事实上，程稚瀚在作案过程中使用的大多都是些没有技术含量的攻击手段，但是偏偏没有技术含量的攻击事件，使得亿元网络安全投入不堪一击。并且，这类信息安全事件在信息化领先的电信、银行、证券、保险业却屡屡得逞，如本文在发稿之际，又惊悉两大学生利用网通ADSL用户升级时系统的漏洞，在一个月内盗取了价值70余万元的网易一卡通虚拟游戏点卡。这些信息安全事件不能不令我们深思。

 
     人技大战还是人“机”大战
     到底是什么使得1.2亿投资的信息安全体系也不堪一击？是人与技术大战，还是人与机制制度之战？

      针对此次事件，一些人在技术上找原因，依照“技术路线的惯性思维方式”，他们认为在信息安全上一定有更先进的技术可以杜绝此类问题。事实上多年来，人们对保障信息安全的手段偏重于依靠技术，从早期的加密技术、数据备份、防病毒到近年来网络环境下的防火墙、入侵检测、身份认证等等。厂商在安全技术和产品的研发上大力投入，新的技术和产品层出不穷，以为技术可以推动产业进步；厂商在某种程度上主导着信息安全建设的发展方向，客户也更加相信安全产品，把仅有的预算也都投入到安全产品的采购上。但现实严峻地告诉我们，仅仅依靠技术和产品保障信息安全的愿望却往往难尽人意，许多复杂、多变的安全威胁和隐患靠产品是无法消除的。“三分技术，七分管理”这个在其他领域总结出来的实践经验和原则，在信息安全领域也同样适用。据有关部门统计，在所有的计算机安全事件中，约有52%是人为因素造成的，25%由火灾、水灾等自然灾害引起，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成。简单归类，属于管理方面的原因比重高达70%以上, 而这些安全问题中的95%是可以通过科学的信息安全管理来避免。因此，管理已成为信息安全保障能力的重要基础。

     我们从信息安全管理制度和机制的缺陷的角度来看，对整个事件我们将有全新的认识。因为，仅凭这件事情中被媒体公开的信息，就足以看到北京移动公司的信息系统管理机制有很大的问题。造成这么大的损失，不仅仅是技术问题，更重要的是内部控制体系上的问题。如果不是程稚瀚最后一次的疏忽（和北京移动一样，程稚瀚亦是败在“规范管理”上），他的所作所为将会是神鬼不知的。
      缺陷之一：西藏移动公司对设备/服务提供商的管控缺陷。西藏移动公司对华为的管控体系有重大缺陷，这表现为没有冻结或清理厂商遗留的管理员账户。如果实际需要授予厂商较高权限，应加强相应的补偿控制，如启用系统/数据库日志，对于关键的操作日志定期审核、签订保密协议等。
      西藏移动在华为完成设备集成后，没有强制立即修改提供商原先设置的初始密码（共享密码的情况或密码为空的情况，导致厂商拥有访问和维护生产数据权限的情况，在我国企业中可以说是普遍存在），我们也知道目前在我国企业中，内审部门普遍不具备完善的信息系统审计职能，本来很简单的一项必修功课----定期复核，但这却是导致该事件发生的直接原因。中国移动作为在美上市公司，在今年必须符合更为严厉的萨班斯法案的要求，该法案明确要求IT总控体系必须延伸到外包服务商那里。
      缺陷之二：北京移动公司的密码管理缺乏有效控制。生产环境系统密码是逻辑安全的重要控制点，北京移动缺乏相关的规定要求定期更改密码或制度健全但没有得到有效执行，具有超级权限的密码更应该进行严格管理，并对其拥有所有权限的必要性进行复核。北京移动关键系统的超级用户密码如果做到了定期更换，这项补偿性控制能够大大降低入侵风险, 程稚瀚将可能不会在长达4个多月的时间里如入无人之境。笔者相信中国移动一定具备完善的信息安全管理制度体系，但此事件暴露出该体系可能是“死体系”，与我国信息安全治理专家孙强先生多年来所积极倡导的“信息安全管理是一个动态的过程，需要建立持续改进的机制，该机制应能够‘发现问题解决问题，发现新问题解决新问题’，从而达成信息安全善治的境界”尚有较大差距。
      缺陷之三：移动公司对已过期账号的风险管控缺陷。已经过期的密码应及时从密码列表中删除，而不是简单的通过状态不同来区分。定期清理无效密码可以降低上述风险，同时也能提高系统的运行效率。从目前得到的信息看，笔者不能推测出移动公司到底有没有相应的控制存在，如果有，那么就是清理无效密码程序运行的频率太低或执行不到位。尽管中国移动是国内最早进行大规模信息安全风险评估的单位，但我们明显感到在这个领域，我们任重道远。
      缺陷之四：没有异常数据变更的检查报告机制。事前预防控制没有，事后的检查控制也没有。按说修改密码状态和过期日期这种业务性质的操作应是很少执行的，这类特定数据的异常更改应该有报告机制，管理层会通过审查此报告来发现未授权的数据更改。而此案中长达4个多月异常的数据变更居然没有引起应有的注意，究其原因，或者是控制缺失，或者是职责缺失，或者是执行不到位。另外，根据职责分离原则，就算是真正的系统管理员也不应具有“修改密码状态和过期日期”这种业务性质的操作。但是有14000条记录被异常更新并且长时间不被发现，同样也是前面提到的检查或审计职能和机制的缺失。
    

       天黑了，我们去哪里？

       如果1.2亿元的巨额投资都无法带给我们安全感，那么，究竟什么才能让我们更有安全感？
       在许多人自诩他们的企业对信息安全作了多大的投入，购买了多么先进的防火墙的时候，他们忘了构建另一道信息安全机制的“人力防火墙”。
       ITGov（中国）IT治理研究中心主任孙强指出：“三分技术，七分管理”的网络安全体系建立原则几乎在每个电信和银行业的企业中已成为老生常谈，数年前就成为指导其安全管理体系建设的基本原则。但是北京移动充值卡密码一案再次暴露出其管理和内部控制上的漏洞，时值其今年正将通过萨班斯法案的严峻考验，作为信息安全治理和内部控制理念的推动者，我们深感还有大量的工作需要去做。我们建议我国企业在信息安全管理工作上应该更彻底地回归到基本面上，这包括：信息安全文化和意识养成、相关的法律法规、整合IT控制的内部控制体系、基于ISO17799/27001的信息安全管理体系、信息系统审计的职能建设、风险评估以及最关键的责任心和问责机制。所有的一切，归根到底我们要重视“人”的工作。
      据悉为了改善我国信息安全管理工作滞后的局面，我国首个大规模信息安全管理推广活动——“旗舰计划”日前正式起动。该计划的总旨是：基于全球最佳实践，构建符合我国国情的信息安全保障体系，提升中国企业国际竞争力水平，实现可持续发展战略。我们相信旗舰计划将极大地推动中国企业和政府组织的信息安全管理工作，更多的中国用户将通过该项与全球同步开展计划获益。