艷照門：信息化時代的防空警報

2008年1月28日，當全中國仍致力于抵抗百年難遇的“天災(zāi)”之時，一場“人禍”已經(jīng)在網(wǎng)絡(luò)上悄然發(fā)端。雖然由于春節(jié)的“時間壕溝”，使得這個涉及眾多香港演藝明星的風波在大陸的全面爆發(fā)被推遲了幾天，但深患“春節(jié)疲勞癥”的上班一族甫入職場，即被鋪天蓋地的艷照信息弄得目瞪口呆!公眾人物的八卦新聞滿足了蕓蕓眾生的審美加審丑的雙重訴求，而網(wǎng)絡(luò)圖片和手機短信的天地互動。也集中顯示了全新媒體的巨大能量!

平心而論，如迷途羔羊般的明星們和傷心欲絕的粉絲們都是受害者，當洶洶輿情潮起湖落，所有當事人心靈上的深深傷痕是否會隨風而逝?而作為這個特大風波的見證者，我們在嘆息之余是否應(yīng)該有更為深刻的思考?

網(wǎng)絡(luò)化的社會給人類描繪了一個全新_的生活圖景，但一個個更為狡黠無形的竊賊正獰笑著潛伏在我們身邊。公司的核心技術(shù)、資金秘密、調(diào)研信息、戰(zhàn)略決策，都在貌似堅固的鋼筋水泥的閣籠中成為待殺的“肉雞”!只要觸網(wǎng)，電腦中的所有信息都可能瞬間流失，而光波技術(shù)所擁有的如同武俠小說中的“凌空取物”的超級探測方式，則構(gòu)成了信息管理者和信息盜取者的“無間道”!

信息安全在2008年的初春以這樣一個極端的方式凸顯在我們面前。如何在海量信息的工作、生活模式中徜徉時保證組織和個人的信息安全，是這次余韻悠長的艷照事件給我們最有價值的啟迪!

信息資產(chǎn)，我拿什么保護你 段 鵬

在信息化管理體系建立的過程中，信息安全管理體制的建設(shè)成為其中的關(guān)鍵一環(huán)。信息化為我們提供了科學，便捷、智能化的管理工具和手段，但在實際的操作過程中卻出現(xiàn)了一系列問題，給信息的擁有者、管理者造成了巨大的困擾，特別是對于企業(yè)來講，必須通過提高管理者對這一問題的認識，規(guī)范監(jiān)督使用者的操作行為，用相應(yīng)的制度去約束成果共享、數(shù)據(jù)共享、信息共享的行為，杜絕數(shù)據(jù)信息使用的隨意性。 我國企業(yè)信息安全管理存在的問題 電子商務(wù)政務(wù)信息安全的問題相對突出。目前對電子商務(wù)政務(wù)信息系統(tǒng)進行侵害的主要方式有：偷竊、分析，冒充、篡改等。我國企業(yè)的信息網(wǎng)絡(luò)系統(tǒng)存在著突出的安全隱患，網(wǎng)絡(luò)犯罪與信息犯罪情況日益增多。近年，金融機構(gòu)內(nèi)部利用計算機犯罪的個案大幅度增加，機密文件在網(wǎng)上泄露的案件屢有發(fā)生，造成了重大的損失。

我國企業(yè)網(wǎng)絡(luò)安全管理的主要問題大致分為三類：一類是缺乏基本的企業(yè)防毒知識，購買一些單機版防毒產(chǎn)品來防護整個企業(yè)網(wǎng)絡(luò)的安全，二是采購了并不適合自身網(wǎng)絡(luò)系統(tǒng)的企業(yè)防毒產(chǎn)品，因此留下許多安全隱患，三是技術(shù)力量薄弱，雖然部署了企業(yè)防毒產(chǎn)品，但是這些產(chǎn)品操作難度大、使用復(fù)雜，最終導(dǎo)致很難全面發(fā)揮效用，甚至成了擺設(shè)。

之所以出現(xiàn)這種現(xiàn)象，主要在于目前許多企業(yè)單位在防毒和安全產(chǎn)品的選擇上，出于節(jié)約采購費用和使用成本等方面的考慮，企業(yè)在選擇防毒和安全產(chǎn)品等方面沒有選擇到真正適合企業(yè)自身網(wǎng)絡(luò)環(huán)境的產(chǎn)品，而自身的技術(shù)操作水平往往又制約了軟件功能的發(fā)揮?！叭旨夹g(shù)，七分管理”是信息安全領(lǐng)域的至理名言。在采購和使用安全產(chǎn)品時，既要重視產(chǎn)品的管理功能、解決方案，還要關(guān)注部署和使用時對企業(yè)安全管理人員的技術(shù)水平的要求。

