孙杰贤

徐工集团信息化管理部副部长张启亮这样形容信息化：徐工集团的每个子公司，子公司的每个业务和生产部门就像一颗颗珍珠，但是徐工集团想成为美丽的项链中间还缺少一根线，信息化便是这根线。他说：“在徐工，信息化已经从成本中心变为企业的利润中心”。

的确，在信息技术为核心的知识经济时代，信息是重要的生产力要素，也是支撑企业长远发展的核心竞争力。信息化对于企业来说不是做与不做的问题，而是如何做的问题。

我国政府一直高度重视信息化工作，特别在十八大提出“两化深度融合”和“四化协同发展”的战略部署后，各行各业信息化的热情高涨。

技术崇拜

企业在信息化建设时有一个普遍的现象，那就是对新技术和新应用趋之若骛。一方面，这些新技术和新应用的价值对于企业来说具有非常高的吸引力，但更重要的是企业希望借助新技术来提高整个信息化系统的先进性，同时延伸信息系统的生命周期以最大程度保护投资。

云计算，大数据，物联网，社交网络，BYOD是当前最为流行也最受企业追捧的几大新技术和新应用，而这些技术也的确有着非常突出的应用价值。

传统软件部署很麻烦，比如，买服务器、安装、调配等，但是云模式就很简单，只要开通账号，登陆后便马上能用，也不需要配备专业人员，所以，云计算具有部署快，成本低的优势。由于其按需付费，所以不需要一次性付出一大笔钱。这对企业尤其是中小企业的吸引力是巨大的。再比如大数据，它有两个关键核心价值：一是能够帮助管理者更快、更科学、更有根据的决策；二是基于大量的数据，可以开发新产品新服务。大数据技术的应用，可以依托现有客户发现新的蓝海，重新定义客户关系，推出新的产品和服务，创造新的价值，给企业带来新的市场机会和利润增长。

这些新技术和新应用也不乏成功的实践，也产生了实实在在的经济效益。《2012-2013年英特尔IT业绩报告》显示，过去一年中，该公司利用大数据预测引擎把芯片设计时间大大缩短，使其上市速度加快了25%；在过去的两年，从云计算中获得的节约高达1500万美元；至去年年底，员工使用私有电子设备（BYOD）增加至23500台，帮助员工在过去三年中工作效率提升超过700万个小时。可以说，诸多IT解决方案相互配合共同贡献于英特尔的业务发展，为其业务团队带来了宝贵的商业价值和机会。

但是企业在追逐新技术和新应用的同时对另外一个问题却有点避重就轻，这就是网络和信息的安全。虽然英特尔信息风险和安全管理总监Perry Olson说，“并没有数据显示，安全事件因我们广泛使用云技术、社交网络、大数据等新技术和新应用而明显增加”。但不可否认的是风险和威胁是客观存在的。

新隐患

我们知道，BYOD模式是IT消费化的一个戏剧性结果。这一模式的原动力来自于员工而非企业，员工对于新科技的喜好反过来驱动企业变更和适应新技术的变化。十年前，我们上班的时候就用公司的电脑，不安装其他软件，很安全。BYOD则意味着我们可以在办公室使用自己的电脑设备办公，可以任意安装自己需要或者喜欢的软件，打开自己感兴趣的链接。与此同时，企业的安全策略并没有考虑这样的应用环境和要求，自然带来的安全风险。

其它新技术和新应用会带来同样的问题。做为大数据领域的代表技术，许多企业聚焦在Hadoop之上。但像许多开源的IT技术一样，Hadoop的概念并非来自企业，企业安全更是无从谈起。使用Hadoop的最初目的是管理公开可用的信息，如Web链接，是针对大量的非结构化数据在分布式计算环境中设计的，并没有形成书面的安全、合规、加密、政策支持和风险管理等协议。此外，传统的数据安全技术的概念是建立在保护一个物理实体（如数据库或服务器）基础之上，这与Hadoop集群独特的大数据分布式计算环境有所不同。传统的安全技术在这种分布式的、大规模的环境中不能有效发挥作用。

但是，如果问一句，新技术和新应用所带来的安全隐患引起企业的足够重视了吗？让我们看一份安永的企业安全调查报告。安永基于对全球1700多家企业（其中大约有8%为中国企业）相关人士的调查发现，72%的受访者认为信息安全风险水平因新技术的部署和应用而上升，但仅有三分之一的受访者表示在过去的12个月中对其企业的信息安全策略进行了更新，超过一半的受访者还表示自己所在的企业并没有一个针对未来1到3年的、成文的信息安全战略。

这就是问题所在，在新技术和新应用的安全问题上，企业有意识但缺乏有效的行动。原因何在，一位乳业集团的CIO坦言，“不是不想做，关键是不知道如何做”。

改变策略

那么，企业该如何面对新的安全形势呢？

一直以来，传统企业的安全架构在很大程度上依赖于预防性控制，比如防火墙。然而目前的关注重心已经转移至更为广泛的用户和设备提供受控制的访问，而不再仅仅是阻止访问。此外，不断改变的IT环境和威胁模式要求必须假定企业的安全防线肯定会被攻破。一旦攻击者成功了，预防式的安全策略便再不具备任何价值。企业需要重点实施可增强系统继续运作与恢复能力的工具以防止攻击者成功入侵自己的IT环境。

作为一名信息安全领域的专家，Perry Olson认为，随着企业信息安全要求的不断演变和拓展，传统企业的安全战略已经无法提供完善的保护，需要重新审视企业自身信息安全策略，以符合目前的风险状况。他说，“现在的企业需要一个更加灵活、更动态的架构用以加快新技术、新设备、新模式和新功能的应用”。在这方面，英特尔的一些实践值得借鉴。

在传统的二进制静态企业信任模式下，用户通常要么能够获得所有资源的访问资格，要么无法访问任何资源。而且，一旦获得访问许可，访问级别将始终保持不变。为了能够为全新的技术和应用提供支持，英特尔公司重新设计了自己的信息安全架构，新架构不再采用传统信任模式，而是采用动态的多层信任模式，可以对特定的资源访问提供更精细的控制。新架构基于四大要素：信任计算、安全区域、平衡的控制以及用户和数据边界。信任计算能够动态决定是否应授予用户特定资源的访问权限以及访问类型；安全区域包含重要数据和访问收到严格控制的信任区域，也包含不太重要的数据和允许广泛访问的不信任区域，各区域的通信处于监视和控制之下；平衡的控制则突出强调了在预防式控制和纠正式控制之间达成平衡的需求；用户和数据边界则是将用户和数据视作额外的安全边界并提供相应保护。

当然，我们不能因为安全问题而对新技术和新应用避而远之，否则就无法进步。只有一步一步往前行，多实践，多积累经验，我们才知道怎么样更好地控制，制定更合理的安全策略，从而实现两边的平衡——让企业既可以控制安全风险，同时能够享用新技术和新应用带来的价值。