監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購(gòu)買(mǎi)價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

規(guī)劃缺失 “地下”IT盛行

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

來(lái)源:泛普軟件

“地下”IT繁衍

一直喜歡在網(wǎng)上購(gòu)物的劉小姐最近被嚇了一跳:她收到了一個(gè)“紅客”的警告,要她立即修改所有密碼,因?yàn)樗W(wǎng)絡(luò)銀行的密碼已經(jīng)被盜。開(kāi)始,劉小姐并不相信,那位“紅客”立馬便列出了她的密碼。原來(lái),劉小姐中了“木馬”病毒,如果不是得到這位好心“紅客”的相告,幾年的積蓄恐怕很快就被竊取了。其實(shí)與劉小姐有相似經(jīng)歷的網(wǎng)絡(luò)銀行用戶正在逐步增加。

“網(wǎng)銀頻頻遭受網(wǎng)銀大盜、網(wǎng)絡(luò)釣魚(yú)、木馬等病毒的攻擊,主要原因來(lái)自銀行內(nèi)部,”賽門(mén)鐵克公司中國(guó)區(qū)技術(shù)經(jīng)理郭訓(xùn)平說(shuō),“普遍繁衍的銀行'地下'IT,恐怕是罪魁禍?zhǔn)住薄?/P>

所謂“地下”IT(Shadow IT),并不是一個(gè)嚴(yán)格的學(xué)術(shù)意義上的稱法,一般特指“不在企業(yè)的管轄范圍之內(nèi),有自己的運(yùn)行系統(tǒng),并且有自己一套制度,很可能對(duì)企業(yè)的安全基礎(chǔ)設(shè)施造成嚴(yán)重威脅的IT系統(tǒng)”。

以銀行的網(wǎng)絡(luò)安全為例,據(jù)稱,目前沒(méi)有一家銀行擁有統(tǒng)一的安全平臺(tái),各銀行使用的軟件不同,投入力度不同;即使是在同一銀行的內(nèi)部,其不同機(jī)構(gòu)、不同地區(qū)之間,信息安全產(chǎn)品的投入也不一樣,IT策略也各不相同,從全行角度看,這些系統(tǒng)就是“地下IT”。

“由于目前銀行開(kāi)始聯(lián)網(wǎng)作業(yè),這種信息安全產(chǎn)品投入的不平衡會(huì)導(dǎo)致病毒流竄,進(jìn)而降低整個(gè)銀行體系的安全系數(shù)?!惫?xùn)平一語(yǔ)中的,雖然,就目前而言,銀行的單個(gè)系統(tǒng)內(nèi)部是安全高效的,但與大系統(tǒng)連接后,根據(jù)“木桶原理”,最短的那個(gè)板將決定整體水平,哪里有“短板”,哪里就成為安全的漏洞,最后甚至危及整個(gè)系統(tǒng)的安全。

“有安全疑慮的'地下'系統(tǒng)可能會(huì)成為整個(gè)企業(yè)系統(tǒng)上的缺口,”美特斯邦威集團(tuán)副總裁王泉庚認(rèn)為,“人們一般可能會(huì)認(rèn)為,數(shù)據(jù)庫(kù)的安全很重要,其實(shí)整個(gè)IT基礎(chǔ)架構(gòu)的外泄才是最具毀滅性的打擊?!庇邪踩蓱]的系統(tǒng)可能會(huì)泄漏架構(gòu)組態(tài)和網(wǎng)絡(luò)設(shè)施的信息;一個(gè)不安全的系統(tǒng)可能會(huì)對(duì)同一網(wǎng)絡(luò)上的所有其他系統(tǒng)造成阻斷服務(wù)攻擊(DoS)的威脅;有安全疑慮的系統(tǒng)背后可能被用來(lái)當(dāng)作機(jī)密信息交流的起始點(diǎn)。

春節(jié)前,名列國(guó)內(nèi)前三強(qiáng)的某乳業(yè)公司副總裁、CIO和部分IT主管前來(lái)美特斯邦威集團(tuán)取經(jīng),原來(lái)該集團(tuán)的某些分公司和子公司,在集團(tuán)整體IT管理框架之外,繁衍了一些項(xiàng)目,很有一些地下IT的苗頭。

“不要輕視地下IT,它或許就潛伏在你的企業(yè)內(nèi)部?!蓖跞J(rèn)為,其實(shí)相當(dāng)數(shù)量的企業(yè)都存在“地下IT”,只是大家還沒(méi)有意識(shí)到它的威脅而已。

