信息安全发展到今天，已经不单单是依靠几个安全产品、几个信息安全管理员就能解决的简单问题。随着IT系统成为核心业务必不可少的支持工具，如何对信息系统进行适当的安全管理，让各个企业的CIO们，尤其是大型企业的CIO们感到相当头痛。对于大型企业来说，由于员工众多、网络复杂，要想制订出一套行之有效的方法保护企业的核心数据，非常不容易。
　　
　　对此，美国内务部CIOW.HordTipton可谓经验丰富。他拥有10年以上大型企业和组织的CIO从业经历。在担任美国内务部CIO期间，他主持了内务部大型网络的重建工作，被业内称为“勇于面对挑战”的人。对于大型信息系统的安全体系构建与实践，他有一套独到的见解。他告诉我们，管理一个大型系统，需要运用系统工程的管理思路，要得到企业最高领导层的理解与支持，调动企业内部每个成员的力量，以最终达到对企业资产安全有效管理的目的。
　　
　　CIOI:作为一名企业CIO，你被认为是一个勇于面对挑战的人，尤其是在担任美国内务部CIO期间，你带领着队伍重新设计了内务部的网络，并且增加了内务部的IT预算。作为一名大型机构的CIO，你是否可以和中国的诸多CIO们分享一下经验。

　　HordTipton：担任内务部CIO可以说是一项巨大的挑战，因为我们需要管理53项业务。内务部成立于1849年，是美国第四个成立的内阁机构，它包含现在政府存有的大部分职能。现在许多职能已经变成独立的机构，剩下的8个分局机关从职能上来讲，相互之间非常独立。试想一下，把这些独立的机构变成一个从功能上来说是相互支持的企业型组织是一个多么巨大的挑战。这些机构中的每一个都有专有网络，而且他们每个人都不愿意放弃对内务部中其余部分的控制权。提高IT预算是我们做得很棒的一件事，这是一个很长的故事，其中也包含了太多的困惑。
　　
　　至于管理复杂网络最重要的因素，我认为，对于CIO来说，管理任何一个IT环境，最重要的事情都是一样的—了解你的资产以及这些资产的具体位置。然后你必须拥有对这些资产进行操作所必备的各种控制和访问权。例如，为了合规性管理所需的监控，分析哪些数据来自或者流入你的资产。而且你还要通过日常维护了解系统是否及时安装并且验证了补丁。以上这些操作看起来好像并不难，但是，对于像美国内务部这样一个在全球拥有2500家以上办公室的巨型机构来讲，非常困难。如果一个CIO发现在其所在的组织中，整个网络和应用的设计并不是像我前面所讲的那样十分有效，他们应该马上着手实施修正以适应这一基本需要。
　　
　　其次，作为一个CIO，你必须要理解你的应用环境。实际上，所有的应用都是已经或者最终将运行在基于Web的平台上。我们必须确保，在一开始，这些平台从设计到运行都采用了最佳的安全策略。如果你是按照最佳的设计方案来搭建安全架构的，就没有那么难了。SOA既代表着面向安全的架构，同时也代表面向解决方案的架构，它们的目的是相同的。如果能找出一个通用的解决方案，那就比应付10个不同的解决方法要省力、有效得多，即使这10个解决方法都是有用的。
　　
　　此外，今天，我们需要格外关注数据，而且是所有的数据。数据必须要根据重要性进行分类、排序。数据库是应用密不可分的部分，而且是CIO必须时刻保护好的最重要部分。试想一下，如果没有数据，我们可能根本不需要什么应用或者硬件。数据是如此重要，以至于它们根本就不允许放在任何系统中，以任何形式被传送。如果重要的数据不得不被外部传送或者访问，那么一定要对其采用合适的加密技术。虽然大多数的数据由于使用了备份策略是可以被取代的，但是，由于数据丢失而造成的企业信誉的损失是无法弥补的，即使采用了备份策略。对于任何CIO来说，数据架构和政策很可能是最重要的产品。
