为什么一些商业科技专业人士对IT安全的看法如此矛盾?一方面,他们承认,计算机系统面临的威胁无论就数量还是复杂性而言始终是有增无减;与此同时,他们又自以为已经控制住了局势。而对于那些过分天真的人们来说,其公司及客户会付出高昂的代价。
不久前,《InformationWeek》研究部和埃森哲咨询公司(Accenture,下称埃森哲)合作进行了第九年度“全球安全调查”,调查全面揭示了商业计算环境所面临的各种威胁。在受访者当中,有57%的美国公司表示在过去一年中曾遭受病毒攻击,34%曾受到蠕虫的攻击,18%经历了拒绝服务(Denial-of-Service,DoS)攻击。另外,网络攻击和身份窃取发生的比例分别为9%和8%;而中国的情形更差一些,有23%的公司表示其客户数据安全受到威胁,另有27%的公司遭受了身份窃取形式的攻击。因此,受访的2,193名安全专家和商业科技经理中有48%的人表示:对安全的复杂性进行管理已成为当务之急。国际商业机器公司(IBM)2005年和2006年对全球首席信息官(CIO)的两次调查都显示,信息安全始终在CIO关心的问题中排名首位。IBM全球信息科技服务部企业信息系统基础架构业务大中华区技术总监周国祥分析说:“调查结果表明,生产的安全与稳定,风险的控制与防范,是CIO目前最关注的问题。”
不过当被问及与一年前相比,其公司的IT系统是否更易受到恶意代码攻击而出现安全漏洞时,只有11%的美国公司回答是肯定的;而其余的89%则表示,其IT系统的安全性并没有降低或者与一年前大致相同。与去年的调研结果相比,今年企业对其系统安全显示出更强的信心。去年,有84%的被访者表示其公司面临的安全风险不会增加。
当时,我们就认为他们过于乐观了。现在,我们还要重申:IT专家中普遍存在的、已经做好应对一切问题的态度是危险的。尽管企业已为此部署了大量的防御措施(防病毒软件、防火墙、入侵检测和防范系统等),商业计算并非天下无敌。考虑到近年来由于各种数据系统的漏洞而产生的安全隐患,企业还需提高重视程度,更加谨慎。调查结果同时也表明,其他国家的IT专家显然表现得更为谨慎:欧洲有13%、中国有16%、印度有24%的受访者表示,与一年前相比,他们的公司面临着各种风险,IT系统也更易受到攻击。
事实上,企业面对的信息安全问题正在变得复杂化。从便携设备到可移动存储,再到基于Web的协作应用,乃至基于IP的语音技术(VoIP),每一类新产品都有新的安全问题与之相伴而生。系统在面临着日趋复杂的威胁的同时,遭受攻击的次数也日益增多。对此,安全专家和业务技术人员列出了企业所面临的一长串挑战,按比例依次为:提高用户意识(41%)、加强安全策略(36%)、加强对系统访问的控制(26%)、以及获取更多的资源(23%)。
数据失窃倍受关注
过去一年中,最突出的安全问题是由于外部偷盗或内部疏忽而导致的数据丢失。2006年5月,美国退伍军人事务部(Veterans Affairs Department)一台带有可移动硬盘的笔记本电脑失窃,该电脑装有2,650万条个人记录,这无疑向其他公司发出了安全警告。埃森哲安全小组的全球管理合伙人阿拉斯泰尔·麦克威尔森(Alastair MacWillson)表示:“正是类似事件的发生,才促使企业做出相关决策。”一年前,迫使企业做出应对的事件是恶意软件的攻击;而今年,则是数据遗失及失窃。
