公共云服务和云应用的日渐普及,为现代企业带来了巨大的商业机会,但也让更多企业的信息安全“防波堤”形同虚设,暴露在一场随时可能到来的信息安全海啸中…
“人”是企业安全最大的漏洞
云计算最典型的大众应用无疑是社交网络,当今最火爆的网络服务如国外有Youtube、Facebook、Twitter、Flickr等,国内有微博、开心网、优酷等。由于社交网络以人际关系为纽带,以实时共享和互动为核心,彻底改变了传统互联网信息广播的单向结构,为黑客实施社会工程学犯罪、乃至商业机构之间的网络谍战提供了绝佳环境。例如,前不久奥巴马在白宫安全顾问的一再督促下,被迫宣布关闭其Youtube账户,奥巴马称Youtube对其隐私构成威胁。
如今,大型企业的员工也大多是社交网络的使用者,这为黑客“人肉”特定企业的员工提供了新的渠道。RSA2011大会上,反黑客专家一致认为黑客已经开始把目光转向大型企业员工,与会专家称之为高级持续性攻击模式,黑客通过企业员工进入企业内部网络,即使企业有再多的防护也没有用。例如黑客曾经给欧盟网络的一名员工的电脑中植入木马,顺利攻陷欧盟27个国家的碳排放交易网络,黑客从中窃取了两千多万欧元交易额,其中捷克损失1870万欧元,奥地利损失700多万欧元。
可以看到,信息安全的成功,对终端用户的依赖越来越大。信息安全管理也需要比以往任何时候更加关注终端用户的安全意识和安全行为。云计算的滔天大浪从未像今天这般迫近,那些呆在海边日光浴的企业必须采取有效行动来自我救赎。是的,云计算本身的安全更多要依靠大型的云计算提供商以及技术合作商,即使大型组织和行业企业开始拥有私有云,但核心的安全技术还是依赖于平台提供商(自从2011年微软的云计算爆出安全漏洞以来,云安全本身也并非万无一失。)
对于企业来说,云安全和终端安全方案的保护伞只能避免“天灾”,但是“人祸”依然是阿喀琉斯之踵。没有布拉德利-曼宁的里应外合,就没有WikiLeaks的“辉煌”;没有针对特定工厂员工的“社会工程学”行动,就不会有“震网蠕虫病毒”(Stunext)的辉煌战果。
随处可见的“裸体公司”
云通讯、云邮件、云存储、云程序等云计算服务,将伴随移动设备的蜂拥而至如狂涛骇浪般冲击企业IT信息安全管理系统,企业内网的“马其顿防线”正在被推倒,传统的重点依靠网络安全技术控制手段来保护公司的关键信息资产的方法面临挑战。每一位CIO和企业信息安全专家,无论所在企业是否主动拥抱云计算,都将面临前所未有的考验:企业围墙已经被推倒,单纯依赖信息安全技术的传统思路不再适用。
索尼公司不久前经历了一次非常严重的黑客事件,其次世代主机PS3的核心密钥被黑客攻破,直接威胁到其每年上亿张正版游戏的销售。21岁的新泽西黑客George Hotz,首次完整破解了PS3主机,他在网站上公布了代码,并在YouTube上演示了越狱。索尼随后采取了全面封杀的做法,该公司律师据称向转贴越狱方法的网站发出了大量DMCA删除通知。但是非常戏剧性的是,索尼公司主管PS3业务的一位高管在黑客“博友”的诱骗下,在自己的twitter账户上“锐推”了这串要命的代码。事后该高管虽然火速删掉了该微博,但早已经被新闻媒体拷屏传播,沦为业界笑谈。在黑客的社交工程伎俩下,即使是信息技术行业的资深人士,也会不经意间犯下大错:轻则泄露商业隐私,重则威胁公司生存。
移动互联网+社交网络的普及,将过去碎片化的人际关系晶体粘合在一起,变成一块块通透的棱镜,大多数的企业、甚至政府机构都即将或者已经成为“赤裸公司”。在实时的,无所不在的信息共享模式下,越来越多的企业发现,花钱购置并部署昂贵的安全系统并不能在云时代换来安全保障,社会化媒体以及公共云计算的使用者——每一位员工,才是如今信息安全治理的问题核心。越来越多的企业发现,防火墙、入侵检测及防御或者安全加密并不能确保他们的关键系统和数据,他们中有些人甚至会认为,这些技术控制纯粹是在浪费金钱,云计算时代网络接入点无处不在,只要有进入系统的权限,人们可以在任何时间,任何地方自由地获取、处理和分享各类机密的商业数据。
以“人”为本的谷安模式
事实反复证明,没有立体化、全方位的信息安全风险管理体系和专业化、系统化的员工安全意识培训,常规的偏重“IT”的信息安全技术方案并不能确保商业组织的信息安全。在这种客户需求的转变中,目前我国的信息安全市场中IT风险管理和咨询服务已经进入快速发展阶段,一些本土厂商经过长期的默默耕耘后已经站稳了脚跟,能够向大型行业企业提供完备的IT风险管理咨询及解决方案。
我国第一家IT风险管理解决方案提供商,深交所ISMS项目的承包商——北京谷安天下科技有限公司总经理李华在接受采访时表示:“狭义的信息安全,只是为了企业信息的保护。但从现代企业管理的角度来说,信息化带来的风险不止是信息安全风险,还包括IT治理风险、IT规划与架构风险、IT项目管理风险、IT基础设施风险、业务持续性风险、IT应用系统风险、IT服务交付风险、IT绩效风险、合规性风险等,共十个大类。”
谷安天下能够在与国外一流信息安全咨询厂商的竞争合作中发展壮大,其商业模式有个三位一体的核心:人员、流程和工具;其中,人的因素被放在了第一位。李华认为整个IT风险控制当中,应当通过培训业务来控制“人”自身带来的风险,而通过咨询来解决企业机制和流程的问题,然后把多年的IT风险管理的最佳实践固化到软件中来形成工具。
谷安模式为身处信息安全海啸中的CIO们提供了一个成功范例:如何站在IT治理这样的战略高度看待IT风险控制,并制定一套适合我国IT风险实际情况和企业自身行业属性与需求的综合性风险管理框架。在此之前,大多数企业的关注重点还只是IT方面,而没有上升到是IT+管理+控制的层面。
