規(guī)劃缺失 “地下”IT盛行

“地下”IT繁衍

一直喜歡在網(wǎng)上購(gòu)物的劉小姐最近被嚇了一跳：她收到了一個(gè)“紅客”的警告，要她立即修改所有密碼，因?yàn)樗W(wǎng)絡(luò)銀行的密碼已經(jīng)被盜。開(kāi)始，劉小姐并不相信，那位“紅客”立馬便列出了她的密碼。原來(lái)，劉小姐中了“木馬”病毒，如果不是得到這位好心“紅客”的相告，幾年的積蓄恐怕很快就被竊取了。其實(shí)與劉小姐有相似經(jīng)歷的網(wǎng)絡(luò)銀行用戶正在逐步增加。

“網(wǎng)銀頻頻遭受網(wǎng)銀大盜、網(wǎng)絡(luò)釣魚(yú)、木馬等病毒的攻擊，主要原因來(lái)自銀行內(nèi)部，”賽門(mén)鐵克公司中國(guó)區(qū)技術(shù)經(jīng)理郭訓(xùn)平說(shuō)，“普遍繁衍的銀行'地下'IT，恐怕是罪魁禍?zhǔn)住薄?/P>

所謂“地下”IT（Shadow IT），并不是一個(gè)嚴(yán)格的學(xué)術(shù)意義上的稱法，一般特指“不在企業(yè)的管轄范圍之內(nèi)，有自己的運(yùn)行系統(tǒng)，并且有自己一套制度，很可能對(duì)企業(yè)的安全基礎(chǔ)設(shè)施造成嚴(yán)重威脅的IT系統(tǒng)”。

以銀行的網(wǎng)絡(luò)安全為例，據(jù)稱，目前沒(méi)有一家銀行擁有統(tǒng)一的安全平臺(tái)，各銀行使用的軟件不同，投入力度不同；即使是在同一銀行的內(nèi)部，其不同機(jī)構(gòu)、不同地區(qū)之間，信息安全產(chǎn)品的投入也不一樣，IT策略也各不相同，從全行角度看，這些系統(tǒng)就是“地下IT”。

“由于目前銀行開(kāi)始聯(lián)網(wǎng)作業(yè)，這種信息安全產(chǎn)品投入的不平衡會(huì)導(dǎo)致病毒流竄，進(jìn)而降低整個(gè)銀行體系的安全系數(shù)?！惫?xùn)平一語(yǔ)中的，雖然，就目前而言，銀行的單個(gè)系統(tǒng)內(nèi)部是安全高效的，但與大系統(tǒng)連接后，根據(jù)“木桶原理”，最短的那個(gè)板將決定整體水平，哪里有“短板”，哪里就成為安全的漏洞，最后甚至危及整個(gè)系統(tǒng)的安全。

“有安全疑慮的'地下'系統(tǒng)可能會(huì)成為整個(gè)企業(yè)系統(tǒng)上的缺口，”美特斯邦威集團(tuán)副總裁王泉庚認(rèn)為，“人們一般可能會(huì)認(rèn)為，數(shù)據(jù)庫(kù)的安全很重要，其實(shí)整個(gè)IT基礎(chǔ)架構(gòu)的外泄才是最具毀滅性的打擊?！庇邪踩蓱]的系統(tǒng)可能會(huì)泄漏架構(gòu)組態(tài)和網(wǎng)絡(luò)設(shè)施的信息；一個(gè)不安全的系統(tǒng)可能會(huì)對(duì)同一網(wǎng)絡(luò)上的所有其他系統(tǒng)造成阻斷服務(wù)攻擊(DoS)的威脅；有安全疑慮的系統(tǒng)背后可能被用來(lái)當(dāng)作機(jī)密信息交流的起始點(diǎn)。

春節(jié)前，名列國(guó)內(nèi)前三強(qiáng)的某乳業(yè)公司副總裁、CIO和部分IT主管前來(lái)美特斯邦威集團(tuán)取經(jīng)，原來(lái)該集團(tuán)的某些分公司和子公司，在集團(tuán)整體IT管理框架之外，繁衍了一些項(xiàng)目，很有一些地下IT的苗頭。

“不要輕視地下IT，它或許就潛伏在你的企業(yè)內(nèi)部?！蓖跞J(rèn)為，其實(shí)相當(dāng)數(shù)量的企業(yè)都存在“地下IT”，只是大家還沒(méi)有意識(shí)到它的威脅而已。