現(xiàn)有解決方案及存在問題

為了抵御目前復(fù)雜的安全威脅，多數(shù)《財富》(Fortune)1000強企業(yè)為此而付出的年均成本高達500萬～1000萬美元。多數(shù)企業(yè)都是通過投資購置防病毒軟件、防火墻、公鑰基礎(chǔ)設(shè)施(PKI)以及入侵檢測系統(tǒng)(IDS)，由安全操作員監(jiān)控整個企業(yè)中的活動來揭示網(wǎng)絡(luò)攻擊或漏洞而進行外圍防護的。他們以手工方式來處理每臺安全設(shè)備中所包含的極大量信息，并創(chuàng)建關(guān)于正在發(fā)生事件的全面視圖。這些設(shè)備的數(shù)量每年都會大幅增加。外圍防御戰(zhàn)略的最顯著特征之一就在于安全基礎(chǔ)設(shè)施中每臺設(shè)備會產(chǎn)生極大量的事件數(shù)據(jù)。在一個一般的企業(yè)中，一臺設(shè)備每一天都會產(chǎn)生多達10億字節(jié)的告警信息。同樣，一個IDS檢測器每一天也可產(chǎn)生50多萬條消息。這就表明了安全管理的一個首要問題：安全設(shè)備所產(chǎn)生的數(shù)據(jù)量實在太多，導(dǎo)致安全團隊無法有效監(jiān)控。

以安全分析方法為基礎(chǔ)建立法律分析系統(tǒng)的過程既耗費時間又代價高昂，而且還會占用本可用于其他更有價值的運營或安全活動的專家資源。此外，傳統(tǒng)的安全數(shù)據(jù)分析方法需要若干天或若干周來執(zhí)行。到分析結(jié)束時，網(wǎng)絡(luò)也許已經(jīng)遭到了若干次攻擊，并可因數(shù)據(jù)盜竊、客戶和合作伙伴失去服務(wù)或機構(gòu)生產(chǎn)效率降低等而導(dǎo)致重大損失。

不難看出，企業(yè)信息化發(fā)展到一定階段，建設(shè)重點就會從系統(tǒng)實施轉(zhuǎn)向以應(yīng)用提升為主，運維保障、安全機制變得重要起來，這時除了技術(shù)的保障以外，制度保障越顯得重要。信息管理制度是使信息系統(tǒng)正常運行和推廣應(yīng)用公司正規(guī)化文件發(fā)布的規(guī)章制度，它涉及計算機系統(tǒng)的使用、計算機機房的管理、計算機網(wǎng)絡(luò)管理、信息系統(tǒng)的使用和推廣等。它通過公司規(guī)章化和內(nèi)部法律化形式，來建立信息系統(tǒng)穩(wěn)定、有效運行的運行機制。加強制度建設(shè)和科學規(guī)范的管理，是信息系統(tǒng)能夠正常運轉(zhuǎn)、有效應(yīng)用和推廣的保證。

從我國企業(yè)信息化工作發(fā)展的現(xiàn)狀看，雖然各企業(yè)在信息管理方面都有一些初步制度，但是由于這項工作在企業(yè)中并不受重視，且缺乏系統(tǒng)性研究，面臨著很多問題，企業(yè)的信息管理制度的不完善，造成企業(yè)信息化發(fā)展不均衡和高失敗率高，也是企業(yè)信息化不能深入開展的重要原因之一。

企業(yè)信息化管理制度的內(nèi)容一般包括：制定本項制度的目的，制度適用范圍、制度涉及的人、部門的任務(wù)、職責以及要約束的具體內(nèi)容，對違反和維護制度的人、部門的獎勵和懲罰的具體內(nèi)容等。企業(yè)信息化制度類型和有關(guān)內(nèi)容要根據(jù)企業(yè)的自身情況而設(shè)定，要基本履蓋企業(yè)的信息管理內(nèi)容。目前，企業(yè)的信息管理制度主要存在兩方面的問題：一是企業(yè)信息化管理制度的內(nèi)容不完整、制定的方法不科學，企業(yè)信息化制度制定工作缺乏科學、規(guī)范、合理、全面的方法。從總體上看，目前企業(yè)信息化管理制度內(nèi)容，側(cè)重硬件和網(wǎng)絡(luò)方面的制度管理，而缺乏對軟件、IT流程管理、IT資源的內(nèi)容管理，企業(yè)信息化制度不能科學全面地覆蓋各項信息管理工作，造成信息管理上的漏洞；二是企業(yè)信息化制度流于形式，缺乏必要的約束力。由于企業(yè)信息化管理制度體系不健全，企業(yè)信息化制度多數(shù)成為企業(yè)項目建設(shè)檔案保存或作為應(yīng)付對企業(yè)相關(guān)檢查的材料，信息化制度只是形式，對于違反制度行為和相關(guān)人員的并沒有任何直接約束，影響到企業(yè)信息化制度工作的權(quán)威性，制約著企業(yè)信息化工作的深入開展。