客户数据系统的漏洞越来越多。对于那些欲通过网络欺诈或身份窃取而获利的攻击者而言,数据已成为其主要的攻击目标;与此同时,安全专家也越来越多地发现,不仅是那些以恐吓为目的、想制造麻烦的人对其系统虎视眈眈,同时旨在谋利的罪犯更是将企业IT系统当作了靶子。信息安全的首要问题从病毒转为数据盗窃,易观国际咨询有限公司分析师王涛分析,这一问题增多的原因在于“电子商务和网上支付的
快速发展。”
在去年的调查中,只有6%的美国公司表示,其客户记录安全受到某种形式的威胁,另有5%的公司表示其客户身份曾被盗。今年,这些比例几乎翻番,分别达到11%和9%。而在中国,有23%的公司表示其客户数据安全受到危及,另有27%的公司遭受了身份窃取形式的攻击。上海恒荣国际货运有限公司(下称恒荣国际)CIO高宏飞对这个调查结果表示认同,他说:“数据失窃在中国是非常严重的。通常是内部人员的行为,而且比例非常之高,主要是没有一套完整的管理约束制度,几乎所有的中国企业都面临很大的风险,在中国的一个内部人员,能够做任意处理数据的情况非常普遍。”
不断增多的安全漏洞也引起了广泛的社会关注,美国至少有33个州为此立法以强制企业报告客户数据丢失情况。美国议会也在准备出台几项法案,以阻止消费者和财务数据的丢失。医疗联盟集团公司(HealthCare Partners,下称医疗联盟)信息系统安全管理总监利奥·狄特摩尔(Leo Dittemore)认为,价值分析(VA)数据失窃可谓给保险和保健公司拉响了警报,以推动这些公司采取相应的安全防范措施。这些公司的雇员会将病人数据下载到笔记本电脑上,狄特摩尔相信肯定会有一些员工将这些信息带回家。他说:“我并不反对人们在业余时间完成工作,但同时应该对数据加以保护。”而医疗联盟很难阻止其雇员居家工作时仍然使用客户数据,因为该公司是按工作量来计酬的,而所有的工作都会涉及那些文件。“我们采用的是按业绩支付薪水的模式。”狄特摩尔说道。该公司没有相应的内部规定,以对雇员下载病人信息的时间进行限制。狄特摩尔目前正在制订相关措施,以控制对数据的使用和转移。
访问控制隐患
安全漏洞导致的最常见结果便是网络和应用的瘫痪。而这对企业造成的经济损失难以估量。在那些曾出现安全漏洞的企业中,分别有四分之一的美国和欧洲公司以及将近半数的中国公司无法量化其财务损失。但很明显,损失极为惨重。瑞士银行潘恩韦伯公司(UBS PaineWebber)的一位前系统管理员,即因在该公司的系统中部署了一颗逻辑炸弹而正在受审,其造成的损失非常高昂:全美约2,000台服务器出现宕机,8,000多名经纪人的工作被中断。该公司用于对系统进行备份并使其恢复运行的成本估计约为310万美元,其中包括用于支付加班以及其他应急措施的费用。此外,该公司也无法量化此次攻击对其营业额所造成的影响。
超过半数的业务技术专家表示,当企业现有和以前的雇员企图危及系统安全时,安全技术、政策和培训在阻止其制造安全漏洞方面几乎起不到什么作用。与其他国家相比,内部威胁对美国公司来说更成问题。去年,将近四分之一的美国公司表示,授权用户和雇员是引起攻击的原因之一,印度公司、中国公司和欧洲公司的相应比例为22%、15%和11%。
许多IT安全经理表示,迅速膨胀的外部威胁占据了其太多时间,以致无暇顾及来自内部的攻击。西门子威迪欧汽车集团(VDO Automotive)信息安全管理员乔·戴厄尔(Joe Dial)表示:“那些人真是疯狂,很难阻止他们。”他又补充说,如果对内部安全威胁做出过激反应,还会阻止企业雇员使用其工作所需的信息。“我不能让安全问题阻碍生产力的发展,但这确实是个两难选择。”狄特摩尔表示,最大的内部威胁往往来自那些未经批准就滥用数据访问权限的系统管理员或档案管理员;但他同时也承认,采取措施防止他们这样做也并非什么上策。更艰巨的工作在于公司须对数据进行控制以及对外部威胁进行管理。
