規(guī)劃缺失 “地下”IT盛行

“地下”IT繁衍

一直喜歡在網(wǎng)上購物的劉小姐最近被嚇了一跳：她收到了一個“紅客”的警告，要她立即修改所有密碼，因為她網(wǎng)絡(luò)銀行的密碼已經(jīng)被盜。開始，劉小姐并不相信，那位“紅客”立馬便列出了她的密碼。原來，劉小姐中了“木馬”病毒，如果不是得到這位好心“紅客”的相告，幾年的積蓄恐怕很快就被竊取了。其實與劉小姐有相似經(jīng)歷的網(wǎng)絡(luò)銀行用戶正在逐步增加。

“網(wǎng)銀頻頻遭受網(wǎng)銀大盜、網(wǎng)絡(luò)釣魚、木馬等病毒的攻擊，主要原因來自銀行內(nèi)部，”賽門鐵克公司中國區(qū)技術(shù)經(jīng)理郭訓平說，“普遍繁衍的銀行'地下'IT，恐怕是罪魁禍首”。

所謂“地下”IT（Shadow IT），并不是一個嚴格的學術(shù)意義上的稱法，一般特指“不在企業(yè)的管轄范圍之內(nèi)，有自己的運行系統(tǒng)，并且有自己一套制度，很可能對企業(yè)的安全基礎(chǔ)設(shè)施造成嚴重威脅的IT系統(tǒng)”。

以銀行的網(wǎng)絡(luò)安全為例，據(jù)稱，目前沒有一家銀行擁有統(tǒng)一的安全平臺，各銀行使用的軟件不同，投入力度不同；即使是在同一銀行的內(nèi)部，其不同機構(gòu)、不同地區(qū)之間，信息安全產(chǎn)品的投入也不一樣，IT策略也各不相同，從全行角度看，這些系統(tǒng)就是“地下IT”。

“由于目前銀行開始聯(lián)網(wǎng)作業(yè)，這種信息安全產(chǎn)品投入的不平衡會導致病毒流竄，進而降低整個銀行體系的安全系數(shù)?！惫柶揭徽Z中的，雖然，就目前而言，銀行的單個系統(tǒng)內(nèi)部是安全高效的，但與大系統(tǒng)連接后，根據(jù)“木桶原理”，最短的那個板將決定整體水平，哪里有“短板”，哪里就成為安全的漏洞，最后甚至危及整個系統(tǒng)的安全。

“有安全疑慮的'地下'系統(tǒng)可能會成為整個企業(yè)系統(tǒng)上的缺口，”美特斯邦威集團副總裁王泉庚認為，“人們一般可能會認為，數(shù)據(jù)庫的安全很重要，其實整個IT基礎(chǔ)架構(gòu)的外泄才是最具毀滅性的打擊。”有安全疑慮的系統(tǒng)可能會泄漏架構(gòu)組態(tài)和網(wǎng)絡(luò)設(shè)施的信息；一個不安全的系統(tǒng)可能會對同一網(wǎng)絡(luò)上的所有其他系統(tǒng)造成阻斷服務(wù)攻擊(DoS)的威脅；有安全疑慮的系統(tǒng)背后可能被用來當作機密信息交流的起始點。

春節(jié)前，名列國內(nèi)前三強的某乳業(yè)公司副總裁、CIO和部分IT主管前來美特斯邦威集團取經(jīng)，原來該集團的某些分公司和子公司，在集團整體IT管理框架之外，繁衍了一些項目，很有一些地下IT的苗頭。

“不要輕視地下IT，它或許就潛伏在你的企業(yè)內(nèi)部?！蓖跞J為，其實相當數(shù)量的企業(yè)都存在“地下IT”，只是大家還沒有意識到它的威脅而已。

業(yè)務(wù)與IT的矛盾

廣東格蘭仕集團有限公司副總經(jīng)理俞堯昌認為，從源頭上講，地下IT的誕生基本上都是源于業(yè)務(wù)部門與IT能力之間的矛盾。而這種情形在快速發(fā)展的企業(yè)中尤為常見。在很多情況下，企業(yè)IT部門的工作并不能充分滿足業(yè)務(wù)需求，這樣一來很多業(yè)務(wù)部門就想辦法來部署自己的“地下IT”項目。當然，格蘭仕集團也曾面臨同樣的挑戰(zhàn)。

尤其典型的是，銀行形成盤根錯節(jié)的地下IT，根源恰恰也是因為業(yè)務(wù)的挑戰(zhàn)。郭訓平認為，各地銀行以往所做的IT項目，大多都是根據(jù)自身業(yè)務(wù)需求而進行的，這些IT項目以部門、項目、產(chǎn)品為中心。從當時看，這些項目優(yōu)點也很明顯：基本上都實現(xiàn)了快速的投資回報率，相對于整個銀行的規(guī)劃，投資規(guī)模不大，實施周期短。

