东软IT风险管理之道：人人参与、共同维护

——访东软NetEye网络安全产品营销中心技术总监 曹鹏

如今，随着全球化的业务大集中、数据大集中趋势，IT越来越渗透到企业运营的每一个环节与流程。与此同时，IT也成为企业业务运营面临的主要风险之一。

虽然，不少企业从自身长远发展的角度出发，也已认识到需要采取更加有效的措施，来保护业务运营并提供出色的IT日常可用性，但是很多企业中的IT管理者们往往被各种各样的因素困扰。他们有的虽然意识到自己正面临的潜在风险，并且对风险有着较为深入的认识，但是由于成本或者其它因素的限制，总是无法圆满地解决这些问题。

另一些企业由于业务模式过于复杂，以至于IT部门虽然感知到风险的存在，但根本无从知道风险究竟在何处，何时会爆发，也不知道如何对潜在风险进行管理。

那么，企业IT管理者应当如何清晰地了解潜在风险、需求和相应的投资额度，又如何有效规避风险呢?带着这些问题，kaiyun体育官方人口 走访了东软NetEye网络安全产品营销中心技术总监曹鹏先生，让他给我们详细的谈一下东软的“IT风险管理之道”。

东软NetEye网络安全产品营销中心技术总监 曹鹏（kaiyun体育官方人口 配图）

记者：金融风暴使全球企业所处的环境都发生了剧烈的变化，请问在这种外部环境的变化下，企业的安全生态环境有着怎样的变化？

曹鹏：金融危机和信息安全本身并没有一个直接的关系，我们可以这么看这个问题，由于金融危机导致了大家对于IT基础设施的投入慢了很多，这就会影响到企业对信息安全的投入。

在国内，像政府、金融、电信，这些垄断性的行业对于信息安全的投入有一个固定的量，但是很多其它的企业对于信息安全的投入本来就不多。我认为，由于这次金融危机，反而让很多企业的IT部开始认真审视信息化的投入分配问题。

在金融危机的情况下，我走访过一些广东的制造业企业，尤其一些家电企业，我曾问过他们在金融危机的情况下，信息安全的投入是否有减少。据我目前所了解到和掌握到的一些情况，大多数企业在这一块的投入其实没有减少，而且还很愿意去做。但是必须承认，其它信息化的投入预算还是有所减少的。

记者：他们以往在信息安全方面投入比较少，是因为意识不足吗？

曹鹏：我也在企业待过很长时间，在企业里面你所花的每一分钱都是自己辛苦赚取的利润，所以在投入的时候很少去建一些暂时看不到成效的东西。

一般来讲，企业只有在需要解决某些问题，改善某些环境时，才会去做一些投入。如果这个企业在过去的一段时间里，没有出现一些特别明显的、有关信息安全方面的事故，那么，这个企业的领导人就不会把钱投到这个他不能直接看得到利润和回报的项目上。

在过去的几年时间里，企业对信息化的投入日益加强，到了08年，我们可以看到大部分企业都是信息化的工作模式。这个时候，企业会突然发现，其实信息安全方面是很重要的，是企业立足的保证。企业用信息化网络做生产、营销，一旦网络发生了问题，使得整个生产、营销或者物流配送系统等都不可运行了，那么，他们的损失是每一秒钟都可以看得到的。

近几年我们可以看到一个趋势，企业从传统的看重信息化基础建设，轻信息安全投入，已经开始向重视信息安全转变了。所以我认为，从金融危机开始，企业对于信息安全的投入和他们的意识并没有减少。

举一个例子，比如你是全球最大的一个电风扇的生产厂商，你要知道，当你做到全球最大的时候，你的核心竞争力来自哪里？这就不来自于你电风扇的扇页了，也不来自于你的那个杆了，它这些东西都可以外包出去，交给更小的厂去生产，这个时候你的竞争力就变成了电风扇那个核心的电机轴。如果能运行的更安静、更省电、更节能，那么你的下一代电风扇就更有竞争力。

这就让很多家电企业发现，他们的核心竞争力是一种技术，而不是说我有多少人，我有多大的厂房。这种技术用什么形式来存在呢，就存在他们研究院研究人员的设计图纸上，这些图纸一定是经过很多人的呕心沥血才制作出来。过去经常出现这种情况，设计图纸制作好了之后，产品刚一推出市场，就不小心把图纸泄露了。一些小厂仿了他们的图纸，做出一模一样的东西，也拿出来推向市场了，成本一定比他要便宜很多，因为没有研发成本。

