要技術更要安全

孫杰賢

徐工集團信息化管理部副部長張啟亮這樣形容信息化：徐工集團的每個子公司，子公司的每個業務和生產部門就像一顆顆珍珠，但是徐工集團想成為美麗的項鏈中間還缺少一根線，信息化便是這根線。他說：“在徐工，信息化已經從成本中心變為企業的利潤中心”。

的確，在信息技術為核心的知識經濟時代，信息是重要的生產力要素，也是支撐企業長遠發展的核心競爭力。信息化對于企業來說不是做與不做的問題，而是如何做的問題。

我國政府一直高度重視信息化工作，特別在十八大提出“兩化深度融合”和“四化協同發展”的戰略部署后，各行各業信息化的熱情高漲。

技術崇拜

企業在信息化建設時有一個普遍的現象，那就是對新技術和新應用趨之若騖。一方面，這些新技術和新應用的價值對于企業來說具有非常高的吸引力，但更重要的是企業希望借助新技術來提高整個信息化系統的先進性，同時延伸信息系統的生命周期以最大程度保護投資。

云計算，大數據，物聯網，社交網絡，BYOD是當前最為流行也最受企業追捧的幾大新技術和新應用，而這些技術也的確有著非常突出的應用價值。

傳統軟件部署很麻煩，比如，買服務器、安裝、調配等，但是云模式就很簡單，只要開通賬號，登陸后便馬上能用，也不需要配備專業人員，所以，云計算具有部署快，成本低的優勢。由于其按需付費，所以不需要一次性付出一大筆錢。這對企業尤其是中小企業的吸引力是巨大的。再比如大數據，它有兩個關鍵核心價值：一是能夠幫助管理者更快、更科學、更有根據的決策；二是基于大量的數據，可以開發新產品新服務。大數據技術的應用，可以依托現有客戶發現新的藍海，重新定義客戶關系，推出新的產品和服務，創造新的價值，給企業帶來新的市場機會和利潤增長。

這些新技術和新應用也不乏成功的實踐，也產生了實實在在的經濟效益。《2012-2013年英特爾IT業績報告》顯示，過去一年中，該公司利用大數據預測引擎把芯片設計時間大大縮短，使其上市速度加快了25%；在過去的兩年，從云計算中獲得的節約高達1500萬美元；至去年年底，員工使用私有電子設備（BYOD）增加至23500臺，幫助員工在過去三年中工作效率提升超過700萬個小時。可以說，諸多IT解決方案相互配合共同貢獻于英特爾的業務發展，為其業務團隊帶來了寶貴的商業價值和機會。

但是企業在追逐新技術和新應用的同時對另外一個問題卻有點避重就輕，這就是網絡和信息的安全。雖然英特爾信息風險和安全管理總監Perry Olson說，“并沒有數據顯示，安全事件因我們廣泛使用云技術、社交網絡、大數據等新技術和新應用而明顯增加”。但不可否認的是風險和威脅是客觀存在的。

新隱患

我們知道，BYOD模式是IT消費化的一個戲劇性結果。這一模式的原動力來自于員工而非企業，員工對于新科技的喜好反過來驅動企業變更和適應新技術的變化。十年前，我們上班的時候就用公司的電腦，不安裝其他軟件，很安全。BYOD則意味著我們可以在辦公室使用自己的電腦設備辦公，可以任意安裝自己需要或者喜歡的軟件，打開自己感興趣的鏈接。與此同時，企業的安全策略并沒有考慮這樣的應用環境和要求，自然帶來的安全風險。

其它新技術和新應用會帶來同樣的問題。做為大數據領域的代表技術，許多企業聚焦在Hadoop之上。但像許多開源的IT技術一樣，Hadoop的概念并非來自企業，企業安全更是無從談起。使用Hadoop的最初目的是管理公開可用的信息，如Web鏈接，是針對大量的非結構化數據在分布式計算環境中設計的，并沒有形成書面的安全、合規、加密、政策支持和風險管理等協議。此外，傳統的數據安全技術的概念是建立在保護一個物理實體（如數據庫或服務器）基礎之上，這與Hadoop集群獨特的大數據分布式計算環境有所不同。傳統的安全技術在這種分布式的、大規模的環境中不能有效發揮作用。

但是，如果問一句，新技術和新應用所帶來的安全隱患引起企業的足夠重視了嗎？讓我們看一份安永的企業安全調查報告。安永基于對全球1700多家企業（其中大約有8%為中國企業）相關人士的調查發現，72%的受訪者認為信息安全風險水平因新技術的部署和應用而上升，但僅有三分之一的受訪者表示在過去的12個月中對其企業的信息安全策略進行了更新，超過一半的受訪者還表示自己所在的企業并沒有一個針對未來1到3年的、成文的信息安全戰略。

這就是問題所在，在新技術和新應用的安全問題上，企業有意識但缺乏有效的行動。原因何在，一位乳業集團的CIO坦言，“不是不想做，關鍵是不知道如何做”。

改變策略

那么，企業該如何面對新的安全形勢呢？

一直以來，傳統企業的安全架構在很大程度上依賴于預防性控制，比如防火墻。然而目前的關注重心已經轉移至更為廣泛的用戶和設備提供受控制的訪問，而不再僅僅是阻止訪問。此外，不斷改變的IT環境和威脅模式要求必須假定企業的安全防線肯定會被攻破。一旦攻擊者成功了，預防式的安全策略便再不具備任何價值。企業需要重點實施可增強系統繼續運作與恢復能力的工具以防止攻擊者成功入侵自己的IT環境。

作為一名信息安全領域的專家，Perry Olson認為，隨著企業信息安全要求的不斷演變和拓展，傳統企業的安全戰略已經無法提供完善的保護，需要重新審視企業自身信息安全策略，以符合目前的風險狀況。他說，“現在的企業需要一個更加靈活、更動態的架構用以加快新技術、新設備、新模式和新功能的應用”。在這方面，英特爾的一些實踐值得借鑒。

在傳統的二進制靜態企業信任模式下，用戶通常要么能夠獲得所有資源的訪問資格，要么無法訪問任何資源。而且，一旦獲得訪問許可，訪問級別將始終保持不變。為了能夠為全新的技術和應用提供支持，英特爾公司重新設計了自己的信息安全架構，新架構不再采用傳統信任模式，而是采用動態的多層信任模式，可以對特定的資源訪問提供更精細的控制。新架構基于四大要素：信任計算、安全區域、平衡的控制以及用戶和數據邊界。信任計算能夠動態決定是否應授予用戶特定資源的訪問權限以及訪問類型；安全區域包含重要數據和訪問收到嚴格控制的信任區域，也包含不太重要的數據和允許廣泛訪問的不信任區域，各區域的通信處于監視和控制之下；平衡的控制則突出強調了在預防式控制和糾正式控制之間達成平衡的需求；用戶和數據邊界則是將用戶和數據視作額外的安全邊界并提供相應保護。

當然，我們不能因為安全問題而對新技術和新應用避而遠之，否則就無法進步。只有一步一步往前行，多實踐，多積累經驗，我們才知道怎么樣更好地控制，制定更合理的安全策略，從而實現兩邊的平衡——讓企業既可以控制安全風險，同時能夠享用新技術和新應用帶來的價值。