“不過，'地下'作業(yè)同樣也缺少標準，沒有經(jīng)過充分的計劃，對安全設(shè)計和開發(fā)缺乏充分的理解?！惫柶秸J為，這些項目沒有從總行整個系統(tǒng)的角度來考慮問題，也沒有跟全銀行的業(yè)務(wù)進行協(xié)調(diào)，更缺乏對數(shù)據(jù)的管理和挖掘利用。這造成到今天為止，國內(nèi)還沒有一家銀行有統(tǒng)一的安全管理平臺。

不僅如此，當這些地下系統(tǒng)需要擴充的時候，問題就來了。如今，銀行的運作效率已不僅僅取決于單一部門、單一應(yīng)用水平的高低，而越來越依賴于不同部門、不同應(yīng)用的協(xié)同工作，因此必須將已有系統(tǒng)、應(yīng)用、流程以及數(shù)據(jù)有機地集成，原來的分散系統(tǒng)就成為銀行系統(tǒng)整合前進的沉重“腳鐐”。

及時發(fā)現(xiàn)，逐步整合

“我們公司絕對不允許任何形式'地下'IT的存在?！睆V東格蘭仕集團有限公司副總經(jīng)理俞堯昌的態(tài)度十分堅決。

要及時發(fā)現(xiàn)和阻斷企業(yè)的“地下”IT，郭訓平認為從技術(shù)角度看并不困難，最大的難題在于如何對現(xiàn)有的地下IT進行'整編'，尤其是銀行業(yè)規(guī)模龐大的地下IT系統(tǒng)。

據(jù)郭訓平介紹，對于組織內(nèi)小規(guī)模的地下IT，日常通過主動掃描系統(tǒng)和目錄、日志等的摘錄都可以發(fā)現(xiàn)，也都能夠快速得到糾正，譬如系統(tǒng)的設(shè)置、獨立性和軟件安裝。目前，市場上可供選擇的有效軟件有不少。

“企業(yè)IT系統(tǒng)一定要集中，信息的分散就是資源的分散，沒有IT整合，業(yè)務(wù)的整合就是一句空話?！泵捞厮拱钔瘓F副總裁王泉庚分析道，企業(yè)要消除“地下”IT，就是因為系統(tǒng)分散，數(shù)據(jù)、信息很難集中，導致了效率的低下。

美特斯邦威集團對此很有體會。在1995～1999年近五年的時間里，美特斯邦威集團的系統(tǒng)是分立的：倉庫、財務(wù)、分銷各有一套體系，信息不溝通，規(guī)范也不相同。最后企業(yè)不得不重寫規(guī)范和程序，才有今天的IT構(gòu)架。王泉庚認為，對地下IT系統(tǒng)的整編會經(jīng)歷幾個階段，首先是硬件的整合，然后是數(shù)據(jù)的整合，最后的階段是應(yīng)用的整合。 “當企業(yè)意識到，技術(shù)已經(jīng)制約了業(yè)務(wù)的創(chuàng)新時候，整合就要開始了。” 他說。

郭訓平也認為，業(yè)務(wù)的應(yīng)用集成應(yīng)該是整合的方向，銀行也不例外，企業(yè)的IT只有先以業(yè)務(wù)需求為方向，才能獲得真正的壯大。而在技術(shù)上，可以通過在中間件基礎(chǔ)上加載開發(fā)應(yīng)用來逐步實現(xiàn)。

前瞻性的規(guī)劃和規(guī)范

要從根源上解決地下IT，就需要消除地下IT存在的沃土。為此，企業(yè)需要制定前瞻性的IT規(guī)劃和統(tǒng)一的規(guī)范。

“企業(yè)不能缺乏整體前瞻的IT規(guī)劃?！蓖跞J為，企業(yè)的IT系統(tǒng)不應(yīng)僅是為了應(yīng)付當前業(yè)務(wù)需要出發(fā)，而應(yīng)該預(yù)測到今后的變化，要具備可拓展性和應(yīng)變的能力。美特斯邦威集團本身就是一個典型例子，近十年來，美特斯邦威集團的銷售額從幾百萬發(fā)展到了2004年的28.29億元人民幣，保持了年 80%以上的增長速度，在這樣的發(fā)展速度下，企業(yè)的IT系統(tǒng)一直都能夠與之非常好的匹配，不會出現(xiàn)業(yè)務(wù)需求IT無法響應(yīng)的情況。

