2月27日,中央电视台“第一时间”报道了北京市二中院开庭审理程稚瀚涉嫌盗取北京移动通信公司充值卡密码一案,程稚瀚曾是UT斯达康深圳分公司工程师,被指控利用网络技术手段侵入北京移动通信公司充值中心数据库,修改充值卡原始数据并窃取了充值卡密码,并通过淘宝网和QQ向他人出售,致使北京移动通信公司损失近380万元。
该栏目主持人认为:1.2元亿元网络安全投入,居然不堪一击,中国移动也该好好总结一下了。
事实上,程稚瀚在作案过程中使用的大多都是些没有技术含量的攻击手段,但是偏偏没有技术含量的攻击事件,在电信、银行、证券、保险业却屡屡得逞,如本文在发稿之际,又惊悉两大学生利用网通ADSL用户升级时系统的漏洞,在一个月内盗取了价值70余万元的网易一卡通虚拟游戏点卡。不能不令我们深思。为此,记者专访了我国信息安全治理专家孙强先生。
记者:近几年来,各方对信息安全工作越来越重视,投资力度在逐年加大,可是为什么我们却越来越没有安全感?
孙强:是的。诚如你所言,当前政府和各行各业对信息安全的重要性普遍有较深入的认识,相关的标准规范正在形成,信息安全项目投资力度正在加大,安全技术、产品、市场在迅猛发展,多数企业机构正在制定符合不同业务信息系统和网络安全等级需要的综合性安全策略和计划。但是,行业用户却切身感觉到越来越没有安全感,各类安全事件急剧攀升,与前面所提到的巨大投入形成强烈反差,究其原因,可以说是多方面的,但我认为归根到底是基本层面的问题,是信息安全管理和机制上的问题。
早在2002年,我们发表的研究论文《信息安全治理:创造战略竞争机遇》就曾旗帜鲜明地提出:“技术本身实际上是信息安全体系里最不重要的部分了。不管一项技术有多先进,都只不过是辅助实现信息安全的手段而已。我们并不是认为技术不重要,但在信息安全的架构里,它一定要在好的信息安全治理的基础上,信息安全归根到底是管理和治理层面的问题。”
老生常谈 管理重于技术
记者:“三分技术,七分管理”的网络安全体系建立原则几乎被每个电信和银行业的企业所强调,并成为指导其安全管理体系建设的基本原则。但是北京移动充值卡密码一案再次暴露出其管控上的漏洞,这说明什么呢?
孙强:这说明即使是像中国移动这样管理水平领先的企业,目前距离实现体系科学完整的安全管理都尚有一定差距。所以,这个看似老生常谈的问题,我恰恰认为应该反复谈、深入谈。
针对此类型事件,一些人在技术上找原因,依照“技术路线的惯性思维方式”,他们认为在信息安全上一定有更先进的技术可以杜绝此类问题。事实上多年来,人们对保障信息安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近年来网络环境下的防火墙、入侵检测、身份认证等等。厂商在安全技术和产品的研发上大力投入,新的技术和产品层出不穷,以为技术可以推动产业进步;厂商在某种程度上主导着信息安全建设的发展方向,客户也更加相信安全产品,把仅有的预算也都投入到安全产品的采购上。但现实严峻地告诉我们,仅仅依靠技术和产品保障信息安全的愿望却往往难尽人意,许多复杂、多变的安全威胁和隐患靠产品是无法消除的。因此,我想越来越多的人会从信息安全管理体系和内部控制体系上找原因,事实上,人的问题是信息安全最大的威胁和最薄弱的环节。本案例就是一个实证。被告离职数年后仍然可以通过网络访问北京移动充值中心,就是因为UT斯达康公司对离职人员的管理、西藏移动公司对设备提供商的管控缺陷、西藏移动对逻辑访问控制的管理、北京移动信息安全策略出了问题以及北京移动公司对已过期账号的风险管控缺陷。媒体所报道的1.2亿元的网络安全投入,就因为上述简单的管理问题而变得不堪一击。
本质上,我认为中国移动一定具备完善的信息安全管理制度体系,但此事件暴露出该体系局部可能是“死体系”,与我们多年来所积极倡导的“信息安全管理是一个动态的过程,需要建立持续改进的机制,该机制应能够‘发现问题解决问题,发现新问题解决新问题’,从而达成善治的信息安全治理的境界”尚有较大差距。
记者:那么,我们到底需要什么样的技术工具、方法或机制来管理信息安全呢?
