信息安全是一个系统工程,信息存储、数据传输、用户行为、网络基础设施、业务应用方方面面都贯穿了安全的细胞。对企业的IT人员来说,要想把握好信息安全的命脉,就必须从概念到实践掌握其间的联系。
无独有偶,近日美国《Network World》根据其多年的经验,总结出了做信息安全最容易忽视的若干问题。记者发现,其中很多内容和国内用户与厂商在技术实施、应用部署中的经验类似。为此,记者也联络了国内的大型用户和安全厂商,从五大方面总结了企业建设信息安全的重点要素,以飨读者。
第一招:确定安全架构
安全架构是信息安全最重要的蓝图,位列“五绝”之首。往大了说,它确定了企业的总体安全观与各项规章;往小了看,则包含了对存储、传输、边界、子网、用户行为的管理。
什么是安全架构
记者留意到美国《Network World》总结了过去25年间对信息安全的调查报告,其中有一个现象非常有趣:在25年的时间里,大量的企业开展了对安全的关注、投入、资源配置、培训,甚至是开展了相关的认证。但非常不幸,越来越多的企业IT主管表示,每天接触到的IT安全被侵害的现象逐渐增多。
“问题在于,面对统一的且有组织的IT威胁,大部分企业缺乏一个广泛的IT安全架构来应对。”新华人寿的IT经理谈到此问题的时候,感悟颇多。“安全的实施与企业在不同时期的关注重点有关,企业成长阶段,其IT核心在于保证业务的发展,因此安全必然是处于二线位置。而当企业成熟以后,需要对IT与业务进行整合,在这个过程中,安全的重要性才会凸显。”
换句话说,一个企业不仅业务上经历了由小变大的过程,IT安全同样会遵循这样的过程,因此建立一个好的IT安全架构,就是企业走向成熟的标志。
“一个架构代表了一个蓝图,它涵盖了在IT环境中的资源最佳配置与部署,并且其首要目标,就是支持企业的业务运作。相应的,一个安全架构是一种规划,它描述了安全服务作为一个系统,帮助企业满足需求的过程。”
事实上,记者曾经见到过IBM公司的策略与架构部门给国内用户规划过相关的安全架构,他们的分析师曾透露,安全架构的设计原理就是要求贯彻一整套安全服务,并且这种服务的各种行为(包括性能),都是为了去处理针对企业IT环境的各种威胁。
实施的必要条件
一套行之有效的安全架构,可以帮助企业以一种高效的方式应对安全挑战。不过相应的,企业需要考虑以下两点因素:
第一,安全架构必需全面。
早在2年前,光大银行的一位IT负责人就向记者透露过,银行业对于IT安全的重视,并非与生俱来。他们一样经历了从无到有,经历了一个相当相当漫长时期的业务发展与技术支持过程。在这个复杂的过程中,经历了对金融机构各个环节的安全修补与技术考虑,慢慢才形成了今天的接近完整的IT安全架构。
同样的道理,美国《Network World》的安全编辑在阐述此问题的时候,着重强调了安全架构的全面性,甚至他们将企业管理、通信、IT、无线电、员工行为和其他一些自然因素都归结到其中。
显然,IT硬件、网络组件都必须安全。当然,所有的软件同样必须是安全的,并且企业的员工也都是可以信赖的。要知道,根据IDC连续两年的统计,70%(甚至更多)的安全风险都是发源于企业内部。
第二,配套的政策规章。
“政策规章”并非是一个中国特色,它在外企通常被解释为“企业政策说明书”,它描写了如何实现和坚持一个安全架构。之所以把“政策”摆在“规章”的前面,就是因为即便在合适的地方、有适合的安全架构,仍然会存在政策性失败的风险。
需要指出的是,配套完善的政策规章不仅仅是一个企业的内部制度,有些时候,它还必须包含一系列的技术概念。因为很多技术层次上的东西,只有与企业制度相联系,才可以真正确保安全。
记者的看法是,对于技术与规章的结合,美国同行的确比我们高明一些。举例来说,很多美国IT人员认为,一个强壮的安全架构必须以多重边界保护的概念为基础,但同时必须表示出在相关企业中权力划分的思路。说实话,这种思路非常狡猾,不仅仅是因为它分层次的架构,更多是因为分层具备了在权力定义上的优势和企业业务上的不重叠。
