安全規(guī)劃問題請勿紙上談兵

申請免費試用、咨詢電話：400-8352-114

系統(tǒng)安全風險規(guī)劃早已不是什么新鮮話題了，但企業(yè)的系統(tǒng)安全真的規(guī)劃好了嗎？結果卻差強人意。很多情況下，只有在安全隱患真正爆發(fā)的時候，CIO才能夠真正確定自己的防范措施做得是否到位。

問題

年夏天，一場突然襲來的雷電使得J公司的系統(tǒng)遭受到巨大的沖擊，也給IT部門提出了前所未有的挑戰(zhàn)。窗外暴風雨在肆虐，天空黑壓壓的一片，閃電不時劃過天空。此時，J公司的CIO錢治航正坐在辦公桌前翻看資料，對于窗外的一切，他異常平靜。對于從小在廣東長大的錢治航來說，這樣的暴風雨早就習以為常。緊接著，一道閃電襲來，整個窗外亮起來，猶如點起一盞巨大的探照燈。突然，辦公桌前的電腦意外關機，錢治航心里一沉，緊接著電話響起。原來，雷電擊中了大樓，并迅速通過網(wǎng)線傳播，網(wǎng)卡根本不能夠承受高電壓的負荷。整棟大樓被雷電擊中的一側，全部電腦不管是關機還是開機都嚴重損壞。這對于業(yè)務高度依賴電腦的J公司來說，是一次沉重的打擊。

此時，錢治航的心情極為沉重，錢治航自問道：“該怎么辦？”150多臺電腦全部癱瘓，業(yè)務又不能間斷，電腦短時間內(nèi)不可能恢復。一系列棘手的問題擺在錢治航面前。在錢治航的職業(yè)生涯中，遇到這樣的危機并不是第一次。2008年4月7日，J公司的系統(tǒng)遭受大規(guī)模外部攻擊，黑客攻擊核心系統(tǒng)，并將病毒植入系統(tǒng)中，導致應用終端出現(xiàn)異常。J公司的外網(wǎng)中斷一個多小時。在被調查的企業(yè)中，絕大多數(shù)企業(yè)都沒有整體進行系統(tǒng)安全風險規(guī)劃，有的只是個別、局部實施了安全措施，針對不同的應用系統(tǒng)有著不同的應對措施，沒有整體、全面的規(guī)劃方案。有的企業(yè)更是缺少應急預案，一旦突發(fā)事故，措手不及。甚至一些企業(yè)的IT主管在如何進行系統(tǒng)安全規(guī)劃時也是一片茫然。

解決

雷擊，使得J公司150多臺電腦損壞，但錢治航立即啟動備用電腦預案，所有的IT人員立即更改線路和網(wǎng)絡設置，使得座位上的每位員工可以使用任何一臺備用電腦來辦公?！皳p壞的電腦可以慢慢去修?！卞X治航說，“在最短時間內(nèi)恢復系統(tǒng)正常運行是第一要務?！?008年4月7日發(fā)生黑客攻擊事件后，錢治航在了解原因后立即切斷外網(wǎng)，并啟動另外一臺服務器工作。在不到一小時內(nèi)所有的系統(tǒng)恢復正常，業(yè)務沒有受到嚴重影響，損壞的服務器也在短時間內(nèi)得到了修復。

在應對突發(fā)的系統(tǒng)故障時，J公司的反應速度之所以這么快，在于之前他們擁有一套完善的系統(tǒng)安全體系。J公司自己對系統(tǒng)安全設定了等級，錢治航自豪地稱之為：“系統(tǒng)健康表?！卞X治航給系統(tǒng)分成三個等級，紅色表示緊急、黃色代表預警、綠色則象征系統(tǒng)正常。J公司每天都會對系統(tǒng)進行檢查、評估，每天都會出一張“健康表”。當存儲容量超過90%時，則認為是紅色緊急；在80～90%時，表示黃色預警。錢治航介紹道，一旦處于黃色預警狀態(tài)，就要求各個小組去檢查全國各地門店的存儲資源應用狀況?？偛恳话阋箝T店存儲3年內(nèi)的的資料，一旦超過這個期限，就需要定期對這樣的門店進行資料清洗。錢治航說：“不管任何設備，只要處于黃色預警狀態(tài)時，就會立即采取措施。一旦發(fā)現(xiàn)是容量不夠的問題就會擴容?！?/P>