为了避免百密一疏,对数据访问的控制在某些特殊的行业已经引起高度重视。如从事软件外包的群硕软件开发(上海)有限公司(下称群硕)对数据的保护十分严格。群硕主要从事面向欧美的软件外包业务,为微软公司(Microsoft)、英特尔公司(Intel)等欧美大客户从事最新技术的开发,保密性要求极高。在群硕,不同的项目组分割在不同办公区,依靠门禁系统凭卡进入,谢绝外来人员入内,开发人员的电脑不能使用可移动存储设备,办公室里不设打印机和传真机。群硕董事长兼总裁刘英武笑称:“除了记在大脑里外,任何数据都没有办法带出办公室。”
在公司,内部控制访问正在变得越来越普遍。互助保险公司Amerisure公司(下称Amerisure)采用RSA安全公司的双重认证来保护其IT系统。同时,该公司也已开始采用思杰(Citrix)瘦客户机访问慧智(Wyse)终端,远程工作的员工不必再通过拨号上网了。这些终端既没有硬盘也没有软驱,这样用户就难以携带数据。“如果你盗走的是台瘦客户机,那就等于什么也没偷。”公司的企业架构师杰克·威尔逊(Jack Wilson)表示。Amerisure目前约有80台笔记本电脑投入使用,多数为经理级人员所用,威尔逊计划在明年初将这些笔记本电脑转换为Citrix瘦客户机。
在保护客户数据方面,美国公司要领先于其他国家的企业,其具体做法包括:提醒雇员遵守隐私标准(64%)、保护网上交易(52%)以及通信加密(42%)。几近半数的美国公司对雇员的内部电子邮件和网站使用情况进行监测,有多于四分之一的企业对即时通讯和外部电子邮件的内容进行监测。只有28%的美国安全政策规定:必须对客户数据加密;那些丢失数据的企业正因为缺少此类规定而损失惨重。而中国公司和印度公司的安全政策则更倾向于强调:必须对所有的客户数据加密。
在保护数据方面,身份管理系统等面向雇员的技术扮演着越来越重要的角色,有时它起着最根本的作用。医疗联盟最近将其雇员口令由原来的六位延长至八位,同时它也在考虑采用单用户同时登录多系统的做法。更先进的安全手段包括感应卡和生物测定工具,用于控制对由多个保健专家共用的工作站的访问。在医疗联盟这样的医疗保健环境中应用生物测定手段,有一个特别的问题,即有时用户会拒绝触摸传感器,以免沾染上细菌。狄特摩尔说,雇员不愿意脱掉橡胶手套来留下指纹。受访的美国公司中只有9%采用生物测定工具作为其访问权限控制系统的组成部分。
换个角度看安全
许多企业都在不断扩大安全开支,但并非每家公司都是如此。预计今年将有57%的印度公司、近一半的美国公司、42%的中国企业以及25%的欧洲公司会增加其用于信息安全的开支。据恒荣国际的高宏飞介绍,他所在公司今年在信息安全上的投入有所增加,占到整个IT预算的10%左右。这与全球信息安全调查显示相吻合:平均而言,目前企业中多于10%的IT预算被用于信息安全。
不过也不是所有行业都是如此,由于中国证券行业的不景气,中国的券商在信息安全方面的投入就显得捉襟见肘。中信建投证券有限公司副总裁周志钢介绍说:“由于证券行业普遍低迷,所以在信息安全上的投入减少。有些证券公司由于安全投入的不足,遭到病毒攻击,或者由于设备的可靠性问题,导致交易系统崩溃。”
埃森哲的麦克威尔森警告说:将安全开支作为管理经费或者业务成本处理,以获取更多资金投入的做法是错误的。相反,“关键在于要让大家明白安全的IT环境如何有助于业务的发展。”他说,“在线银行是信息安全起作用的最好例子,如果没有安全系统作为保证,没人敢将自己的账户信息放到网站上。”周志钢也认为,如果经营状况正常,券商一定会关注网上交易的安全问题。同样地,当企业寻求与合作伙伴建立安全的合作关系时,信息安全对供应链整合也是至关重要的。