業(yè)務(wù)與IT的矛盾

廣東格蘭仕集團(tuán)有限公司副總經(jīng)理俞堯昌認(rèn)為，從源頭上講，地下IT的誕生基本上都是源于業(yè)務(wù)部門(mén)與IT能力之間的矛盾。而這種情形在快速發(fā)展的企業(yè)中尤為常見(jiàn)。在很多情況下，企業(yè)IT部門(mén)的工作并不能充分滿足業(yè)務(wù)需求，這樣一來(lái)很多業(yè)務(wù)部門(mén)就想辦法來(lái)部署自己的“地下IT”項(xiàng)目。當(dāng)然，格蘭仕集團(tuán)也曾面臨同樣的挑戰(zhàn)。

尤其典型的是，銀行形成盤(pán)根錯(cuò)節(jié)的地下IT，根源恰恰也是因?yàn)闃I(yè)務(wù)的挑戰(zhàn)。郭訓(xùn)平認(rèn)為，各地銀行以往所做的IT項(xiàng)目，大多都是根據(jù)自身業(yè)務(wù)需求而進(jìn)行的，這些IT項(xiàng)目以部門(mén)、項(xiàng)目、產(chǎn)品為中心。從當(dāng)時(shí)看，這些項(xiàng)目?jī)?yōu)點(diǎn)也很明顯：基本上都實(shí)現(xiàn)了快速的投資回報(bào)率，相對(duì)于整個(gè)銀行的規(guī)劃，投資規(guī)模不大，實(shí)施周期短。

“不過(guò)，'地下'作業(yè)同樣也缺少標(biāo)準(zhǔn)，沒(méi)有經(jīng)過(guò)充分的計(jì)劃，對(duì)安全設(shè)計(jì)和開(kāi)發(fā)缺乏充分的理解?！惫?xùn)平認(rèn)為，這些項(xiàng)目沒(méi)有從總行整個(gè)系統(tǒng)的角度來(lái)考慮問(wèn)題，也沒(méi)有跟全銀行的業(yè)務(wù)進(jìn)行協(xié)調(diào)，更缺乏對(duì)數(shù)據(jù)的管理和挖掘利用。這造成到今天為止，國(guó)內(nèi)還沒(méi)有一家銀行有統(tǒng)一的安全管理平臺(tái)。

不僅如此，當(dāng)這些地下系統(tǒng)需要擴(kuò)充的時(shí)候，問(wèn)題就來(lái)了。如今，銀行的運(yùn)作效率已不僅僅取決于單一部門(mén)、單一應(yīng)用水平的高低，而越來(lái)越依賴于不同部門(mén)、不同應(yīng)用的協(xié)同工作，因此必須將已有系統(tǒng)、應(yīng)用、流程以及數(shù)據(jù)有機(jī)地集成，原來(lái)的分散系統(tǒng)就成為銀行系統(tǒng)整合前進(jìn)的沉重“腳鐐”。

及時(shí)發(fā)現(xiàn)，逐步整合

“我們公司絕對(duì)不允許任何形式'地下'IT的存在?！睆V東格蘭仕集團(tuán)有限公司副總經(jīng)理俞堯昌的態(tài)度十分堅(jiān)決。

要及時(shí)發(fā)現(xiàn)和阻斷企業(yè)的“地下”IT，郭訓(xùn)平認(rèn)為從技術(shù)角度看并不困難，最大的難題在于如何對(duì)現(xiàn)有的地下IT進(jìn)行'整編'，尤其是銀行業(yè)規(guī)模龐大的地下IT系統(tǒng)。

據(jù)郭訓(xùn)平介紹，對(duì)于組織內(nèi)小規(guī)模的地下IT，日常通過(guò)主動(dòng)掃描系統(tǒng)和目錄、日志等的摘錄都可以發(fā)現(xiàn)，也都能夠快速得到糾正，譬如系統(tǒng)的設(shè)置、獨(dú)立性和軟件安裝。目前，市場(chǎng)上可供選擇的有效軟件有不少。

