安全規(guī)劃問題請(qǐng)勿紙上談兵

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

系統(tǒng)安全風(fēng)險(xiǎn)規(guī)劃早已不是什么新鮮話題了，但企業(yè)的系統(tǒng)安全真的規(guī)劃好了嗎？結(jié)果卻差強(qiáng)人意。很多情況下，只有在安全隱患真正爆發(fā)的時(shí)候，CIO才能夠真正確定自己的防范措施做得是否到位。

問題

年夏天，一場(chǎng)突然襲來的雷電使得J公司的系統(tǒng)遭受到巨大的沖擊，也給IT部門提出了前所未有的挑戰(zhàn)。窗外暴風(fēng)雨在肆虐，天空黑壓壓的一片，閃電不時(shí)劃過天空。此時(shí)，J公司的CIO錢治航正坐在辦公桌前翻看資料，對(duì)于窗外的一切，他異常平靜。對(duì)于從小在廣東長(zhǎng)大的錢治航來說，這樣的暴風(fēng)雨早就習(xí)以為常。緊接著，一道閃電襲來，整個(gè)窗外亮起來，猶如點(diǎn)起一盞巨大的探照燈。突然，辦公桌前的電腦意外關(guān)機(jī)，錢治航心里一沉，緊接著電話響起。原來，雷電擊中了大樓，并迅速通過網(wǎng)線傳播，網(wǎng)卡根本不能夠承受高電壓的負(fù)荷。整棟大樓被雷電擊中的一側(cè)，全部電腦不管是關(guān)機(jī)還是開機(jī)都嚴(yán)重?fù)p壞。這對(duì)于業(yè)務(wù)高度依賴電腦的J公司來說，是一次沉重的打擊。

此時(shí)，錢治航的心情極為沉重，錢治航自問道：“該怎么辦？”150多臺(tái)電腦全部癱瘓，業(yè)務(wù)又不能間斷，電腦短時(shí)間內(nèi)不可能恢復(fù)。一系列棘手的問題擺在錢治航面前。在錢治航的職業(yè)生涯中，遇到這樣的危機(jī)并不是第一次。2008年4月7日，J公司的系統(tǒng)遭受大規(guī)模外部攻擊，黑客攻擊核心系統(tǒng)，并將病毒植入系統(tǒng)中，導(dǎo)致應(yīng)用終端出現(xiàn)異常。J公司的外網(wǎng)中斷一個(gè)多小時(shí)。在被調(diào)查的企業(yè)中，絕大多數(shù)企業(yè)都沒有整體進(jìn)行系統(tǒng)安全風(fēng)險(xiǎn)規(guī)劃，有的只是個(gè)別、局部實(shí)施了安全措施，針對(duì)不同的應(yīng)用系統(tǒng)有著不同的應(yīng)對(duì)措施，沒有整體、全面的規(guī)劃方案。有的企業(yè)更是缺少應(yīng)急預(yù)案，一旦突發(fā)事故，措手不及。甚至一些企業(yè)的IT主管在如何進(jìn)行系統(tǒng)安全規(guī)劃時(shí)也是一片茫然。

解決

雷擊，使得J公司150多臺(tái)電腦損壞，但錢治航立即啟動(dòng)備用電腦預(yù)案，所有的IT人員立即更改線路和網(wǎng)絡(luò)設(shè)置，使得座位上的每位員工可以使用任何一臺(tái)備用電腦來辦公?！皳p壞的電腦可以慢慢去修?！卞X治航說，“在最短時(shí)間內(nèi)恢復(fù)系統(tǒng)正常運(yùn)行是第一要?jiǎng)?wù)。”2008年4月7日發(fā)生黑客攻擊事件后，錢治航在了解原因后立即切斷外網(wǎng)，并啟動(dòng)另外一臺(tái)服務(wù)器工作。在不到一小時(shí)內(nèi)所有的系統(tǒng)恢復(fù)正常，業(yè)務(wù)沒有受到嚴(yán)重影響，損壞的服務(wù)器也在短時(shí)間內(nèi)得到了修復(fù)。

在應(yīng)對(duì)突發(fā)的系統(tǒng)故障時(shí)，J公司的反應(yīng)速度之所以這么快，在于之前他們擁有一套完善的系統(tǒng)安全體系。J公司自己對(duì)系統(tǒng)安全設(shè)定了等級(jí)，錢治航自豪地稱之為：“系統(tǒng)健康表?！卞X治航給系統(tǒng)分成三個(gè)等級(jí)，紅色表示緊急、黃色代表預(yù)警、綠色則象征系統(tǒng)正常。J公司每天都會(huì)對(duì)系統(tǒng)進(jìn)行檢查、評(píng)估，每天都會(huì)出一張“健康表”。當(dāng)存儲(chǔ)容量超過90%時(shí)，則認(rèn)為是紅色緊急；在80～90%時(shí)，表示黃色預(yù)警。錢治航介紹道，一旦處于黃色預(yù)警狀態(tài)，就要求各個(gè)小組去檢查全國(guó)各地門店的存儲(chǔ)資源應(yīng)用狀況?？偛恳话阋箝T店存儲(chǔ)3年內(nèi)的的資料，一旦超過這個(gè)期限，就需要定期對(duì)這樣的門店進(jìn)行資料清洗。錢治航說：“不管任何設(shè)備，只要處于黃色預(yù)警狀態(tài)時(shí)，就會(huì)立即采取措施。一旦發(fā)現(xiàn)是容量不夠的問題就會(huì)擴(kuò)容。”