镇北银行(Town North Bank)的IT开支日益增加。但其CIO加里·法勒(Gary Farrar)表示,很难确定其中到底有多少用在了信息安全方面。“我无法弄清楚哪些钱是用于信息安全的,”他说,“每次实施一个新项目,安全都在我们的考虑范围之内。”而在医疗联盟,安全预算在IT总开支中所占的比例甚至不足1%。狄特摩尔不得不为获得更多的预算而与公司所有其他部门,包括其他IT部门而争个面红耳赤。佛罗里达电力公司(Florida Power & Lights)将其IT预算的4%用于信息安全,但由于其正在部署用于身份和访问管理的用户配置管理系统,这一比例今年有望增加。
而且,企业几乎无法确定信息安全的投资回报率。客户数据系统出现一个漏洞,一下子就会花去企业上百万美元;而如果根本没出现漏洞,那么对完美工作的回报又是什么呢?用于评估安全投资回报率的主要方法包括:花在网络安全上的劳动时间、网络宕机时间的缩短、以及漏洞数量的减少。对此,群柏数码科技有限公司市场总监王慧呼吁企业换个思维前进,他说:“随着越来越多的企业和单位开始进行电子商务、电子政务、企业资源计划(ERP)、办公自动化(OA)等系统的部署,企业需要的是行之有效的安全架构来避免问题,或者说终结问题。企业应该系统地设计完善的安全架构,然后在关键节点投点小钱就好,这好过不断地去添置防火墙。毕竟保护整个国家的是整个社会的稳定,不是士兵手中的那几杆枪。”
好在有些企业已经开始告别“头痛医头、脚痛医脚”的被动局面。银河证券有限责任公司(下称银河证券)部署的企业安全计划(Enterprise Security Planning,ESP)就是一个有益的尝试。银河证券信息管理中心主任王恒说:“银河证券的ESP属于热门的安全运营中心范畴,该方案是一个企业整体的安全管理流程,如果该流程运用合理,是有效地解决企业的网络信息安全、管理安全等问题的最佳途径。”
其实完全依靠金钱堆砌出来的信息安全防线看似固若金汤,但可能只是外强中干的“马其诺防线”。信息产业部电信研究院信息管理中心主任武骏说:“企业应该有信息安全的规划,按年度逐步实施。安全更多的是管理层面的问题,不是软件技术所能够全部解决的。”安全堡垒最容易从内部攻破,因此与花费昂贵的硬件产品相比,对内部员工进行良好的安全教育和风险管理事半功倍。美讯智网络安全有限公司中国区销售总监谢旭东说:“安全教育的手段非常多样,没有一个定式,不同的企业可以根据不同的情况发挥创新思维。”比如,在入职培训时进行系统访问安全、密码安全、电子邮件使用、上网指南、软件安装、防病毒、加密、备份等基本安全知识培训;编写员工安全指南和安全期刊等。谢旭东说:“事实上,最大的安全元素还是人,企业要激励员工参与到整体安全策略当中。”
信息安全无小事
尽管整体的安全架构十分重要,但企业并不能忽视一些“小事”。病毒、蠕虫、间谍软件以及垃圾邮件绝不只是令人讨厌那么简单,它们在任何地区都被当作最为重大的安全隐患——全球不同地区,分别有低至四分之一、高达三分之二的企业都对之非常重视。同时,破坏性的电子邮件附件攻击并未彻底消失;30%的美国公司去年仍然遭受了很多此类攻击。
值得注意的是,过去一年中,由于操作系统的漏洞而遭受攻击的企业有所减少,只有28%,而2005年是43%;同时,来自病毒和蠕虫的攻击也减少了。但不幸的是,在这些威胁减弱的同时,来自其他方面的威胁却极大地加重了。
