“暗箱IT”���,顧名思義����,給我們留下的是非常不好的感覺(jué)?��!鞍迪銲T”有自己的運(yùn)行系統(tǒng)�����,并且公然的實(shí)施其自身的規(guī)章制度����,很快就可以對(duì)企業(yè)的安全基礎(chǔ)設(shè)施造成嚴(yán)重的威脅���。
那么���,面對(duì)這些看上去似乎是在自然生長(zhǎng)繁殖的暗箱實(shí)體,CIO們?cè)撊绾稳?yīng)付呢��?針對(duì)“暗箱IT”這種現(xiàn)象�����,我們走訪了兩位專家����。這些實(shí)體為什么會(huì)存在?他們對(duì)企業(yè)的基礎(chǔ)設(shè)施安全構(gòu)成了怎樣的威脅��?企業(yè)的高級(jí)管理層該如何解決問(wèn)題��,化解由此而帶來(lái)的風(fēng)險(xiǎn)�����?帶著這些問(wèn)題�,讓我們來(lái)聽(tīng)聽(tīng)專家的意見(jiàn)。
“暗箱IT”為何存在�����?
一些商業(yè)環(huán)境很自然的為一些非正式的甚至是非法的IT運(yùn)作提供了生存和繁殖的肥沃土壤����。下面就是一些很好的例子:
1、“暗箱IT”實(shí)體在壓力下產(chǎn)生�����。
Configuresoft, Inc.的CTO Dennis R.Moreau博士指出,由于企業(yè)IT支出的大幅度減少和基礎(chǔ)設(shè)施問(wèn)題對(duì)IT支持需求的增加(這種需求包括安全需求�����,但是又不僅僅局限在安全需求之內(nèi)��,還包括技術(shù)融合/升級(jí)和服務(wù)水平的維持等)�,公司的IT部門要完成的項(xiàng)目越來(lái)越多。但是它們的工作能力又是有限的���,無(wú)法對(duì)業(yè)務(wù)部門的需求完全作出迅速積極的回應(yīng)����。這樣一來(lái)����,一些業(yè)務(wù)部門就很自然的自己處理這些問(wèn)題了。
2����、“暗箱IT”小組最初是為了解決業(yè)務(wù)部門的特定問(wèn)題。
Moreau說(shuō)��,在很多情況下���,企業(yè)IT部門的工作并不能充分滿足業(yè)務(wù)需求�,這樣一來(lái)很多業(yè)務(wù)部門就想辦法來(lái)進(jìn)行自己的“暗箱IT”項(xiàng)目����。
這些暗箱項(xiàng)目通常風(fēng)險(xiǎn)很小,因?yàn)樗鼈兯O(shè)計(jì)的范圍很小�����,并且都同業(yè)務(wù)部門的需求相一致���。這些項(xiàng)目通常也可以迅速的實(shí)現(xiàn)投資回報(bào)����,這在很大的程度上是因?yàn)樽畛醯耐顿Y比較小�。
3、“暗箱IT”實(shí)體被速度錯(cuò)覺(jué)所驅(qū)使���。
一些業(yè)務(wù)實(shí)體認(rèn)為��,同樣的工作�����,如果交給IT部門去做�����,可能需要八個(gè)星期的時(shí)間��,而如果由自己的員工來(lái)完成����,可能只需要兩個(gè)星期的時(shí)間。但是��,正如Spafford Global Consulting的負(fù)責(zé)人��,IT Process Institute發(fā)行副主管George Spafford所指出的���,業(yè)務(wù)實(shí)體自己的員工來(lái)完成工作可以比IT部門快�,是因?yàn)樗恍枰獙⒐ぷ魍麄€(gè)企業(yè)的工作進(jìn)行協(xié)調(diào)�����,不需要從企業(yè)整個(gè)系統(tǒng)的角度來(lái)考慮問(wèn)題����,不需要考慮數(shù)據(jù)的正式化和再度利用�。
但是����,當(dāng)這些暗箱系統(tǒng)開(kāi)始出問(wèn)題的時(shí)候�����,這種速度錯(cuò)覺(jué)也就被打破了��。
那么“暗箱IT”實(shí)體又會(huì)給企業(yè)帶來(lái)哪些安全威脅呢�����?
