“人”是企業安全最大的漏洞

    云計算最典型的大眾應用無疑是社交網絡，當今最火爆的網絡服務如國外有Youtube、Facebook、Twitter、Flickr等，國內有微博、開心網、優酷等。由于社交網絡以人際關系為紐帶，以實時共享和互動為核心，徹底改變了傳統互聯網信息廣播的單向結構，為黑客實施社會工程學犯罪、乃至商業機構之間的網絡諜戰提供了絕佳環境。例如，前不久奧巴馬在白宮安全顧問的一再督促下，被迫宣布關閉其Youtube賬戶，奧巴馬稱Youtube對其隱私構成威脅。

    如今，大型企業的員工也大多是社交網絡的使用者，這為黑客“人肉”特定企業的員工提供了新的渠道。RSA2011大會上，反黑客專家一致認為黑客已經開始把目光轉向大型企業員工，與會專家稱之為高級持續性攻擊模式，黑客通過企業員工進入企業內部網絡，即使企業有再多的防護也沒有用。例如黑客曾經給歐盟網絡的一名員工的電腦中植入木馬，順利攻陷歐盟27個國家的碳排放交易網絡，黑客從中竊取了兩千多萬歐元交易額，其中捷克損失1870萬歐元，奧地利損失700多萬歐元。

    可以看到，信息安全的成功，對終端用戶的依賴越來越大。信息安全管理也需要比以往任何時候更加關注終端用戶的安全意識和安全行為。云計算的滔天大浪從未像今天這般迫近，那些呆在海邊日光浴的企業必須采取有效行動來自我救贖。是的，云計算本身的安全更多要依靠大型的云計算提供商以及技術合作商，即使大型組織和行業企業開始擁有私有云，但核心的安全技術還是依賴于平臺提供商（自從2011年微軟的云計算爆出安全漏洞以來，云安全本身也并非萬無一失。）

    對于企業來說，云安全和終端安全方案的保護傘只能避免“天災”，但是“人禍”依然是阿喀琉斯之踵。沒有布拉德利-曼寧的里應外合，就沒有WikiLeaks的“輝煌”；沒有針對特定工廠員工的“社會工程學”行動，就不會有“震網蠕蟲病毒”（Stunext）的輝煌戰果。

    隨處可見的“裸體公司”

    云通訊、云郵件、云存儲、云程序等云計算服務，將伴隨移動設備的蜂擁而至如狂濤駭浪般沖擊企業IT信息安全管理系統，企業內網的“馬其頓防線”正在被推倒，傳統的重點依靠網絡安全技術控制手段來保護公司的關鍵信息資產的方法面臨挑戰。每一位CIO和企業信息安全專家，無論所在企業是否主動擁抱云計算，都將面臨前所未有的考驗：企業圍墻已經被推倒，單純依賴信息安全技術的傳統思路不再適用。

    索尼公司不久前經歷了一次非常嚴重的黑客事件，其次世代主機PS3的核心密鑰被黑客攻破，直接威脅到其每年上億張正版游戲的銷售。21歲的新澤西黑客George Hotz，首次完整破解了PS3主機，他在網站上公布了代碼，并在YouTube上演示了越獄。索尼隨后采取了全面封殺的做法，該公司律師據稱向轉貼越獄方法的網站發出了大量DMCA刪除通知。但是非常戲劇性的是，索尼公司主管PS3業務的一位高管在黑客“博友”的誘騙下，在自己的twitter賬戶上“銳推”了這串要命的代碼。事后該高管雖然火速刪掉了該微博，但早已經被新聞媒體拷屏傳播，淪為業界笑談。在黑客的社交工程伎倆下，即使是信息技術行業的資深人士，也會不經意間犯下大錯：輕則泄露商業隱私，重則威脅公司生存。

    移動互聯網+社交網絡的普及，將過去碎片化的人際關系晶體粘合在一起，變成一塊塊通透的棱鏡，大多數的企業、甚至政府機構都即將或者已經成為“赤裸公司”。在實時的，無所不在的信息共享模式下，越來越多的企業發現，花錢購置并部署昂貴的安全系統并不能在云時代換來安全保障，社會化媒體以及公共云計算的使用者——每一位員工，才是如今信息安全治理的問題核心。越來越多的企業發現，防火墻、入侵檢測及防御或者安全加密并不能確保他們的關鍵系統和數據，他們中有些人甚至會認為，這些技術控制純粹是在浪費金錢，云計算時代網絡接入點無處不在，只要有進入系統的權限，人們可以在任何時間，任何地方自由地獲取、處理和分享各類機密的商業數據。

    以“人”為本的谷安模式

    事實反復證明，沒有立體化、全方位的信息安全風險管理體系和專業化、系統化的員工安全意識培訓，常規的偏重“IT”的信息安全技術方案并不能確保商業組織的信息安全。在這種客戶需求的轉變中，目前我國的信息安全市場中IT風險管理和咨詢服務已經進入快速發展階段，一些本土廠商經過長期的默默耕耘后已經站穩了腳跟，能夠向大型行業企業提供完備的IT風險管理咨詢及解決方案。

    我國第一家IT風險管理解決方案提供商，深交所ISMS項目的承包商——北京谷安天下科技有限公司總經理李華在接受采訪時表示：“狹義的信息安全，只是為了企業信息的保護。但從現代企業管理的角度來說，信息化帶來的風險不止是信息安全風險，還包括IT治理風險、IT規劃與架構風險、IT項目管理風險、IT基礎設施風險、業務持續性風險、IT應用系統風險、IT服務交付風險、IT績效風險、合規性風險等，共十個大類。”

    谷安天下能夠在與國外一流信息安全咨詢廠商的競爭合作中發展壯大，其商業模式有個三位一體的核心：人員、流程和工具；其中，人的因素被放在了第一位。李華認為整個IT風險控制當中，應當通過培訓業務來控制“人”自身帶來的風險，而通過咨詢來解決企業機制和流程的問題，然后把多年的IT風險管理的最佳實踐固化到軟件中來形成工具。

    谷安模式為身處信息安全海嘯中的CIO們提供了一個成功范例：如何站在IT治理這樣的戰略高度看待IT風險控制，并制定一套適合我國IT風險實際情況和企業自身行業屬性與需求的綜合性風險管理框架。在此之前，大多數企業的關注重點還只是IT方面，而沒有上升到是IT+管理+控制的層面。