一問理念：如何理解信息安全架構(gòu)與IT治理的關(guān)系？

2007年在上海舉辦的“IT治理與安全大會”上，微軟公司大中華區(qū)信息安全總監(jiān)何迪生先生表示，假如把信息安全治理比作指引組織進(jìn)行安全項目的路標(biāo)，那么安全架構(gòu)和設(shè)計便是組織通往信息安全這個目標(biāo)所用的交通工具的基本結(jié)構(gòu)。它包括用于設(shè)計、實施、監(jiān)控和保護操作系統(tǒng)、設(shè)備、網(wǎng)絡(luò)、應(yīng)用以及用以實施各種級別保密性、完整性和可用性控制的概念、原則、結(jié)構(gòu)和標(biāo)準(zhǔn)。

事實上，建立完善的信息安全架構(gòu)對于整個IT治理來說至關(guān)重要。沒有了信息安全架構(gòu)，IT治理根本無從談起。

據(jù)Hillstone安全專家介紹，IT治理需要遵從特定的原則，并在企業(yè)統(tǒng)一、完善及健全的安全架構(gòu)中去實現(xiàn)，這是一個系統(tǒng)工程，需要從信息安全本身直至企業(yè)內(nèi)部的每個員工共同來實現(xiàn)。每個期望通過信息化來達(dá)到快速發(fā)展的企業(yè)都需要將應(yīng)用安全架構(gòu)以及IT治理作為工作重心之一。

任何事物都有它的兩面性。正確、恰當(dāng)?shù)厥褂肐T系統(tǒng)能為企業(yè)帶來飛速的發(fā)展，但由于系統(tǒng)缺陷、人為誤操作、系統(tǒng)攻擊等不可預(yù)料的各種風(fēng)險也同樣使得企業(yè)面臨著巨大的災(zāi)難。因此，企業(yè)用戶更應(yīng)該建立統(tǒng)一、完善、健全的信息安全架構(gòu)來規(guī)范IT系統(tǒng)行為，通過建立冗余機制、災(zāi)備機制、詳盡的策略遵從機制等各種風(fēng)險控制機制來降低整個企業(yè)的IT系統(tǒng)風(fēng)險。

事實上，IT系統(tǒng)誕生之初就決定了它不可能“堅如磐石”，系統(tǒng)問題在所難免，但“因噎廢食”的做法和思路絕不可取，用戶需要的是在問題出現(xiàn)的時候能夠迅速獲得有效的解決辦法來避免中斷造成的影響。

此前深信服的安全產(chǎn)品經(jīng)理鄔迪舉例說，早在2005年，國務(wù)院信息化辦公室攜手電子政務(wù)、銀行、電力、鐵路、民航、證券、保險、海關(guān)、稅務(wù)等行業(yè)，聯(lián)合起草的《重要信息系統(tǒng)災(zāi)難恢復(fù)指南》就正式出臺了，災(zāi)備的作法將是解決IT系統(tǒng)故障的一方良藥，但很可惜因國內(nèi)廣域網(wǎng)的緩慢傳輸速度，災(zāi)備至今還未得到普遍推廣和應(yīng)用，如何大幅提升廣域網(wǎng)的傳輸速度將是這方良藥能否發(fā)揮作用的前提。

另外，數(shù)據(jù)傳輸?shù)陌踩�性也是必須考慮的問題。員工利用企業(yè)網(wǎng)絡(luò)訪問一些不良網(wǎng)站，同時一些員工在上班時間在論壇博客上發(fā)表一些不負(fù)責(zé)任的言論……這些行為無疑給企業(yè)帶來一系列的法律風(fēng)險和商業(yè)災(zāi)難。