“企業(yè)IT系統(tǒng)一定要集中，信息的分散就是資源的分散，沒(méi)有IT整合，業(yè)務(wù)的整合就是一句空話?！泵捞厮拱钔瘓F(tuán)副總裁王泉庚分析道，企業(yè)要消除“地下”IT，就是因?yàn)橄到y(tǒng)分散，數(shù)據(jù)、信息很難集中，導(dǎo)致了效率的低下。

美特斯邦威集團(tuán)對(duì)此很有體會(huì)。在1995～1999年近五年的時(shí)間里，美特斯邦威集團(tuán)的系統(tǒng)是分立的：倉(cāng)庫(kù)、財(cái)務(wù)、分銷各有一套體系，信息不溝通，規(guī)范也不相同。最后企業(yè)不得不重寫(xiě)規(guī)范和程序，才有今天的IT構(gòu)架。王泉庚認(rèn)為，對(duì)地下IT系統(tǒng)的整編會(huì)經(jīng)歷幾個(gè)階段，首先是硬件的整合，然后是數(shù)據(jù)的整合，最后的階段是應(yīng)用的整合。 “當(dāng)企業(yè)意識(shí)到，技術(shù)已經(jīng)制約了業(yè)務(wù)的創(chuàng)新時(shí)候，整合就要開(kāi)始了?！?他說(shuō)。

郭訓(xùn)平也認(rèn)為，業(yè)務(wù)的應(yīng)用集成應(yīng)該是整合的方向，銀行也不例外，企業(yè)的IT只有先以業(yè)務(wù)需求為方向，才能獲得真正的壯大。而在技術(shù)上，可以通過(guò)在中間件基礎(chǔ)上加載開(kāi)發(fā)應(yīng)用來(lái)逐步實(shí)現(xiàn)。

前瞻性的規(guī)劃和規(guī)范

要從根源上解決地下IT，就需要消除地下IT存在的沃土。為此，企業(yè)需要制定前瞻性的IT規(guī)劃和統(tǒng)一的規(guī)范。

“企業(yè)不能缺乏整體前瞻的IT規(guī)劃?！蓖跞J(rèn)為，企業(yè)的IT系統(tǒng)不應(yīng)僅是為了應(yīng)付當(dāng)前業(yè)務(wù)需要出發(fā)，而應(yīng)該預(yù)測(cè)到今后的變化，要具備可拓展性和應(yīng)變的能力。美特斯邦威集團(tuán)本身就是一個(gè)典型例子，近十年來(lái)，美特斯邦威集團(tuán)的銷售額從幾百萬(wàn)發(fā)展到了2004年的28.29億元人民幣，保持了年 80%以上的增長(zhǎng)速度，在這樣的發(fā)展速度下，企業(yè)的IT系統(tǒng)一直都能夠與之非常好的匹配，不會(huì)出現(xiàn)業(yè)務(wù)需求IT無(wú)法響應(yīng)的情況。

“IT的架構(gòu)應(yīng)該與企業(yè)的組織機(jī)構(gòu)、流程相匹配，形成整體的系統(tǒng)應(yīng)變能力。”王泉庚介紹，美特斯邦威集團(tuán)現(xiàn)在實(shí)行的是面向?qū)ο蟮腎T架構(gòu)。

與此同時(shí)，完善的IT規(guī)范必不可少。格蘭仕公司將IT相關(guān)采購(gòu)管理維護(hù)等所有相關(guān)權(quán)利收歸到了集團(tuán)的IT部門(mén)，然后進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一審批、統(tǒng)一配置、統(tǒng)一管理。這意味著，即使出現(xiàn)暫時(shí)的IT與業(yè)務(wù)能力不匹配的情況，業(yè)務(wù)部門(mén)也不能自行開(kāi)展IT項(xiàng)目，這基本消除了誕生地下IT的可能。

作為全球最大的安全軟件企業(yè)，賽門(mén)鐵克公司對(duì)自身的安全更是不敢掉以輕心。除了全球統(tǒng)一的IT配置、規(guī)范和遠(yuǎn)程監(jiān)控模式，員工的機(jī)器只要連到內(nèi)部網(wǎng)絡(luò)，任何違反規(guī)定的行為，譬如安裝軟件、私自上網(wǎng)都可以在第一時(shí)間被發(fā)現(xiàn)。