孙强:技术和工具在业界已经谈论地很多了,以为花钱买来先进的技术和设备,“即插即用”然后就可以给我们带来安全,已经成为急需扭转的误区。安全是买不来的,我认为仅仅从工具和操作层面去解决信息安全问题是当前最大的问题之一。安全首先意味着责任,责任意味着切实落实以及确保落实的问责机制。也就是说,如果在董事会和高管层这样的治理层面,缺少正式的机制保障,缺少适当的责权和问责机制,那么,在管理和业务流程层面的信息安全管理工作,将收效甚微。原因在于,在那些信息资产密集型的组织,信息资产已经成为最为宝贵的资产,直接影响到组织的战略发展机遇,必须从治理层面加以关注。但是这就是为什么我们从2002年以来就一直不遗余力地推动信息安全治理的原因。
记者:我感觉信息安全治理目前是一个尚没有被广泛关注的理念,可否请您深入阐述一下?
孙强:我认为信息安全治理用来描述政府或企业是否采用涵盖组织信息安全工作的有效的机制和制度安排,确保信息安全战略和组织的业务目标精确校准,同时平衡信息化过程的风险,并且符合相关的法律规范。它包括治理机制和治理框架,通过建立和维护与公司治理相符合的信息安全治理机制,以及基于最佳实践的框架,从而鼓励期望的行为,明确决策权的归属以及承担责任的文化,这样就可以达成理想的信息安全治理境界。
领先企业的信息安全治理案例剖析
记者:在信息安全治理上,国内外领先企业有哪些成功案例值得借鉴?
孙强:根据我们对众多世界500强企业的案例研究,我们发现在这些企业里,普遍都建立了与公司治理相符合的信息安全治理机制。如ING这家全球著名金融机构,就实施与整个集团公司治理机制相符合的全球性信息安全治理机制,ING董事会也认为这种结合是其成功的基础。ING信息安全治理机制的一个关键特性是在治理层面成立了一个独立的信息安全指导委员会,而我国企业仅仅是在管理层面有类似于信息安全领导小组的职能,这样在ING董事会和高管层充分表明了信息安全的重要性和严肃性,也为ING全球提供了一个跨区域跨业务的关于信息安全工作的正式推进机制,在这个定期举办会议的平台上,ING的董事们问道了信息安全问题,并且董事会成员有责任确保采取了提供答案的机制。同所有企业一样,有时答案回答起来令人不舒服,但是至少问道了信息安全问题,还找到了答案。ING的董事们认为“不知即为福其实预示着灾难”。
再比如摩托罗拉的信息安全治理也是非常好的一个案例,正是凭借着善治的公司治理和信息安全治理,摩托罗拉成功地从二十世纪末全球通讯业的大萧条中恢复过来。
摩托罗拉管理层认为信息安全是其成长目标中重要的一环,因此,摩托罗拉首先成立了由高层主管团队包括CIO组成的管理委员会,该委员会负责建立安全原则,定义信息安全项目的优先级别,甚至将安全预算与其他IT预算区别开来。安全办公室的所有职员负责设计、构建恰当的架构体系,他们同时还要和负责IT架构的人员一起,在企业级和部门级同时确保安全措施被严格地融合到架构和应用当中。摩托罗拉在运营和产品两方面都严格遵循着信息安全的有关规定。这使得信息安全工作成为最高管理层所负责的事务,并成为公司IT治理不可或缺的一部分。
摩托罗拉的CIO是高管层中的一员,信息安全官直接向CIO负责,并作为CIO团队中的一员参与每季度一次的管理委员会会议。在这些会议中,安全官提出摩托罗拉公司当前所面临的安全风险,并给出几个候选的解决方案。信息安全治理最关键的一个因素,就是持续不断的教育和意识养成。安全官的职责就是协助最高管理层认识到各种安全问题爆发的可能性,以及这些隐患对业务的潜在影响。
摩托罗拉所采取的这种基于安全的治理,为我们的企业如何根据自己的战略目标进行治理提供了一个样板。摩托罗拉的信息安全治理机制,是通过治理层面的管理委员会和执行层面的信息安全官实现的。另外,摩托罗拉对安全事务的关注反映在其组织结构和角色分配中,反映在其治理安排中,特别是反映在其架构流程中。虽然很多企业都关心自己的安全,但摩托罗拉将它摆在战略的优先位置上。摩托罗拉的治理安排,确保了其与安全相关的事项成为期望行为的一部分。
信息安全治理与中国企业的国际竞争力
记者:你为什么认为信息安全治理关系到中国企业的国际竞争力?
