• 快捷搜索
  • 全站搜索

携程瘫痪事件之警示及对策

2016-06-13 21:58:30作者:中国农业银行数据中心 谢以清 张俊 丁征涛 张志峰 孙英明编辑:金融咨询网
本文透过携程系统瘫痪等事件,分析了“互联网+”时代下企业所面临的信息安全困境,反思了互联网行业在信息安全管控方面存在的五大难题,并阐述了相应的解决之道。

从CSDN等大型网站数据库泄露到近期发生的携程系统瘫痪,互联网企业接连发生的信息安全事件引发了社会的高度关注和热议。本文透过携程系统瘫痪等事件,分析了“互联网+”时代下企业所面临的信息安全困境,反思了互联网行业在信息安全管控方面存在的五大难题,并阐述了相应的解决之道。

一、携程瘫痪折射出互联网企业脆弱的一面

        5月28日上午11时许,拥有过亿会员的携程网网站及手机APP全面瘫痪,至当晚近24:00才恢复正常,业务中断超过12小时。据媒体估算,该事件损失或超1200万美元。大量客户投诉及媒体负面报道,对企业形象的损害更是无法估量。无独有偶,5月27日下午,支付宝大面积无法登录,近2小时后才得以恢复,官方解释为光缆遭挖断所致。而对接二连三的突发安全事件,人们不禁要问,互联网企业光鲜亮丽的庞大帝国下,其IT基石是否过于脆弱。

二、从携程瘫痪反思企业面临的信息安全难题

        透过本次携程瘫痪,反思近年来层出不穷的互联网信息安全事件,在误操作、缺陷漏洞、备份不到位等表象背后,笔者以为企业面临的信息安全诸多深层次问题,已不再是一部门、一企业之事,需全行业、全社会共同关注和思考。

        1.企业漠视信息安全管理,缺乏整体的信息安全规划

        在互联网快节奏的市场竞争环境中,企业往往“重业务拓展、轻合规经营”,“重视信息安全”挂在嘴边却总落不到实处,重金购买堆砌的一堆安全产品犹如花瓶摆设。分析近年的信息安全事件,有系统未经安全测评就匆匆上线而频遭攻击的,有IT人员独自登录数据库窃取客户资料的,有重要数据缺少备份造成数据丢失等等,究其根源在于企业的安全理念还停留在防病毒、防黑客攻击等个别技术层面上,信息安全理念落后甚至淡漠,缺乏完整的、体系化的信息安全规划、建设和管理,信息系统整个生命周期充斥着风险隐患,只能被动式地头痛医头、脚痛医脚,疲于奔命。

        2.企业对IT部门的定位偏差,使其边缘化、黑盒化

        长久以来,企业管理者观念上总是将IT部门定位为成本中心,作用无外乎为业务发展提供技术工具、平台,只要能支撑业务就行。在“重研发、轻管理"的企业文化下,IT部门被边缘化,几乎没有话语权。随着企业的发展壮大,IT人员疲于满足业务需求,仓促开发系统、上线系统,为抢时间赶进度,制定的研发规范、安全基线常常被突破,久而久之,欠的技术债、安全债越来越多,只敢加配置、不敢删配置,变成了“黑盒运维”。一旦发生突发的意外状况,既无法快速定位到问题原因,也没有有效的处置方案,一群人围在一起却依然毫无头绪。

        3.应急灾备仅局限于技术部门,预案演练形式大于实质

        说到业务连续性,不得不提到“9.11”事件中纽约银行与德意志银行截然不同的结局,前者由于灾备系统和应急业务应急计划缺乏,数月后不得不破产清盘,后者则在完善的灾备体系下短时间内恢复了业务,成功度过危机。自此以后,国际上的大型企业都加大了对IT应急灾备的投入。近年来国内企业,尤其是互联网巨头、大型金融机构在应急灾备上可谓下足功夫,异地同城灾备、分布式多活数据中心架构、云计算建设都是真金白银的投入。但从支付宝光缆挖断中断业务到携程因人为误操作而瘫痪可以看出,我们企业的应急灾备与国际先进体系相比形似而神不似。其原因在于企业的应急灾备仅仅停留在IT部门,高层及业务部门参与度不高,业务重要性分析、业务恢复目标单靠IT部门根本无法确定,由此设计的应急场景、预案往往脱离实际,应急演练经常流于形式、极少真正贴近实战,一旦发生灾难,很难按照设想做到快速应对、快速切换,实现快速恢复业务。

