悬棋，落子 做信息安全必修“五步绝招”

　　信息安全是一个系统工程，信息存储、数据传输、用户行为、网络基础设施、业务应用方方面面都贯穿了安全的细胞。对企业的IT人员来说，要想把握好信息安全的命脉，就必须从概念到实践掌握其间的联系。

　　无独有偶，近日美国《Network World》根据其多年的经验，总结出了做信息安全最容易忽视的若干问题。记者发现，其中很多内容和国内用户与厂商在技术实施、应用部署中的经验类似。为此，记者也联络了国内的大型用户和安全厂商，从五大方面总结了企业建设信息安全的重点要素，以飨读者。

　　第一招：确定安全架构

　　安全架构是信息安全最重要的蓝图，位列“五绝”之首。往大了说，它确定了企业的总体安全观与各项规章;往小了看，则包含了对存储、传输、边界、子网、用户行为的管理。

　　什么是安全架构

　　记者留意到美国《Network World》总结了过去25年间对信息安全的调查报告，其中有一个现象非常有趣：在25年的时间里，大量的企业开展了对安全的关注、投入、资源配置、培训，甚至是开展了相关的认证。但非常不幸，越来越多的企业IT主管表示，每天接触到的IT安全被侵害的现象逐渐增多。

　　“问题在于，面对统一的且有组织的IT威胁，大部分企业缺乏一个广泛的IT安全架构来应对。”新华人寿的IT经理谈到此问题的时候，感悟颇多。“安全的实施与企业在不同时期的关注重点有关，企业成长阶段，其IT核心在于保证业务的发展，因此安全必然是处于二线位置。而当企业成熟以后，需要对IT与业务进行整合，在这个过程中，安全的重要性才会凸显。”

　　换句话说，一个企业不仅业务上经历了由小变大的过程，IT安全同样会遵循这样的过程，因此建立一个好的IT安全架构，就是企业走向成熟的标志。

　　“一个架构代表了一个蓝图，它涵盖了在IT环境中的资源最佳配置与部署，并且其首要目标，就是支持企业的业务运作。相应的，一个安全架构是一种规划，它描述了安全服务作为一个系统，帮助企业满足需求的过程。”

　　事实上，记者曾经见到过IBM公司的策略与架构部门给国内用户规划过相关的安全架构，他们的分析师曾透露，安全架构的设计原理就是要求贯彻一整套安全服务，并且这种服务的各种行为(包括性能)，都是为了去处理针对企业IT环境的各种威胁。

　　实施的必要条件

　　一套行之有效的安全架构，可以帮助企业以一种高效的方式应对安全挑战。不过相应的，企业需要考虑以下两点因素：

　　第一，安全架构必需全面。

　　早在2年前，光大银行的一位IT负责人就向记者透露过，银行业对于IT安全的重视，并非与生俱来。他们一样经历了从无到有，经历了一个相当相当漫长时期的业务发展与技术支持过程。在这个复杂的过程中，经历了对金融机构各个环节的安全修补与技术考虑，慢慢才形成了今天的接近完整的IT安全架构。

　　同样的道理，美国《Network World》的安全编辑在阐述此问题的时候，着重强调了安全架构的全面性，甚至他们将企业管理、通信、IT、无线电、员工行为和其他一些自然因素都归结到其中。

　　显然，IT硬件、网络组件都必须安全。当然，所有的软件同样必须是安全的，并且企业的员工也都是可以信赖的。要知道，根据IDC连续两年的统计，70%(甚至更多)的安全风险都是发源于企业内部。

　　第二，配套的政策规章。

　　“政策规章”并非是一个中国特色，它在外企通常被解释为“企业政策说明书”，它描写了如何实现和坚持一个安全架构。之所以把“政策”摆在“规章”的前面，就是因为即便在合适的地方、有适合的安全架构，仍然会存在政策性失败的风险。

　　需要指出的是，配套完善的政策规章不仅仅是一个企业的内部制度，有些时候，它还必须包含一系列的技术概念。因为很多技术层次上的东西，只有与企业制度相联系，才可以真正确保安全。

　　记者的看法是，对于技术与规章的结合，美国同行的确比我们高明一些。举例来说，很多美国IT人员认为，一个强壮的安全架构必须以多重边界保护的概念为基础，但同时必须表示出在相关企业中权力划分的思路。说实话，这种思路非常狡猾，不仅仅是因为它分层次的架构，更多是因为分层具备了在权力定义上的优势和企业业务上的不重叠。

　　安全架构七个区域

　　事实上，很多企业今天不得不处理大量的IT环境问题，特别是大量增加的与外部供应商和商业合作伙伴的通信联系。每一种环境都需要自己的安全方向，且每一种环境都需要不同的保护方法。

　　典型的，企业中将会存在非安全区域、半安全区域和全安全区域。对此，深信服的安全负责人叶宜斌向记者表示，一个标准的安全架构包括了：信息存储----文档、各种数据的生产与管理;数据传输----将数据进行各种加密后传输;用户行为----用户上网的记录，可以与禁止访问的资源等;网络基础设施----物理的与运行上的安全;业务应用----各种终端应用中的安全审计与实现。

　　遗憾的是，目前国内还没有哪家安全厂商，可以将以上标准的各个层面打包成统一的解决方案推荐给用户。事实上，有七成左右的用户还是把精力主要放在信息从内到外的连接安全上。不过幸运地是，这些内容看起来复杂，但还是能够被组织起来，并且被定义、配置为更深层次的六大区域。

　　区域一:保护实物资产和网络通信

　　如果潜在的入侵者有能力去控制一些物理设备或者截取一些信号，那么再怎么多的防火墙、代理服务器或者安全认证机制，都无法保护企业的信息安全。企业局域网、PC和无线设备(不安全的热点、家庭中没有启用加密的无线路由器、某些无线电话、蓝牙设备)都是一些可以被劫取信息的设备。

　　区域二:保护访问

　　在这层安全区域中，基础的信任关系与访问权限都要被验证，并且经常会需要提供一个类似仲裁的功能。其中，很多企业选择建设信任仓库。因为信任仓库可以与企业的中央AD(目录服务)结合在一起，从而实现单点登陆。

　　叶宜宾认为，这种模式构造了一个更加安全的区域，它超越了防火墙的DMZ和通过代理服务器访问的模式。企业的IPS可以运行在这个环境中，以便处理可能发生的入侵。

　　区域三: 保护内部数据存储

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有