今天，信息安全已經(jīng)正式成為我國一個產(chǎn)業(yè)。目前，我國的信息安全產(chǎn)品市場規(guī)模已經(jīng)超過7億元人民幣，專門從事信息安全產(chǎn)品生產(chǎn)的企業(yè)已超過1000家。安全管理是現(xiàn)代企業(yè)管理的一個重要組成部分，隨著傳統(tǒng)企業(yè)向現(xiàn)代企業(yè)的轉(zhuǎn)型，安全管理在企業(yè)的整體管理活動中也將占據(jù)越來越重要的地位。

附錄：最近2年媒體公開披露的部分企業(yè)信息危機案例

2008年5月，央視3·15晚會驚爆全國一半手機用戶信息泄露。

2008年3月，青島2.6萬個車主私人信息泄露，包括家庭住址、車牌號、車型等。

2007年9月，美國交易公司的經(jīng)濟公司被披露，有人入侵了他們其中一個系統(tǒng)，竊取了超過6200萬零售業(yè)和公共團體用戶的合同信息，諸如名稱、地址和電話號碼。

2007年8月，Monster.com大約有1600萬求職者的姓名、電子郵件地址、郵箱地址、電話號碼和簡歷ID通過訪問了Monster.Com的簡歷數(shù)據(jù)庫泄露。

2007年7月，富達國民信息服務(wù)公司一家子公司Certegy Check Services的資深數(shù)據(jù)庫管理員非法下載數(shù)據(jù)并將其出賣給經(jīng)紀人，導(dǎo)致超過8500萬個人信息泄露。

2007年5月，惠普把一封內(nèi)部電子郵件意外地發(fā)給了外部人員泄露了財務(wù)信息，被迫在美國股票市場當期開盤之前公布最新的財報指南。

2007年4月，麥肯錫證實利用Google提供的搜索功能可以很容易得到麥肯錫公司內(nèi)部通信會議的撥號號碼和口令。

2007年2月，全美第二大的超市連鎖公司Supervalu被釣魚者偽造的兩家公司驗證供應(yīng)商銀行賬戶的電子郵件所欺騙，向這兩個賬戶匯入1000萬美元。

2007年，Gary Min在離職杜邦前5個月秘密下載和訪問公司機密文件(價值約4億美元)，此事件直至他投奔競爭對手后才被披露。

2007年，曾擔任洛杉磯3G通訊公司安全顧問的Johnschiefer在25萬臺pc上大規(guī)模運行僵尸網(wǎng)絡(luò)，并進一步感染到其他的機器。他還利用間諜軟件竊取銀行和Pay Pal賬戶信息。

2007年，美國TJX零售公司發(fā)生4500多萬客戶的信息卡及保密資料丟失事件，導(dǎo)致客戶和銀行業(yè)對其提起訴訟，最終TJX公司向客戶賠付1.01億美元，并承受嚴重的企業(yè)聲譽損失。

“艷照門”陰影下的企業(yè)信息安全 黎錫崴 暴能全

主持人語：互聯(lián)網(wǎng)正在改變世界，在提供更簡潔高效的信息溝通渠道和更使得快捷的信息交流方式的同時，互聯(lián)網(wǎng)與生俱來的弊病也會給企業(yè)帶來許多潛在的危險。特別是對于中國企業(yè)而言，信息技術(shù)更是把“雙刃劍”，提升提升同時，又可能遭致信息安全隱患的巨大威脅——

對于陳冠希艷照泄漏的根源，坊間流傳著不同的版本：電腦送修時看管不嚴、黑客入侵、廢棄硬盤等等，但歸根結(jié)底，都是安全意識淡薄或保護手段不力所致?！捌G照門”的影響終將淡去，但對于企業(yè)而言，陳冠希的狼狽無奈正為我們長期忽視信息安全的企業(yè)敲響了警鐘。

