盡量少的錢。設(shè)備級別的冗余機制是企業(yè)用戶選擇最多、也是見效最快的一種降低設(shè)備故障風(fēng)險的方法。
當(dāng)然,不可否認(rèn),利用先進(jìn)的信息系統(tǒng)架構(gòu)確實能夠幫助企業(yè)很好地完成一部分風(fēng)險管理和企業(yè)治理的工作。但是Hillstone的安全專家認(rèn)為,風(fēng)險管理和企業(yè)治理中有很大一部分工作是針對自然人的,這就為風(fēng)險管理和企業(yè)治理工作帶來了很大的不確定性以及不統(tǒng)一性。
無疑,這就要求IT經(jīng)理在進(jìn)行信息系統(tǒng)架構(gòu)設(shè)計與治理的同時,必須了解到安全架構(gòu)設(shè)計應(yīng)該和企業(yè)的安全策略相吻合,否則就不能實現(xiàn)企業(yè)的安全目標(biāo)。換句話說,只有在充分考慮人的因素的前提下,用IT治理IT才能發(fā)揮出更大的積極作用。
因此一些用戶反映,在進(jìn)行一個信息系統(tǒng)的設(shè)計時,需要對目標(biāo)系統(tǒng)的眾多需求進(jìn)行平衡,這些需求包括功能、靈活性、性能、易用性、成本、業(yè)務(wù)需求和安全。需要強調(diào)的是,安全應(yīng)該在系統(tǒng)設(shè)計中的開始階段就作為一個要害因素進(jìn)行考慮。
此前新華人壽的IT經(jīng)理杜大軍表示說,如果在信息架構(gòu)的開發(fā)過程中使用了超過業(yè)務(wù)需求的安全性能,就會導(dǎo)致用戶體驗的惡化,但降低安全性能也會導(dǎo)致系統(tǒng)的部署和運行維護成本大增。
不難看出,想要平衡IT架構(gòu)中的安全風(fēng)險,就必須在IT系統(tǒng)設(shè)計的過程中平衡多種需求,這些需求可能是來自業(yè)務(wù)部門,或者來自企業(yè)的方方面面。安全架構(gòu)的設(shè)計者通常需要根據(jù)組成構(gòu)架的每個元素的重要性來確定如何進(jìn)行取舍和開發(fā)。
在設(shè)計階段考慮安全性并不會增加太多的工作量,恰恰相反,這種安全思路貫穿始終的做法可以平滑地嵌入到架構(gòu)設(shè)計的各個階段,這樣就可以保證安全性隨著架構(gòu)設(shè)計逐漸的完成而完成。
基于此,不少安全專家認(rèn)為安全架構(gòu)從概念上說,就是從安全角度審閱整個系統(tǒng)架構(gòu),它主要提供系統(tǒng)架構(gòu)所需要的安全服務(wù)、機制、技術(shù)和功能,不僅可以平衡架構(gòu)設(shè)計與應(yīng)用中的安全風(fēng)險,而且可以提供如何進(jìn)行安全設(shè)施部署的建議。
但無論如何,信息系統(tǒng)架構(gòu)安全仍然是一個相對的概念,安全威脅無時無刻不在增加,只有不斷地加固才能獲得更加有效的安全。整個IT系統(tǒng)的安全涉及方方面面,任何一個地方的疏漏都會成為整個系統(tǒng)的致命短板。因此對用戶來說,目前情況下在整體信息安全架構(gòu)的基礎(chǔ)上搭建安全防護設(shè)備能夠確保企業(yè)IT安全的最大化。
三問出路:如何解決信息安全架構(gòu)與IT治理實現(xiàn)中的技術(shù)與管理挑戰(zhàn)?
首先,從技術(shù)方面看,目前隨著網(wǎng)絡(luò)應(yīng)用的快速發(fā)展,基于數(shù)據(jù)應(yīng)用層的安全防護以及風(fēng)險控制得到越來越多企業(yè)用戶的關(guān)注。然而為了實現(xiàn)整個信息系統(tǒng)的安全架構(gòu),核心網(wǎng)關(guān)設(shè)備的應(yīng)用層性能成為了各個企業(yè)實現(xiàn)統(tǒng)一安全架構(gòu)的攔路虎。據(jù)Hillstone的安全專家介紹,基于應(yīng)用處理的高性能安全網(wǎng)關(guān)是推動安全架構(gòu)發(fā)展的技術(shù)因素之一,只有越來越多的高速設(shè)備出爐,才能從技術(shù)上確保網(wǎng)關(guān)層面的安全。
前面說了,高度集中的應(yīng)用層安全網(wǎng)關(guān)還只是技術(shù)環(huán)境中的一方面。據(jù)何迪生透露,企業(yè)如果希望獲得完整的信息系統(tǒng)架構(gòu)安全并在此基礎(chǔ)上獲得IT治理的效益,那么部署一套全方位的安全系統(tǒng)方案是不可避免的。
比如,對現(xiàn)代企業(yè)來說,確保其信息基礎(chǔ)架構(gòu)的安全性已經(jīng)成為主要任務(wù)。在這個過程中,信息與各種協(xié)作工具對大多數(shù)企業(yè)的日常運營來說都至關(guān)重要。不幸的是,這些工具常常成為攻擊者的目標(biāo)。因此,企業(yè)的CIO必須確保信息和協(xié)作基礎(chǔ)架構(gòu)不受外部威脅的干擾,避免企業(yè)的工作效率受到影響,從而導(dǎo)致內(nèi)部問題或者泄露機密信息。
面對種類繁多且不斷變化的安全威脅,信息和協(xié)作基礎(chǔ)架構(gòu)應(yīng)具備多層保護機制,在攻擊影響到企業(yè)網(wǎng)絡(luò)之前就要解決問題。對此,他的看法是,多個保護層能夠減少因單一威脅而導(dǎo)致的網(wǎng)絡(luò)癱瘓問題。目前的焦點在于,所有的安全廠商都有各自獨特的需求,他們提供不同的安全產(chǎn)品和服務(wù)。因此,如果要實現(xiàn)全架構(gòu)的安全防護,安全技術(shù)本身也要具有適應(yīng)性。