其實解決此類問題非常簡單，只需在企業(yè)網(wǎng)絡(luò)部署一臺專用的內(nèi)容管理設(shè)備就可以了。此類設(shè)備通過強大的數(shù)據(jù)中心，很方便地控制審計企業(yè)內(nèi)網(wǎng)流向外網(wǎng)的每一個數(shù)據(jù)，防止機密的泄露和引起法律風(fēng)險，即使問題出現(xiàn)也可以做到有據(jù)可查。而類似的處理方式都預(yù)示著一個問題：IT系統(tǒng)風(fēng)險隨時存在，但是任何風(fēng)險都可以降低，甚至是可以完全避免的。IT系統(tǒng)問題導(dǎo)致業(yè)務(wù)災(zāi)難的風(fēng)險，IT監(jiān)管問題導(dǎo)致法律災(zāi)難的風(fēng)險，都可以利用IT自身的安全架構(gòu)與技術(shù)設(shè)計來應(yīng)對。

二問風(fēng)險：如何才能平衡IT架構(gòu)中的風(fēng)險？

有業(yè)內(nèi)人士指出，風(fēng)險控制是一門系統(tǒng)科學(xué)，風(fēng)險降得越低需要的支出就越多。所有的企業(yè)都在尋找一個合適的平衡點來保障企業(yè)能夠在可接受的風(fēng)險范圍內(nèi)支出盡量少的錢。設(shè)備級別的冗余機制是企業(yè)用戶選擇最多、也是見效最快的一種降低設(shè)備故障風(fēng)險的方法。

當(dāng)然，不可否認(rèn)，利用先進(jìn)的信息系統(tǒng)架構(gòu)確實能夠幫助企業(yè)很好地完成一部分風(fēng)險管理和企業(yè)治理的工作。但是Hillstone的安全專家認(rèn)為，風(fēng)險管理和企業(yè)治理中有很大一部分工作是針對自然人的，這就為風(fēng)險管理和企業(yè)治理工作帶來了很大的不確定性以及不統(tǒng)一性。

無疑，這就要求IT經(jīng)理在進(jìn)行信息系統(tǒng)架構(gòu)設(shè)計與治理的同時，必須了解到安全架構(gòu)設(shè)計應(yīng)該和企業(yè)的安全策略相吻合，否則就不能實現(xiàn)企業(yè)的安全目標(biāo)。換句話說，只有在充分考慮人的因素的前提下，用IT治理IT才能發(fā)揮出更大的積極作用。

因此一些用戶反映，在進(jìn)行一個信息系統(tǒng)的設(shè)計時，需要對目標(biāo)系統(tǒng)的眾多需求進(jìn)行平衡，這些需求包括功能、靈活性、性能、易用性、成本、業(yè)務(wù)需求和安全。需要強調(diào)的是，安全應(yīng)該在系統(tǒng)設(shè)計中的開始階段就作為一個要害因素進(jìn)行考慮。

此前新華人壽的IT經(jīng)理杜大軍表示說，如果在信息架構(gòu)的開發(fā)過程中使用了超過業(yè)務(wù)需求的安全性能，就會導(dǎo)致用戶體驗的惡化，但降低安全性能也會導(dǎo)致系統(tǒng)的部署和運行維護成本大增。

不難看出，想要平衡IT架構(gòu)中的安全風(fēng)險，就必須在IT系統(tǒng)設(shè)計的過程中平衡多種需求，這些需求可能是來自業(yè)務(wù)部門，或者來自企業(yè)的方方面面。安全架構(gòu)的設(shè)計者通常需要根據(jù)組成構(gòu)架的每個元素的重要性來確定如何進(jìn)行取舍和開發(fā)。

在設(shè)計階段考慮安全性并不會增加太多的工作量，恰恰相反，這種安全思路貫穿始終的做法可以平滑地嵌入到架構(gòu)設(shè)計的各個階段，這樣就可以保證安全性隨著架構(gòu)設(shè)計逐漸的完成而完成。

基于此，不少安全專家認(rèn)為安全架構(gòu)從概念上說，就是從安全角度審閱整個系統(tǒng)架構(gòu)，它主要提供系統(tǒng)架構(gòu)所需要的安全服務(wù)、機制、技術(shù)和功能，不僅可以平衡架構(gòu)設(shè)計與應(yīng)用中的安全風(fēng)險，而且可以提供如何進(jìn)行安全設(shè)施部署的建議。