國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的《網(wǎng)絡(luò)安全工作報告》指出，各種網(wǎng)絡(luò)安全事件都有顯著增長，僅在2007年上半年，網(wǎng)絡(luò)仿冒事件和網(wǎng)頁惡意代碼事件已分別超出2006全年總數(shù)14.6％和12.5％，被植入木馬的主機IP遠遠超過2007年全年，增幅達21倍，而且攻擊者的目標越來越明確、攻擊手段越來越多變、而攻擊行為的趨利化特點表現(xiàn)得也越來越明顯……面對越來越猖獗的網(wǎng)絡(luò)勒索、信息犯罪，許多專家感嘆，信息安全將逐漸成為中國企業(yè)的阿喀琉斯之踵，也許，在不久的將來，許多企業(yè)版的“艷照門”將會陸續(xù)上演。

從信息經(jīng)濟學的角度來看，信息資產(chǎn)(Assets)、其所受的威脅(Threats)以及風險防范措施(Risk management)構(gòu)成了信息安全體系最核心的三要素，而在這三方面，中國企業(yè)普遍存在著三大誤區(qū)：

一、信息資產(chǎn)角度

在理念上對信息資產(chǎn)認識不足，企業(yè)內(nèi)部缺乏管理信息資產(chǎn)的專門組織。對一個組織而言，信息和其他商業(yè)資產(chǎn)一樣有價值，信息也是一種資源、一種資產(chǎn)，甚至信息可能比其他資產(chǎn)更具價值，需要像對待資金一樣重視、保護。許多企業(yè)家都研習過木桶理論，但信息時代的新木桶理論告訴我們，一個木桶能不能裝水，裝多少水，除了看最短的木板之外，還要看其他一些關(guān)鍵的因素：一是這個木桶是否有堅實的底板，二是木板之間是否有縫隙。在信息時代，信息資產(chǎn)就是企業(yè)這個木桶的底板，而信息資產(chǎn)的保護體系是否得當，便決定了木桶的各個木板間結(jié)合得是否緊密。

99％的企業(yè)家都缺乏一個意識：在信息時代，信息資產(chǎn)才是一個企業(yè)最寶貴的資產(chǎn)!因此，企業(yè)應(yīng)該在組織上進行調(diào)整，在決策層給信息安全工作以一席之地。在西方企業(yè)中，一般都由管理層牽頭、組織專門的信息安全管理小組來討論和批準信息安全策略、分派安全任務(wù)、協(xié)調(diào)安全工作的實施，這樣才能高效應(yīng)對層出不窮的信息威脅。

二、信息威脅角度

在工作重心上重硬輕軟、重外輕內(nèi)，缺乏有效應(yīng)對信息威脅的管理模式。信息資產(chǎn)是非常脆弱的，各式各樣的威脅行為都可能會對信息資產(chǎn)造成無可挽回的損失。信息安全的作用便是要保證信息資產(chǎn)的保密性、完整性，一個完善的信息安全系統(tǒng)，必須符合“五不原則”：

