“人”是企業(yè)安全最大的漏洞

    云計(jì)算最典型的大眾應(yīng)用無疑是社交網(wǎng)絡(luò)，當(dāng)今最火爆的網(wǎng)絡(luò)服務(wù)如國外有Youtube、Facebook、Twitter、Flickr等，國內(nèi)有微博、開心網(wǎng)、優(yōu)酷等。由于社交網(wǎng)絡(luò)以人際關(guān)系為紐帶，以實(shí)時(shí)共享和互動為核心，徹底改變了傳統(tǒng)互聯(lián)網(wǎng)信息廣播的單向結(jié)構(gòu)，為黑客實(shí)施社會工程學(xué)犯罪、乃至商業(yè)機(jī)構(gòu)之間的網(wǎng)絡(luò)諜戰(zhàn)提供了絕佳環(huán)境。例如，前不久奧巴馬在白宮安全顧問的一再督促下，被迫宣布關(guān)閉其Youtube賬戶，奧巴馬稱Youtube對其隱私構(gòu)成威脅。

    如今，大型企業(yè)的員工也大多是社交網(wǎng)絡(luò)的使用者，這為黑客“人肉”特定企業(yè)的員工提供了新的渠道。RSA2011大會上，反黑客專家一致認(rèn)為黑客已經(jīng)開始把目光轉(zhuǎn)向大型企業(yè)員工，與會專家稱之為高級持續(xù)性攻擊模式，黑客通過企業(yè)員工進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)，即使企業(yè)有再多的防護(hù)也沒有用。例如黑客曾經(jīng)給歐盟網(wǎng)絡(luò)的一名員工的電腦中植入木馬，順利攻陷歐盟27個(gè)國家的碳排放交易網(wǎng)絡(luò)，黑客從中竊取了兩千多萬歐元交易額，其中捷克損失1870萬歐元，奧地利損失700多萬歐元。

    可以看到，信息安全的成功，對終端用戶的依賴越來越大。信息安全管理也需要比以往任何時(shí)候更加關(guān)注終端用戶的安全意識和安全行為。云計(jì)算的滔天大浪從未像今天這般迫近，那些呆在海邊日光浴的企業(yè)必須采取有效行動來自我救贖。是的，云計(jì)算本身的安全更多要依靠大型的云計(jì)算提供商以及技術(shù)合作商，即使大型組織和行業(yè)企業(yè)開始擁有私有云，但核心的安全技術(shù)還是依賴于平臺提供商（自從2011年微軟的云計(jì)算爆出安全漏洞以來，云安全本身也并非萬無一失。）

    對于企業(yè)來說，云安全和終端安全方案的保護(hù)傘只能避免“天災(zāi)”，但是“人禍”依然是阿喀琉斯之踵。沒有布拉德利-曼寧的里應(yīng)外合，就沒有WikiLeaks的“輝煌”；沒有針對特定工廠員工的“社會工程學(xué)”行動，就不會有“震網(wǎng)蠕蟲病毒”（Stunext）的輝煌戰(zhàn)果。

    隨處可見的“裸體公司”

    云通訊、云郵件、云存儲、云程序等云計(jì)算服務(wù)，將伴隨移動設(shè)備的蜂擁而至如狂濤駭浪般沖擊企業(yè)IT信息安全管理系統(tǒng)，企業(yè)內(nèi)網(wǎng)的“馬其頓防線”正在被推倒，傳統(tǒng)的重點(diǎn)依靠網(wǎng)絡(luò)安全技術(shù)控制手段來保護(hù)公司的關(guān)鍵信息資產(chǎn)的方法面臨挑戰(zhàn)。每一位CIO和企業(yè)信息安全專家，無論所在企業(yè)是否主動擁抱云計(jì)算，都將面臨前所未有的考驗(yàn)：企業(yè)圍墻已經(jīng)被推倒，單純依賴信息安全技術(shù)的傳統(tǒng)思路不再適用。

    索尼公司不久前經(jīng)歷了一次非常嚴(yán)重的黑客事件，其次世代主機(jī)PS3的核心密鑰被黑客攻破，直接威脅到其每年上億張正版游戲的銷售。21歲的新澤西黑客George Hotz，首次完整破解了PS3主機(jī)，他在網(wǎng)站上公布了代碼，并在YouTube上演示了越獄。索尼隨后采取了全面封殺的做法，該公司律師據(jù)稱向轉(zhuǎn)貼越獄方法的網(wǎng)站發(fā)出了大量DMCA刪除通知。但是非常戲劇性的是，索尼公司主管PS3業(yè)務(wù)的一位高管在黑客“博友”的誘騙下，在自己的twitter賬戶上“銳推”了這串要命的代碼。事后該高管雖然火速刪掉了該微博，但早已經(jīng)被新聞媒體拷屏傳播，淪為業(yè)界笑談。在黑客的社交工程伎倆下，即使是信息技術(shù)行業(yè)的資深人士，也會不經(jīng)意間犯下大錯(cuò)：輕則泄露商業(yè)隱私，重則威脅公司生存。

