如今,企業的IT主管們都非常清楚網路安全意味著什麼。可以說網路安全對維持企業業務正常運轉起到了至關重要的作用。然而在20年前,企業對網路安全方面的認識卻並非如此,在那個年代,企業的網路安全建設到底是什麼樣子?是什麼促使了企業加大了在網路安全方面的投資與建設?在歷經20餘年的發展後,IT主管們應該怎樣建設“安全的”的資訊現代化企業?
 
帶著這些問題,51CTO.com記者採訪了北京首鋼自動化資訊科技有限公司自動化研究所的郭雨春總工程師。郭雨春負責首鋼IT系統建設與規劃工作已經有20餘年了,作為中國企業資訊化建設20年發展的見證人,郭雨春對網路安全方面的建設與發展有著更深刻的感受。他把真正意義上的企業網路安全發展分為兩個階段,即資料防護階段和可持續發展階段。
 
20年前,沒有真正的網路安全
 
由於網路技術發展的限制,從80年代中後期,直到90年代初期,企業還談不上真正意義的網路安全。
 
郭雨春回憶說,在80年代中期,IT基礎設施還非常欠缺,有實力搭建網路的企業少得可憐,大部分企業的微機數量屈指可數。直到90年代初期,雖然出現了簡單的網路結構,也開始意識到病毒的概念,但安全措施也基本體現在對企業內部員工的制度管理層面上,幾乎沒有針對安全的具體裝置和產品。
直到90年代中期之前,由於當時的網路技術水平有限,使得安全威脅大部分來自企業內部,例如病毒、誤操作等等;相對而言,來自其他因素的主動***很少,最多隻是這些企業職員由於種種原因刻意破壞微機系統,使系統不能正常執行,從而導致安全問題的產生。這也是為什麼“安全”重點放在對人的管理層面。企業所謂的安全措施,幾乎都是為了保障單機系統的正常執行、不當機而建立的。讓郭雨春印象深刻的是,當時為了防止計算機系統不中病毒,企業採取了很多管理措施,諸如不允許使用軟碟機、取下計算機硬碟等等。
 
網路安全進入資料防護階段
 
在依託於網路的各種IT基礎設施湧現的同時,企業逐漸發現,資料對企業來說才是至關重要的。
 
郭雨春認為,近10餘年來,隨著網路技術的進步和網際網路的迅猛發展,才有了中國企業真正意義的網路安全建設。總體看來,10年來的發展,企業網路安全建設的顯著特點就是,企業的安全投入逐步增加,資料安全成為企業安全的關鍵和核心。
 
1、企業安全防護物件的發展
 
90年代中後期,網路技術的發展促使企業開始全面開展資訊化的建設。在依託於網路的各種IT基礎設施湧現的同時,企業逐漸發現,資料對企業來說才是至關重要的,而網路安全威脅也逐漸成為影響企業業務正常運轉的重要問題。
 
1998年通過網際網路絡傳播的CIH病毒首次大範圍爆發,全球超過六千萬臺電腦被不同程度破壞,損失超過十億美元。此次病毒威脅給很多企業,尤其是中國企業帶來了深遠的影響,直到現在,反病毒軟體依然是企業IT採購中必不可少的內容。更讓企業警醒的是美國大停電和“911”事件,企業終於認識到,一旦發生重大安全事故,資料才是企業能否儘快恢復運轉的關鍵和核心!
 
如今,保護資料已經成為包括防毒軟體和其他各種網路安全技術和產品的重中之重,特別是20世紀末21世紀初以來,***技術、***檢測與防禦技術、各種加密技術、身份識別、網路訪問控制技術、員工行為管理等技術層出不窮,呈現出多兵種協同作戰的局面。
 
不過,雖然這些技術和產品或直接或間接的保護企業資料不受威脅,但網路安全防護大部分停留在“被動防禦”的局面。用郭雨春的話說,目前大多數企業的安全還是以防禦為主的安全。這好比是擺好了架子,設定好關卡等著被***。企業應該逐漸變被動防禦為主動防護,才能最大程度的降低風險。
 
主動防護的手段有很多,如建立完善的容災備份體系就是其中的一種,有條件的可以進行異地災備,沒條件的可以對關鍵資料進行必要的災備。在美國911恐怖襲擊中進行了異地災備的公司,在很短的時間內就恢復了正常運轉,而沒有進行任何災備的公司則很難在短時間內恢復運營,甚至可能面臨倒閉的危險。這足以說明,為避免關鍵業務受影響,進行必要的主動防護是非常必要而且值得的。
 