　　
　　以上这些策略和要求其实就是风险管理的主要内容。要时刻牢记，有些狡猾的家伙们总是在绞尽脑汁想得到你的数据或者伤害你，而且他们很有可能就做成了。但我们一定要力争给他们制造困难，例如拉长其数据偷窃所需的时间，以此来争取机会，抓住他；或者迫使他们在偷窃过程中不得不露出马脚，以便他们在实施犯罪后，为抓捕他们提供有力证据。我想说的是，我们为降低企业风险的投资一定会阻止那些坏分子的破坏，并且提高他们这种冒险行为的代价。我们一直在宣传“不要过度防护”（花费在保护资产上的费用比其自身价值还要高），但是要想避免这一点还是非常困难，因为某些事物很难评估它的价值。CIO需要牢记在心的是，一定要确保数据的主人（往往不是IT专家）能够清楚地了解数据的价值，以及一旦数据损失将给整个组织带来怎样的风险。
　　
　　最后一点，无论一个组织有多大，没有一个CIO能够提供一个令所有人都满意的安全状态。一个CIO必须建立一支具备维护这个组织IT安全必要技能的队伍。这支队伍必须是高度一致的，并且鼓励通过相互协作与合作取得成功。一个CIO必须具有在一个组织内部管理层间建立起相互尊重、互相帮助氛围的能力。而且，当他遇到麻烦的时候，他会求助于某位主管帮忙解决问题。
　　
　　CIOI:作为一个经验丰富的CIO，你认为CIO通常面临的最大挑战是什么？如何评价信息安全对于一个大型组织的作用？是否有专门的安全培训，如何评价它的作用？
　　
　　HordTipton：我认为，作为CIO最大的挑战之一就是如何避免用户的自以为是。许多违规行为都是与IT安全和隐私相关的。我一直非常关注我的用户和管理人员，发现他们之所以会违规，或者是已经习惯了，或者是因为要做到不违规实在太麻烦了。一个CIO和CSO必须通过日常的培训来提高所有用户对安全的认知度。我们的计算机安全专业人员必须欣然接受基于安全的培训，以便于时刻掌握关于威胁的各种新变化。我们必须将IT的安全性以及隐私保护的重要性贯彻到整个组织的每个成员，从最高领导到最终用户。美国内务部在2001年就曾经有过一次惨痛教训，由此让每个人了解到了IT的重要性。那次事件，由于法院的规定，8万名员工被要求全部中断Internet连接。并且内务部的数据完整性一度遭到质疑，10%的内务部雇员被要求不能连接Internet。内务部组建了一个IT专业课程图书馆，现在，这个图书馆已经包含了100多个网上课程。内务部要求所有的IT从业人员都必须每年完成最少三个基于角色的培训课程。
　　
　　此外，为了保证我们能够拥有高质量的从业人员，我们还会为核心的雇员提供免费的特殊案例分析培训课程。同时我们鼓励雇员为了证明他们的技能而参加某些组织的认证，并且他们无需承担相关费用。截止到去年，在4年的时间里，我们获得CISSP（信息系统信息安全专业认证）认证的人员已经从3名增加到了118名，我们的安全官员要求必须获得这类认证。我们同样鼓励员工参加例如思科、微软等厂商的各类认证。SANS（系统管理、网络管理）和ISACA（国际信息系统审计协会）的认证项目也都相当不错。
　　
　　CIOI:在首届中美CIO峰会的安全论坛上，我们给你建议的主题是：“大型信息系统的安全构建和实践。”请你谈谈在这个过程中，有哪些最重要的因素？
　　