以微軟的技術(shù)方案為例:Microsoft Exchange Hosted Services可在垃圾郵件和病毒滲透到網(wǎng)絡(luò)之前就進(jìn)行過濾;Microsoft Forefront內(nèi)部部署軟件可以保護關(guān)鍵應(yīng)用服務(wù)器免受內(nèi)部威脅侵害,并能執(zhí)行內(nèi)容規(guī)則;Microsoft Internet and Security Acceleration(ISA)Server 2006可實現(xiàn)協(xié)議層和應(yīng)用層的檢查,以確保安全地實現(xiàn)Exchange Server、Live Communication Server和SharePoint Portal Server的遠(yuǎn)程訪問;而Microsoft Windows Rights Management Services(RMS)與Microsoft Office Outlook 2003客戶端應(yīng)用配合工作,可以確保敏感的電子郵件和文檔不致泄漏出公司之外。
其實,類似的技術(shù)方案有很多,無怪乎都是從多層次、大縱深為出發(fā)點。換句話說,一個有效的技術(shù)方案,除了為企業(yè)整個基礎(chǔ)架構(gòu)提供防御之外,還必須采用縱深防御策略,通過多種技術(shù)來發(fā)現(xiàn)并防御安全威脅。事實上,依靠多種技術(shù)低于攻擊或誤操作,有助于消除整體安全架構(gòu)中的單個故障點。
其次,從管理方面看,在企業(yè)IT與業(yè)務(wù)部門的配合上,也是難點之一。有媒體對此曾專門進(jìn)行過報道:黃先生是國內(nèi)某銀行軟件開發(fā)部的成員,作為軟件的開發(fā)者,他對軟件開發(fā)過程中的安全和和法規(guī)遵從兩方面都不太感興趣。他說,“這不是我們考慮的問題。法規(guī)遵從是在業(yè)務(wù)部門提需求時,銀行的法律合規(guī)部門介入,看提出的需求符不符合法律的規(guī)定。
我們只需要滿足業(yè)務(wù)部門的需求——業(yè)務(wù)部門都很強勢,只要按時把項目完成,其他都可以忽略!
目前來看,類似的現(xiàn)象在企業(yè)中大量存在,從某種意義上說,這對CIO的工作構(gòu)成了挑戰(zhàn)。因為CIO必須在業(yè)務(wù)與IT之間進(jìn)行衡量,同時承擔(dān)起安全架構(gòu)與IT治理的雙重責(zé)任,但在最終落實上,CIO的角色往往又沒有太大的影響力。
此前ISSA中國區(qū)總監(jiān)、畢馬威風(fēng)險管理部資深經(jīng)理馮嘉諾在接受采訪時表示,企業(yè)的IT經(jīng)理或CIO在和公司老板或CEO之間必須進(jìn)行科學(xué)地溝通,其目的就是為了取得老板們的重視和支持,這樣IT治理或IT部門的工作才可以得以順利地開展。換句話說,這就是要求IT經(jīng)理必須站在老板們的角度來考慮問題。比如如何幫助公司多賺錢;如何可以減少成本;如何可以規(guī)避法律法規(guī)的制約。
而微軟安全技術(shù)顧問尹川先生也曾提出,通常企業(yè)的信息系統(tǒng)基礎(chǔ)架構(gòu)主要有以下四個階段:1. 基本型;2. 標(biāo)準(zhǔn)型;3. 合理型;4. 動態(tài)型。其中基本型是最簡單原始的階段,而動態(tài)型是最合理、最科學(xué)的階段,也是企業(yè)IT架構(gòu)最終的目的。其最終階段的實施與企業(yè)的內(nèi)部管理不可分割。換句話說,一個企業(yè)的IT管理者的最終目標(biāo)應(yīng)該是:1.、提高管理效率;2、降低IT管理成本;3、為業(yè)務(wù)提供保障。
有趣的是,AMT咨詢合伙人彭一先生提出,作為企業(yè)的CIO,在落實安全架構(gòu)與IT治理過程中必須具備三個素質(zhì):相關(guān)IT技術(shù)(硬件、軟件、網(wǎng)絡(luò)等)、應(yīng)用軟件系統(tǒng)(ERP、CRM、OA)、業(yè)務(wù)流程(采購、財務(wù)等相關(guān)的流程)。企業(yè)在不同的階段對IT治理的要求也有非常大的區(qū)別,IT治理或相關(guān)規(guī)范應(yīng)該滿足企業(yè)在變動中使其能夠平穩(wěn)地發(fā)展。
- ■ 與【CIO如何面對企業(yè)信息安全架構(gòu)與IT治理問題(上)】相關(guān)新聞
- ■ 行業(yè)經(jīng)濟
- ■ 經(jīng)濟指標(biāo)
-
- ·2008年1-10月吉林電子計算機網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟指標(biāo)
- ·2008年1-10月廣東電子計算機網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟指標(biāo)
- ·2008年1-10月山東電子計算機網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟指標(biāo)
- ·2008年1-10月湖北電子計算機網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟指標(biāo)
- ·2008年1-10月四川電子計算機網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟指標(biāo)
- ·2008年1-10月江蘇電子計算機網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟指標(biāo)
-