编者按：在一个相互协作的环境中，如何抵御网络机器人的攻击和无线窃贼的骚扰？这将是CIO要面对的新问题。

　　一边是软件机器人发动的恶意网络攻击，另一边是工作场所泛滥成灾的移动设备…首席信息官（CIO）身边的宽带网络无处不在，有的基本安全，有的则防御能力低下。若要保护其信息资源的完整性，并保证网络的健康发展，CIO必须了解且正视以下这些为数不多，但是足以致命的新安全威胁。
　　
　　随着技术和应用日新月异的发展，这些网络的脆弱环节要求调用足够的资金来部署一些安全措施。此外，企业必须积极主动地监控、管理、并优先考虑新技术过快涌入而带来的风险。虽然无法立即医治所有“新病患”，但是企业安全人员能做的最重要的一件事，就是帮助CIO和其他管理人员了解其中的风险，以便做出合情合理的业务决策。
　　
　　保持高度警惕性一直是企业安全人员的关键使命。但正如我在《网络监控：数据守护者一生的教训》（Patrolling Cyberspace: Lessons Learned From a Lifetime in Data Security）一书中所阐述的那样，警惕的重点必须转变，从阻止危险分子潜入安全领地，转变到创建安全的、技术驱动型的业务流程。
　　
　　企业安全小组不能仅满足于发现威胁和应对威胁。在高度协同和移动化的环境中，他们现在需要做的是深入了解员工及所属部门之间、企业内部组织之间、企业与客户之间，以及企业及其贸易伙伴之间的关系。
　　
　　只有牢牢把握每一关键性互动的商业价值，首席信息安全官（CISO）和CIO才能意思到有很多网络威胁会带来灾难性的后果，同时权衡创新的风险和尝试新技术的需求。这里笔者要把重点放在以下三个相互关联的，有可能遭受潜在威胁的领域：协同价值链，日益普及的宽带，和无线终端设备。

打退僵尸网络

　　机器人网络，又名“Botnet”或是“僵尸部队”，意指一些接入到互联网上的计算机，在未经其所有者同意，或是在所有者不知情的情况下，被恶意软件控制。这些恶意软件往往来自“机器牧人（Bot Herder）”或由未知第三方发布，由此形成僵尸网络。机器牧人通过对那些机器的控制来攻击其他资源。最近，某僵尸网络对比尔?奥雷利（Bill O'Reilly）的官方网站进行了堪称“完美的”拒绝服务攻击。
　　
　　根据该网站的报告，奥雷利这个颇具争议的保守派大师的网站足足被攻击了两天。在大量数据的狂轰滥炸之下，BillOReilly.com的防火墙不堪重负，网站主管们出于保护网站的目的而关闭了他。
　　
　　作为健全的企业网站，BillOReilly.com被攻击一事表明，任何一个在线品牌都有可能成为攻击的目标。该事件也表明，如果由内而外地来审视安全问题，那对于防范这种威胁的作用是微乎其微的。攻击取决于外部危险分子逐步掌控其他计算机的能力，一旦确定到达了控制的临界数量，就会发起攻击，摧毁目标的安全防护措施。
　　
　　虽然应对计划可以减轻此类攻击的危害，但CISO需要研究僵尸网络的下一波攻击会来自何方。解决这个问题的一个好的思路和起点，就是发现公司以外的关键互动和业务流程。比如，随着企业间协作越来越紧密，各种规模的组织之间合作日益密切，商业价值链得到梳理的同时，企业网络也同时进入了僵尸网络的“攻击射程”。
　　
　　以前，企业管理人员可能会说：“我的安全问题是我自己的事”。
　　
　　 鉴于当今技术上相互依存的特点，这种态度已不再是无懈可击。从安全角度来看，组织间价值链安全状况受限于其最薄弱环节。最薄弱环节的安全隐患将是整个跨组织网络的整体安全隐患。
　　
　　僵尸网络的攻击变得越来越普遍。今年早些时候， 在瑞士达沃斯召开的世界经济论坛（World Economic Forum in Davos, Switzerland）上，互联网先驱文特?瑟夫（Vint Cerf）曾预言僵尸网络将越来越危险，并可能最终危及网络的未来。他指出，根据目前蔓延趋势，每季度约有1.5亿台联网的个人电脑感染特洛伊木马病毒。
　　
　　要解决这个问题，与其从技术上着手，不如建立一条公正的、与价值链上所有成员进行沟通的渠道。CISO的任务应该扩展到包括贸易伙伴关系在内的一系列业务对象。CISO及CIO必须成为数字外交官，就以下内容的协议进行谈判协商：公共安全措施、技术标准、以及在与小贸易伙伴合作环境下的安全业务流程。在采访中，我曾听到有人提到以下问题：“X公司的确有一些好员工，但因为其规模太小，不知道能否满足我们的安全需求。我也不确定一年多下来，如果遇到意外，它能否还能一如既往地和我们配合。”
　　
　　在这样的案例中，企业有三种选择：一，他们可以减少供应商总数，并不再与这些规模不大，但是提供高质量产品和服务的优秀供应商合作，并承担损失的机会成本。此外，他们也可以让供应商参与到价值链中，祈祷这些小企业不会成为其中的薄弱环节，从而导致整个渠道崩溃。但最好的方法是借助安全小组，帮助供应链中规模较小的企业满足贸易伙伴的安全需求。
　　
　　第三种选择可能涉及到费用分担，该费用用于为小企业聘请安全顾问，以满足安全需求。或者，处于价值链核心的企业向较小的贸易伙伴开放其内部资源，并把任何费用都计入长期业务关系。