J公司對于服務器的“健康考核”更為細致，指標多達100多項。任何一臺服務器只要出現(xiàn)黃色預警狀態(tài)，都要立即檢查或者使用備用服務器。經(jīng)過多年的“ 健康表”體制，錢治航認為最棘手的設備是VPN網(wǎng)絡，只要一有問題就會處于紅色緊急狀態(tài)。因為線路的故障往往是突發(fā)的，不像其他IT設備，會有一個漸變的過程。在日常工作中，J公司都會有40臺服務器處于備用狀態(tài)，以應對突發(fā)事件。

J公司多年前就已經(jīng)建立了應急預案機制。自己內(nèi)部有專門的系統(tǒng)應變小組。他們將日常系統(tǒng)安全問題由A到I分成9種情況，并對不同情況制定出不同的應急方案。在災備方面，J公司建立了自己的操作系統(tǒng)災備、數(shù)據(jù)災備、應用系統(tǒng)災備，以及原始代碼、原始資源的災備等。其中，除了操作系統(tǒng)災備是人工備份外，其余都是自動備份。

作為J公司的總公司有90%以上業(yè)務是電子系統(tǒng)操作完成的。系統(tǒng)安全規(guī)劃與企業(yè)的信息化依賴程度直接相關。隨著對信息化依賴程度的增加，對系統(tǒng)安全提出更高的要求，錢治航本人也將面臨新的挑戰(zhàn)。溫州銀行在2004年自己制定了《信息系統(tǒng)風險管理指引》，對系統(tǒng)安全劃分了五個領域，并針對不同級別有不同的管理規(guī)范以及應急預案。據(jù)溫州銀行信息科技部經(jīng)理吳文忠介紹，溫州銀行信息系統(tǒng)安全的五個領域分別是：用戶辦公系統(tǒng)網(wǎng)絡；內(nèi)部管理系統(tǒng)；第三方鏈接系統(tǒng)；外圍生產(chǎn)系統(tǒng)；核心系統(tǒng)。同時制定了信息系統(tǒng)分級保護策略，不同級別制定不同的安全措施。

根據(jù)銀監(jiān)會的要求，溫州銀行制定各信息系統(tǒng)突發(fā)事件專項預案，個別預案已完整覆蓋了應急場景。在基礎設施應急預案中，溫州銀行在全國多個省市有自己的災備中心。在未來，溫州銀行在系統(tǒng)安全建設上希望能夠有所改進。吳文忠認為：“系統(tǒng)安全應急，是未來工作的重點?！蹦壳皽刂葶y行并沒有引進ITIL，吳文忠希望能夠在引進ITIL之前，找出可能存在的系統(tǒng)風險問題，再根據(jù)ITIL來具體實施。

內(nèi)蒙古Y集團信息工程部總經(jīng)理王曉剛告訴記者，Y并沒有專門針對系統(tǒng)安全制定具體的規(guī)劃，但是會根據(jù)不同的業(yè)務系統(tǒng)、不同的項目，制定不同的系統(tǒng)安全策略。目前Y經(jīng)常出現(xiàn)的安全問題來自網(wǎng)絡方面，尤其是外網(wǎng)經(jīng)常遭受病毒的攻擊。

談到系統(tǒng)安全規(guī)劃，J公司的錢治航認為，目前J公司系統(tǒng)安全處理的自動化程度不夠。“希望安全能夠變成日常的工作，而不是專門需要制定的。”希望員工在處理日常業(yè)務系統(tǒng)的同時，就能夠自動處理安全問題。

