金融危機(jī)和經(jīng)濟(jì)低迷使得CIO不得不勒緊褲腰帶，公司因此削減成本將成為非?，F(xiàn)實(shí)的措施。許多CIO透露其公司近期也正考慮調(diào)整一些IT項(xiàng)目，將有限的預(yù)算資金重新調(diào)配。

　　但是一項(xiàng)調(diào)查顯示，大多數(shù)公司CIO還是希望在IT安全上的投入能夠有所增長(zhǎng)或者至少在IT安全投入上能夠保持不變。該調(diào)查還發(fā)現(xiàn)，IT安全問(wèn)題越來(lái)越受企業(yè)重視，與IT安全相關(guān)的決策都會(huì)往上呈報(bào)給更高主管，說(shuō)明對(duì)多數(shù)企業(yè)而言，IT安全已不只是IT部門的事情。

　　一.經(jīng)濟(jì)低迷，CIO面臨削減IT預(yù)算壓力

　　目前，世界經(jīng)濟(jì)體都在經(jīng)歷經(jīng)濟(jì)滑坡，企業(yè)正在尋求削減開支、改善收支狀況的良方。因此在經(jīng)濟(jì)低迷的時(shí)候，一個(gè)大的挑戰(zhàn)就是要用更少的成本做更多的事情，力求用好每一分錢的預(yù)算。雖然IT安全預(yù)算在企業(yè)的總成本基數(shù)中所占的比例通常較小，但企業(yè)高管們?nèi)圆豢杀苊獾貢?huì)將他們的注意力轉(zhuǎn)向IT安全預(yù)算，要求CIO對(duì)其進(jìn)行大幅削減。

　　企業(yè)IT安全風(fēng)險(xiǎn)產(chǎn)生的成本可分成兩種：一是“硬錢成本”(Hard-dollar costs)，主要衡量實(shí)際現(xiàn)金損失以及IT人員投入修復(fù)的時(shí)間與資源;二是“軟錢成本”(Soft-dollar cost)，包括開會(huì)、生產(chǎn)效率、溝通關(guān)系以及商機(jī)消失等間接損害。對(duì)企業(yè)來(lái)說(shuō)，IT安全問(wèn)題不只是不被黑客入侵，還包括對(duì)重要資料的妥善保管。在一般情況下，IT安全投資通常是保障企業(yè)的正常運(yùn)營(yíng)的工具，其效益可遠(yuǎn)遠(yuǎn)超過(guò)按慣例削減IT成本所能節(jié)省的資金。

　　簡(jiǎn)單的說(shuō)，IT安全說(shuō)穿了就是消弭公司的風(fēng)險(xiǎn)。因此在最糟糕的經(jīng)濟(jì)環(huán)境下希望削減IT安全預(yù)算時(shí)，應(yīng)該要問(wèn)這樣的一個(gè)問(wèn)題：在經(jīng)濟(jì)低迷時(shí)公司的IT安全風(fēng)險(xiǎn)會(huì)降低嗎?實(shí)際上，當(dāng)經(jīng)濟(jì)低迷的時(shí)候，企業(yè)的信息安全的狀況也不太好，而且更不幸的是IT安全問(wèn)題反而劇增。

　　此次由CIO參與的名為“IT安全：如何在經(jīng)濟(jì)低迷時(shí)保護(hù)生產(chǎn)力”的調(diào)查顯示，隨著經(jīng)濟(jì)下滑規(guī)模不斷擴(kuò)大，企業(yè)受到的IT安全威脅也越來(lái)越嚴(yán)重，而且造成的損害后果也越來(lái)越大，信息安全的緊迫性日益凸現(xiàn)。所以，在經(jīng)濟(jì)下滑時(shí)停止IT安全投資可能效果適得其反。因此，經(jīng)濟(jì)低迷時(shí)IT安全管理，不能只是簡(jiǎn)單削減成本，IT安全問(wèn)題已經(jīng)成為制約企業(yè)渡過(guò)經(jīng)濟(jì)危機(jī)的關(guān)鍵問(wèn)題之一。

　　二.為什么IT安全風(fēng)險(xiǎn)隨經(jīng)濟(jì)下滑反向劇增?