業(yè)務(wù)與IT的矛盾

廣東格蘭仕集團(tuán)有限公司副總經(jīng)理俞堯昌認(rèn)為,從源頭上講,地下IT的誕生基本上都是源于業(yè)務(wù)部門(mén)與IT能力之間的矛盾。而這種情形在快速發(fā)展的企業(yè)中尤為常見(jiàn)。在很多情況下,企業(yè)IT部門(mén)的工作并不能充分滿足業(yè)務(wù)需求,這樣一來(lái)很多業(yè)務(wù)部門(mén)就想辦法來(lái)部署自己的“地下IT”項(xiàng)目。當(dāng)然,格蘭仕集團(tuán)也曾面臨同樣的挑戰(zhàn)。

尤其典型的是,銀行形成盤(pán)根錯(cuò)節(jié)的地下IT,根源恰恰也是因?yàn)闃I(yè)務(wù)的挑戰(zhàn)。郭訓(xùn)平認(rèn)為,各地銀行以往所做的IT項(xiàng)目,大多都是根據(jù)自身業(yè)務(wù)需求而進(jìn)行的,這些IT項(xiàng)目以部門(mén)、項(xiàng)目、產(chǎn)品為中心。從當(dāng)時(shí)看,這些項(xiàng)目?jī)?yōu)點(diǎn)也很明顯:基本上都實(shí)現(xiàn)了快速的投資回報(bào)率,相對(duì)于整個(gè)銀行的規(guī)劃,投資規(guī)模不大,實(shí)施周期短。

“不過(guò),'地下'作業(yè)同樣也缺少標(biāo)準(zhǔn),沒(méi)有經(jīng)過(guò)充分的計(jì)劃,對(duì)安全設(shè)計(jì)和開(kāi)發(fā)缺乏充分的理解?!惫?xùn)平認(rèn)為,這些項(xiàng)目沒(méi)有從總行整個(gè)系統(tǒng)的角度來(lái)考慮問(wèn)題,也沒(méi)有跟全銀行的業(yè)務(wù)進(jìn)行協(xié)調(diào),更缺乏對(duì)數(shù)據(jù)的管理和挖掘利用。這造成到今天為止,國(guó)內(nèi)還沒(méi)有一家銀行有統(tǒng)一的安全管理平臺(tái)。

不僅如此,當(dāng)這些地下系統(tǒng)需要擴(kuò)充的時(shí)候,問(wèn)題就來(lái)了。如今,銀行的運(yùn)作效率已不僅僅取決于單一部門(mén)、單一應(yīng)用水平的高低,而越來(lái)越依賴于不同部門(mén)、不同應(yīng)用的協(xié)同工作,因此必須將已有系統(tǒng)、應(yīng)用、流程以及數(shù)據(jù)有機(jī)地集成,原來(lái)的分散系統(tǒng)就成為銀行系統(tǒng)整合前進(jìn)的沉重“腳鐐”。

及時(shí)發(fā)現(xiàn),逐步整合

“我們公司絕對(duì)不允許任何形式'地下'IT的存在?!睆V東格蘭仕集團(tuán)有限公司副總經(jīng)理俞堯昌的態(tài)度十分堅(jiān)決。

要及時(shí)發(fā)現(xiàn)和阻斷企業(yè)的“地下”IT,郭訓(xùn)平認(rèn)為從技術(shù)角度看并不困難,最大的難題在于如何對(duì)現(xiàn)有的地下IT進(jìn)行'整編',尤其是銀行業(yè)規(guī)模龐大的地下IT系統(tǒng)。

據(jù)郭訓(xùn)平介紹,對(duì)于組織內(nèi)小規(guī)模的地下IT,日常通過(guò)主動(dòng)掃描系統(tǒng)和目錄、日志等的摘錄都可以發(fā)現(xiàn),也都能夠快速得到糾正,譬如系統(tǒng)的設(shè)置、獨(dú)立性和軟件安裝。目前,市場(chǎng)上可供選擇的有效軟件有不少。

“企業(yè)IT系統(tǒng)一定要集中,信息的分散就是資源的分散,沒(méi)有IT整合,業(yè)務(wù)的整合就是一句空話?!泵捞厮拱钔瘓F(tuán)副總裁王泉庚分析道,企業(yè)要消除“地下”IT,就是因?yàn)橄到y(tǒng)分散,數(shù)據(jù)、信息很難集中,導(dǎo)致了效率的低下。

