规划缺失 “地下”IT盛行

“地下”IT繁衍

一直喜欢在网上购物的刘小姐最近被吓了一跳：她收到了一个“红客”的警告，要她立即修改所有密码，因为她网络银行的密码已经被盗。开始，刘小姐并不相信，那位“红客”立马便列出了她的密码。原来，刘小姐中了“木马”病毒，如果不是得到这位好心“红客”的相告，几年的积蓄恐怕很快就被窃取了。其实与刘小姐有相似经历的网络银行用户正在逐步增加。

“网银频频遭受网银大盗、网络钓鱼、木马等病毒的攻击，主要原因来自银行内部，”赛门铁克公司中国区技术经理郭训平说，“普遍繁衍的银行'地下'IT，恐怕是罪魁祸首”。

所谓“地下”IT（Shadow IT），并不是一个严格的学术意义上的称法，一般特指“不在企业的管辖范围之内，有自己的运行系统，并且有自己一套制度，很可能对企业的安全基础设施造成严重威胁的IT系统”。

以银行的网络安全为例，据称，目前没有一家银行拥有统一的安全平台，各银行使用的软件不同，投入力度不同；即使是在同一银行的内部，其不同机构、不同地区之间，信息安全产品的投入也不一样，IT策略也各不相同，从全行角度看，这些系统就是“地下IT”。

“由于目前银行开始联网作业，这种信息安全产品投入的不平衡会导致病毒流窜，进而降低整个银行体系的安全系数。”郭训平一语中的，虽然，就目前而言，银行的单个系统内部是安全高效的，但与大系统连接后，根据“木桶原理”，最短的那个板将决定整体水平，哪里有“短板”，哪里就成为安全的漏洞，最后甚至危及整个系统的安全。

“有安全疑虑的'地下'系统可能会成为整个企业系统上的缺口，”美特斯邦威集团副总裁王泉庚认为，“人们一般可能会认为，数据库的安全很重要，其实整个IT基础架构的外泄才是最具毁灭性的打击。”有安全疑虑的系统可能会泄漏架构组态和网络设施的信息；一个不安全的系统可能会对同一网络上的所有其他系统造成阻断服务攻击(DoS)的威胁；有安全疑虑的系统背后可能被用来当作机密信息交流的起始点。

春节前，名列国内前三强的某乳业公司副总裁、CIO和部分IT主管前来美特斯邦威集团取经，原来该集团的某些分公司和子公司，在集团整体IT管理框架之外，繁衍了一些项目，很有一些地下IT的苗头。

“不要轻视地下IT，它或许就潜伏在你的企业内部。”王泉庚认为，其实相当数量的企业都存在“地下IT”，只是大家还没有意识到它的威胁而已。

业务与IT的矛盾

广东格兰仕集团有限公司副总经理俞尧昌认为，从源头上讲，地下IT的诞生基本上都是源于业务部门与IT能力之间的矛盾。而这种情形在快速发展的企业中尤为常见。在很多情况下，企业IT部门的工作并不能充分满足业务需求，这样一来很多业务部门就想办法来部署自己的“地下IT”项目。当然，格兰仕集团也曾面临同样的挑战。

尤其典型的是，银行形成盘根错节的地下IT，根源恰恰也是因为业务的挑战。郭训平认为，各地银行以往所做的IT项目，大多都是根据自身业务需求而进行的，这些IT项目以部门、项目、产品为中心。从当时看，这些项目优点也很明显：基本上都实现了快速的投资回报率，相对于整个银行的规划，投资规模不大，实施周期短。

“不过，'地下'作业同样也缺少标准，没有经过充分的计划，对安全设计和开发缺乏充分的理解。”郭训平认为，这些项目没有从总行整个系统的角度来考虑问题，也没有跟全银行的业务进行协调，更缺乏对数据的管理和挖掘利用。这造成到今天为止，国内还没有一家银行有统一的安全管理平台。

不仅如此，当这些地下系统需要扩充的时候，问题就来了。如今，银行的运作效率已不仅仅取决于单一部门、单一应用水平的高低，而越来越依赖于不同部门、不同应用的协同工作，因此必须将已有系统、应用、流程以及数据有机地集成，原来的分散系统就成为银行系统整合前进的沉重“脚镣”。

及时发现，逐步整合

“我们公司绝对不允许任何形式'地下'IT的存在。”广东格兰仕集团有限公司副总经理俞尧昌的态度十分坚决。

要及时发现和阻断企业的“地下”IT，郭训平认为从技术角度看并不困难，最大的难题在于如何对现有的地下IT进行'整编'，尤其是银行业规模庞大的地下IT系统。

据郭训平介绍，对于组织内小规模的地下IT，日常通过主动扫描系统和目录、日志等的摘录都可以发现，也都能够快速得到纠正，譬如系统的设置、独立性和软件安装。目前，市场上可供选择的有效软件有不少。