1．進不來，通過物理隔離等手段，阻止非授權(quán)用戶進入網(wǎng)絡(luò)。

2．拿不走，使用屏蔽、防下載機制，實現(xiàn)對用戶的權(quán)限控制。

3．讀不懂，通過認證和加密技術(shù)，確信信息不暴露給未經(jīng)授權(quán)的人或程序。

4．改不了，使用數(shù)據(jù)完整性鑒別機制，保證只有允許的人才能修改數(shù)據(jù)。

5．跑不掉，使用日志、安全審計、監(jiān)控技術(shù)追蹤進攻者，并通過證據(jù)的保存使得攻擊者不能抵賴自己的行為。

信息安全不僅是一個技術(shù)問題，也是一個管理問題，技術(shù)是手段，而管理是基礎(chǔ)。中國企業(yè)在信息化建設(shè)中普遍重硬件、輕軟件，許多企業(yè)認為買了幾臺電腦、建了個局域網(wǎng)，能夠接入互聯(lián)網(wǎng)就是實現(xiàn)了信息化，IT人員在企業(yè)中沒有相應(yīng)的地位，很多打著信息經(jīng)理、信息主管頭銜的IT人實際上只是“高級硬件佬”，裝裝軟件、修修硬件、最多進行些簡單的網(wǎng)絡(luò)維護。與此同時，中國企業(yè)在信息風險防范上普遍重視對外部攻擊的防御，而忽視了對內(nèi)部員工的管理。許多企業(yè)總是把注意力集中在防火墻是否完善、殺毒軟件是否先進上。但西方成功企業(yè)的經(jīng)驗表明，信息化實施，三分技術(shù)，七分管理，安全事故75％是由于疏忽造成，25％才是來自于外部的攻擊，大部分的信息安全問題是由于企業(yè)沒有必要的安全管理制度而產(chǎn)生的。例如，企業(yè)員工利用工作電腦上網(wǎng)聊天玩游戲、瀏覽不良網(wǎng)站、擅自下載安裝軟件、未經(jīng)允許拷貝敏感文件，甚至使用黑客軟件等，這些行為如果不能有效制止，會大大增加信息網(wǎng)絡(luò)的風險。

先進的信息安全技術(shù)是必須的，但要保障信息安全，僅僅依靠技術(shù)上的優(yōu)勢是遠遠不夠的，只有建立一套科學的信息安全管理體系，才能從管理上、程序上確保信息的安全。如果企業(yè)有比較系統(tǒng)全面的信息安全制度，并能在企業(yè)內(nèi)部得到貫徹執(zhí)行。90％的信息安全威脅都是可以避免的。因此，建立一個全面系統(tǒng)、有整體規(guī)劃的信息安全管理體系，才是保障企業(yè)信息系統(tǒng)與業(yè)務(wù)的安全與正常運作的關(guān)鍵所在。

三、風險防范角度

在具體做法上重細節(jié)輕體系，缺乏信息安全的規(guī)范流程和標準。中國企業(yè)的信息風險防范工作，往往給人以顧頭不顧尾的感覺，許多IT人員都在抱怨：“今天讓我們打系統(tǒng)補丁，明天讓我們升級殺毒軟件，一天到晚疲于奔命。但做事越多，要做的事情也越多，安全事故還是一波未平一波又起，我們都變成專業(yè)打雜了?！逼鋵?，做好信息安全工作，關(guān)鍵是要建立一個內(nèi)部控制的標準，這樣才能治標治本地解決安全問題。

為了更好地進行信息安全管理和信息安全體系的建設(shè)，國際上也出臺了相應(yīng)的安全標準，其中BS7799是世界上應(yīng)用最廣泛的信息安全管理標準，至2005年全部被國際標準化組織吸收，形成了ISO/IEC27001：2005信息技術(shù)一安全技術(shù)一信息安全管理體系要求和ISO/9IEC17799：2005信息技術(shù)一安全技術(shù)一信息安全管理實施細則兩個國際標準。它包括11個控制領(lǐng)域、39個控制目標和133項控制措施，能為企業(yè)提供全方位的信息安全保障。

簡單地說，ISO27001標準便是要求企業(yè)首先通過規(guī)范的信息安全管理體系風險評估流程(見圖1)，識別、控制信息風險，而后建立策略、組織、操作和技術(shù)四個風險管理的框架層次。

1．策略架構(gòu)：體現(xiàn)整個組織的信息安全方針、標準、制度、規(guī)范、指南等。

2．組織架構(gòu)：建立有效的信息安全組織，并賦予組織中的人員明確的角色和職責，實施安全教育，提高全員的安全意識。

3．操作架構(gòu)：用戶管理、物理和環(huán)境安全，系統(tǒng)的開發(fā)和維護，業(yè)務(wù)的持續(xù)性等。

4．技術(shù)架構(gòu)：網(wǎng)絡(luò)安全的最新技術(shù)和產(chǎn)品。

總之，中國企業(yè)只有先在意識上認識信息資產(chǎn)的重要性，在組織架構(gòu)，管理模式和管理流程上做出應(yīng)有的改進，才有可能在新的時代里打贏信息安全這場無硝煙的戰(zhàn)爭。

天網(wǎng)行動，打造e時代的企業(yè)信息防火墻 劉 超 賴派燦

主持人語：今天，數(shù)字化生存已經(jīng)成為企業(yè)經(jīng)經(jīng)營必須直面的一道世紀命題，商業(yè)帝國的戰(zhàn)略軌跡必然向著比特級當量的網(wǎng)絡(luò)世界遷移，信息安全在企業(yè)戰(zhàn)略標靶是的位置已然升級，甚至已經(jīng)成為企業(yè)生命線上關(guān)乎生死的重要一環(huán)——