宽带基础

　　价格合理的宽带无线连接日益普及，正在改变着许多企业工作职能的本质。我们应该清楚，他是企业生产率的主要激励因素。但同时，无线连接也显然给企业信息资源带来了难以想象的风险。企业应用一度安全地藏在防火墙之后。而如今，很多系统管理员不太清楚人们到底是如何连接到企业网络，如何访问企业应用程序的。对于其中发生的变化也只有一个模糊的概念。
　　
　　缺乏安全保障的无线网络，使一切都处于危险之中：从个人的隐私信息到非常敏感的企业数据。最近我参加了一项研究，其中涉及了对美国纽约华尔街地区的一次调查，目的是了解在这个金融中心到底有多少无线网络存在。
　　
　　结果我们发现了很多企业的无线网络。一些对信息加锁，并利用良好的安全流程来确保他们信息不向公共场所泄漏。有一些企业甚至采用了数据加密。但仍有很多存在风险的网络接入点。我们试探性地初步确认出一些流氓网站，他们的目的是欺骗员工借用他们地网络联机，由此而来，这些流氓网络运营方便可嗅探和捕捉潜在的敏感信息。
　　
　　以上的事实进一步证明，仅靠安全技术是远远不够的。控制，或者至少影响用户行为，让他们意识到安全漏洞的存在，是最终降低网络风险的关键。当员工离开内部网的控制范围后，他们必须意识到外部沿途的网络都可能存在安全隐患，此时多疑多虑，信息安全就多一分保证。但是现实中，很多员工乐于打开笔记本电脑，连到附近的任意一个网络来完成手头的任务。
　　
　　为提高员工的安全意识，企业首先需要为员工建立一个明确、有效的通讯政策。创造一种移动安全的企业文化来减少无线网络事故的发生。比如，某项政策可以明确规定，在咖啡厅里，员工可以利用其免费Wi-Fi网络处理企业的哪些数据，而哪些是严禁使用的。另一方面，如果员工是用虚拟专用网络（Virtual Private Network）进行连接，则采用严格的加密手段是明智有效的，该措施会使监听偷窃到的数据都变成乱码。这一问题其实已经远远超出了网络安全和IT的范畴，进入了人类行为习惯和商业规则的领域。卖主虽然可以保证其产品的安全，但是企业用户的业务流程安全，只有用户自身才能保障。
　　
　　终端的安全问题部分源自于无线接入方式的多样化――现在各种各样的移动设备都可以通过企业网站发送和收集信息。很多企业一度集中管理单一种类的移动设备，用户可以用这些企业验证过的移动设备来获取和同步业务信息。但那个时代早已过去。今天，即使是低端手机也能够支持日历，接收电子邮件，并访问网络获取企业在线资源，这使得端点安全复杂了很多。更新补丁、考虑合规，贯彻IT策略，如数据加密等工作正变得越来越艰难。