这种事情对一个家电巨头来讲，如果一年发生三四次，对它的打击肯定是非常大的，因为在技术没有优势的时候，他们要迫不得已去打价格战。很多企业的领导者已经充分意识到这个问题，信息安全其实最后防护的是企业的信息资产。今天企业所有的核心竞争力，都可以用信息资产的方式来标记，那么这些东西就直接关乎到企业的生命线。要想把这些做好，信息安全的投入方面就不能像以前一样，今年有钱我就投一些，明年没钱我就不投，这种模式叫无关痛痒的项目。现在我们应该充分的意识到，信息安全不是无关痛痒的项目，它应该是必须要去做的，而且刻不容缓的要去做的。

记者：企业在IT风险管理方面都有哪些方面的需求？

曹鹏：企业对于安全的管理应该来自于几个层面。

一个是基础层面。基础层面是指必须要有基础的安全产品，必须要做一些基础的保证。像恶意代码方面的防病毒、网络层的网络控制、违规行为的检测、流量的监控分析、操作行为的控制以及终端桌面安全等等，这些可以看成是产品层面的，可以通过采购产品来完成。

另外，还有一个层面来自于能给企业提供服务的合作伙伴。比如广东一些家电企业，尤其是一些生产制造业的企业，他们的人数可以达到几万人，甚至数万人之多，电脑也很多，这是一个相当大的网络，对于这么大的网络运维来讲，它还有一个安全服务的需要。它需要引进一些先进的信息安全管理的经验和手段，这方面的方法就是引进一个大的公司和它一起来做。信息安全防护的水平和能力一定不是传统企业的强项所在，因为这个一开始不是企业核心的生命线和竞争力，都是近两年发展起来的，所以他们要想在短时间内快速的把这块做好、做完善，就很需要引进一些好的合作伙伴，一些好的安全服务的公司来帮他们做一些服务，帮他们搭建和完善一些东西。

这样企业就会有产品和服务两个环节的需求。

记者：现在企业在IT风险管理方面比较被动，一般是出现风险再管理，怎么能变被动为主动？

曹鹏：出现了问题再解决，这个其实不只是企业的问题，我们国家包括政府单位一直都是这个问题，只有出了事，有所触动了，才会去解决。最近几年信息安全方面几乎每年都会发生一些波及面很大的严重事件，已经触动很多人了，企业的领导者已经意识到需要建一个安全防护体系，来防范信息安全事件总是不断的持续发生。

目前，大部分企业不再像以前了，已经有很多企业意识到，不能再等企业出事去当救火队，应该变被动为主动了。

信息安全里面有这样一句话“越早投入，见效越好，投入的资金也越少”。建IT是个成本，如果你想节省点成本，万一你的网络当机了，你再想怎么投入，你断网的每一秒钟都可以看得到损失，你的损失是非常大的，而且你后期的投入一点也不少。但是如果你提前去投入，其实你的投入资金是很少的，而且可以避免很多问题，见效也比较好。所以，从成本方面考虑来讲，越早投入信息安全建设，你的成本就越少。

企业做信息安全肯定也非常注重时效性，做一些太虚的东西，不切合实际也不行，所以我们可以按照一些体系的方法去建设。

这些年我们国家也发了很多关于信息安全建设方法的标准制度和法律法规，这些都可以在建设过程中重点参考的。前段时间我跟一些大厂的领导去谈，他们都有疑问，一谈起来好像每个环节都有问题，感觉要做的地方太多了，不知道应该从什么地方开始着手。

我建议可以从两个方面来看：第一，从网络层面来看。一开始肯定要先解决网络层基础的问题，例如网络边界防护控制审计等，然后逐步上升到应用层系统的问题解决。第二、从安全项目操作来看。企业如果想做信息安全的话，做一次全面的安全风险方面的评估是很必要的。需要通过风险评估识别重要的信息系统，找出每一个信息系统上有可能会出现的安全隐患，找出这些脆弱的地方有可能发生风险的概率是多少，然后按照风险列出轻重缓急，清楚应该先做哪个，后做哪个。这个可以请一些大的信息安全方面的供应商或者是安全厂商，好好梳理一下企业当前的安全现状，不要盲目的去上一些产品。

