政策性合规驱动、需求驱动依旧是信息安全市场的两个重要的驱动点,而且驱动力都在加强。
数据中心下一代信息安全架构规划“十三五规划”在即。就安全规划中的核心“信息安全架构”在新形势如何构建,天融信公司副总裁李宗洋提了其构想。
首先是从宏观上看,信息安全产业及形势的变化。一是安全驱动力:政策合规、安全需求“双轮驱动”都在加强。
就某种程度而言,2014年可以说是真正的信息安全元年。政策性合规驱动、需求驱动依旧是信息安全市场的两个重要的驱动点,而且驱动力都在加强。
1、从政策层面看国家成立了网络安全与信息化领导小组,同时也出台了相关的政策要求对信息安全产品、云计算服务等加强安全审查,通过政策、法律、规范的合规要求加强对信息安全的把控。自主可控更是是信息安全领域国家的基本意志体现。
2、从需求层面看,随着愈演愈烈各种的信息泄密事件、大热的APT攻击等,大量的企业对信息安全的认识已经从“被动的防御”变成“主动的核心竞争力的塑造”,尤其是新型的互联网金融、电商业务、云计算业务等都前瞻性的把安全当做市场竞争的重要砝码并寻求各种资源不断提升安全性。
二是安全关注点:从“系统”到“业务”到“人和数据”的转移。
哪里有价值,哪里就有攻击,攻击者一定是不断的靠近价值层。从未来看,安全的关注点也在发生变化,从早期的关注系统,到关注业务,到当下及未来更关注人、关注数据。
数据:是企业的核心竞争力所在,如何有效保护这些核心数据的安全已经得到企业高层领导的高度重视和密切关注。尤其在近几年出现的大量的数据泄密事件,更是让数据安全成为整个信息安全架构中最重要的一个模块。
人是信息安全的最核心要素,再好的技术手段再完美的流程再严密的制度,没有人的安全意识和技能保障下都无法确保系统安全,同时从人入手,提升人的意识和技能,这项工作在信息安全保障体系中一定能达到事半功倍的效果,人是信息安全的催化剂,人的安全意识和技能提升,对安全产品、安全技术的作用发挥会呈几何级或指数级的提升。安全的实质是攻与防的博弈,安全的未来投入会更多的关注的“人”的这个层面。
三是安全交付物:从“安全产品”到“安全服务”到“安全运营”。
同其他产业一样,信息安全产业同样要经历“产品模式”、“服务模式”、“体验模式”的转变,安全实质提供的是知识和能力,从发展趋势看,安全将从硬件交付、软件交付向运营化服务的过渡,依托产品+服务,提供7*24小时的运营化服务才能更无缝的契合用户的安全需求。即SAAS:安全即服务。
随着云的落地,给IT带来了巨大的变革。云安全服务的出现,彻底颠覆了传统安全产业基于软硬件提供安全服务的模式,降低了企业部署安全产品的成本,使更多的企业可以享受到安全运营保障,全心关注企业的核心业务。运营化服务的SLA和信息保密及隐私的问题,是服务提供商后续需要重点考虑和解决的。
四是安全生态链:从“精细分工”到“供应链可信管理”到“安全生态圈的建设”。
企业需要构建一个安全的生态链,不仅自身的安全很重要,企业的上下游安全也很重要,企业上下游的合作伙伴的安全问题都会给企业带来安全风险,整个供应链都需要进行严格的安全管理,企业要做好信息安全,同安全管理机构、安全评测机构等保持充分的沟通和联系,以便了解国家的政策规范,同时在关键的安全时期也可以得到相关机构的支持。构建整个的安全生态链,通过广泛的合作来确保企业安全目标的实现。
从微观来看企业面临的安全挑战
一是,信息安全犯罪趋利导向明显,攻击技术迅速发展,威胁源、威胁能力、威胁途径、威胁者所掌握的资源等要素变化致使更难以应对安全威胁。
商业的竞争对手、可能的敌对势力都可能会组织力量对企业进行安全攻击,以获取相关利益。在新的形势下,威胁的主体在发生变化,以前的威胁主体主要是个体、小组织团体,现在的对手可能会是有组织的攻击等。同时攻击技术的迅速发展,对企业的威胁越来越大。
二是剧变的新技术、新业务的应用多给企业带来更大的安全风险,需要构建新的安全能力。
以云计算、大数据、社交和移动为驱动的新技术转型将带领企业向智慧企业转型。新业务的特点第一:通过大数据和分析建立核心竞争优势;第二:通过云计算重新塑造企业业务模式;第三:通过移动和社交技术构建互动参与体系。新计算、新网络、新应用、新数据,这些都是今后一段时期的信息安全方向和热点,每一个方向都会对未来的应用和业务带来巨大的改变,同时也带来新的安全挑战。