但無論如何，信息系統(tǒng)架構(gòu)安全仍然是一個相對的概念，安全威脅無時無刻不在增加，只有不斷地加固才能獲得更加有效的安全。整個IT系統(tǒng)的安全涉及方方面面，任何一個地方的疏漏都會成為整個系統(tǒng)的致命短板。因此對用戶來說，目前情況下在整體信息安全架構(gòu)的基礎(chǔ)上搭建安全防護設(shè)備能夠確保企業(yè)IT安全的最大化。

三問出路：如何解決信息安全架構(gòu)與IT治理實現(xiàn)中的技術(shù)與管理挑戰(zhàn)？

首先，從技術(shù)方面看，目前隨著網(wǎng)絡(luò)應(yīng)用的快速發(fā)展，基于數(shù)據(jù)應(yīng)用層的安全防護以及風(fēng)險控制得到越來越多企業(yè)用戶的關(guān)注。然而為了實現(xiàn)整個信息系統(tǒng)的安全架構(gòu)，核心網(wǎng)關(guān)設(shè)備的應(yīng)用層性能成為了各個企業(yè)實現(xiàn)統(tǒng)一安全架構(gòu)的攔路虎。據(jù)Hillstone的安全專家介紹，基于應(yīng)用處理的高性能安全網(wǎng)關(guān)是推動安全架構(gòu)發(fā)展的技術(shù)因素之一，只有越來越多的高速設(shè)備出爐，才能從技術(shù)上確保網(wǎng)關(guān)層面的安全。

前面說了，高度集中的應(yīng)用層安全網(wǎng)關(guān)還只是技術(shù)環(huán)境中的一方面。據(jù)何迪生透露，企業(yè)如果希望獲得完整的信息系統(tǒng)架構(gòu)安全并在此基礎(chǔ)上獲得IT治理的效益，那么部署一套全方位的安全系統(tǒng)方案是不可避免的。

比如，對現(xiàn)代企業(yè)來說，確保其信息基礎(chǔ)架構(gòu)的安全性已經(jīng)成為主要任務(wù)。在這個過程中，信息與各種協(xié)作工具對大多數(shù)企業(yè)的日常運營來說都至關(guān)重要。不幸的是，這些工具常常成為攻擊者的目標(biāo)。因此，企業(yè)的CIO必須確保信息和協(xié)作基礎(chǔ)架構(gòu)不受外部威脅的干擾，避免企業(yè)的工作效率受到影響，從而導(dǎo)致內(nèi)部問題或者泄露機密信息。

面對種類繁多且不斷變化的安全威脅，信息和協(xié)作基礎(chǔ)架構(gòu)應(yīng)具備多層保護機制，在攻擊影響到企業(yè)網(wǎng)絡(luò)之前就要解決問題。對此，他的看法是，多個保護層能夠減少因單一威脅而導(dǎo)致的網(wǎng)絡(luò)癱瘓問題。目前的焦點在于，所有的安全廠商都有各自獨特的需求，他們提供不同的安全產(chǎn)品和服務(wù)。因此，如果要實現(xiàn)全架構(gòu)的安全防護，安全技術(shù)本身也要具有適應(yīng)性。

以微軟的技術(shù)方案為例：Microsoft Exchange Hosted Services可在垃圾郵件和病毒滲透到網(wǎng)絡(luò)之前就進(jìn)行過濾；Microsoft Forefront內(nèi)部部署軟件可以保護關(guān)鍵應(yīng)用服務(wù)器免受內(nèi)部威脅侵害，并能執(zhí)行內(nèi)容規(guī)則；Microsoft Internet and Security Acceleration（ISA）Server 2006可實現(xiàn)協(xié)議層和應(yīng)用層的檢查，以確保安全地實現(xiàn)Exchange Server、Live Communication Server和SharePoint Portal Server的遠(yuǎn)程訪問；而Microsoft Windows Rights Management Services（RMS）與Microsoft Office Outlook 2003客戶端應(yīng)用配合工作，可以確保敏感的電子郵件和文檔不致泄漏出公司之外。