记者：既然风险评估这么重要，那么企业应该如何快速的进行风险的评估与评级呢？

曹鹏：企业的风险评估我不认为快速是否关键，我觉得要做到全面与周到才是比较重要。

企业做风险评估可以从几个方面着手，因为现在的企业资产是很多的，如果终端有一万台的PC话，再加上服务器、存储等等，将是个非常庞大的网络，这么大的网络如果你想面面俱到，每一个环节都做到评估，这个比较困难。所以，第一你要先划出你的安全域。可以先把企业内的设施分成几个安全域，比如内部服务器就叫做内部重要服务器区域；终端接入域可能会分为两个级别：一个是核心生产方面的一些接入域，如OA、财务等等；然后还有核心骨干的域等等。

分好之后，再按照资产的重要性进行识别。网络骨干一定是核心、最关键的，因为骨干一瘫痪，所有的应用服务都要断掉。然后再看服务器区域，所有的应用服务和重要企业生产数据都在这个区域，我们要来看看这个区域有什么隐患。最后再看看终端的接入，以及各个区域之间的网络与信息边界怎么样，就是把以前的单一看资产个体换成域的概念去看。

查看的时候，在服务器域里面可以用抽样的技术。服务器区域有两百台机器，如果你想快速的去看有什么问题的话，应该先找几个关键点，几个关键的部分，以小见大。可以随便找两台服务器，让它工作一段时间，看看有没有明显的问题，如果有的话，你可以以小见大，估计或者推算一下整个网络中安全隐患的一个状况。

记者：评估出风险之后，应该怎么将管理与评估的结果相结合？

曹鹏：本身来讲，管理的过程就包含的评估，这两个并不是一个完全分开的概念。

管理主要是管理什么？只有一个，就是要管控住风险。风险的管理就是要在风险刚刚冒出苗头的时候，发现它，然后再控制住它。

我们从来不说消灭风险，因为风险是永远消灭不了的，这个世界上也没有零风险的概念，只有发现和控制。要想发现和控制风险，一开始就要先进行评估，找出问题来。一个企业可能会找出一百个问题，或者更多，我们不可能把所有的问题都很完美的解决，这也是做不到的，因为人力的投入太大了。

所以，要先识别出哪些是刻不容缓的，是必须解决的。比如你的口令是12345，这种口令就太简单，很容易被人篡改，是必须要改掉的。如果说某个企业没有做异地灾备，一旦本地发生一些大的像地震之类的灾害，企业的数据很可能就会没有。这个问题的发生概率很低，企业做异地灾备的成本也可能很高，那么我们就可以先把这个风险识别出来，看看能不能做一些后续的应急响应计划，用一些其它的手段来缓解一下这个问题。所以管理与评估的关系是，管理中包括评估，评估风险、发现问题是管理的第一个重要环节，一旦发现问题，我们要马上转移到第二个环节，就是把它控制住。

记者：企业在进行IT风险管理的时候，正常的流程应该是评估、发现问题、找出解决方案、控制、然后持续的监督。这样来说，企业内的监视与响应机制就十分重要，那么企业应该怎么建设监视与响应机制，才可以让他们及时发现问题并快速采取相应措施？

曹鹏：这一块其实是近两年一个最有意思的话题，也是大家最愿意去讨论的一个话题。一个是监控，另一个就是做出响应。

监控和响应这件事情本身并不难，比如我发现这台服务器有问题了，我去把它解决，这个事情没有太大的复杂性，那么难在什么地方呢？如果让一个管理员管五百台服务器，这五百台服务器分布在不同的区域，可能在不同的机房，甚至在物理的位置上会相隔几百公里，而且领导还说了，不是一个人专人专职，这个管理员本身还有很多其它的工作，这仅是他工作的一项内容而已。如果这样子要求一个人去做的话，不要说五百台了，一百台可能他也管不过来，也可能二十台就把他累的够呛。

目前，有很多企业还是比较习惯于把企业网络的监控，发现问题、解决问题的工作交给某一个人。比如交给小张，这是你的事，你把它做完就可以，但是领导可能没有意识到小张可能没有这个能力，也可能没有这个精力，你就算把他累死，他也干不完，不过传统情况下，企业对于这些的关注度并不够。

信息安全其实最大的一部分内容就是监控，随时响应。因为控制体系建好之后不需要经常变化，日常工作就是监控和响应，而且这也代表了信息安全大部分的内容。监控和响应传统情况下都专人专职来做，这样的效果肯定不好，因为现在信息系统飞速的膨胀，而人员的配套是做不到那么快速度的。