　　HordTipton：当完成了内务部的企业级网络架构的第三次更新后，我们意识到，构建一个备用的IT安全架构非常必要。资源，包括如何尽可能好地利用我们有限的经费永远是个难题。我们知道，必须选择一个可以接受且易于管理的解决方案。“深度防御”说起来容易，但是要想定义深度的组成却并不简单。我们有8个局，分别使用了不同的工具和战略保护其网络及应用。作为一个整体，我们知道，如果是大家各自为政的话，不但会造成网络的建设、维护成本很高，而且，要想做到适度、更安全的配置也是一个巨大的挑战。根据“短板”理论，一旦某个分局遭受攻击，那么整个组织的其他部分也会遭殃。我们与大量独立发展的外部组织建立了相互信任的关系。我们的安全架构清晰定义了关于如何进入、使用网络和数据库的相关规则。随着我们变得越来越成熟，我们的技术架构将变得越来越定义清晰且易被用户、客户接受。
　　
　　CIOI:当越来越多的人开始关注安全，越来越多的安全产品配置在大型系统中，如何管理所有的产品？合规性管理也是目前一个热门的安全关键词。对此，你有什么建议？
　　
　　HordTipton：要建立一个合理的策略及过程，最重要的第一步是，在系统集成商、业务主管、技术主管的共同努力下，通过一个技术参考模型，定义哪些产品和解决方案是可以接受的。我在美国内务部创建了一个CTO委员会，其中内务部的CTO任主席，分局机关的CTO做委员，以此来主导一个完整的产品线，其中包括安全工具和解决方案。这些CTO们首先作为一个整体—内务部来统一做事，然后才代表着各自不同的局。他们首先批准TRM（技术手册）的转变，然后把相关的配置方法传达到各个局的业务线中。通过主动参与到这些重要的解决方案的发展和维护中，他们站到了合规性管理的第一线。这种现象有时候被称为同行压力（peerpressure）。
　　
　　如果没有统一的配置和工具，是很难确定这种合规性管理到底处于何种水平。成功实现这一点并且最终形成一个可接受的合规性管理的前提，是要有一个恰当的治理模型。
　　
　　CIOI:如果没有经营有人说，在安全管理中最难也是最重要的就是人的管理。即使你实施了再好的安全产品，如果你不能设法使你的员工遵守安全规则，那么所有的一切都是零。对此您怎么理解？
　　
　　HordTipton：我非常同意这种说法。用“千里之堤溃于蚁穴”这句话形容你所说的问题再恰当不过了。如果某些人故意要辜负了别人对他的信任，那么就是违反了人类的某些天性。我们的管理纲领是行为、技术和人。如何平衡这三者间的关系非常微妙。有种说法，在某点上，我们必须信任某个人。也许是吧，但是对于不同的人采取怎样的信任，分配怎样的访问、控制权限是需要仔细考虑的。任何一个心怀叵测的人，从一个普通用户到一个不开心的网管，都可能对系统进行破坏。我们必须通过某种方式来设计我们的系统和组织，以把这种可能的危害降低到最小。我坚信，职责分离、权限受控、按需分配访问权等措施都很必要。
　　
　　最后，请相信，你总能挤出一点时间进行系统备份或者实施应变计划的。所谓人无完人，总有人会无意地或者是恶意地犯某些错误，我们需要确保的是，这种破坏不会因为这样“一条小裂缝”而“毁掉整艘船”。
　　
　　CIOI:众所周知，对于信息安全来说，进行ROI（投入产出比）的评估尤其困难。但是，还是有很多CIO或者CSO经常被CEO们提出相关质疑，你是怎么看待这个问题的？
　　
　　HordTipton：我们很多人都工作在这样一个环境中，我把它称为“灾难驱动”。如果某些严重的问题没有发生，也许这方面的投入可以节省。但是，对于CIO来说，他的职责之一就是经常坐在CEO的桌子边，和他沟通目前企业的IT，包括安全的运行状况。我发现对于非IT人士来说，最容易理解的安全方面就是数据的安全。CIO必须确保CEO和CFO明白数据，以及由数据产生的信息价值。在很多方面，信息必须被分类、排序。