J公司對(duì)于服務(wù)器的“健康考核”更為細(xì)致，指標(biāo)多達(dá)100多項(xiàng)。任何一臺(tái)服務(wù)器只要出現(xiàn)黃色預(yù)警狀態(tài)，都要立即檢查或者使用備用服務(wù)器。經(jīng)過多年的“ 健康表”體制，錢治航認(rèn)為最棘手的設(shè)備是VPN網(wǎng)絡(luò)，只要一有問題就會(huì)處于紅色緊急狀態(tài)。因?yàn)榫€路的故障往往是突發(fā)的，不像其他IT設(shè)備，會(huì)有一個(gè)漸變的過程。在日常工作中，J公司都會(huì)有40臺(tái)服務(wù)器處于備用狀態(tài)，以應(yīng)對(duì)突發(fā)事件。

J公司多年前就已經(jīng)建立了應(yīng)急預(yù)案機(jī)制。自己內(nèi)部有專門的系統(tǒng)應(yīng)變小組。他們將日常系統(tǒng)安全問題由A到I分成9種情況，并對(duì)不同情況制定出不同的應(yīng)急方案。在災(zāi)備方面，J公司建立了自己的操作系統(tǒng)災(zāi)備、數(shù)據(jù)災(zāi)備、應(yīng)用系統(tǒng)災(zāi)備，以及原始代碼、原始資源的災(zāi)備等。其中，除了操作系統(tǒng)災(zāi)備是人工備份外，其余都是自動(dòng)備份。

作為J公司的總公司有90%以上業(yè)務(wù)是電子系統(tǒng)操作完成的。系統(tǒng)安全規(guī)劃與企業(yè)的信息化依賴程度直接相關(guān)。隨著對(duì)信息化依賴程度的增加，對(duì)系統(tǒng)安全提出更高的要求，錢治航本人也將面臨新的挑戰(zhàn)。溫州銀行在2004年自己制定了《信息系統(tǒng)風(fēng)險(xiǎn)管理指引》，對(duì)系統(tǒng)安全劃分了五個(gè)領(lǐng)域，并針對(duì)不同級(jí)別有不同的管理規(guī)范以及應(yīng)急預(yù)案。據(jù)溫州銀行信息科技部經(jīng)理吳文忠介紹，溫州銀行信息系統(tǒng)安全的五個(gè)領(lǐng)域分別是：用戶辦公系統(tǒng)網(wǎng)絡(luò)；內(nèi)部管理系統(tǒng)；第三方鏈接系統(tǒng)；外圍生產(chǎn)系統(tǒng)；核心系統(tǒng)。同時(shí)制定了信息系統(tǒng)分級(jí)保護(hù)策略，不同級(jí)別制定不同的安全措施。

根據(jù)銀監(jiān)會(huì)的要求，溫州銀行制定各信息系統(tǒng)突發(fā)事件專項(xiàng)預(yù)案，個(gè)別預(yù)案已完整覆蓋了應(yīng)急場(chǎng)景。在基礎(chǔ)設(shè)施應(yīng)急預(yù)案中，溫州銀行在全國(guó)多個(gè)省市有自己的災(zāi)備中心。在未來，溫州銀行在系統(tǒng)安全建設(shè)上希望能夠有所改進(jìn)。吳文忠認(rèn)為：“系統(tǒng)安全應(yīng)急，是未來工作的重點(diǎn)?！蹦壳皽刂葶y行并沒有引進(jìn)ITIL，吳文忠希望能夠在引進(jìn)ITIL之前，找出可能存在的系統(tǒng)風(fēng)險(xiǎn)問題，再根據(jù)ITIL來具體實(shí)施。

內(nèi)蒙古Y集團(tuán)信息工程部總經(jīng)理王曉剛告訴記者，Y并沒有專門針對(duì)系統(tǒng)安全制定具體的規(guī)劃，但是會(huì)根據(jù)不同的業(yè)務(wù)系統(tǒng)、不同的項(xiàng)目，制定不同的系統(tǒng)安全策略。目前Y經(jīng)常出現(xiàn)的安全問題來自網(wǎng)絡(luò)方面，尤其是外網(wǎng)經(jīng)常遭受病毒的攻擊。

談到系統(tǒng)安全規(guī)劃，J公司的錢治航認(rèn)為，目前J公司系統(tǒng)安全處理的自動(dòng)化程度不夠?！跋Ｍ踩軌蜃兂扇粘５墓ぷ?，而不是專門需要制定的?！毕Ｍ麊T工在處理日常業(yè)務(wù)系統(tǒng)的同時(shí)，就能夠自動(dòng)處理安全問題。