　　(1)IT安全風(fēng)險(xiǎn)如影隨形

　　統(tǒng)計(jì)數(shù)據(jù)表明，IT安全風(fēng)險(xiǎn)隨經(jīng)濟(jì)下滑反向劇增，涉及IT信息的違法犯罪活動(dòng)會(huì)不斷攀升，黑客的攻擊手法更是花樣翻新。IT系統(tǒng)由多種設(shè)備、設(shè)施構(gòu)成，因此其面臨的威脅是多方面的?？傮w而言，這些威脅可以歸結(jié)為三大類：一是對(duì)IT設(shè)備的威脅;二是對(duì)業(yè)務(wù)處理過(guò)程的威脅;三是對(duì)數(shù)據(jù)的威脅。要加強(qiáng)IT系統(tǒng)的安全防范，就要研究上述威脅，查清影響IT安全的因素。

　　這些因素有哪些呢?①是IT系統(tǒng)軟硬件的內(nèi)在缺陷。這些缺陷不僅直接造成系統(tǒng)故障，還會(huì)為一些人為的惡意攻擊提供機(jī)會(huì)。最典型的如微軟的操作系統(tǒng)設(shè)計(jì)缺陷，一些病毒、木馬盯住其破綻興風(fēng)作浪。②是惡意攻擊。攻擊的種類有多種，有的是對(duì)硬件設(shè)施的干擾或破壞，有的是對(duì)數(shù)據(jù)的攻擊，有的是對(duì)應(yīng)用的攻擊。嚴(yán)重時(shí)可導(dǎo)致硬件永久性故障或損壞;對(duì)數(shù)據(jù)的攻擊也可破壞數(shù)據(jù)的有效性和完整性，或可能導(dǎo)致敏感數(shù)據(jù)的泄漏、濫用;對(duì)應(yīng)用的攻擊則會(huì)導(dǎo)致系統(tǒng)運(yùn)行異常甚至中斷。③是使用不當(dāng)，如誤操作。這類使用不當(dāng)會(huì)導(dǎo)致系統(tǒng)安全性能下降甚至系統(tǒng)異常也經(jīng)常發(fā)生。

　　(2)經(jīng)濟(jì)低迷時(shí)，高價(jià)值數(shù)據(jù)外泄危機(jī)更是頻繁

　　在2008年《IT 風(fēng)險(xiǎn)管理研究報(bào)告》中一項(xiàng)調(diào)查結(jié)果引人注意，那就是58%的受訪者表示在近期發(fā)生過(guò)一次重大IT安全數(shù)據(jù)外泄事件。之所以形成這樣的趨勢(shì)，很重要的一個(gè)原因就是經(jīng)濟(jì)犯罪色彩越來(lái)越濃?，F(xiàn)在以盈利為目的的IT安全攻擊目標(biāo)已不再是基礎(chǔ)架構(gòu)(如軟/硬件和網(wǎng)絡(luò)設(shè)備)，而是以運(yùn)營(yíng)在基礎(chǔ)架構(gòu)上的數(shù)據(jù)信息為目標(biāo)，它造成的現(xiàn)實(shí)損失是一些關(guān)鍵信息被破壞或者是被泄露出去，這種損失對(duì)大多數(shù)企業(yè)來(lái)說(shuō)更難以承受，。

　　(3)垃圾郵件造成經(jīng)濟(jì)損失成IT安全最大威脅

　　據(jù)不完全統(tǒng)計(jì)，黑客轉(zhuǎn)讓此類垃圾郵件的用戶信息每年就能進(jìn)賬數(shù)百萬(wàn)甚至上千萬(wàn)元人民幣，而這種病毒和垃圾郵件形成的連鎖垃圾郵件經(jīng)濟(jì)也成了近年垃圾郵件屢禁不止的主要原因之一。垃圾郵件、病毒這兩個(gè)“網(wǎng)絡(luò)騷擾者”隨便遇上哪一個(gè)，都足以讓CIO頭疼不已，而且這類事件還有隨著經(jīng)濟(jì)下滑有進(jìn)一步加劇的趨勢(shì)。

　　(4)內(nèi)部裁員情緒的成最大IT安全隱患

　　面臨經(jīng)濟(jì)不景時(shí)，公司在需要裁員時(shí)在IT安全方面的最大挑戰(zhàn)是什么?根據(jù)調(diào)查報(bào)告顯示，最大的威脅和隱患是用戶情緒不穩(wěn)定和受到裁員威脅。在公司可能裁員的敏感時(shí)期， IT安全的風(fēng)險(xiǎn)也受這個(gè)因素的影響而大大增加，這種過(guò)渡時(shí)期導(dǎo)致的不僅是安全泄露，更嚴(yán)重的是可能使到IT系統(tǒng)崩潰。

　　常言道：堡壘總是最易從內(nèi)部攻破，公司越來(lái)越重視IT安全建設(shè)，但是都主要在對(duì)付外來(lái)的攻擊上，而忽略了來(lái)自內(nèi)部的隱患和攻擊。在這個(gè)過(guò)渡時(shí)期，不可避免的是來(lái)自以破壞信息完整性或者竊取信息機(jī)密為目標(biāo)的惡意攻擊呈飛速增長(zhǎng)之勢(shì)。無(wú)論員工是因?yàn)椴粷M，還是只是感覺(jué)沒(méi)有人看到，我們經(jīng)?？吹疆?dāng)企業(yè)可能裁員的情況下，代表巨大公司價(jià)值的IT信息資產(chǎn)可能首先被錯(cuò)放或者被竊取，而且很難判定這些信息是否用用于欺騙或者其他的非授權(quán)的目的。

