一些外国人在发表的言论里表示他们注意到,在汉语中,“危机”这个词包含了危险(危)和机遇(机)两层意思。他们旨在说明不同于悲观的西方人,中国人将危机视作改进的机遇。2008年恰恰是这样一个范例,这一年是中国面临国内外经济形势最为严峻的一年,但这也正是IT应用得以大展身手的契机。在信息爆炸的现实环境与强大的市场压力下,如何让IT业及时、有效、快速地为企业提高效率、增强掌控力、获取商业信息、发现机会……这些问题将会左右中国企业的发展进程乃至生死。
在当今社会,几乎所有公司的业务运营都是以信息为基础的,但是随着企业业务数据量的激增,存储和操作这些数据并使之成为对企业有所助益的信息这一过程就是一个严峻的挑战,更何况数据本身还面临着种种的风险。而随着IT系统对于企业业务的影响力日益增大,这些单纯的数据风险最终会扩散为业务的风险。这使得本身就处于IT应用发展阶段的中国企业用户对于IT安全越来越迷惘,一方面,他们不断加大在信息安全方面的投入,但同时,他们又认为自己的企业越来越脆弱,更加容易受到攻击。信息安全似乎走入了“道高一尺,魔高一丈”的迷城。
IT应用安全面临的威胁从来没有像今天这样复杂与多向
信息安全遭破坏在如今的世界已经比实际的犯罪对企业的业务更具威胁,企业的品牌和声誉很容易因此遭受严重的损失,对于金融、证券等信息敏感企业来说更是如此。从2008年5月开始,监管部门对各基金公司信息系统的安全性进行检查,并对部分基金公司的网络进行了“攻击”测试。在被抽查的基金公司中,17家基金公司IT系统的稳定性问题较为严重,其中4家基金公司因为信息安全严重缺失而造成内部网络被轻易攻破,重要的客户数据被悉数“窃取”,而企业对此却毫不知情。而这些只是中国企业及公司所面临的安全问题的一个缩影。
对于半数左右的企业来说,电脑病毒、蠕虫等传统的安全问题依然是CIO眼中防范的重点,这可以从安全软件市场持续的增长中看出来,同时说明传统威胁的压力并没有消失。但在这些传统威胁的背后,危险的实质却有了微妙的改变,具有针对性的攻击越来越多,现在的黑客和病毒编写都已经不再满足于仅仅使网络瘫痪,他们的目标正转移到如何通过网络获取经济利益,通过木马程序等方式窃取商业与个人信息等方面。这对于为企业发挥日益重要作用的各种数据和应用信息资产来说,无异于一场噩梦。同时,数据系统本身的漏洞也给了这些行为以可乘之机。
威胁并不只来源于外部,网络安全了,服务器安全了,后台的数据却有可能仍处于危险之中。一方面系统过载、断电、灾难、人为失误等原因都可能造成数据信息的灭顶之灾,另一方面数据结构本身会给监管控制带来难度,造成数据的泄露。随着Web2.0时代的来临,网络边界这样的概念会越来越模糊,无线接入与手持移动设备的大量接入又将商业数据拖入新的未知之地。拿移动电话与便携设备来说,中国现在很多企业的信息就分散储存在这些设备里,而对于这些安全盲区的监测控制不力,使得企业信息容易被轻易泄露。对于存储在数据库或文件/内容管理系统内的结构化数据,IT经理们可以设置权限等级来管理和跟踪哪些用户在访问哪些数据,而对于那些诸如电子邮件、即时信息、Word文件、电子数据表、源代码等非结构化数据,由于缺乏对应知识与解决这个问题可用的存储工具,很多公司都没有能力去控制这些数据的所有权和流向。这个问题在数据管理技术相对落后的中国企业内尤为严重。
目前,虚拟化技术与网络化存储已经成为IT应用的潮流,中国的很多企业也开始将目光转向这片新兴之地。利用虚拟化技术,可以简化管理、消除冗余并提高信息利用效率,网络化存储为企业提高存储灵活性,提供低成本的扩展可能。但同时必须看到,虚拟化技术与网络化存储也会带来新型风险。虚拟化与网络化存储从本质上来看都是一种整合,这样带来的第一个问题就是风险集中,一旦突破访问的某个节点,有恶意的行为便会享受这些技术带来的便利与快捷。另外,虚拟化技术将使数据迁移变得更加普遍与频繁,这将对存储系统带来难以预知的压力。以SAN存储为例,SAN存储对于取得业务连续性和灾难恢复的优势是明显的,它可以转移工作负载来优化正常运行时间和性能,并可以更好地控制主机上的客户机规模。但由操作系统、软件和本地服务器硬盘上的数据转移到SAN的存储量会迅速增加,一些公司可能购买某种存储阵列,他们可能没有考虑VMware环境将给存储阵列带来的工作负载,结果这个存储阵列不能应付工作负载——太大的吞吐量,太多的I/O。如果没有可靠的分级存储战略,增加的存储量会很快地吞噬非常昂贵的SAN存储。
威胁面前,企业如何屹立不倒?
