安全规划不能纸上谈兵

系统安全风险规划早已不是什么新鲜话题了，但企业的系统安全真的规划好了吗?结果却差强人意。很多情况下，只有在安全隐患真正爆发的时候，CIO才能够真正确定自己的防范措施做得是否到位。

安全规划不能纸上谈兵: 问题 PROBLEM

2005年夏天，一场突然袭来的雷电使得真维斯的系统遭受到巨大的冲击，也给IT部门提出了前所未有的挑战。窗外暴风雨在肆虐，天空黑压压的一片，闪电不时划过天空。此时，真维斯的CIO钱治航正坐在办公桌前翻看资料，对于窗外的一切，他异常平静。对于从小在广东长大的钱治航来说，这样的暴风雨早就习以为常。

紧接着，一道闪电袭来，整个窗外亮起来，犹如点起一盏巨大的探照灯。突然，办公桌前的电脑意外关机，钱治航心里一沉，紧接着电话响起。原来，雷电击中了大楼，并迅速通过网线传播，网卡根本不能够承受高电压的负荷。整栋大楼被雷电击中的一侧，全部电脑不管是关机还是开机都严重损坏。这对于业务高度依赖电脑的真维斯来说，是一次沉重的打击。

此时，钱治航的心情极为沉重，钱治航自问道：“该怎么办?”150多台电脑全部瘫痪，业务又不能间断，电脑短时间内不可能恢复。一系列棘手的问题摆在钱治航面前。在钱治航的职业生涯中，遇到这样的危机并不是第一次。2008年4月7日，真维斯的系统遭受大规模外部攻击，黑客攻击核心系统，并将病毒植入系统中，导致应用终端出现异常。

真维斯的外网中断一个多小时。在被调查的企业中，绝大多数企业都没有整体进行系统安全风险规划，有的只是个别、局部实施了安全措施，针对不同的应用系统有着不同的应对措施，没有整体、全面的规划方案。有的企业更是缺少应急预案，一旦突发事故，措手不及。甚至一些企业的IT主管在如何进行系统安全规划时也是一片茫然。

安全规划不能纸上谈兵: 解决 SOLUTION

2005年的雷击，使得真维斯150多台电脑损坏，但钱治航立即启动备用电脑预案，所有的IT人员立即更改线路和网络设置，使得座位上的每位员工可以使用任何一台备用电脑来办公。“损坏的电脑可以慢慢去修。”钱治航说，“在最短时间内恢复系统正常运行是第一要务。”2008年4月7日发生黑客攻击事件后，钱治航在了解原因后立即切断外网，并启动另外一台服务器工作。在不到一小时内所有的系统恢复正常，业务没有受到严重影响，损坏的服务器也在短时间内得到了修复。

在应对突发的系统故障时，真维斯的反应速度之所以这么快，在于之前他们拥有一套完善的系统安全体系。真维斯自己对系统安全设定了等级，钱治航自豪地称之为：“系统健康表。”钱治航给系统分成三个等级，红色表示紧急、黄色代表预警、绿色则象征系统正常。真维斯每天都会对系统进行检查、评估，每天都会出一张“健康表”。

当存储容量超过90%时，则认为是红色紧急;在80～90%时，表示黄色预警。钱治航介绍道，一旦处于黄色预警状态，就要求各个小组去检查全国各地门店的存储资源应用状况。总部一般要求门店存储3年内的的资料，一旦超过这个期限，就需要定期对这样的门店进行资料清洗。钱治航说：“不管任何设备，只要处于黄色预警状态时，就会立即采取措施。一旦发现是容量不够的问题就会扩容。”

真维斯对于服务器的“健康考核”更为细致，指标多达100多项。任何一台服务器只要出现黄色预警状态，都要立即检查或者使用备用服务器。经过多年的“健康表”体制，钱治航认为最棘手的设备是VPN网络，只要一有问题就会处于红色紧急状态。因为线路的故障往往是突发的，不像其他IT设备，会有一个渐变的过程。在日常工作中，真维斯都会有40台服务器处于备用状态，以应对突发事件。

真维斯多年前就已经建立了应急预案机制。自己内部有专门的系统应变小组。他们将日常系统安全问题由A到I分成9种情况，并对不同情况制定出不同的应急方案。在灾备方面，真维斯建立了自己的操作系统灾备、数据灾备、应用系统灾备，以及原始代码、原始资源的灾备等。其中，除了操作系统灾备是人工备份外，其余都是自动备份。