美特斯邦威集團(tuán)對(duì)此很有體會(huì)。在1995~1999年近五年的時(shí)間里,美特斯邦威集團(tuán)的系統(tǒng)是分立的:倉(cāng)庫(kù)、財(cái)務(wù)、分銷(xiāo)各有一套體系,信息不溝通,規(guī)范也不相同。最后企業(yè)不得不重寫(xiě)規(guī)范和程序,才有今天的IT構(gòu)架。王泉庚認(rèn)為,對(duì)地下IT系統(tǒng)的整編會(huì)經(jīng)歷幾個(gè)階段,首先是硬件的整合,然后是數(shù)據(jù)的整合,最后的階段是應(yīng)用的整合。 “當(dāng)企業(yè)意識(shí)到,技術(shù)已經(jīng)制約了業(yè)務(wù)的創(chuàng)新時(shí)候,整合就要開(kāi)始了?!?他說(shuō)。

郭訓(xùn)平也認(rèn)為,業(yè)務(wù)的應(yīng)用集成應(yīng)該是整合的方向,銀行也不例外,企業(yè)的IT只有先以業(yè)務(wù)需求為方向,才能獲得真正的壯大。而在技術(shù)上,可以通過(guò)在中間件基礎(chǔ)上加載開(kāi)發(fā)應(yīng)用來(lái)逐步實(shí)現(xiàn)。

前瞻性的規(guī)劃和規(guī)范

要從根源上解決地下IT,就需要消除地下IT存在的沃土。為此,企業(yè)需要制定前瞻性的IT規(guī)劃和統(tǒng)一的規(guī)范。

“企業(yè)不能缺乏整體前瞻的IT規(guī)劃?!蓖跞J(rèn)為,企業(yè)的IT系統(tǒng)不應(yīng)僅是為了應(yīng)付當(dāng)前業(yè)務(wù)需要出發(fā),而應(yīng)該預(yù)測(cè)到今后的變化,要具備可拓展性和應(yīng)變的能力。美特斯邦威集團(tuán)本身就是一個(gè)典型例子,近十年來(lái),美特斯邦威集團(tuán)的銷(xiāo)售額從幾百萬(wàn)發(fā)展到了2004年的28.29億元人民幣,保持了年 80%以上的增長(zhǎng)速度,在這樣的發(fā)展速度下,企業(yè)的IT系統(tǒng)一直都能夠與之非常好的匹配,不會(huì)出現(xiàn)業(yè)務(wù)需求IT無(wú)法響應(yīng)的情況。

“IT的架構(gòu)應(yīng)該與企業(yè)的組織機(jī)構(gòu)、流程相匹配,形成整體的系統(tǒng)應(yīng)變能力?!蓖跞榻B,美特斯邦威集團(tuán)現(xiàn)在實(shí)行的是面向?qū)ο蟮腎T架構(gòu)。

與此同時(shí),完善的IT規(guī)范必不可少。格蘭仕公司將IT相關(guān)采購(gòu)管理維護(hù)等所有相關(guān)權(quán)利收歸到了集團(tuán)的IT部門(mén),然后進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一審批、統(tǒng)一配置、統(tǒng)一管理。這意味著,即使出現(xiàn)暫時(shí)的IT與業(yè)務(wù)能力不匹配的情況,業(yè)務(wù)部門(mén)也不能自行開(kāi)展IT項(xiàng)目,這基本消除了誕生地下IT的可能。

作為全球最大的安全軟件企業(yè),賽門(mén)鐵克公司對(duì)自身的安全更是不敢掉以輕心。除了全球統(tǒng)一的IT配置、規(guī)范和遠(yuǎn)程監(jiān)控模式,員工的機(jī)器只要連到內(nèi)部網(wǎng)絡(luò),任何違反規(guī)定的行為,譬如安裝軟件、私自上網(wǎng)都可以在第一時(shí)間被發(fā)現(xiàn)。

賽門(mén)鐵克公司的安全管理,也以嚴(yán)格、嚴(yán)厲而在業(yè)內(nèi)聞名。假設(shè)一名員工通過(guò)電話撥號(hào)進(jìn)入互聯(lián)網(wǎng),系統(tǒng)在兩分鐘內(nèi),就會(huì)給該員工發(fā)送消息,同時(shí)強(qiáng)制斷網(wǎng)。警告的消息會(huì)抄送給該員工的上級(jí)主管,同一名員工只要出現(xiàn)兩次這樣的狀況,馬上就會(huì)被公司開(kāi)除。因?yàn)閱T工繞過(guò)了公司的安全監(jiān)測(cè)系統(tǒng)登陸公共網(wǎng)絡(luò),機(jī)器的另一端卻連接在公司網(wǎng)絡(luò),這意味著他把公司的網(wǎng)絡(luò)接口暴露到了公共網(wǎng)絡(luò)上,很容易成為惡意攻擊的缺口。同時(shí),IT部門(mén)需要及時(shí)更新安全策略和規(guī)范,并組織員工進(jìn)行培訓(xùn),務(wù)必使員工認(rèn)識(shí)到IT規(guī)范對(duì)公司安全的重要性。如果觸犯,必定要遭受懲罰。