　　另外，卡耐基梅隆大學(xué)研究表明，那些由內(nèi)部人員發(fā)起的攻擊中，86%的犯罪者都是技術(shù)人員。在這些人中55%的人是在離職后進(jìn)行攻擊的。在前段時(shí)間媒體上廣為報(bào)道的一個(gè)例子是，某公司用了20名員工花了280小時(shí)才修復(fù)那些被一個(gè)對(duì)公司不滿的內(nèi)部人員刪除的數(shù)據(jù)。進(jìn)行攻擊的時(shí)候，犯罪者曾經(jīng)是該公司IT部門的一名職員，他能夠遠(yuǎn)程訪問(wèn)關(guān)鍵系統(tǒng)。從報(bào)道中我們可以看出，IT內(nèi)部人員通常擁有對(duì)關(guān)鍵系統(tǒng)的訪問(wèn)權(quán)，即使在離職之后，他們也可以是用特別的帳戶和密碼訪問(wèn)這些系統(tǒng)。

　　因此，IT部門和人力資源部必須了解可能導(dǎo)致IT安全失誤的事件，離職員工和公司管理人員必須明確了解哪些信息離職人員可以帶走，哪些必須交接和保密。公司必須慎重管理、防御信息泄露和安全問(wèn)題。其實(shí)，不單單只有裁員的公司面臨這種困境，許多公司的在正常的內(nèi)部管理也面臨同樣的難題。CIO要明白到當(dāng)今IT安全最大的威脅其實(shí)是源自很小的事情，但這些事情往往被忽視了。

　　三.經(jīng)濟(jì)低迷時(shí)，CIO如何應(yīng)對(duì)IT安全風(fēng)險(xiǎn)?

　　IT安全威脅的種類包括網(wǎng)絡(luò)攻擊、入侵、惡意代碼，CIO必須一馬當(dāng)先，帶領(lǐng)部下建立堅(jiān)固的IT安全環(huán)境，以減少IT犯罪分子攻擊得手的可能性，降低損失程度。一提起企業(yè)IT安全，我們最先想到的是防火墻、防病毒、入侵檢測(cè)、數(shù)據(jù)加密等獨(dú)立的安全產(chǎn)品。但是IT安全不止這些，授權(quán)、認(rèn)證與管理比單個(gè)安全軟件產(chǎn)品更重要，IT安全應(yīng)該有完整的策略。

　　因此，CIO應(yīng)該把IT安全看作是一種公司運(yùn)營(yíng)層面而不是技術(shù)層面上的挑戰(zhàn)。它類似于傳統(tǒng)的質(zhì)量保證項(xiàng)目，主要是防患于未然而不是等待問(wèn)題出現(xiàn)之后再去解決，并且要求所有員工的親身參與而不僅僅局限于IT人員。最終的目標(biāo)也不是讓IT系統(tǒng)變得無(wú)懈可擊，因?yàn)檫@根本不可能做到，而是把由此帶來(lái)的商業(yè)風(fēng)險(xiǎn)降低到可以接受的程度。

　　(1)IT安全策略

　　企業(yè)IT安全問(wèn)題自始至終都是一個(gè)比較棘手的事情，它既有硬件的問(wèn)題，也有軟件的問(wèn)題，但最終還是人的問(wèn)題。在對(duì)企業(yè)IT安全策略的規(guī)劃、設(shè)計(jì)、實(shí)施與維護(hù)過(guò)程中，必須對(duì)保護(hù)數(shù)據(jù)信息所需的安全級(jí)別有一個(gè)較透徹的理解。

　　策略要能對(duì)某個(gè)安全主題進(jìn)行描繪，探討其必要性和重要性，解釋清楚什么該做什么不該做。安全策略應(yīng)該簡(jiǎn)明，在生產(chǎn)效率和安全之間有一個(gè)好的平衡點(diǎn)，易于實(shí)現(xiàn)、易于理解。安全策略必須遵循三個(gè)基本概念：確定性、完整性和有效性。另外，安全策略不能忽略小的方面而影響整體的安全。這包括對(duì)設(shè)備、數(shù)據(jù)、e-mail、Internet等的可接受的使用策略。