艷照門這一多米諾骨牌式的“大事件”，絕不亞于懸念大師希區(qū)柯克筆下任何一部偵探大片綿密推演后的驚悚與余韻繞梁。君不見，事件始作俑者的偵緝與追剿，迄今依然是疑竇叢生、神龍無尾；偶像明星轟然問的形象崩盤，不啻于又為向來飽受爭議的娛樂生態(tài)再次抹上一層厚重的灰色；不雅照的網(wǎng)際瘋傳與熱捧，乃至其間司法判例超乎想象的嚴厲與絕然，所影射的恰是當今社會倫理、法制等諸多領(lǐng)域隱然可見的真空與軟肋……這些，都為艷照門這一充滿誘惑的伊甸園增添了無盡的看點與談資。

然而，當我們撥開上述攝人心魄、意欲迷離的重重迷霧，去追溯和反思艷照門東窗事發(fā)的孽緣與原罪時，卻倏然驚覺：這何嘗又不是一座不設(shè)防的伊甸園——事主疏于防范的大意乃至無意識的漠然，或許正是艷照門自擺烏龍間自釀苦酒的致命機樞。

在黑客當?shù)?、木馬肆虐的信息社會，伊甸園到失樂園的距離，或許只有鼠標輕啟間電光火石般的時間漂移與悸動。如何在e時代的背景下為企業(yè)信息安全拉起一幕全息化的天網(wǎng)，以構(gòu)筑起堅如磐石的防火墻，值得企業(yè)經(jīng)營者們戰(zhàn)略性地深思和未雨綢繆地設(shè)計與執(zhí)行。

鋼鐵是這樣煉成的：企業(yè)信息安全的天網(wǎng)編織術(shù)

所謂信息安全管理(Information Security Management，ISM)，是組織通過維護信息的機密性、完整性和可用性等特征，來管理和保護組織所擁有的信息資產(chǎn)的一項體制。當下，信息安全事件頻發(fā)對于企業(yè)影響的直接體現(xiàn)，就在于IT服務(wù)管理需求的增長與凸現(xiàn)，以及IT部門角色的轉(zhuǎn)變及戰(zhàn)略地位的提升。然而，令信息安全管理者們倍覺尷尬的是，一方面，其職責以實現(xiàn)企業(yè)信息安全的零風險為使命，不可能像銷售經(jīng)理們那樣，可以憑借外顯的銷售額增長作為其自詡的資本；另一方面，頗具諷刺和悖論意味的是，信息安全管理的價值卻往往只有在安全事例發(fā)生之后才能得到充分的證明與認同?！?·11”事件中，當Morgan Stanley集團和American Express等公司能在世貿(mào)中心遭受攻擊后數(shù)小時內(nèi)迅速恢復(fù)服務(wù)時，沒有人懷疑災(zāi)難恢復(fù)計劃這一信息安全管理核心模塊的重要性；SARS肆虐時，成功實施業(yè)務(wù)持續(xù)性計劃的亞信、摩托羅拉、惠普等公司使人們看到，面對這樣的重大災(zāi)害時，企業(yè)怎樣才能借助信息安全管理體系的強力預(yù)警與規(guī)制，避免束手無策。

可見，要想樹立穩(wěn)固的戰(zhàn)略地位，信息安全管理者有必要首先向企業(yè)決策者們進行自我價值的宣示與聲明：信息安全管理不只是“花錢”的部門，同時也是“省錢”的部門，它在企業(yè)價值鏈條上扮演著重要的“看門人”角色。通過制定具有針對性的信息安全投資回報計劃(圖1)，能夠有效提高信息安全的成本效益，從而為企業(yè)信息資產(chǎn)增值附加有力的籌碼。這里有一個認識上的誤區(qū)，即我們總會下意識地認為追求信息安全的零風險是天經(jīng)地義的，但事實上，“適度防范”才是制定信息安全預(yù)算計劃時更可取的原則。一般來說，如果沒有特別的需要，信息安全的投入不應(yīng)超過信息化建設(shè)總投資額的15％，過高的安全成本將使安全失去意義。