在中国,有四分之一的受访者表示,过去一年中,他们所在的企业经历了身份窃取类攻击;而在美国和欧洲,这一数字几乎翻了三倍。在印度,病毒和蠕虫可谓最常被提及的安全漏洞。佛州电力的信息安全总监约耳·加尔蒙(Joel Garmon)表示,尽管过去没有比某些破坏性蠕虫更吓人的东西了,但“还是有很多新麻烦。现在每人都在用防病毒软件,几乎所有人都用防火墙,很多公司也都装上了防范入侵系统。”
但上述这些基础安全系统只不过是防御体系的第一道防线罢了,那些破釜沉舟的网络骗子们还会如其过去一贯所为——照样破门而入。CIO们一定深知,在信息安全方面,完美工作得到的奖赏远不如对百密一疏的惩罚来得大方,但他们却不得不努力让企业更安全。
sidebar1
企业联手面对软件安全漏洞
超过半数的受访者表示,供应商应该从法律和财务的角度对产品的安全漏洞负责。
有缺陷的软件是引起严重的安全隐患的罪魁祸首。对此,美国的商业科技专业人士们已经受够了:超过半数的受访者表示,从法律和财务的角度讲,供应商应该对产品的安全漏洞负责。
总部位于美国弗吉尼亚州纽波特纽斯市(Newport News)的汽车电子厂商西门子威迪欧汽车集团(VDO Automotive,下称威迪欧)的信息安全管理员乔·戴厄尔(Joe Dial)表示,为管理安全补丁软件所要做的事简直“令人痛苦之极”。尽管同时还负责管理公司的互联网和其他网络项目,但他还是将多数工作时间都用于给系统打补丁上了。
在管理补丁软件方面,企业需要对软件供应商给予足够的信任,因为后者通常为了保护其知识产权而对他们是如何修复软件漏洞的问题避而不谈。微软公司(Microsoft)就是这样一家企业。它一般会在“补丁日”,即每个月的第二个星期二发布其系统补丁包,故这一天被业内的安全专家“亲切”地称为“Patch Tuesday”(补丁星期二)。戴厄尔说:“过去,这些补丁很容易被破解,这样,你就得格外小心,但当你并不知晓微软所提供的补丁包里都包括些什么内容时,这点就很难做到了。”
但他表示,至少微软还能及时发布补丁包。甲骨文公司(Oracle)每季度才发布一次针对其软件的补丁包,而那会中断威迪欧IT系统的正常运转。由于今年微软在发布用于修复Windows Meta File格式文件漏洞的补丁软件方面行动迟缓,第三方补丁软件赢得了用户的青睐,但威迪欧并不打算采用此办法。“我可不会私下去访问黑客或者解密高手的网站,仅仅为了对付我们的网络所面临的种种威胁而与他们私下达成协议。”戴厄尔说道。
尽管通用汽车公司(GM)将其IT业务全部外包了,但公司首席安全官(CSO)埃里克·里特(Eric Litt)仍然要为公司的系统和数据安全最终负责。虽然通用汽车公司独立进行所有与IT相关的决策,但同时也需要软件供应商的大力协助。里特希望供应商能提供足够的有关新安全漏洞的信息,公司就能在供应商发布补丁软件之前保护好其系统。但这并非易事。他说,真正的解决之道还在于供应商要提供更多安全产品。
sidebar2
外包服务商助企业修补安全漏洞
被访问的美国公司中有四分之一至少将其部分安全业务外包给专业的管理服务公司。
其实,每位IT经理都有“第三只手”可用。如今,许多公司都采用将安全业务外包的形式来弥补其IT资源的不足,以此来降服企业所面对的日益增多的各种安全威胁。
实践表明,对于中小型企业而言,外包服务尤其具有吸引力。因为这些企业由于自身资源不足,而很难完成对大公司而言通常不在话下的任务:对防火墙、防病毒软件、入侵检测和防范系统进行昼夜管理。