在这种情况下该怎么办？这就需要用一种手段，或者一种技术在人和机器之间搭建一个桥梁。现在东软正在帮国内一些单位做一套系统叫“IT综合运维管理平台”，这个平台主要实现的功能就是可以收集我们所有搭在网络中的设备，如终端的主机、安全的设备等，所有这些能够产生日志和事件的网元单位的运行信息，然后把这些信息汇总，进行关联分析之后，把分析处理的结果发给相应的管理员。

传统的情况下，网络中一些系统主机每天的日志和事件量是非常大的，可能是成百上千，甚至上万条。如果一天发五千条事件给一个人，让他做出分析，这个是不现实的。事实上这五千条事件收集了之后，归类压缩，可能出来也就15条事件是需要管理员去关注的。

信息安全里有一句话“全员一致、人人参与、共同维护”。每一个信息系统的管理员，都应该参与到安全系统的维护中。以前可能这些人是没有手段参与的，也不能把防火墙、入侵检测、安全系统的权限开放给这些人，让他们都来看，都来改。而现在，我们有一个公端的系统，可以把相应问题发给每一个对应的人，这样管理员的工作就相对很轻松了。OA管理员每天只需看一下OA的事件就可以，然后把对这个问题的解决和处理方法，通过公端反馈回来。这样就可以把安全管理通过一个平台，让每一个人都能参与进来，然后大家共同让整个平台运维起来。

在过去很多年的时间里，很多企业都是寄希望于一个很称职的人来做，但是现在可以发现，这不是人称不称职的问题，而是一个人的精力和能力极限无法触及的问题。这两年的安全运维我们就不依靠于这个人是多守规矩，而是希望能有一个技术性的平台，用技术的平台来代替传统的人的方法，也可以帮企业节省人力的投入。

记者：除了这个“IT综合运维管理平台”东软还有没有别的针对监视与响应的解决方案？

曹鹏：说到解决方案，东软这两年所做的大部分的安全产品都在向解决方案方向发展——“多用户、多权限”就是其中一个重要的方案思想体现，其核心就是能够在一个工作平台上给更多的用户去开放和管理信息安全的能力。

传统情况下，我们部署和管理防火墙的时候就是专人专职，在这中间就能发现一个问题，当一个产品只给一个人管的时候，他规则和策略的调整往往是有问题的，因为防火墙的管理员可能不懂应用，他对很多应用的调整做的并不到位。

如果从整个企业的骨干上来讲的话，东软这两年还有一款流量管理平台也是比较不错的，就是“流量分析平台”。当企业管理员有一个很大的网络需要去管控的时候，流量问题过去一直是让大家很关注和头疼的。比如说，我曾经去过一个企业，他们是做营销的，是一个市级单位，这个市级单位有十八家分公司分别展开营销，大家都是通过VOIP语音电话的方式来开展。他们一年营销的纯利润是十五个亿左右，如果他们的网络中断了，按十五个亿算，每隔一秒钟他们的损失就很恐怖，这种情况是很可怕的。网络的资源是否畅通，就是他们赚钱的一个最重要因素。而以往在网络的管理和流量的监控中，这一块是十分薄弱的，不是不重视而是根本没有手段和合适的工具让他们去重视，单纯的SNMP的管理看到的情况粒度都非常的粗。东软开发的这个平台，能够通过监控骨干的路由和交换的设备，从它们身上来做流量采集，将采集到的流量进行汇聚、分析，然后可以按照一条条的链路，将相关链路的结果显示出来。如果在某些链路中出现了流量的异常，就会把这些问题分发给所有的管理员。我们给这些分公司的所有管理员分别开放一个帐号，让他们都可以登陆到系统中，来查看一些相关的问题。网络流量管理平台也是东软继安全事件管理平台之后的第二大信息安全工作平台。

记者：由于经营的压力，企业的IT预算在呈现缩减的趋势，请问，在这种“少花钱多办事”情况下，作为成本中心的信息部门，应采取何种策略进行应对？

曹鹏：我认为少花钱多办事主要在于两个方面：一个是要提高工作效率；另一个是压缩成本。

就信息安全投入本身来讲是一种投资，而且回报还是非常好的，它能够避免更多的安全事件发生，保障整个系统的平稳运行。另一个方面来讲，企业正在压缩成本，而企业最大的成本就是人。像五千台服务器或者五千台设备这么大的一个系统，如果要想把安全监控做好，可能需要投入五到十个人才行，这里面的成本可以说是非常的高昂。但现在可以上一套系统，原来可能需要多招聘一到两个人才能做好的，或者原来是一个非常大的系统，需要招聘一些安全方面专业级的人才来做的事情，现在你可以把这些东西外包给安全公司，让这个安全公司来帮你维护。