就本質(zhì)而言，信息安全是管理問題而非單純的技術(shù)問題，即“三分技術(shù)，七分管理”。這個在其他領(lǐng)域總結(jié)出來的實踐經(jīng)驗和基本原則，在信息安全領(lǐng)域也同樣適用。有關(guān)部門統(tǒng)計，在所有的計算機安全事件中，約有52％是人為因素造成的，25％由火災(zāi)、水災(zāi)等自然災(zāi)害引起，技術(shù)錯誤占10％，組織內(nèi)部人員作案占10％，僅有3％左右是由外部不法人員的攻擊所造成。簡單歸類，屬于管理方面的原因比重高達70％以上，而這些安全問題中的95％是可以通過科學的信息安全管理加以避免的。因此，管理已成為信息安全保障能力的重要基礎(chǔ)。正如信息安全治理專家孫強先生所指出的：“技術(shù)本身實際上是信息安全體系里最不重要的部分。不管一項技術(shù)有多先進，都只不過是輔助實現(xiàn)信息安全的手段而已。我們并不是認為技術(shù)不重要，但在信息安全的架構(gòu)里，它一定要建立在好的信息安全治理的基礎(chǔ)上，信息安全歸根到底是管理和治理層面的問題?！?/p>

秉承“以管理為主，以技術(shù)為輔”的戰(zhàn)略理念，ING，這家老牌的全球著名金融機構(gòu)，實施的正是與整個集團公司治理機制相符合的全球性信息安全管理體系，ING董事會一致視這種結(jié)合為其成功的基礎(chǔ)。ING信息安全管理機制的一個關(guān)鍵特性是在除了擁有信息安全技術(shù)做支持外，著重于強化管理的執(zhí)行力，在管理層面成立了一個獨立的信息安全指導(dǎo)委員會，這個行動既向ING董事會和高管層充分表明了信息安全的重要性和嚴肅性，也為ING在全球提供了一個跨區(qū)域、跨業(yè)務(wù)的關(guān)于信息安全工作的正式推進機制。在這個定期舉辦的會議平臺上，ING的董事們常常會問到信息安全問題，而董事會成員有責任確保采取了提供答案的機制。同所有企業(yè)一樣，有時答案回答起來令人不舒服，但是至少觸及了信息安全問題，還找到了答案。同時，ING的董事們深信“不知即為福，其實預(yù)示著災(zāi)難?！惫芾砩系摹安恢?，往往就是信息安全大堤崩潰的“蟻穴”。ING這種“以管理為主，以技術(shù)為輔”的信息安全管理信念，見微知著的理性而謹慎的信息安全管理態(tài)度，正是其全球性信息安全管理的成功之道。

同樣值得關(guān)注的是，當今信息安全威脅已經(jīng)從外部轉(zhuǎn)向內(nèi)部。根據(jù)美國洋基集團一項針對北美和西歐600家公司的調(diào)查顯示，2004年的信息安全問題有5成源自內(nèi)部，高于前一年的3成。每年企業(yè)界動輒投資上千萬防毒防黑，但企業(yè)防御失效的另一個容易被忽略的問題卻是：來自員工、廠商或其他合法使用系統(tǒng)者的內(nèi)部濫用。在漏洞攻擊愈來愈快速的今日，有可能因為一個訪客攜入的計算機而癱瘓幾千萬IT設(shè)備。基于這樣的客觀現(xiàn)實，企業(yè)在制定信息安全計劃時既要“向外看”，嚴防外部“恐怖分子”的襲擊；更要“向內(nèi)看”，堵死“內(nèi)鬼”作祟的無間道。

從操作的層面上看，保護核心信息資產(chǎn)，加強信息資產(chǎn)傳遞渠道的管理，通過建立與企業(yè)文化相適應(yīng)的安全體系，提高整個企業(yè)在信息安全管理上的執(zhí)行力，即所謂的“護”、“堵”、“執(zhí)行力”，是有效提高企業(yè)信息安全水平的重要管理方法。(見圖2)

以信息安全組織建設(shè)為例，在“9·11”事件以后，為了加強對安全的統(tǒng)一管理，在美國有一種把安全保衛(wèi)部門與信息安全部門合并的趨勢，許多大公司設(shè)置一個首席安全官(chief Security Officer)職位，負責包括信息安全在內(nèi)的所有安全事務(wù)。摩托羅拉無疑是這一理念的身體力行者。

摩托羅拉的管理層認為，信息安全是其成長目標中重要的一環(huán)。摩托羅拉的信息安全管理機制，是通過管理層面的管理委員會和執(zhí)行層面的信息安全官實現(xiàn)的。同時，摩托羅拉對安全事務(wù)的關(guān)注還反映在其組織結(jié)構(gòu)和角色分配上，反映在其治理安排(特別是架構(gòu)流程)中，即自始至終將信息安全治理擺在戰(zhàn)略的優(yōu)先位置上。