“IT的架構(gòu)應(yīng)該與企業(yè)的組織機構(gòu)、流程相匹配，形成整體的系統(tǒng)應(yīng)變能力?！蓖跞榻B，美特斯邦威集團現(xiàn)在實行的是面向?qū)ο蟮腎T架構(gòu)。

與此同時，完善的IT規(guī)范必不可少。格蘭仕公司將IT相關(guān)采購管理維護等所有相關(guān)權(quán)利收歸到了集團的IT部門，然后進行統(tǒng)一規(guī)劃、統(tǒng)一審批、統(tǒng)一配置、統(tǒng)一管理。這意味著，即使出現(xiàn)暫時的IT與業(yè)務(wù)能力不匹配的情況，業(yè)務(wù)部門也不能自行開展IT項目，這基本消除了誕生地下IT的可能。

作為全球最大的安全軟件企業(yè)，賽門鐵克公司對自身的安全更是不敢掉以輕心。除了全球統(tǒng)一的IT配置、規(guī)范和遠程監(jiān)控模式，員工的機器只要連到內(nèi)部網(wǎng)絡(luò)，任何違反規(guī)定的行為，譬如安裝軟件、私自上網(wǎng)都可以在第一時間被發(fā)現(xiàn)。

賽門鐵克公司的安全管理，也以嚴格、嚴厲而在業(yè)內(nèi)聞名。假設(shè)一名員工通過電話撥號進入互聯(lián)網(wǎng)，系統(tǒng)在兩分鐘內(nèi)，就會給該員工發(fā)送消息，同時強制斷網(wǎng)。警告的消息會抄送給該員工的上級主管，同一名員工只要出現(xiàn)兩次這樣的狀況，馬上就會被公司開除。因為員工繞過了公司的安全監(jiān)測系統(tǒng)登陸公共網(wǎng)絡(luò)，機器的另一端卻連接在公司網(wǎng)絡(luò)，這意味著他把公司的網(wǎng)絡(luò)接口暴露到了公共網(wǎng)絡(luò)上，很容易成為惡意攻擊的缺口。同時，IT部門需要及時更新安全策略和規(guī)范，并組織員工進行培訓，務(wù)必使員工認識到IT規(guī)范對公司安全的重要性。如果觸犯，必定要遭受懲罰。

郭訓平還認為，發(fā)生安全事件以后，對事件的及時了解、收集、響應(yīng)也非常重要。很多地、市級銀行在發(fā)生安全問題時，經(jīng)常手足無措，只好通過電話向總行匯報，這樣不僅反映速度慢，而且也無法將損失降到最低。

先有作為，然后才有地位

即便有了嚴厲的IT規(guī)范和規(guī)劃，能否得到有效貫徹依然是個難題。這恰恰也是一些企業(yè)的苦衷。他們制定了IT規(guī)劃和相關(guān)的管理規(guī)定，但地下IT卻依然“猖狂”。

賽門鐵克公司可以因為員工的地下IT行為而開除員工，或者斷網(wǎng)，但是在別的企業(yè)能夠這樣執(zhí)行嗎？

畢竟，從某些程度來說，IT的安全跟企業(yè)的效率是對抗的。企業(yè)運行安全軟件時，系統(tǒng)的效率降低50%并不是什么稀罕的事情。對于個體的員工而言，每次登陸都需要輸入十位密碼，下載資料都需要系統(tǒng)批復，畢竟是一件麻煩事。所以嚴格的IT制度和規(guī)范往往會引起員工的反感和抗拒，最后不了了之，最終導致地下IT繁衍。

“這需要領(lǐng)導的重視，把企業(yè)信息安全看成是企業(yè)的第一要事?！惫柶秸J為賽門鐵克公司的IT安全能夠得到保證，主要是因為有公司高層的支持。有領(lǐng)導的重視，就可以有相應(yīng)的投入，可以迅速發(fā)現(xiàn)地下IT和其他違反規(guī)定的行為；因為有領(lǐng)導重視，IT人員才能夠得到授權(quán)，敢于當機立斷，嚴肅處理違規(guī)事件。

沒有廠房，沒有先進的生產(chǎn)流水線，總部只是幾間業(yè)務(wù)洽談室和一些電腦，美特斯邦威集團卻做到了30多億的年銷售額。IT為美特斯邦威集團支撐并創(chuàng)造了“虛擬經(jīng)營”模式。王泉庚帶領(lǐng)的IT部門，已經(jīng)成為企業(yè)的核心部門，除了IT部門，王泉庚同時還負責企業(yè)采購、物流等多項核心業(yè)務(wù)。

“先有作為，然后才有地位?！蓖跞偨Y(jié)道。當IT從成本中心轉(zhuǎn)化為利潤中心時，遏制地下IT就會成為公司的共識。

邊欄：鏈接