将集成化的平台，将安全的问题外包，我个人认为，这是企业非常节省的一种模式。

记者：东软今年会在外包方面有什么大的动作吗？

曹鹏：东软就安全服务的外包来讲，不仅是今年，我们每年都会是一个重点的投入，而且是长期的、持续的、一直去做下去的。为我们高端的优质行业的用户，来提供全面的安全服务的外包，从最初的网络的风险评估、渗透的测试、安全加固、安全的培训、应急响应等等，在过去的几年时间里，我们已经为一千多家用户提供了各式各样的安全服务，今年还要继续的做，而且会加大投入力度。

记者：目前金融危机的情况下，很多企业的人员流动性比较大，离职员工带走公司数据已经成为企业面对的一大难题，这个该如何避免？

曹鹏：企业的信息化资产这两年已经完全可以用电子化的文档来储存了，很轻松就可以用U盘把它带出去，很容易产生信息的泄密，这些秘密很可能关乎到企业的形象、企业的核心知识资产、企业的竞争力、甚至直接影响了企业的利润等等，这些问题在过去的这些年里可以说是屡见不鲜的。现在信息安全的边界防护真正从传统的网络边界防护提升到了信息本身的边界防护，信息会在哪里存储和使用哪里就是信息流动的边界，每一道边界都需要特别的防护手段和安全策略，从这点上看信息安全工作未来的任务还是非常艰巨的。

企业如果想解决这个问题，有必要将信息安全嵌入到应用层系统中来，利用专门的企业文档管理系统，把企业内部所有信息资产的文档按照一定的标准加密，对这些文档的授权读取、查看、修改等要有专门的应用软件进行控制。

东软在七年前就已经开发出了一个完整的应用文档管理系统叫SEAS，这个系统可以将一个大的单位里面的所有文档都放在一个远程的服务器上，大家所有的文档都要到这个远程的服务器上去写，写完就保存在文档服务器里。任何人从文档服务器上拷下来数据都是有记录的，放在自己的笔记本上也是有水印的，它有一个专门的安全策略在里面，还有很多更安全、更专业的针对文档安全的防护策略。

以后文档资料的管理，终端电脑的信息安全管理问题将会成为一个信息安全领域的热点。

记者：企业还有没有其它一些需要注意的安全方面的问题？

曹鹏：国内企业信息安全平台的搭建方式，不论是在基础平台还是应用方式，都差不多。

信息安全要注意的问题，一共有几个环节：一是你要识别出来是哪些地方最容易出问题，先重点的把这些问题做一个总结，像终端、桌面这些都是比较容易出问题的地方。

一个企业的终端和桌面操作人员，可能是做一些经营业务类的工作出身，而不是做信息化出身的。电脑对于他个人来讲就是一个工具，一个手段，他只要把这个工具和手段用好就可以了。往往他对于信息安全的维护并不上心，而企业在过去的时间里也往往忽视这个问题，所以我认为企业必须要加强人员的培训。

如果安装了一堆防护系统，但人就是从来不设，上多少防火墙也没用，所以第一个应该加强信息安全教育。人员的培训与教育其实是一个投入最少，但见效最高的方式，如果大家都可以把自己的电脑维护好，把安全的软件都能安装好，按照公司的规定认真使用电脑，这些安全的事件能够减少到非常非常小。过去几年我们曾经为一些企业开发过专门的信息安全操作培训课件，将枯燥的信息安全技术操作学习变成了卡通人物的FLASH演示，同时学习也从集中培训变成了网络学习的方式，收到了非常好的效果。

记者：对一些预算有限，又很想进行IT风险管理建设的公司有什么好的建议？

曹鹏：这个就要统一规划，分步实施。

没有一个单位钱多到可以一次把所有东西都买齐，大家都要做一个规划，然后分布实施。把未来几年要做成什么样规划好，先把最基本的解决，然后再分步完成。

统一规划，分步实施只是一个方面，另一种方法就是直接将信息安全相关工作外包给某家专职信息安全公司，让该公司进驻到企业中来，不用管它去采购什么东西，只要保证在合理的预算内和合同约定的时间内不出问题就可以，然后由这个安全公司帮你精打细算，在承诺期间之内把安全工作做好，在我看来这也不失为一种好的尝试。