被访问的美国公司中有四分之一至少将其部分安全业务外包给专业的管理服务公司。与去年相比,23%的美国公司计划增加其安全业务外包开支,相应地,有45%的印度公司、24%的中国公司和16%的欧洲企业有同样的计划。
医疗联盟集团公司(HealthCare Partners)属于私有企业,拥有40家办事处和3,500名雇员,它所面临的最为严重的安全挑战是防止基于网络的攻击,因此该公司考虑将监测防火墙和入侵检测系统的任务外包出去。“那样的话,我们的网络就能受到24×7的全天候监控,而现在我们还无法做到这一点。”公司信息安全管理总监利奥·狄特摩尔(Leo Dittemore)表示。同时,该公司计划支付给外包服务商的费用仅为现在公司网络工程师总薪水的60%。
另一家互助保险公司Amerisure 公司,过去五年中一直将管理拒绝服务(DoS)检测、入侵攻击报警、以及防病毒软件升级的任务外包给了VeriSign公司,其为此支付的服务费用为每年7.5万美元。
尽管这比Amerisure自行完成这些工作的花费至少要高出25%,但这样做的好处在于信息安全工作可以不受公司规模扩大的影响。而VeriSign则负责研究Amerisure 的入侵检测记录并将相应数据列入常规报告中。
在全球各地,IT安全的基本内容都大同小异,但就保护业务数据和系统而言,
在中国、欧洲、印度和美国却又不尽相同。
调查表明,上述四个国家和地区的企业都将病毒和蠕虫列为最受重视的三种安全隐患之一。但只有略微多于半数的中国公司购买了病毒检测软件,这与美国公司(84%)、印度公司(73%)和欧洲公司(72%)相比形成了鲜明对照。
不过中国公司的首席信息官(CIO)们对此并不认同,他们认为如果算上单机版的杀毒软件的话,中国的比例不会如此之低。不过许多中国公司的CIO还是承认:如果是指网关防病毒设备或企业网络防病毒软件,大致与这个比例相符。去年,中国公司和印度公司遭受到的病毒攻击最为严重,相应比例分别为85%和70%。
与其他三个地区相比,中国公司受到的蠕虫、篡改Web脚本语言、以及网络欺诈等类攻击也最多;但其遇到的网络钓鱼攻击却少于另外三个地区:只有16%的中国公司表示曾遭受过此类攻击。群柏数码科技有限公司市场总监王慧分析,这是因为中国的电子商务、电子银行本身没有美国普及,“用得少,自然被钓鱼的少”。
印度公司则对雇员未经授权访问数据和知识产权失窃表示担忧,相应地,在应用生物测定技术确定用户身份方面他们也领先于其他地区:16%的印度公司采用生物测定工具保护其系统,与此相对,美国公司中只有9%、欧洲公司和中国公司各有4%这样做。
分别有64%的美国公司和印度公司喜欢对那些违犯安全政策或程序的雇员采取罚款或其他惩罚手段。而欧洲公司的态度却不那么鲜明:分别有35%赞成和反对采用惩罚手段,余下的30%不确定。美国公司和印度公司也更趋向于要求供应商从法律和财务角度对产品中的安全漏洞负责。
与一年前相比,只有11%的美国公司和13%的欧洲公司表示,其系统更易于受到恶意代码攻击并出现安全漏洞。而中国和印度公司却没有如此自信:相应的比例分别为16%和24%。
未来一年中,42%的印度公司和36%的美国公司已将对用户遵守安全政策的情况进行监测列为安全工作重点。与此相对,只有12%的中国公司计划要这么做;这些中国企业更指望IT能助其揭示安全隐患:43%的中国公司开始计划安装应用软件防火墙。
- 治理评论第一期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第六期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]