“地下”IT繁衍
“地下”IT繁衍
一直喜欢在网上购物的刘小姐最近被吓了一跳:她收到了一个“红客”的警告,要她立即修改所有密码,因为她网络银行的密码已经被盗。开始,刘小姐并不相信,那位“红客”立马便列出了她的密码。原来,刘小姐中了“木马“病毒,如果不是得到这位好心“红客”的相告,几年的积蓄恐怕很快就被窃取了。其实与刘小姐有相似经历的网络银行用户正在逐步增加。
“网银频频遭受网银大盗、网络钓鱼、木马等病毒的攻击,主要原因来自银行内部,”赛门铁克公司中国区技术经理郭训平说,“普遍繁衍的银行‘地下’IT,恐怕是罪魁祸首”。
所谓“地下”IT(Shadow IT),并不是一个严格的学术意义上的称法,一般特指“不在企业的管辖范围之内,有自己的运行系统,并且有自己一套制度,很可能对企业的安全基础设施造成严重威胁的IT系统”。
以银行的网络安全为例,据称,目前没有一家银行拥有统一的安全平台,各银行使用的软件不同,投入力度不同;即使是在同一银行的内部,其不同机构、不同地区之间,信息安全产品的投入也不一样,IT策略也各不相同,从全行角度看,这些系统就是“地下IT”。
“由于目前银行开始联网作业,这种信息安全产品投入的不平衡会导致病毒流窜,进而降低整个银行体系的安全系数。”郭训平一语中的,虽然,就目前而言,银行的单个系统内部是安全高效的,但与大系统连接后,根据“木桶原理”,最短的那个板将决定整体水平,哪里有“短板”,哪里就成为安全的漏洞,最后甚至危及整个系统的安全。
“有安全疑虑的‘地下’系统可能会成为整个企业系统上的缺口,”美特斯邦威集团副总裁王泉庚认为,“人们一般可能会认为,数据库的安全很重要,其实整个IT基础架构的外泄才是最具毁灭性的打击。”有安全疑虑的系统可能会泄漏架构组态和网络设施的信息;一个不安全的系统可能会对同一网络上的所有其他系统造成阻断服务攻击(DoS)的威胁;有安全疑虑的系统背后可能被用来当作机密信息交流的起始点。
春节前,名列国内前三强的某乳业公司副总裁、CIO和部分IT主管前来美特斯邦威集团取经,原来该集团的某些分公司和子公司,在集团整体IT管理框架之外,繁衍了一些项目,很有一些地下IT的苗头。
“不要轻视地下IT,它或许就潜伏在你的企业内部。”王泉庚认为,其实相当数量的企业都存在“地下IT”,只是大家还没有意识到它的威胁而已。
业务与IT的矛盾
广东格兰仕集团有限公司副总经理俞尧昌认为,从源头上讲,地下IT的诞生基本上都是源于业务部门与IT能力之间的矛盾。而这种情形在快速发展的企业中尤为常见。在很多情况下,企业IT部门的工作并不能充分满足业务需求,这样一来很多业务部门就想办法来部署自己的“地下IT”项目。当然,格兰仕集团也曾面临同样的挑战。
尤其典型的是,银行形成盘根错节的地下IT,根源恰恰也是因为业务的挑战。郭训平认为,各地银行以往所做的IT项目,大多都是根据自身业务需求而进行的,这些IT项目以部门、项目、产品为中心。从当时看,这些项目优点也很明显:基本上都实现了快速的投资回报率,相对于整个银行的规划,投资规模不大,实施周期短。
“不过,‘地下’作业同样也缺少标准,没有经过充分的计划,对安全设计和开发缺乏充分的理解。”郭训平认为,这些项目没有从总行整个系统的角度来考虑问题,也没有跟全银行的业务进行协调,更缺乏对数据的管理和挖掘利用。这造成到今天为止,国内还没有一家银行有统一的安全管理平台。
不仅如此,当这些地下系统需要扩充的时候,问题就来了。如今,银行的运作效率已不仅仅取决于单一部门、单一应用水平的高低,而越来越依赖于不同部门、不同应用的协同工作,因此必须将已有系统、应用、流程以及数据有机地集成,原来的分散系统就成为银行系统整合前进的沉重“脚镣”。
及时发现,逐步整合
“我们公司绝对不允许任何形式‘地下’IT的存在。”广东格兰仕集团有限公司副总经理俞尧昌的态度十分坚决。
要及时发现和阻断企业的“地下”IT,郭训平认为从技术角度看并不困难,最大的难题在于如何对现有的地下IT进行‘整编’,尤其是银行业规模庞大的地下IT系统。
据郭训平介绍,对于组织内小规模的地下IT,日常通过主动扫描系统和目录、日志等的摘录都可以发现,也都能够快速得到纠正,譬如系统的设置、独立性和软件安装。目前,市场上可供选择的有效软件有不少。
“企业IT系统一定要集中,信息的分散就是资源的分散,没有IT整合,业务的整合就是一句空话。”美特斯邦威集团副总裁王泉庚分析道,企业要消除“地下”IT,就是因为系统分散,数据、信息很难集中,导致了效率的低下。
美特斯邦威集团对此很有体会。在1995~1999年近五年的时间里,美特斯邦威集团的系统是分立的:仓库、财务、分销各有一套体系,信息不沟通,规范也不相同。最后企业不得不重写规范和程序,才有今天的IT构架。王泉庚认为,对地下IT系统的整编会经历几个阶段,首先是硬件的整合,然后是数据的整合,最后的阶段是应用的整合。 “当企业意识到,技术已经制约了业务的创新时候,整合就要开始了。” 他说。
郭训平也认为,业务的应用集成应该是整合的方向,银行也不例外,企业的IT只有先以业务需求为方向,才能获得真正的壮大。而在技术上,可以通过在中间件基础上加载开发应用来逐步实现。(下一页)
网友评论