企业如何制定下一代信息安全架构
企业在执行信息安全架构时,要充分考虑整体信息安全产业及形势的变化,从业务战略出发,采用一定的架构模型和方法论,以解决实际问题为落脚点,兼顾未来的业务发展,制定符合企业自身发展的信息安全架构。IT安全架构目前比较流行的方法有TOGAF等,如下图,后面主要以EA为例来说明,架构没有对与错,只有适合与不适合。
在进行企业安全架构设计时,需要充分考虑整体信息安全产业及形势的变化,
合规性要求的加强,需要多视角的安全符合;
需要更有力的顶层安全设计:安全架构核心是支撑企业业务发展和总体战略的实施;
有关键点:专注近2、3年需要解决的关键问题。避免仅仅追却大而全;
有超前性,能够涵盖2、3年的安全范畴。新的业务、计算模式,需要新的安全能力。
具体的设计方法包括自顶向下的架构设计和自下而上的建设支撑两个方向。同时可以横向最佳实践的借鉴(同类企业)
自顶向下的架构设计
信息安全实质是IT的一部分,企业信息安全架构也可以从IT中进行借鉴。在IT领域,目前比较流行的是采用企业架构EA的方法来进行架构设计和规划。从企业战略开始、以需求管理为核心,从企业战略到业务,再到应用,再到系统的设计方法,以及其中的设计内容。一步步分析并制定业务安全架构、数据安全架构、应用安全架构、基础设施安全架构等。
自下而上的建设支撑
企业的安全架构要落到实处,需要以解决企业安全问题为出发点,根据企业的目标与现状,根据架构设计而展开的高阶方案制定和项目清单梳理,进一步进行具体的任务、项目建设规划,通过具体的任务或项目来支撑业务安全架构、数据安全架构、应用安全架构、基础设施安全架构的实现。
最佳实践的借鉴:
借鉴同类型企业的信息安全架构及管理实践,形成自身的安全架构,业内有很多这样的沟通和交流,别人的最佳实践是有不少值得借鉴的。
构建下一代安全架构关键点
1、了解攻击者到底在哪里?(分析威胁源)
通过威胁要素的识别,“威胁的来源”、“威胁的途径”、“威胁的场景”、“威胁的层次”、“威胁的可能性”,以要素为关键点,建立应用系统安全威胁模型,得出业务系统可能面临的安全威胁。从人的视角的威胁源主要有以下四类:
内部员工的误操作、滥用职权
以前有过专门的统计,80%的安全问题是内部造成的。内部员工的误操作、滥用职权是威胁的一个重要来源。尤其是能够接触到用户敏感信息的内部管理员等。以前也多次出现有内部员工售卖用户信息的行为发生。对于内部员工的维护、业务操作,要考虑日志审计、留取证据等。
一般黑客
这两天刚刚爆发的bash破壳漏洞,再往前爆发的心脏出血漏洞,这些新漏洞一出来,网上有大量的攻击者会利用自动化工具进行漏洞探测,发现有问题的系统会直接攻击,拿下系统以供后续备用。我们平时安全工作做的再好,碰上这种新暴露的漏洞可能真防不胜防。
这种一般黑客,可能在你稍微打盹的时候就进入了你的系统。放后门、拖裤等等开始以系列的行为。
商业竞争对手
商业上的竞争对手很可能会“关心”你的系统安全,历史上也出现过利用IT系统漏洞获取企业的客户信息、合同信息以及相关商业机密信息。好多公司的邮件服务器权限其实竞争对手手里也有。你的竞争对手也可能雇佣“黑客”来对企业做定点攻击。这种情况出现过很多起。
敌对组织或国家
对一些商业上有一定影响力的公司,比如你的业务可能开展到海外,或者竞争对手可能来自于海外,这些都有可能受到敌对组织或国家的攻击。这些也可以理解为常
说的APT攻击。在斯诺登所透露的信息中,我国著名的通信设备厂商也受到了美国NSA的攻击。
2、战略、合规驱动导向加强:
随着国家对信息安全的重视,企业面临来自国家、组织、行业的合规性安全要求越来越多。企业需要积极的实现合规性目标。在建立安全体系时,应充分识别相关的法律、规范等合规性要求,同时要关注行业或同类企业的最佳实践,完善或重新定义企业的风险管理和合规性管理架构。
3、新技术的应用:
基础架构防护必须积极考虑新技术的运用,以及各个作用层面上适用的安全能力。云计算安全、Anti APT、BYOD、大数据综合分析、数据安全等等都是需要考虑的内容。
4、数据安全是企业架构的核心:
数据是企业的核心资产,需要进行数据安全架构的设计,围绕数据安全生命周期打造多层防御的信息安全体系。针对当前越来越多的用户信息泄密,可以重点突出“用户隐私”,这个在国外比较重视,有些企业因为用户信息泄密出现CEO等管理团队辞职的情况。
5、“全线全时”业务安全保障:
为了更有效的控制安全风险,信息、软件和资源的全生命周期安全管理势在必行,需要端对端的“全线全时”业务安全保障。
6、打造信息安全生态圈:
企业需要构建一个安全的生态圈,不仅自身的安全很重要,企业的上下游安全也很重要,同时安全管理机构、安全评测机构等相关机构都需要保持充分的沟通和联系,通过广泛的合作来确保企业安全目标的实现。生态圈的管理包括管理制度、流程以及技术手段的建设等。
安全架构样例
在最佳实践的研究上面,下一代安全架构借鉴了EA方法,并对EA架构模型进行了详细的分析和研究。整体安全架构的基本框架变化不大,下一代企业信息安全架构:
(1)、以组织为本,企业信息安全架构同样分作了战略层、管理层、执行层。只有结合到现在的管理架构或优化现有的管理架构,才能更好的推进信息安全工作。所以第一纬度是安全组织的角度分三层考虑。
(2)、执行层主要参考EA的企业架构模型。进行分层设计。包括基础架构安全、应用安全、数据安全、业务安全等。
(3)、架构不是只设计一个框架,后续的架构管控和架构变更也一定是架构设计的一部分重要内容。
企业安全架构规划方法论及关键点
在制定企业信息安全架构以前,企业高层对信息安全认识至关重要。将安全作为业务的一项核心竞争力,“主动的”进行安全建设工作,应该是一个企业高层对信息安全认识的基本出发点。
在制定企业信息安全架构的一些关键要点如下:
首先依据企业的发展战略,明确定义企业的安全愿景、目标、角色和需要的安全能力等,然后再从业务到应用,再到系统再到基础架构。一步步分析并制定业务安全架构、数据安全架构、应用安全架构、基础设施安全架构等。
行业的安全要求:主要关注法律、规范等合规性的要求。比如PCI/DSS、HIPAA、等级保护、数据安全保护等。同时要关注行业的最佳实践比如ISO 2700X、COSO企业风险管理、ITIL等。
企业的业务需求:进行现状及风险评估,根据业务策略和IT战略,结合信息安全总体需求,提出信息安全的总体目标、建设思路,企业安全总体架构等。
注重未来的业务发展:考虑一些前瞻性的业务方向,进行面向未来的信息安全架构顶层设计。
架构不是只设计一个框架,后续的架构管控和架构变更也一定是架构设计的一部分重要内容。
企业在进行体系建设工作方法上需要关注的点
落地是最难的,引用哥伦布的故事:五百年前,当伟大的航海计划在哥伦布心中萌动(目标清晰),他用了五年的时间成主水手(定位明确),再用了五年的时间成为学者(手段先进),最后用了五年的时间四处演说,争取支持(领导支持、同事理解),一朝启程(组织到位),短短八个月里(流程顺畅),哥伦布发现了新大陆,他成了在历史的长河中流光溢彩的人物。值得信息安全人员借鉴。
(1)“大处着眼、小处入手”
仅仅讲思路是不够的,要注意操作层面的东西。有了思路以后,必须要考虑阶段性的目标、重点是什么、如何有效阶段呈现工作效果让别人认可,这些都是保证工作能持续的关键。
(2)“先僵化、后优化、再固化”
快速上路很重要,在实施和推广过程中一定要坚持“先僵化、后优化、再固化”的思想,快速上路、快速调整。
(3)“三个一把手原则”
高层领导一把手,即取得最高管理层的支持和认可是项目成功的关键,在项目建设和变革过程中要打破部门墙;
中层各部门一把手,通过对业务流程的优化,项目实施带给业务收益和效率提升来进行引导,这样就减少了阻力,形成动力;
各基层部门操作岗位的一把手,更好的推广、监督、宣传,实现最大目标。
(4)思维的支点至关重要
从外向内看,从用户角度向自身投射看。outside-in的思路很关键而不是inside-out。其实好多时候思路的出发点最关键。换位思考, outside-in,从别人的角度来映射回看问题。
(5) “以终为始”
设计好(或思考好)路线和过程,从目标定期往回审视。避免:走的太远,忘记了为什么而出发。
(6)“持续优化,不断改进”
选择能够与竞争环境和业务需求匹配的系统,尽快行动起来,开始分享项目建设带来的回报,等待完美不会带来收益,信息安全项目是一个持续优化,不断改进的过程。
