三问出路

    如何解决信息安全架构与IT治理实现中的技术与管理挑战？

    首先，从技术方面看，目前随着网络应用的快速发展，基于数据应用层的安全防护以及风险控制得到越来越多企业用户的关注。然而为了实现整个信息系统的安全架构，核心网关设备的应用层性能成为了各个企业实现统一安全架构的拦路虎。据Hillstone的安全专家介绍，基于应用处理的高性能安全网关是推动安全架构发展的技术因素之一，只有越来越多的高速设备出炉，才能从技术上确保网关层面的安全。

    前面说了，高度集中的应用层安全网关还只是技术环境中的一方面。据何迪生透露，企业如果希望获得完整的信息系统架构安全并在此基础上获得IT治理的效益，那么部署一套全方位的安全系统方案是不可避免的。

    比如，对现代企业来说，确保其信息基础架构的安全性已经成为主要任务。在这个过程中，信息与各种协作工具对大多数企业的日常运营来说都至关重要。不幸的是，这些工具常常成为攻击者的目标。因此，企业的CIO必须确保信息和协作基础架构不受外部威胁的干扰，避免企业的工作效率受到影响，从而导致内部问题或者泄露机密信息。

    面对种类繁多且不断变化的安全威胁，信息和协作基础架构应具备多层保护机制，在攻击影响到企业网络之前就要解决问题。对此，他的看法是，多个保护层能够减少因单一威胁而导致的网络瘫痪问题。目前的焦点在于，所有的安全厂商都有各自独特的需求，他们提供不同的安全产品和服务。因此，如果要实现全架构的安全防护，安全技术本身也要具有适应性。

    以微软的技术方案为例：Microsoft Exchange Hosted Services可在垃圾邮件和病毒渗透到网络之前就进行过滤；Microsoft Forefront内部部署软件可以保护关键应用服务器免受内部威胁侵害，并能执行内容规则；Microsoft Internet and Security Acceleration（ISA）Server 2006可实现协议层和应用层的检查，以确保安全地实现Exchange Server、Live Communication Server和SharePoint Portal Server的远程访问；而Microsoft Windows Rights Management Services（RMS）与Microsoft Office Outlook 2003客户端应用配合工作，可以确保敏感的电子邮件和文档不致泄漏出公司之外。

    其实，类似的技术方案有很多，无怪乎都是从多层次、大纵深为出发点。换句话说，一个有效的技术方案，除了为企业整个基础架构提供防御之外，还必须采用纵深防御策略，通过多种技术来发现并防御安全威胁。事实上，依靠多种技术低于攻击或误操作，有助于消除整体安全架构中的单个故障点。

    其次，从管理方面看，在企业IT与业务部门的配合上，也是难点之一。有媒体对此曾专门进行过报道：黄先生是国内某银行软件开发部的成员，作为软件的开发者，他对软件开发过程中的安全和和法规遵从两方面都不太感兴趣。他说，“这不是我们考虑的问题。法规遵从是在业务部门提需求时，银行的法律合规部门介入，看提出的需求符不符合法律的规定。

    我们只需要满足业务部门的需求——业务部门都很强势，只要按时把项目完成，其他都可以忽略。”

    目前来看，类似的现象在企业中大量存在，从某种意义上说，这对CIO的工作构成了挑战。因为CIO必须在业务与IT之间进行衡量，同时承担起安全架构与IT治理的双重责任，但在最终落实上，CIO的角色往往又没有太大的影响力。

    此前ISSA中国区总监、毕马威风险管理部资深经理冯嘉诺在接受采访时表示，企业的IT经理或CIO在和公司老板或CEO之间必须进行科学地沟通，其目的就是为了取得老板们的重视和支持，这样IT治理或IT部门的工作才可以得以顺利地开展。换句话说，这就是要求IT经理必须站在老板们的角度来考虑问题。比如如何帮助公司多赚钱；如何可以减少成本；如何可以规避法律法规的制约。
 