Moreau說(shuō):“沒(méi)有經(jīng)過(guò)專業(yè)人員正規(guī)操作的IT系統(tǒng)通常很難滿足不斷升級(jí)的安全要求”�����。Spafford還補(bǔ)充說(shuō):“暗箱操作同樣也缺少標(biāo)準(zhǔn)�,沒(méi)有經(jīng)過(guò)充分的計(jì)劃,對(duì)安全設(shè)計(jì)和開(kāi)發(fā)缺乏充分的理解��?!?
這樣一來(lái),“暗箱IT”實(shí)體就可能將整個(gè)企業(yè)的IT基礎(chǔ)設(shè)施暴露在嚴(yán)重的風(fēng)險(xiǎn)之中��。例如:
安全受到威脅的系統(tǒng)可能會(huì)對(duì)外提供基礎(chǔ)配置和網(wǎng)絡(luò)設(shè)施的信息。
一個(gè)不安全的系統(tǒng)對(duì)服務(wù)的拒絕可能會(huì)危及到同一網(wǎng)絡(luò)上的所有其他系統(tǒng)�����。
一個(gè)安全受到威脅的系統(tǒng)可能會(huì)成為整個(gè)企業(yè)系統(tǒng)上的突破口����。
一個(gè)安全受到威脅的系統(tǒng)背后可能暗藏著敏感信息的交流。
管理層如何解除安全威脅����?
管理層應(yīng)該如何消除這些安全風(fēng)險(xiǎn),或者使其最小化����,至少也要能對(duì)這些風(fēng)險(xiǎn)進(jìn)行控制。Moreau為我們提供了一些戰(zhàn)略:
1����、投資購(gòu)買可以及時(shí)發(fā)現(xiàn)“暗箱IT”操作的工具。
處于“暗箱IT”操作下的系統(tǒng)通常是不受企業(yè)范圍內(nèi)的控制的��。要想發(fā)現(xiàn)這種系統(tǒng)的存在����,最為有效的辦法既可以是積極主動(dòng)的(通過(guò)掃描)也可以是被動(dòng)的(通過(guò)目錄���,緩存,日志等)��。對(duì)被發(fā)現(xiàn)系統(tǒng)的全面控制應(yīng)該包括系統(tǒng)設(shè)置�、獨(dú)立性和軟件安裝(包括給軟件打補(bǔ)丁)���。
2、加強(qiáng)對(duì)現(xiàn)有“暗箱IT”設(shè)施的管理���。
通過(guò)對(duì)現(xiàn)有安全配置的評(píng)估加強(qiáng)對(duì)已經(jīng)發(fā)現(xiàn)的暗箱系統(tǒng)的控制和管理����。
3�、防患于未然。
加快那些能夠更好的適應(yīng)和滿足業(yè)務(wù)需求的系統(tǒng)的創(chuàng)立�����。鼓勵(lì)I(lǐng)T部門更積極的同業(yè)務(wù)部門合作�,滿足業(yè)務(wù)部門的需求。
記錄“暗箱IT”系統(tǒng)的支持成本和安全風(fēng)險(xiǎn)信息����。在對(duì)風(fēng)險(xiǎn)進(jìn)行控制和管理時(shí)���,這些信息是非常重要而有效的。
Spafford還補(bǔ)充指出�,管理層還需要了解與現(xiàn)有的IT模型所并存的風(fēng)險(xiǎn),確定自己是否愿意接受并承擔(dān)這些風(fēng)險(xiǎn)����。
此外,他還進(jìn)一步指出�����,管理層必須要了解�,“暗箱IT”是整個(gè)控制環(huán)境的一部分,必須也要符合企業(yè)整體的規(guī)章制度�����?����!叭绻鞍迪銲T”要繼續(xù)存在,它就必須遵守企業(yè)的IT制度�。”