郭訓(xùn)平還認(rèn)為,發(fā)生安全事件以后,對(duì)事件的及時(shí)了解、收集、響應(yīng)也非常重要。很多地、市級(jí)銀行在發(fā)生安全問(wèn)題時(shí),經(jīng)常手足無(wú)措,只好通過(guò)電話向總行匯報(bào),這樣不僅反映速度慢,而且也無(wú)法將損失降到最低。

先有作為,然后才有地位

即便有了嚴(yán)厲的IT規(guī)范和規(guī)劃,能否得到有效貫徹依然是個(gè)難題。這恰恰也是一些企業(yè)的苦衷。他們制定了IT規(guī)劃和相關(guān)的管理規(guī)定,但地下IT卻依然“猖狂”。

賽門(mén)鐵克公司可以因?yàn)閱T工的地下IT行為而開(kāi)除員工,或者斷網(wǎng),但是在別的企業(yè)能夠這樣執(zhí)行嗎?

畢竟,從某些程度來(lái)說(shuō),IT的安全跟企業(yè)的效率是對(duì)抗的。企業(yè)運(yùn)行安全軟件時(shí),系統(tǒng)的效率降低50%并不是什么稀罕的事情。對(duì)于個(gè)體的員工而言,每次登陸都需要輸入十位密碼,下載資料都需要系統(tǒng)批復(fù),畢竟是一件麻煩事。所以嚴(yán)格的IT制度和規(guī)范往往會(huì)引起員工的反感和抗拒,最后不了了之,最終導(dǎo)致地下IT繁衍。

“這需要領(lǐng)導(dǎo)的重視,把企業(yè)信息安全看成是企業(yè)的第一要事。”郭訓(xùn)平認(rèn)為賽門(mén)鐵克公司的IT安全能夠得到保證,主要是因?yàn)橛泄靖邔拥闹С帧S蓄I(lǐng)導(dǎo)的重視,就可以有相應(yīng)的投入,可以迅速發(fā)現(xiàn)地下IT和其他違反規(guī)定的行為;因?yàn)橛蓄I(lǐng)導(dǎo)重視,IT人員才能夠得到授權(quán),敢于當(dāng)機(jī)立斷,嚴(yán)肅處理違規(guī)事件。

沒(méi)有廠房,沒(méi)有先進(jìn)的生產(chǎn)流水線,總部只是幾間業(yè)務(wù)洽談室和一些電腦,美特斯邦威集團(tuán)卻做到了30多億的年銷(xiāo)售額。IT為美特斯邦威集團(tuán)支撐并創(chuàng)造了“虛擬經(jīng)營(yíng)”模式。王泉庚帶領(lǐng)的IT部門(mén),已經(jīng)成為企業(yè)的核心部門(mén),除了IT部門(mén),王泉庚同時(shí)還負(fù)責(zé)企業(yè)采購(gòu)、物流等多項(xiàng)核心業(yè)務(wù)。

“先有作為,然后才有地位?!蓖跞偨Y(jié)道。當(dāng)IT從成本中心轉(zhuǎn)化為利潤(rùn)中心時(shí),遏制地下IT就會(huì)成為公司的共識(shí)。

邊欄:鏈接

概念:國(guó)內(nèi)外對(duì)于“地下IT”的外延理解是不同的,Configuresoft公司的CTO Dennis R.Moreau博士認(rèn)為應(yīng)該更集中在一個(gè)組織內(nèi)的局部IT,包括安全,技術(shù)融合/升級(jí)和服務(wù)水平的維持等的“地下”項(xiàng)目。而美特斯邦威集團(tuán)副總裁王泉庚的看法,則代表了相當(dāng)一部分國(guó)內(nèi)CIO的看法:未經(jīng)批準(zhǔn)的個(gè)體單獨(dú)安裝小軟件等行為還構(gòu)不成“地下IT”,一個(gè)真正的“地下IT”,起碼應(yīng)該是拓展到一個(gè)部門(mén)或者一個(gè)分公司級(jí)的脫離IT管理規(guī)范的行為。

發(fā)布:2007-04-23 10:43    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章:
鄭州OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

泛普鄭州OA快博其他應(yīng)用

鄭州OA軟件 鄭州OA新聞動(dòng)態(tài) 鄭州OA信息化 鄭州OA快博 鄭州OA行業(yè)資訊 鄭州軟件開(kāi)發(fā)公司 鄭州監(jiān)控公司 鄭州倉(cāng)庫(kù)管理軟件 鄭州餐飲管理軟件 鄭州物業(yè)管理軟件 鄭州網(wǎng)站建設(shè)公司 鄭州門(mén)禁系統(tǒng)