賽門(mén)鐵克公司的安全管理，也以嚴(yán)格、嚴(yán)厲而在業(yè)內(nèi)聞名。假設(shè)一名員工通過(guò)電話撥號(hào)進(jìn)入互聯(lián)網(wǎng)，系統(tǒng)在兩分鐘內(nèi)，就會(huì)給該員工發(fā)送消息，同時(shí)強(qiáng)制斷網(wǎng)。警告的消息會(huì)抄送給該員工的上級(jí)主管，同一名員工只要出現(xiàn)兩次這樣的狀況，馬上就會(huì)被公司開(kāi)除。因?yàn)閱T工繞過(guò)了公司的安全監(jiān)測(cè)系統(tǒng)登陸公共網(wǎng)絡(luò)，機(jī)器的另一端卻連接在公司網(wǎng)絡(luò)，這意味著他把公司的網(wǎng)絡(luò)接口暴露到了公共網(wǎng)絡(luò)上，很容易成為惡意攻擊的缺口。同時(shí)，IT部門(mén)需要及時(shí)更新安全策略和規(guī)范，并組織員工進(jìn)行培訓(xùn)，務(wù)必使員工認(rèn)識(shí)到IT規(guī)范對(duì)公司安全的重要性。如果觸犯，必定要遭受懲罰。

郭訓(xùn)平還認(rèn)為，發(fā)生安全事件以后，對(duì)事件的及時(shí)了解、收集、響應(yīng)也非常重要。很多地、市級(jí)銀行在發(fā)生安全問(wèn)題時(shí)，經(jīng)常手足無(wú)措，只好通過(guò)電話向總行匯報(bào)，這樣不僅反映速度慢，而且也無(wú)法將損失降到最低。

先有作為，然后才有地位

即便有了嚴(yán)厲的IT規(guī)范和規(guī)劃，能否得到有效貫徹依然是個(gè)難題。這恰恰也是一些企業(yè)的苦衷。他們制定了IT規(guī)劃和相關(guān)的管理規(guī)定，但地下IT卻依然“猖狂”。

賽門(mén)鐵克公司可以因?yàn)閱T工的地下IT行為而開(kāi)除員工，或者斷網(wǎng)，但是在別的企業(yè)能夠這樣執(zhí)行嗎？

畢竟，從某些程度來(lái)說(shuō)，IT的安全跟企業(yè)的效率是對(duì)抗的。企業(yè)運(yùn)行安全軟件時(shí)，系統(tǒng)的效率降低50%并不是什么稀罕的事情。對(duì)于個(gè)體的員工而言，每次登陸都需要輸入十位密碼，下載資料都需要系統(tǒng)批復(fù)，畢竟是一件麻煩事。所以嚴(yán)格的IT制度和規(guī)范往往會(huì)引起員工的反感和抗拒，最后不了了之，最終導(dǎo)致地下IT繁衍。

“這需要領(lǐng)導(dǎo)的重視，把企業(yè)信息安全看成是企業(yè)的第一要事?！惫?xùn)平認(rèn)為賽門(mén)鐵克公司的IT安全能夠得到保證，主要是因?yàn)橛泄靖邔拥闹С?。有領(lǐng)導(dǎo)的重視，就可以有相應(yīng)的投入，可以迅速發(fā)現(xiàn)地下IT和其他違反規(guī)定的行為；因?yàn)橛蓄I(lǐng)導(dǎo)重視，IT人員才能夠得到授權(quán)，敢于當(dāng)機(jī)立斷，嚴(yán)肅處理違規(guī)事件。

沒(méi)有廠房，沒(méi)有先進(jìn)的生產(chǎn)流水線，總部只是幾間業(yè)務(wù)洽談室和一些電腦，美特斯邦威集團(tuán)卻做到了30多億的年銷售額。IT為美特斯邦威集團(tuán)支撐并創(chuàng)造了“虛擬經(jīng)營(yíng)”模式。王泉庚帶領(lǐng)的IT部門(mén)，已經(jīng)成為企業(yè)的核心部門(mén)，除了IT部門(mén)，王泉庚同時(shí)還負(fù)責(zé)企業(yè)采購(gòu)、物流等多項(xiàng)核心業(yè)務(wù)。

“先有作為，然后才有地位?！蓖跞偨Y(jié)道。當(dāng)IT從成本中心轉(zhuǎn)化為利潤(rùn)中心時(shí)，遏制地下IT就會(huì)成為公司的共識(shí)。

邊欄：鏈接