        4.IT员工的心理健康被忽视,人员安全管控存在缺失

        企业整体安全水平往往取决于其短板,内部员工的安全管控薄弱正是这最薄弱的一环。近年来,百度、华为等国内知名IT企业十分推崇狼性文化,提倡员工做永远处于饥饿状态的“饿狼"。不可否认,企业创新、发展需要这样的拼搏、竞争精神,但另一方面,企业对员工缺乏人文关怀,IT员工长期处于高压紧张、身心疲惫、意志脆弱的状态,容易引发操作失误甚至蓄意破坏等安全隐患。而经常被赋予特权的“技术大牛”,在企业中具有极高的技术权威和内部地位,信息安全管控要求的“条条框框”到他这里往往“网开一面、特事特办”,其操作无人制约、监督,看似完善的内控机制被打开缺口。这类员工成为高危人群,一旦误操作或是恶意破坏,后果必将是灾难性的。

        5.行业监管体系不完善、要求未落地

        互联网产业作为新兴产业,发展迅猛,但是IT监管步伐相对滞后,监管体系不完善、标准缺失,难以赶上行业的发展速度。信息安全事件责任认定缺乏监督和管控,往往企业自己说了算,最终由客户买单。譬如携程和支付宝事件,两家企业的服务协议均排除自身责任。此外,国家近年来陆续发布了信息安全风险评估规范、等级保护基本要求等系列文件,工业和信息化部等政府监管部门近年也颁布了不少网络与信息安全标准,如电信运营商和互联网安全防护基线配置要求及检测要求、持续数据保护灾备技术要求等,但互联网企业往往把注意力集中在规模扩张、市场竞争中,信息安全、规范标准难以落实到位。面对众多互联网企业,监管机构也缺少有效的监督、问责手段,以致各大知名互联网企业的信息系统故障频现,监管部门却集体失声。

三、企业走出信息安全困境的对策与建议

        1.将信息安全视为关乎企业生死存亡的关键,全力构建全面规范的信息安全体系

        据统计,计算机信息安全事件中,外部攻击仅占3%,管理方面原因高达70%,这其中绝大多数问题可通过科学的管理来避免或防范。互联网信息大爆炸的当下,信息安全形势更是严峻,任何疏漏造成的损失都会被倍数甚至指数级放大。企业要在战略高度上深刻认识到信息安全对其生存、发展的重要性,认真思考、花大气力打造可靠的安全体系和风控机制。首先,企业高层必须提升信息安全的理念和认识,在企业决策、资源投入和风险监督上承担责任,加大对信息安全的理解和支持,而不是敷衍了事、推给下级。其次,信息安全管理必须体系化、规范化,在物理、网络、系统、人员等各领域、各个环节形成完整的安全规范和标准,这方面可以参考IS027001、COBIT、CMMI、COS0等国际先进标准及最佳实践。第三,要让信息安全控制覆盖信息系统的整个生命周期,从信息系统规划设计、研发、上线、运维到下线各阶段都能有充分的安全管控措施,真正让信息安全不留死角地融入企业日常运作的点点滴滴。

         2.推进信息安全管理和技术的双重“转变”与“创新”

        “互联网+”时代,云平台、虚拟化、大数据等新技术风起云涌,企业原有的信息安全管控思路和方法已跟不上不断变化的外部环境,必须在管理和技术两方面有所转变和创新。其中,企业的信息安全管理需要从粗放型向精细化转变,抛弃以往笼统普适的管理体系,转而针对不同的组织结构、业务类型、系统特点制订差异化、定制化的安全管理要求、安全度量指标,更加科学地反映企业信息安全现状。技术上,企业安全防控架构需要从以往静态、封闭、滞后模式向主动、智能、动态模式转变,可考虑通过引入大数据技术对海量的业务数据、人员操作、系统状态等信息进行关联分析,识别并量化各种潜在的风险隐患,建议设智能化的预警监控平台,预先发现并遏制异常事件的发生。此外,企业还可考虑采用虚拟化、云平台、双活容灾等技术构建安全的、高可用的系统架构,有效应对诸如设备故障、系统宕机等突发状况。