我們不難看出,無論是各種安全防護技術的出現,還是災備系統的實施,都只有一個目的,那就是最大限度地保護企業資料中心,不受威脅或減少威脅。可以說,現在的網路安全是以資料中心為主要防護物件的各種安全技術與產品的應用。
 
2、企業安全投資的加大
 
在10年前,也許有人會說,把資金用於網路安全建設不值,不投入這部分資金,也不會有什麼事情發生。之所以那時會有這種觀點,原因有兩方面,首先是安全威脅對企業造成的損失遠不如生產經營帶來的營收大,致使企業短期內看不到安全投資方面的收益。另外,網路技術的不成熟,使得業務無法通過網路來實現,來自網路的威脅也就無從談起,這成為另一方面原因。
 
進入新世紀後,隨著網路***技術和手段的發展,企業資訊資料丟失的情況屢見不鮮。國外研究機構Gartner 07年的一份相關調查顯示:在經歷了資料完全丟失而導致系統停運的企業中,有2/5再也沒能恢復運營,餘下的企業也有1/3在兩年內宣告破產。
 
也就是說,六成企業因資料完全丟失而倒閉。而部分資料丟失或被盜同樣會給企業造成損失,但很多企業仍未採取相應措施。但報告同樣顯示了一個令人振奮的結果:如果企業通過實施安全方面的建設,可以大幅降低這些風險。比如,在規模較大的企業中,如果當前的安全運營較為落後,每3年便可能出現1次公開披露的資料丟失。相比之下,業績最佳的企業已將資料丟失的可能性降低到每42年出現1次。這表明,進行安全方面投資建設是企業走向更快發展的有效保障措施。
 
我國企業的IT主管也逐漸認識到這一點。無數次國內外的安全事故已經充分證明,在企業與IT系統緊密結合的今天,安全事故對企業造成的損失已經成為企業無法承受之重——安全,不再是一個“玄虛”的話題,而是可預計的、可衡量的;而在安全方面進行一定的投資建設,卻能最大限度降低安全風險,所有企業在這方面的投入都是值得的。
 
郭雨春介紹說,以首鋼為例,在二期資訊化改造中,就投入了相當比例的資金用於網路安全建設當中,而且未來還會持續加大這部分的投入。
 
企業安全發展展望:構建可持續發展的網路安全體系
 
為了保障業務的連續性和可靠性,未來企業網路安全建設也必將是融合各種技術,構建可持續發展的安全體系。
 
如今,企業資訊化建設已經進入一個嶄新的階段,隨著網路技術架構的多元化發展,企業業務也呈現出融合的趨勢,網路不再承載單一的資料業務,語音和視訊也逐漸成為企業網路上的主要資訊元,網路安全同樣成為企業所關注的重點。
 
郭雨春認為,為了保障業務的連續性和可靠性,未來企業網路安全建設也必將是融合各種技術,構建可持續發展的安全體系。雖然現在多數企業部署了保護資料為目的的安全防護產品,但這些技術和產品的功能並沒有完全發揮出來,用到的只是一小部分,使安全方面的投資回報不成比例,而安全服務方面又沒有跟上,導致很多企業無法將各種安全技術有序有效的融合在一起,夠不成可持續發展的安全體系。但郭雨春非常肯定的是,未來的企業網路安全一定是促進業務發展,以保護資料中心為目的,可持續發展的安全體系。
 
企業在安全建設方面的建議
 
在結束採訪時,郭雨春根據自己二十多年的大型企業網路管理經驗,對當前的企業IT管理同行提出了一些建議。他認為,企業應該根據自身的情況和實力,選擇適合自身的安全建設目標——小企業可以參考中型企業的安全建設,中型企業可以參考大型企業的安全建設,從中一定能找到讓自己受益的好思路、好方法。
 
此外,郭雨春認為,企業的網路和安全管理,說到底要從企業自身出發,一味寄希望於裝置提供商拿出適合的解決方案是不可取的。這方面,企業無論大小,在投資網路安全建設時,都要儘量找第三方的安全諮詢服務商,這樣可以本著從實際出發,弱化企業與廠商之間的利益,從而徹底解決企業安全問題。