注意事项

　　下面是需要注意的最重要的信息安全趋势：
　　
　　> 无间断连接。数十亿的设备永远处在运行和在线状态。
　　
　　> 虚拟经营。复杂的外包关系使得商业信任的传统界限被颠覆。
　　
　　> 政府规定。随着信息安全侵害范围的扩大，各国政府会设定更严格的法律。
　　
　　> 安全垦荒。跨国罪犯利用不同国家和不同立法间的差异，来实施罪行，钻法律的空子。
　　
　　> 隐私渐少。在要求便捷性和功能性的同时，还需要继续保证隐私信息的安全。
　　
　　> 欲速则不达。产品上市的时间要求给了企业软件安全和质量新的压力。
　　
　　> 人才之争。安全技能的缺乏将影响解决方案的实施。
　　
　　> 你的，我的和我们的。知识产权和信息归属的界定，将成为核心争议点。
　　
　　解决上述问题的办法主要围绕如何创建重视信息安全的企业文化。重要的是，不仅要阐明政策，还要使其易于接受。比如，许多手机和掌上电脑设置成需要密码才能获取数据。不为人知的是，这些设备可以被进一步控制，当多次输入密码错误时，系统会自动删除其所有数据。企业可能希望为员工提供关于这种能力的简单指令，甚至为他们提供远程备份。但出于同样的原因，他们可能想限制员工能够在移动设备上存储的数据类型。
　　
　　此外，产品生命周期的管理是至关重要的。新技术出现时，很多人希望立刻升级到下一代，比如，一年内我用了三台无线设备。而这样做的远远不止我一人。
　　
　　遗憾的是，许多移动用户在报废笔记本电脑前并没有删除其数据。通常当他们试图删除时，有人已经想办法对数据进行了恢复。
　　
　　企业必须避免把自己的旧设备简单地看成是报废设备。他们需要直接从制造商那儿获取指导：在设备报废、循环再利用甚至转售前，如何完全删除其所有数据。尽管设备制造商设立了安全保障，企业还是务必要按照厂商建立的操作流程来执行。但是事实上，这些比较困难，尤其是多种设备同时使用之时。
　　
　　我曾经听说过有些企业把安全小组和他们制定的政策规定看成是发展的障碍。而CISO和CIO需要一起努力来改变这一看法。
　　
　　为了建立健康的安全文化，一个好的借鉴模式是“质量控制和保证”观念。该理念经历了20世纪80年代制造业的变迁。兴旺发达的企业不会把质量评估看作是可有可无的，而是把全面质量管理纳入产品开发和制造过程。
　　
　　一个大的企业应该指定一个监测小组，来协助评估新技术、新设备以及企业网络应用的安全风险，并制定出正确的应对方案。采取行动与业务经理及合作伙伴进行协作，其目的是利用更多的技术（而不是回避新技术），以更快速的步伐、更安全的方式，实现关键性商业目标。
　　
　　霍华德?施密特（Howard Schmidt）是R&H安全咨询公司的总裁兼首席执行官（CEO）。他同时也是美国计算机紧急响应小组前首席安全战略家。

90天计划

　　安全战略举措应该是坚持不懈的，用于改善新兴的、或是现有的业务流程，和业务关系的风险态势。以下是开展整合风险管理策略的基本步骤和时间表。
　　
　　第一个月：找出弱点
　　
　　进行自上而下的分析，找出数据所在，发现现有的弱点。通常，这涉及到要引进一个第三方顾问，比如一家大的会计公司或者是一家知名的网
　　络安全公司。
　　
　　对于数据的存储位置和存储方式进行监控。
　　
　　发现最大的风险所在，并跟踪其变化。进行安全资源再配置，来应对新的业务状况。
　　
　　第二个月：责任分配
　　
　　制定一个明确的流程，探讨如何解决持续发展中的新问题，其中包括规划方案、优先度排序和资金调配。
　　
　　明确这些是谁的责任，或谁有义务来完成这些工作。
　　
　　第三个月：将安全问题整合到部署过程中
　　
　　把安全问题融入技术部署过程。而不是先搭建，后考虑安全问题。安全和隐私问题的措施不应被看作是可有可无的。
　　
　　对于不完全理解的业务流程，要注意控制其中的风险。
　　
　　进行持续的战略风险评估和政策发展。(译/杨磊)

（信息周刊）