安全的自動化程度不高，導致J公司的IT人員需要親自到故障現(xiàn)場進行維護。例如，J公司只完成了單據(jù)憑證錄入的自動化，但沒有進行自動備份歷史記錄。錢治航準備引入電腦操作系統(tǒng)里的集合機制，能夠將數(shù)據(jù)恢復到任何一個歷史階段，將IT自動化、數(shù)據(jù)集合機制以及與業(yè)務融合在一起。

在安全問題上，錢治航認為硬件與網(wǎng)絡的安全防治是可知的，而企業(yè)內(nèi)部人員意識上的安全是看不到的，是無形的安全隱患。尤其當企業(yè)的信息化建設達到一定程度時候，系統(tǒng)安全問題越凸顯。J公司所有的應用系統(tǒng)都是自己開發(fā)的，錢治航認為會有很多問題是自己看不到的，這些潛在的安全隱患猶如一枚隱形炸彈，隨時都有爆炸的可能。

此外，企業(yè)內(nèi)部人員安全意識淡化。如何來規(guī)范員工日常的網(wǎng)絡行為、營造安全的系統(tǒng)環(huán)境，也是長期困擾錢治航的問題。同樣，Y的王曉剛也指出，安全的最大隱患在于企業(yè)內(nèi)部?！跋到y(tǒng)安全由誰來管，誰就是最大的危險點，因為一旦系統(tǒng)管理出了問題的話，它的危險性是最大的?！睂τ趤碜酝獠康耐{，王曉剛并不擔心。

因為Y所有業(yè)務應用都借助企業(yè)VPN，在重要數(shù)據(jù)傳輸?shù)陌踩陨鲜怯斜Ｕ系摹２煌谄渌髽I(yè)，中國進出口銀行信息安全人員段永紅告訴記者，雖然目前進出口銀行已經(jīng)對系統(tǒng)按照銀監(jiān)會的要求劃分了五個級別，但是對定級過后下一步的具體實施，一片茫然。過去每家銀行都會制定系統(tǒng)安全規(guī)劃，各自有自己的一套應對措施。雖然要求統(tǒng)一定級，但是對整個行業(yè)的系統(tǒng)安全體系布局設有明確的實施細則以及統(tǒng)一說明，段永紅認為這是他工作上最大的問題。中國聯(lián)通信息化部規(guī)劃應用處經(jīng)理田光輝對于信息系統(tǒng)安全的規(guī)劃也有很多迷茫。中國聯(lián)通的系統(tǒng)安全也是根據(jù)具體的業(yè)務項目來局部實施的，沒有形成統(tǒng)一的規(guī)劃。未來的系統(tǒng)安全應該如何來建，田光輝也有諸多疑問，認為完全沒有一個范本或者統(tǒng)一的要求來做參考，具體未來的規(guī)劃怎樣，田光輝也在思考與探索中。

未來

J公司自2006年開始就已經(jīng)研究ITIL，并根據(jù)自身系統(tǒng)的實際情況進行了相關的修改，明確哪些地方需要加強，哪些地方進行調整。在未來，錢志航希望能夠利用ITIL增強系統(tǒng)應急處理能力。

未來的安全風險預防，錢志航希望能夠不出現(xiàn)黃色預警，系統(tǒng)安全始終維持在綠色正常狀態(tài)。“現(xiàn)在IT預防很被動，只有當系統(tǒng)出現(xiàn)黃色預警的時候，我們才能被動地采取措施，這時手頭的一切工作都要擱置?！卞X治航顯出些許無奈。未來，錢志航希望能夠把所有的隱患都提前處理，最好在采取行動之前就能得知是否會出現(xiàn)黃色預警。

談到未來應用ITIL的問題上，錢志航強調一定要仔細估算好ITIL的投入產(chǎn)出問題。是否全部引入ITIL，對J公司來說代價太大了。未來可以盡可能地設想潛在的問題，提前準備多套應急預案，來應對業(yè)務上的突變。（信息方略）