    移動互聯(lián)網(wǎng)+社交網(wǎng)絡(luò)的普及，將過去碎片化的人際關(guān)系晶體粘合在一起，變成一塊塊通透的棱鏡，大多數(shù)的企業(yè)、甚至政府機(jī)構(gòu)都即將或者已經(jīng)成為“赤裸公司”。在實(shí)時(shí)的，無所不在的信息共享模式下，越來越多的企業(yè)發(fā)現(xiàn)，花錢購置并部署昂貴的安全系統(tǒng)并不能在云時(shí)代換來安全保障，社會化媒體以及公共云計(jì)算的使用者——每一位員工，才是如今信息安全治理的問題核心。越來越多的企業(yè)發(fā)現(xiàn)，防火墻、入侵檢測及防御或者安全加密并不能確保他們的關(guān)鍵系統(tǒng)和數(shù)據(jù)，他們中有些人甚至?xí)J(rèn)為，這些技術(shù)控制純粹是在浪費(fèi)金錢，云計(jì)算時(shí)代網(wǎng)絡(luò)接入點(diǎn)無處不在，只要有進(jìn)入系統(tǒng)的權(quán)限，人們可以在任何時(shí)間，任何地方自由地獲取、處理和分享各類機(jī)密的商業(yè)數(shù)據(jù)。

    以“人”為本的谷安模式

    事實(shí)反復(fù)證明，沒有立體化、全方位的信息安全風(fēng)險(xiǎn)管理體系和專業(yè)化、系統(tǒng)化的員工安全意識培訓(xùn)，常規(guī)的偏重“IT”的信息安全技術(shù)方案并不能確保商業(yè)組織的信息安全。在這種客戶需求的轉(zhuǎn)變中，目前我國的信息安全市場中IT風(fēng)險(xiǎn)管理和咨詢服務(wù)已經(jīng)進(jìn)入快速發(fā)展階段，一些本土廠商經(jīng)過長期的默默耕耘后已經(jīng)站穩(wěn)了腳跟，能夠向大型行業(yè)企業(yè)提供完備的IT風(fēng)險(xiǎn)管理咨詢及解決方案。

    我國第一家IT風(fēng)險(xiǎn)管理解決方案提供商，深交所ISMS項(xiàng)目的承包商——北京谷安天下科技有限公司總經(jīng)理李華在接受采訪時(shí)表示：“狹義的信息安全，只是為了企業(yè)信息的保護(hù)。但從現(xiàn)代企業(yè)管理的角度來說，信息化帶來的風(fēng)險(xiǎn)不止是信息安全風(fēng)險(xiǎn)，還包括IT治理風(fēng)險(xiǎn)、IT規(guī)劃與架構(gòu)風(fēng)險(xiǎn)、IT項(xiàng)目管理風(fēng)險(xiǎn)、IT基礎(chǔ)設(shè)施風(fēng)險(xiǎn)、業(yè)務(wù)持續(xù)性風(fēng)險(xiǎn)、IT應(yīng)用系統(tǒng)風(fēng)險(xiǎn)、IT服務(wù)交付風(fēng)險(xiǎn)、IT績效風(fēng)險(xiǎn)、合規(guī)性風(fēng)險(xiǎn)等，共十個(gè)大類。”

    谷安天下能夠在與國外一流信息安全咨詢廠商的競爭合作中發(fā)展壯大，其商業(yè)模式有個(gè)三位一體的核心：人員、流程和工具；其中，人的因素被放在了第一位。李華認(rèn)為整個(gè)IT風(fēng)險(xiǎn)控制當(dāng)中，應(yīng)當(dāng)通過培訓(xùn)業(yè)務(wù)來控制“人”自身帶來的風(fēng)險(xiǎn)，而通過咨詢來解決企業(yè)機(jī)制和流程的問題，然后把多年的IT風(fēng)險(xiǎn)管理的最佳實(shí)踐固化到軟件中來形成工具。

    谷安模式為身處信息安全海嘯中的CIO們提供了一個(gè)成功范例：如何站在IT治理這樣的戰(zhàn)略高度看待IT風(fēng)險(xiǎn)控制，并制定一套適合我國IT風(fēng)險(xiǎn)實(shí)際情況和企業(yè)自身行業(yè)屬性與需求的綜合性風(fēng)險(xiǎn)管理框架。在此之前，大多數(shù)企業(yè)的關(guān)注重點(diǎn)還只是IT方面，而沒有上升到是IT+管理+控制的層面。