　　
　　CEO必须了解，企业甚至他自己的工作要依靠某些数据的保护，企业的知识产权或者珍贵的研究信息丢失所造成的损失，依靠任何数据备份或者应变计划都是无法挽回的。如果整个企业被踢出市场的话，这时候如何评价ROI？数据的价值是与风险的容忍度息息相关的。我发现，有创造性的人在任何情况下都可以达到ROI的预期目标。这完全取决于这个企业的预期目标以及这个目标的可信度。我所遇到的大多数企业都把信心放在了基准和最佳实践方面。其实我们需要更多了解的是：应当把百分之多少的IT预算放在安全方面？和我们相似的企业是如何在安全上花费的？这种安全的效果如何？
　　
　　CIO的职责是至少要确保企业的决策者和财务负责人能够理解风险。试想，如果退伍军人管理局某位雇员的笔记本电脑遭窃，其中存有的2600万名老兵的个人信息就将面临巨大风险，由此产生的为受害者邮寄通知信和其信誉的监控保护费用将超过1.25亿美元。但是，对于这个局长来说，所有这些挽救行为都无法消除他不得不面对国会听证会来解释该事件的尴尬，以及该事件的影响。
　　　　
　　CIOI:我了解到，在你的职业生涯中，你获得了某些认证，例如CISSP。这一点在美国是必要的吗，尤其是对于像内务部这样的大型机构？或者这纯粹是你个人的兴趣？你如何评价认证对于一个CIO的作用？
　　
　　HordTipton：为了能有效地保护组织的数据，IT安全自身就需要各方面大量的知识。我们曾经聘用了大量安全专业人士，他们往往在应用安全的某些方面很擅长。但是，在IT安全管理的整体把控方面，他们往往只在某些技能上有所专长。例如，他们往往只是能够胜任对于安全设备的应用、配置和维护；但是，却不能完全领悟安全与其他相关领域的关系，而这些领域对于一个领导者来说是至关重要的。为了获取其他领域的知识，例如治理、电信、合规性管理、常规、架构、应变，以及业务规划、密码、物理安全、运营等相关知识，就需要通过严格的认证考试，而且前提是你还要有多年在IT安全某个专业的从业经验。
　　
　　同样，CIO们也不是在如此多的领域都具备深度的技术知识。作为一个CIO，为了有效建立一个安全的IT组织，同时也为了更好地处理包含架构、电信、资金规划、项目管理和信息管理等多种内容在内的工作，同时在仔细考虑了我需要了解的这些知识的深度后，我决定通过学习和参加CISSP考试来检验一下自己。在成功通过了这次认证后，对于所学到的知识，以及这次经历帮助我可以和安全专家、同事间更好地沟通，并建立良好的合作关系，我感到非常满意。由此，我又投入了其他几个认证。我又准备了ISSEP（信息系统安全工程师专业认证）考试，因为，这个认证专注在其他四方面的知识上，包括系统拓展、项目管理、认证认可系统，以及合规性管理要求的细节方面。而且，这个考试还强调了在智能和防御社区方面的各种要求。
　　
　　政府中的CIO通常要求审计他所有的职责，包括安全方面。由此，我又决定为了做好工作，还需要学习审计。于是，我还将参加信息系统审计师（CISA）认证考试。这次经历将是我更好地理解审计师是如何做好工作，以及为了整个组织获得一个审计的好分数，必须要注意的细节。
　　
　　总之，我个人认为，如果每个CIO都学习到CISSP认证中所需的知识将获益匪浅。这其中不仅仅是安全，它将扩展你所负责领域几乎所有的知识和理解。对此，不仅你自己将感到很欣慰，而且，你的同事和下属也将因为你的成绩而对你表示尊重。最后，如果你曾经遭到过诉讼，那么，职业安全认证也将大大提高你的信用价值。