“企业IT系统一定要集中，信息的分散就是资源的分散，没有IT整合，业务的整合就是一句空话。”美特斯邦威集团副总裁王泉庚分析道，企业要消除“地下”IT，就是因为系统分散，数据、信息很难集中，导致了效率的低下。

美特斯邦威集团对此很有体会。在1995～1999年近五年的时间里，美特斯邦威集团的系统是分立的：仓库、财务、分销各有一套体系，信息不沟通，规范也不相同。最后企业不得不重写规范和程序，才有今天的IT构架。王泉庚认为，对地下IT系统的整编会经历几个阶段，首先是硬件的整合，然后是数据的整合，最后的阶段是应用的整合。 “当企业意识到，技术已经制约了业务的创新时候，整合就要开始了。” 他说。

郭训平也认为，业务的应用集成应该是整合的方向，银行也不例外，企业的IT只有先以业务需求为方向，才能获得真正的壮大。而在技术上，可以通过在中间件基础上加载开发应用来逐步实现。

前瞻性的规划和规范

要从根源上解决地下IT，就需要消除地下IT存在的沃土。为此，企业需要制定前瞻性的IT规划和统一的规范。

“企业不能缺乏整体前瞻的IT规划。”王泉庚认为，企业的IT系统不应仅是为了应付当前业务需要出发，而应该预测到今后的变化，要具备可拓展性和应变的能力。美特斯邦威集团本身就是一个典型例子，近十年来，美特斯邦威集团的销售额从几百万发展到了2004年的28.29亿元人民币，保持了年 80%以上的增长速度，在这样的发展速度下，企业的IT系统一直都能够与之非常好的匹配，不会出现业务需求IT无法响应的情况。

“IT的架构应该与企业的组织机构、流程相匹配，形成整体的系统应变能力。”王泉庚介绍，美特斯邦威集团现在实行的是面向对象的IT架构。

与此同时，完善的IT规范必不可少。格兰仕公司将IT相关采购管理维护等所有相关权利收归到了集团的IT部门，然后进行统一规划、统一审批、统一配置、统一管理。这意味着，即使出现暂时的IT与业务能力不匹配的情况，业务部门也不能自行开展IT项目，这基本消除了诞生地下IT的可能。

作为全球最大的安全软件企业，赛门铁克公司对自身的安全更是不敢掉以轻心。除了全球统一的IT配置、规范和远程监控模式，员工的机器只要连到内部网络，任何违反规定的行为，譬如安装软件、私自上网都可以在第一时间被发现。

赛门铁克公司的安全管理，也以严格、严厉而在业内闻名。假设一名员工通过电话拨号进入互联网，系统在两分钟内，就会给该员工发送消息，同时强制断网。警告的消息会抄送给该员工的上级主管，同一名员工只要出现两次这样的状况，马上就会被公司开除。因为员工绕过了公司的安全监测系统登陆公共网络，机器的另一端却连接在公司网络，这意味着他把公司的网络接口暴露到了公共网络上，很容易成为恶意攻击的缺口。同时，IT部门需要及时更新安全策略和规范，并组织员工进行培训，务必使员工认识到IT规范对公司安全的重要性。如果触犯，必定要遭受惩罚。

郭训平还认为，发生安全事件以后，对事件的及时了解、收集、响应也非常重要。很多地、市级银行在发生安全问题时，经常手足无措，只好通过电话向总行汇报，这样不仅反映速度慢，而且也无法将损失降到最低。

先有作为，然后才有地位

即便有了严厉的IT规范和规划，能否得到有效贯彻依然是个难题。这恰恰也是一些企业的苦衷。他们制定了IT规划和相关的管理规定，但地下IT却依然“猖狂”。

赛门铁克公司可以因为员工的地下IT行为而开除员工，或者断网，但是在别的企业能够这样执行吗？

毕竟，从某些程度来说，IT的安全跟企业的效率是对抗的。企业运行安全软件时，系统的效率降低50%并不是什么稀罕的事情。对于个体的员工而言，每次登陆都需要输入十位密码，下载资料都需要系统批复，毕竟是一件麻烦事。所以严格的IT制度和规范往往会引起员工的反感和抗拒，最后不了了之，最终导致地下IT繁衍。

“这需要领导的重视，把企业信息安全看成是企业的第一要事。”郭训平认为赛门铁克公司的IT安全能够得到保证，主要是因为有公司高层的支持。有领导的重视，就可以有相应的投入，可以迅速发现地下IT和其他违反规定的行为；因为有领导重视，IT人员才能够得到授权，敢于当机立断，严肃处理违规事件。

没有厂房，没有先进的生产流水线，总部只是几间业务洽谈室和一些电脑，美特斯邦威集团却做到了30多亿的年销售额。IT为美特斯邦威集团支撑并创造了“虚拟经营”模式。王泉庚带领的IT部门，已经成为企业的核心部门，除了IT部门，王泉庚同时还负责企业采购、物流等多项核心业务。

“先有作为，然后才有地位。”王泉庚总结道。当IT从成本中心转化为利润中心时，遏制地下IT就会成为公司的共识。

边栏：链接