其實，類似的技術(shù)方案有很多，無怪乎都是從多層次、大縱深為出發(fā)點。換句話說，一個有效的技術(shù)方案，除了為企業(yè)整個基礎(chǔ)架構(gòu)提供防御之外，還必須采用縱深防御策略，通過多種技術(shù)來發(fā)現(xiàn)并防御安全威脅。事實上，依靠多種技術(shù)低于攻擊或誤操作，有助于消除整體安全架構(gòu)中的單個故障點。

其次，從管理方面看，在企業(yè)IT與業(yè)務(wù)部門的配合上，也是難點之一。有媒體對此曾專門進(jìn)行過報道：黃先生是國內(nèi)某銀行軟件開發(fā)部的成員，作為軟件的開發(fā)者，他對軟件開發(fā)過程中的安全和和法規(guī)遵從兩方面都不太感興趣。他說，“這不是我們考慮的問題。法規(guī)遵從是在業(yè)務(wù)部門提需求時，銀行的法律合規(guī)部門介入，看提出的需求符不符合法律的規(guī)定。

我們只需要滿足業(yè)務(wù)部門的需求——業(yè)務(wù)部門都很強勢，只要按時把項目完成，其他都可以忽略�！�

目前來看，類似的現(xiàn)象在企業(yè)中大量存在，從某種意義上說，這對CIO的工作構(gòu)成了挑戰(zhàn)。因為CIO必須在業(yè)務(wù)與IT之間進(jìn)行衡量，同時承擔(dān)起安全架構(gòu)與IT治理的雙重責(zé)任，但在最終落實上，CIO的角色往往又沒有太大的影響力。

此前ISSA中國區(qū)總監(jiān)、畢馬威風(fēng)險管理部資深經(jīng)理馮嘉諾在接受采訪時表示，企業(yè)的IT經(jīng)理或CIO在和公司老板或CEO之間必須進(jìn)行科學(xué)地溝通，其目的就是為了取得老板們的重視和支持，這樣IT治理或IT部門的工作才可以得以順利地開展。換句話說，這就是要求IT經(jīng)理必須站在老板們的角度來考慮問題。比如如何幫助公司多賺錢；如何可以減少成本；如何可以規(guī)避法律法規(guī)的制約。

而微軟安全技術(shù)顧問尹川先生也曾提出，通常企業(yè)的信息系統(tǒng)基礎(chǔ)架構(gòu)主要有以下四個階段：1. 基本型；2. 標(biāo)準(zhǔn)型；3. 合理型；4. 動態(tài)型。其中基本型是最簡單原始的階段，而動態(tài)型是最合理、最科學(xué)的階段，也是企業(yè)IT架構(gòu)最終的目的。其最終階段的實施與企業(yè)的內(nèi)部管理不可分割。換句話說，一個企業(yè)的IT管理者的最終目標(biāo)應(yīng)該是：1.、提高管理效率；2、降低IT管理成本；3、為業(yè)務(wù)提供保障。

有趣的是，AMT咨詢合伙人彭一先生提出，作為企業(yè)的CIO，在落實安全架構(gòu)與IT治理過程中必須具備三個素質(zhì)：相關(guān)IT技術(shù)（硬件、軟件、網(wǎng)絡(luò)等）、應(yīng)用軟件系統(tǒng)（ERP、CRM、OA）、業(yè)務(wù)流程（采購、財務(wù)等相關(guān)的流程）。企業(yè)在不同的階段對IT治理的要求也有非常大的區(qū)別，IT治理或相關(guān)規(guī)范應(yīng)該滿足企業(yè)在變動中使其能夠平穩(wěn)地發(fā)展。