面对如此复杂的IT应用安全环境,像以往那样单纯的依靠购买安全产品的防御方式已经难以为继,企业必须从宏观上建立整体安全体系,同时与IT系统提供商实现长期紧密合作。在这一方面,IBM和富士通等业内著名厂商给出了新的方案。例如IBM Internet Security Systems(ISS)的专业安全服务提供企业范围的安全评估、设计和部署服务,帮助企业建立有效的网络安全解决方案。通过专家顾问来协助企业通过实施网络安全最佳实践来减少对企业关键业务资产的在线威胁。作为世界第三大IT服务提供商的富士通更进一步提出全面的安心安全(Safety Value)解决方案,从安心安全经营、信息安全、事业连续性与物理安全四个方面帮助企业规避IT架构,外部威胁与人为失误带来的危险。
(1) 安心安全经营帮助企业以经营的视点来推进最佳的IT战略,从管理的角度应对围绕企业的各种各样的风险,明确安全工作的有效性,计算出安全措施的实施成本与收益,提供“彻底的可视化”,以给企业以明晰的现状把握与投资预期。
(2) 信息安全方面,富士通基于积累的技术经验推出了“安全管理框架(SMF)”“企业安全架构(ESA)”,并基于这两个软件形成了安全对策和公司内部业务实践规范,提供从信息系统的运作规范到电子商务的认证功能等一系列解决方案,来应对所有威胁,实现强有力的安全对策。
(3) 事业连续性是指富士通能够根据丰富的实施经验帮助客户围绕本公司所处的风险环境或经营环境制定连续性的计划(BCP:Business Continuity Plan),采取对策和持续的改善活动,向客户提供从计划的制定到对策、运用管理的一条龙服务,以及事业连续性(BC)解决方案。
(4) 在物理安全方面,富士通将卡、生物特征身份验证、影像等与信息安全相融合,采取安全对策来保护整个组织的人和信息资产。在办公室等重要区域,富士通解决方案掌握使用者的行动,并予以适当的限制,通过日志或监控摄影影像来实现痕迹管理。同时,办公设施内的电力、照明、空调等基础设施设备的管理也整合在内,以此提供节能型综合性物理安全管理。对于中国企业来说,尤为需要IT应用方面的指导与帮助以弥补专业知识的缺乏。
具体到每一个细分的威胁,首先需要解决的是身份识别与管理的问题,这是确保正确的人访问到正确数据的基本前提。常规的口令加上令牌的方式已经不足以应付验证风险,此时生物识别技术成为了身份识别中的一个热点,而其中富士通公司新推出的手掌静脉识别装置尤其令人印象深刻。它可以通过非接触的方式实现更为可靠的安全认证。而且较指纹识别、虹膜识别等生物识别技术更安全可靠。手掌静脉受温度和其它外部冲击的影响较小,误认率低于0.00008%,本人拒绝率低于0.01%。其次中国企业还必须改变安全意识薄弱的缺点,改善公司安全流程,对员工进行培训以加强内部人员IT安全方面的知识与关注度,这样才能减少数据信息的内耗。
下一个问题是数据的管理与存储,具体到硬件上就是客户端、服务器与存储系统。一方面除了针对外部威胁如病毒、木马、垃圾邮件等进行防火墙与安全软件方面的投资外,服务器本身的高负载运行产生的故障也是企业需要关注的重点,对于这方面的关注将减少业务断续。很多IT厂商都在这方面有独到的技术。像IBM HACMP双机热备解决方案,采用两台服务器相互备用。而HP采用异地远程容灾对服务器功能的连续性进行保护。富士通PRIMEQUEST服务器的双同步系统架构的系统镜像、内存模块、系统交互模块、内置的系统板、内置的芯片以及其它重要组件均采用镜像保护。这些镜像的系统都是同步的,明显地增强了可靠性并确保无单点错误。这些技术手段的施行,可以在最大限度上保护关键业务的可靠性与连续性。另一方面,对于数据的存储,用户往往要求极高的可靠性,所以IT服务厂商将从架构、硬件、软件等多个方面采取措施以确保数据万无一失。例如富士通提供给中国银行广东省分行的高可靠性数据存储解决方案,该方案采用了FUJITSU ETERNUS8000数据中心级存储产品、Multipath多路径软件、FUJITSU ETERNUS SF存储软件,为客户的数据安全提供了从部件到产品、从方案到服务的全方位高可靠性保护。产品方面,引入了多种富士通独创先进技术确保用户的数据安全,提供最高级别的可靠性。比如各部件间的路由结构以提供了数据存取的冗余通道;硬盘箱的背部总线采用交换结构,能快速定位出错硬盘;缓冲区采用链路镜像结构,为控制器的容错机制提供了保证;数据块检查、数据路径检测、磁盘自我诊断、预防性数据复制等等。在存储安全方面,在该项目中富士通还采用了多路径软件实现路径冗余,既解决了数据传输的负载均衡,又提供了数据存取的冗余通道。同时,还利用存储阵列数据远程复制功能,采用FUJITSU ETERNUS SF存储软件,实施快照和远程镜像功能,确保了数据安全。
最后针对虚拟化与网络化存储的种种风险,企业如何应对?首先,企业必须对自己的需求有一个明确的了解,不要为了追赶潮流而上马不必要的IT设施。例如企业的数据量大于5TB,并且有数台存储设备,为了整合这些资源,才有虚拟化的必要。另外企业对于自身数据结构必须完备的分析,进行分层存储,用以平衡负载,使存储设备发挥最佳性能。富士通,IBM与HP等国际领先的IT服务商对此都有相应的解决方案与分析服务。
在这场危机中,中国企业如果能够战胜种种危险与挑战,IT应用将会为企业带来无限机遇。