安全的自動(dòng)化程度不高，導(dǎo)致J公司的IT人員需要親自到故障現(xiàn)場(chǎng)進(jìn)行維護(hù)。例如，J公司只完成了單據(jù)憑證錄入的自動(dòng)化，但沒有進(jìn)行自動(dòng)備份歷史記錄。錢治航準(zhǔn)備引入電腦操作系統(tǒng)里的集合機(jī)制，能夠?qū)?shù)據(jù)恢復(fù)到任何一個(gè)歷史階段，將IT自動(dòng)化、數(shù)據(jù)集合機(jī)制以及與業(yè)務(wù)融合在一起。

在安全問題上，錢治航認(rèn)為硬件與網(wǎng)絡(luò)的安全防治是可知的，而企業(yè)內(nèi)部人員意識(shí)上的安全是看不到的，是無形的安全隱患。尤其當(dāng)企業(yè)的信息化建設(shè)達(dá)到一定程度時(shí)候，系統(tǒng)安全問題越凸顯。J公司所有的應(yīng)用系統(tǒng)都是自己開發(fā)的，錢治航認(rèn)為會(huì)有很多問題是自己看不到的，這些潛在的安全隱患猶如一枚隱形炸彈，隨時(shí)都有爆炸的可能。

此外，企業(yè)內(nèi)部人員安全意識(shí)淡化。如何來規(guī)范員工日常的網(wǎng)絡(luò)行為、營(yíng)造安全的系統(tǒng)環(huán)境，也是長(zhǎng)期困擾錢治航的問題。同樣，Y的王曉剛也指出，安全的最大隱患在于企業(yè)內(nèi)部?！跋到y(tǒng)安全由誰來管，誰就是最大的危險(xiǎn)點(diǎn)，因?yàn)橐坏┫到y(tǒng)管理出了問題的話，它的危險(xiǎn)性是最大的?！睂?duì)于來自外部的威脅，王曉剛并不擔(dān)心。

因?yàn)閅所有業(yè)務(wù)應(yīng)用都借助企業(yè)VPN，在重要數(shù)據(jù)傳輸?shù)陌踩陨鲜怯斜Ｕ系摹２煌谄渌髽I(yè)，中國(guó)進(jìn)出口銀行信息安全人員段永紅告訴記者，雖然目前進(jìn)出口銀行已經(jīng)對(duì)系統(tǒng)按照銀監(jiān)會(huì)的要求劃分了五個(gè)級(jí)別，但是對(duì)定級(jí)過后下一步的具體實(shí)施，一片茫然。過去每家銀行都會(huì)制定系統(tǒng)安全規(guī)劃，各自有自己的一套應(yīng)對(duì)措施。雖然要求統(tǒng)一定級(jí)，但是對(duì)整個(gè)行業(yè)的系統(tǒng)安全體系布局設(shè)有明確的實(shí)施細(xì)則以及統(tǒng)一說明，段永紅認(rèn)為這是他工作上最大的問題。中國(guó)聯(lián)通信息化部規(guī)劃應(yīng)用處經(jīng)理田光輝對(duì)于信息系統(tǒng)安全的規(guī)劃也有很多迷茫。中國(guó)聯(lián)通的系統(tǒng)安全也是根據(jù)具體的業(yè)務(wù)項(xiàng)目來局部實(shí)施的，沒有形成統(tǒng)一的規(guī)劃。未來的系統(tǒng)安全應(yīng)該如何來建，田光輝也有諸多疑問，認(rèn)為完全沒有一個(gè)范本或者統(tǒng)一的要求來做參考，具體未來的規(guī)劃怎樣，田光輝也在思考與探索中。

未來

J公司自2006年開始就已經(jīng)研究ITIL，并根據(jù)自身系統(tǒng)的實(shí)際情況進(jìn)行了相關(guān)的修改，明確哪些地方需要加強(qiáng)，哪些地方進(jìn)行調(diào)整。在未來，錢志航希望能夠利用ITIL增強(qiáng)系統(tǒng)應(yīng)急處理能力。

未來的安全風(fēng)險(xiǎn)預(yù)防，錢志航希望能夠不出現(xiàn)黃色預(yù)警，系統(tǒng)安全始終維持在綠色正常狀態(tài)?！艾F(xiàn)在IT預(yù)防很被動(dòng)，只有當(dāng)系統(tǒng)出現(xiàn)黃色預(yù)警的時(shí)候，我們才能被動(dòng)地采取措施，這時(shí)手頭的一切工作都要擱置?！卞X治航顯出些許無奈。未來，錢志航希望能夠把所有的隱患都提前處理，最好在采取行動(dòng)之前就能得知是否會(huì)出現(xiàn)黃色預(yù)警。

談到未來應(yīng)用ITIL的問題上，錢志航強(qiáng)調(diào)一定要仔細(xì)估算好ITIL的投入產(chǎn)出問題。是否全部引入ITIL，對(duì)J公司來說代價(jià)太大了。未來可以盡可能地設(shè)想潛在的問題，提前準(zhǔn)備多套應(yīng)急預(yù)案，來應(yīng)對(duì)業(yè)務(wù)上的突變。（信息方略）