孙强:我们都知道,在我国加入WTO以后,无论在中国还是在国外,都是全球一体化的竞争。并且,这个时代的显著特征是风险的频率和规模越来越大。在信息时代,我们认为所有的企业,不论其规模、结构、性质或产业是什么,提供给用户的各类服务,其前提条件一定要是安全的服务。因此,信息安全和风险管理都将是必不可少的。ISO27001国际认证不仅仅是衡量组织信息安全管理水平的标准,也已经成为组织具有更高规范管理水平和竞争力的标志。比如,在软件或集成电路等很多产业之间的竞争,已经发展成为价值链与价值链之间的竞争。假如我国企业没有通过ISO27001等国际标准认证的管理体系,其管理水平和国际竞争力将大打折扣,从而有可能错失一些外包订单或失去与国际大厂商合作的机会。相反,已经通过该体系认证的广东生益电子、华为、中兴、宏基、黄岛电厂等等都是很好的例证。
我们还有一个观点:风险和安全是一把“双刃剑”,并不意味着都是“坏事”,有效的信息安全管理和风险管理也正在成为竞争优势的源泉。同时,随着IT重要性的增加和普遍应用,IT将被整合到所有的生产过程与经营管理体系中去。所以,IT的风险亦将显著影响到组织的战略执行及目标的实现。在这种情况下,将风险管理与信息安全治理治理整合起来推动,就成为必然的选择。所以我认为一旦中国企业形成了与企业文化相适应的良好治理结构,这就是我们企业的国际竞争力。
基于全球最佳实践 构建信息安全管理体系
记者:你前面多次提到基于最佳实践的信息安全管理体系,你认为我国企业和政府部门应该如何构建该体系?
孙强:我们所谈到的最佳实践就是指最近刚刚发布ISO17799:2005及ISO27001:2005信息安全管理系列标准,构建符合此国际标准的信息安全管理体系是一个很困难且花费不菲的事情,比如这其中重要的一环风险评估工作。一方面,中国的企业和政府部门有迫切需求;另一方面,国际大公司高昂的收费成为摆在我们企业面前的障碍。为了打破这一局面,经过三年多的研究与实践,2006年,在中国软件评测中心和ITGov中国IT治理研究中心的大力资助下,正式推出了“中国信息安全管理体系旗舰计划”。该计划将提供从组织内部种子人员培训直到获得国际认证的全套服务,从而更好地协助各类组织规划、实施及持续改进信息安全管理体系,提升中国企业国际竞争力水平,实现可持续发展战略。值得一提的是该计划的技术负责人为我国仅有的在IRCA注册的信息安全管理体系主任审核师孟庆麟先生,他曾负责我国绝大部门企业的信息安全管理体系认证项目,其中包括华为、中兴通讯、中国人民保险公司、宏基、朗讯等等。中兴通讯是国际标准升级为ISO27001:2005以来,国内首家成功建立并实施ISO27001信息安全管理体系的企业。
记者:作为信息安全治理和IT治理理念最早的推动者,你还有哪些建议?
孙强:我们深感还有大量的工作需要去做。在信息安全管理工作上我们建议企业应该更彻底地回归到基本面上,这包括:信息安全文化和意识养成、相关的法律法规、整合IT控制的内部控制体系、基于ISO17799/27001的信息安全管理体系、信息系统审计的职能建设、风险评估以及最关键的责任心和问责机制。所有的一切,归根到底我们要重视“人”的工作。而以上的这一切可以说都是花钱少见效大的事情,何乐而不为呢。