    而微软安全技术顾问尹川先生也曾提出，通常企业的信息系统基础架构主要有以下四个阶段：1. 基本型；2. 标准型；3. 合理型；4. 动态型。其中基本型是最简单原始的阶段，而动态型是最合理、最科学的阶段，也是企业IT架构最终的目的。其最终阶段的实施与企业的内部管理不可分割。换句话说，一个企业的IT管理者的最终目标应该是：1.、提高管理效率；2、降低IT管理成本；3、为业务提供保障。

    有趣的是，AMT咨询合伙人彭一先生提出，作为企业的CIO，在落实安全架构与IT治理过程中必须具备三个素质：相关IT技术（硬件、软件、网络等）、应用软件系统（ERP、CRM、OA）、业务流程（采购、财务等相关的流程）。企业在不同的阶段对IT治理的要求也有非常大的区别，IT治理或相关规范应该满足企业在变动中使其能够平稳地发展。

    四问立场

    治理之路从哪里开始？
 
    据2007年底IDC的研究统计表明，全球差不多有85%的安全或风险问题，都来自于企业的内部。而这些风险很大一部分都是来自于企业内部跟IT相关的管理，也就是说现在越来越多的客户认识到安全管理或防范不只是构建一道外界防御的工具。

    此前IBM全球治理与风险管理的战略总监Kristine Lovejoy在接受采访时透露说，一次她去参观一位用户的数据中心时，工作人员向她开放了自己的全部设备。其中，路由器就放在门口放衣服的地方，没有引起企业的重视。Kristine认为，在一个企业中，员工的信息如果不进行量化，会造成很大的风险，因为他们不知道什么是可以透露的信息，什么是不能泄漏的信息，以及他们的安全级别。

    同样是来自IDC的统计，北美地区80%的CIO认为，企业的安全措施要从头开始。用户采购了很多相关工具，但是他们互相不关联，不集成，应用起来比较复杂。传统的点到点的安全解决方案不再起作用，容易造成数据孤岛和冗余成本，并且复杂性高、资产应用低效。不难看出，当前用户需要一种全新的，基于流程的安全管控方式。

    德勤华永会计师事务所企业风险管理服务经理朱磊表示，信息系统风险管理的驱动因素主要包括了三个方面：1、企业自身业务量的膨胀；2、投资业态的多元化；3、信息化系统对企业运营的影响越来越显著。而风险的最终解决之道，则是提出企业的内部管控由原来的IA（Internal Audit）到IC（Internal Control）。即一个大的企业在各个层面上都有IT的因素。

    有鉴于此，很多企业开始推广全新的端到端安全解决方案。此前网康科技的安全专家表示，企业当前所处的IT计算环境非常复杂，任何局部的、支离破碎的安全技术或方案都不足以应对形形色色的风险问题。企业需要的是由非常先进的产品和技术组成的“端到端”的风险管理解决方案，只有这样才能确保业务数据的安全，并获得对法规遵从性的管控。

    当然，在这个过程中记者无法预期哪一种具体的安全防护是最适合的。比如在以风险导向型的安全架构（SRM）或者以安全运营为导向的架构（SOC），流行程度取决于实际的效果。一般来说，企业的应用环境不尽相同，采用的安全架构也不会一样。

    据Hillstone的安全专家介绍，针对一个企业我们不应该笼统的说哪一种安全架构更加适合它，而是这个企业内部的哪些应用更加适合风险导向型安全架构，哪些应用应该使用安全运营管理中心的方式。两者的充分结合以及充分协同才是企业真正需要的安全架构。

    最后，从企业的内部分析，搭建一套完整的安全架构首先要做的就是根据企业能够承受的风险水平编写企业安全规范。对CIO而言，当自己有了一套可以行之有效的安全规范的时候，自然也就能找到那些需要进行安全加固的地方了。