作为真维斯的总公司(旭日集团)有90%以上业务是电子系统操作完成的。系统安全规划与企业的信息化依赖程度直接相关。随着对信息化依赖程度的增加，对系统安全提出更高的要求，钱治航本人也将面临新的挑战。温州银行在2004年自己制定了《信息系统风险管理指引》，对系统安全划分了五个领域，并针对不同级别有不同的管理规范以及应急预案。据温州银行信息科技部经理吴文忠介绍，温州银行信息系统安全的五个领域分别是：用户办公系统网络;内部管理系统;第三方链接系统;外围生产系统;核心系统。同时制定了信息系统分级保护策略，不同级别制定不同的安全措施。

根据银监会的要求，温州银行制定各信息系统突发事件专项预案，个别预案已完整覆盖了应急场景。在基础设施应急预案中，温州银行在全国多个省市有自己的灾备中心。在未来，温州银行在系统安全建设上希望能够有所改进。吴文忠认为：“系统安全应急，是未来工作的重点。”目前温州银行并没有引进ITIL，吴文忠希望能够在引进ITIL之前，找出可能存在的系统风险问题，再根据ITIL来具体实施。

内蒙古伊利集团信息工程部总经理王晓刚告诉记者，伊利并没有专门针对系统安全制定具体的规划，但是会根据不同的业务系统、不同的项目，制定不同的系统安全策略。目前伊利经常出现的安全问题来自网络方面，尤其是外网经常遭受病毒的攻击。

安全规划不能纸上谈兵: 挑战 CHALLENGE

谈到系统安全规划，真维斯的钱治航认为，目前真维斯系统安全处理的自动化程度不够。“希望安全能够变成日常的工作，而不是专门需要制定的。”希望员工在处理日常业务系统的同时，就能够自动处理安全问题。

安全的自动化程度不高，导致真维斯的IT人员需要亲自到故障现场进行维护。例如，真维斯只完成了单据凭证录入的自动化，但没有进行自动备份历史记录。钱治航准备引入电脑操作系统里的集合机制，能够将数据恢复到任何一个历史阶段，将IT自动化、数据集合机制以及与业务融合在一起。

在安全问题上，钱治航认为硬件与网络的安全防治是可知的，而企业内部人员意识上的安全是看不到的，是无形的安全隐患。尤其当企业的信息化建设达到一定程度时候，系统安全问题越凸显。真维斯所有的应用系统都是自己开发的，钱治航认为会有很多问题是自己看不到的，这些潜在的安全隐患犹如一枚隐形炸弹，随时都有爆炸的可能。

此外，企业内部人员安全意识淡化。如何来规范员工日常的网络行为、营造安全的系统环境，也是长期困扰钱治航的问题。同样，伊利的王晓刚也指出，安全的最大隐患在于企业内部。“系统安全由谁来管，谁就是最大的危险点，因为一旦系统管理出了问题的话，它的危险性是最大的。”对于来自外部的威胁，王晓刚并不担心。

因为伊利所有业务应用都借助企业VPN，在重要数据传输的安全性上是有保障的。不同于其他企业，中国进出口银行信息安全人员段永红告诉记者，虽然目前进出口银行已经对系统按照银监会的要求划分了五个级别，但是对定级过后下一步的具体实施，一片茫然。过去每家银行都会制定系统安全规划，各自有自己的一套应对措施。虽然要求统一定级，但是对整个行业的系统安全体系布局设有明确的实施细则以及统一说明，段永红认为这是他工作上最大的问题。

中国联通信息化部规划应用处经理田光辉对于信息系统安全的规划也有很多迷茫。中国联通的系统安全也是根据具体的业务项目来局部实施的，没有形成统一的规划。未来的系统安全应该如何来建，田光辉也有诸多疑问，认为完全没有一个范本或者统一的要求来做参考，具体未来的规划怎样，田光辉也在思考与探索中。

安全规划不能纸上谈兵: 未来 FUTURE

真维斯自2006年开始就已经研究ITIL，并根据自身系统的实际情况进行了相关的修改，明确哪些地方需要加强，哪些地方进行调整。在未来，钱志航希望能够利用ITIL增强系统应急处理能力。

未来的安全风险预防，钱志航希望能够不出现黄色预警，系统安全始终维持在绿色正常状态。“现在IT预防很被动，只有当系统出现黄色预警的时候，我们才能被动地采取措施，这时手头的一切工作都要搁置。”钱治航显出些许无奈。未来，钱志航希望能够把所有的隐患都提前处理，最好在采取行动之前就能得知是否会出现黄色预警。

谈到未来应用ITIL的问题上，钱志航强调一定要仔细估算好ITIL的投入产出问题。是否全部引入ITIL，对真维斯来说代价太大了。未来可以尽可能地设想潜在的问题，提前准备多套应急预案，来应对业务上的突变。