        3.自上而下共同参与应急灾备工作,变“表面文章”为“真材实料"

        应急灾备工作建设周期长、资源投入大、涉及部门广、演练风险大,但正如习总书记所言,若要“战时少流血",必须“平时多流汗"。应急灾备工作要做好,首先需要高层下定决心、亲自参与,在人力、物力等资源上提供支持,带头参与到应急灾备的各环节中去,对实战演练等风险较大的事项敢于决策,譬如Facebook高层曾决定停用6个数据中心之一达24小时,考验灾备承压能力。其次机构内部各部门必须互相协作、共同建设和维护应急灾备体系,人民银行在2014年开展的账户系统灾备切换演练中,IT部门与业务部门联动,55分钟即完成了系统切换、验证、回退等多项工作。第三要敢于做不定向的实战演练。借鉴“不设情况、自主对抗”的军事演习,开展无计划无脚本的突击式实战,譬如突然终止某设备供电、断开某网络链路等,最大限度地检验应急预案的有效性和应急灾备团队的执行力。

        此外,行业主管部门可尝试牵头建立应急支援机制,适时开展联合演练,为企业提供应急资源协调和技术支持。

        4.重视人文关怀与强化员工行为管控并重,建设和谐、合规的企业文化

        企业在追求利润的同时,应当把员工当成企业最重要的财富,注重打造“以人为本"的和谐企业文化,建立顺畅的沟通渠道,注重团队凝聚力建设,丰富员工的业余生活,关怀员工心理健康,正确引导员工价值取向,切实履行企业的社会责任。企业还需从管理和技术两方面狠下功夫做好员工行为的合规管控。管理层面上,首先要重视内部控制,合理做好人员权限管理,按需授权、职责分离;其次可以推行重要岗位强制休假和轮岗制度,规避舞弊风险;另外对于调岗员工要做好权限调整,尤其是针对离职人员,及时回收其所有物理和信息系统访问权限,对于敏感岗位还应安排专人负责做好脱敏脱密。技术层面,企业应充分利用操作行为审计平台和数据挖掘分析工具,对人员操作行为动向进行关联分析,预警违规操作,将潜在的蓄意破坏事件扼杀在萌芽状态。

        5.尽快完善互联网企业的监管体系,加强监管力度

        支付宝光缆挖断、携程系统瘫痪等事件发生后,监管部门却悄无声息,从侧面暴露出了互联网企业监管存在真空地带。对此,笔者建议尽快明确监管主体,推动完善互联网企业监管的法律法规体系;建立差异化的信息安全监管评级体系,对信息安全管控执行差的企业重点加强监管力度和频次,这方面可参考美国银行业的“骆驼信息评级体系”(CAMEL);同时建立健全市场预警和快速响应机制,通过与国家信息安全漏洞共享平台等机构建立信息共享机制,及时向相关企业发出最新的风险警示,促进行业健康发展。在事后处置方面,做到及时评估,依法处置。针对互联网企业建立有效的维权受理、处置和仲裁机制,探索由第三方机构通过技术手段开展监测和技术认定,支持消费者维权,杜绝企业完全规避自身责任情形,也鞭策企业切实承担起对自身服务的信息安全管理职责。

        携程瘫痪事件不仅给互联网企业,也给风风火火参与“互联网+”浪潮的所有企业敲响了警钟,忙于业务、忙于竞争的同时,对信息安全的漠视,犹如没有系上安全带的赛车手驾驶着疾行的赛车,任何的突发状况都将造成无可挽回的悲剧。在车辆启动前系上信息安全这根安全带,才能保障企业在激烈的竞速中笑到最后。

(文章来源:《中国金融电脑》杂志)

扫码即可手机
阅读转发此文

本文评论

相关文章