摩托羅拉首先成立了包括CIO(首席信息官)等高層主管在內(nèi)的管理委員會，該委員會負責建立安全原則，定義信息安全項目的優(yōu)先級別，甚至將安全預(yù)算與其他IT預(yù)算區(qū)別開來。安全辦公室的所有職員負責設(shè)計、構(gòu)建恰當?shù)募軜?gòu)體系，同時還要和負責IT架構(gòu)的人員一起，在企業(yè)級和部門級同時確保安全措施被嚴格地融合到架構(gòu)和應(yīng)用當中。公司在運營和產(chǎn)品兩方面都嚴格遵循著信息安全的有關(guān)規(guī)定，這使得信息安全工作成為最高管理層所負責的事務(wù)，并成為公司IT治理不可或缺的一部分。CIO是公司高管層中的一員，信息安全官則直接向CIO負責，并作為CIO團隊的一員參與每季度一次的管理委員會會議。信息安全管理最關(guān)鍵的一個要素，就是持續(xù)不斷的教育和意識養(yǎng)成。安全官的職責就是協(xié)助最高管理層認識到各種安全問題爆發(fā)的可能性，以及這些隱患對業(yè)務(wù)的潛在影響。在這些會議中，安全官提出公司當前所面臨的安全風險，并給出幾個候選的解決方案。

摩托羅拉所采取的這種基于安全的組織結(jié)構(gòu)設(shè)計，為企業(yè)如何根據(jù)自己的戰(zhàn)略目標進行信息安全管理提供了鮮活的樣板。摩托羅拉的治理安排，確保了其與安全相關(guān)的事項成為期望行為的一部分。正是憑借著卓越的公司治理和信息安全治理能力，摩托羅拉成功地從20世紀末全球通訊業(yè)的大蕭條中恢復(fù)過來。

不可否認，盡管現(xiàn)代IT技術(shù)的發(fā)展可謂日新月異，但企業(yè)卻始終無法擺脫病毒侵襲、惡意攻擊和其他安全隱患等問題的困擾。是被動防御，還是主動管理?將考驗企業(yè)經(jīng)營者的戰(zhàn)略智慧與膽略。長期以來，人們對保障信息安全的手段偏重于依靠技術(shù)，從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測、身份認證等等，可謂招事盡顯，花樣百出。但如果不逾越被動防御這一思維定勢的鴻溝，任何現(xiàn)代信息安全技術(shù)與手段的換代更新，終難免擺脫不了亦步亦趨的宿命，而被動防御看似見招拆招的閑庭信步，同樣難掩疲于應(yīng)付的窘迫與尷尬。畢竟，病毒裂變與傳播的速率正以指數(shù)級的比率倍增，而信息技術(shù)的發(fā)展，則從另一個方向推動企業(yè)構(gòu)建安全體系的復(fù)雜程度和成本不斷上升。要為企業(yè)找出切實有效并且能真正帶來實際價值的信息安全解決方案，或許只有從主動管理的方向去嘗試尋求新的答案。

惠普率先提出“變被動防御為主動管理”的全新策略和方法，包括主動防范式的安全服務(wù)、身份安全管理、信息安全管理、信息安全集成、病毒與黑客防御等系列安全解決方案，以此提升企業(yè)信息安全的臨界點。與亦步亦趨、缺乏戰(zhàn)略機動性的被動防御相比，主動管理恰似一記化干戈于端倪的“化骨綿掌”，不給信息安全隱患留下任何成長甚至萌芽的土壤。本著防范于未然，主動出擊的態(tài)勢，惠普通過采用主動式安全管理手段、搭建可信賴的軟硬件平臺、實現(xiàn)全球異構(gòu)IT環(huán)境中連續(xù)性的身份認證和訪問控制，幫助推動企業(yè)用戶的安全體系，使其在有效性和業(yè)務(wù)促進能力方面達到一個全新的水平，從而幫助企業(yè)保持業(yè)務(wù)的可靠性和連續(xù)性，并滿足法規(guī)要求。

一言以蔽之，企業(yè)信息安全治理必須回歸管理的正途。只有基于信息安全管理效能的發(fā)酵，才能實現(xiàn)它與“技術(shù)防火墻”、“人力防火墻”的有機融合與相互支撐，從而為企業(yè)信息安全打造一支不可戰(zhàn)勝的“天軍”。

(欄目編輯：袁 航)