　　(2)進(jìn)行安全分析

　　這是一個(gè)經(jīng)常被忽略的工作步驟，同時(shí)也是IT安全策略制訂工作中的一個(gè)重要步驟。這個(gè)步驟的主要目標(biāo)是確定需要進(jìn)行保護(hù)的信息資產(chǎn)及其對(duì)公司的絕對(duì)和相對(duì)價(jià)值，在決定保護(hù)措施的時(shí)候要參照這一步驟所獲得的信息。考慮的關(guān)鍵問(wèn)題包括需要保護(hù)什么，需要防范哪些威脅，受到攻擊的可能性，在攻擊發(fā)生時(shí)可能造成的損失，能夠采取什么防范措施，防范措施的成本和效果評(píng)估等等。

　　公司的安全分析檢查重點(diǎn)應(yīng)是看入侵是否容易、哪些系統(tǒng)或程序易受攻擊，通過(guò)制訂完善的操作計(jì)劃，令黑客悻然離去。例如，堅(jiān)持使用安全的軟件，公司如果是使用外部供應(yīng)商的軟件，應(yīng)當(dāng)時(shí)時(shí)跟蹤軟件的版本與修訂情況，及時(shí)更新補(bǔ)丁;如果是自行開發(fā)軟件，則必須確保開發(fā)人員遵守安全的編碼與測(cè)試規(guī)則，減少軟件漏洞不讓黑客有機(jī)可乘。

　　(3)監(jiān)控高風(fēng)險(xiǎn)用戶和角色

　　有時(shí)公司需要積極地監(jiān)視某些角色，特別是這些角色對(duì)企業(yè)會(huì)造成極高的風(fēng)險(xiǎn)，企業(yè)要監(jiān)視以便發(fā)現(xiàn)其潛在的“不可接受”的行為。例如一位采購(gòu)經(jīng)理為謀求一個(gè)職位可能會(huì)將自己能夠訪問(wèn)的敏感數(shù)據(jù)帶到另外一家競(jìng)爭(zhēng)公司那里去。這種情況下，其訪問(wèn)是被授權(quán)的，不過(guò)卻應(yīng)該監(jiān)視其是否存在著濫用的情況。崗位、職責(zé)的輪換以及設(shè)定任命時(shí)間也是對(duì)付高風(fēng)險(xiǎn)的一個(gè)重要方案。另外，注意的是IT安全專家通常也屬于高風(fēng)險(xiǎn)角色的范圍。

　　(4)加強(qiáng)用戶教育

　　對(duì)用戶而言，像網(wǎng)頁(yè)釣魚和捕鯨(把公司高官選作下手目標(biāo)的電子郵件欺騙手法)這些有針對(duì)性的攻擊讓人擔(dān)心，因?yàn)檫@些攻擊會(huì)利用用戶沒(méi)有及時(shí)接受公司教育方面的漏洞。網(wǎng)絡(luò)訪問(wèn)控制和安全信息管理等技術(shù)有助于保護(hù)IT安全，但幫助非常有限。隨著攻擊變得更加狡猾，用戶教育成了惟一選擇。

　　人們普遍認(rèn)為，IT安全是IT部門的事情，其實(shí)這并不符合實(shí)際情況。用戶才是IT安全的最大威脅，因?yàn)榇蠖鄶?shù)用戶對(duì)其行為的危險(xiǎn)性不以為然。因?yàn)闊o(wú)論對(duì)用戶進(jìn)行多少次的安全知識(shí)培訓(xùn)，用戶總是禁不住各種病毒附件的“誘惑”，或?yàn)榱双@取瀏覽速度，不惜關(guān)閉防火墻。IT安全問(wèn)題人人有責(zé)、責(zé)無(wú)旁貸。讓人遺憾的是許多情況是當(dāng)出現(xiàn)IT安全問(wèn)題后，IT主管總是被動(dòng)應(yīng)付，只能采取補(bǔ)救措施。實(shí)際上，IT安全責(zé)任存在于公司的各部門，應(yīng)該要做到防微杜漸，以小見大。

　　(5)災(zāi)難恢復(fù)

　　墨菲定理說(shuō)，會(huì)出錯(cuò)的事總會(huì)出錯(cuò)，如果你擔(dān)心某種情況發(fā)生,那么它就更有可能發(fā)生。這個(gè)定理用到IT安全上，就是“再穩(wěn)健的IT安全也會(huì)出問(wèn)題?！边@時(shí)候，我們老祖宗的那句話就派上了用場(chǎng)：凡事予則立，不予則廢。CIO應(yīng)趁著系統(tǒng)還在運(yùn)行的時(shí)候，制定一個(gè)災(zāi)難恢復(fù)計(jì)劃，將災(zāi)難帶來(lái)的損失降低到最小，這也許是IT安全保障的最后一個(gè)策略。

　　(6)IT安全演習(xí)

　　最后一點(diǎn)，當(dāng)安全系統(tǒng)被攻破，危急時(shí)刻要迅速抉擇難免有誤。因此，平時(shí)建立應(yīng)急預(yù)案，演習(xí)危機(jī)處理流程非常有必要。