“十三五規劃”在即,很多企業已經開始信息安全規劃的編寫工作,關于安全規劃中的核心“信息安全架構”在新形勢如何構建的一些個人思考,(參考天融信同事及部分朋友的總結素材,致謝)。
整個內容擬從以下幾個方面進行闡述,分三次寫完。
第一部分:
1 信息安全產業及形勢的變化有哪些(宏觀)?
2 企業面臨的信息安全挑戰有哪些(微觀)?
3 企業下一代信息安全架構制定的原則和方法?
第二部分:
4 下一代信息安全架構的是什么樣的?
第三部分:
5 企業怎么選擇適合自身的安全架構?
以下為正文
---------------------------------------------
“十三五規劃”在即,關于企業“下一代信息安全架構”的思考(一)
(一)宏觀:信息安全產業及形勢的變化有哪些?
1.1、安全驅動力:政策合規、安全需求“雙輪驅動”都在加強
就某種程度而言,2014年可以說是真正的信息安全元年。政策性合規驅動、需求驅動依舊是信息安全市場的兩個重要的驅動點,而且驅動力都在加強。
1、從政策層面看國家成立了網絡安全與信息化領導小組,同時也出臺了相關的政策要求對信息安全產品、云計算服務等加強安全審查,通過政策、法律、規范的合規要求加強對信息安全的把控。自主可控更是是信息安全領域國家的基本意志體現。
2、從需求層面看,隨著愈演愈烈各種的信息泄密事件、大熱的APT攻擊等,大量的企業對信息安全的認識已經從“被動的防御”變成“主動的核心競爭力的塑造”,尤其是新型的互聯網金融、電商業務、云計算業務等都前瞻性的把安全當做市場競爭的重要砝碼并尋求各種資源不斷提升安全性。1.2、安全關注點:從“系統”到“業務”到“人和數據”的轉移。
哪里有價值,哪里就有攻擊,攻擊者一定是不斷的靠近價值層。從未來看,安全的關注點也在發生變化,從早期的關注系統,到關注業務,到當下及未來更關注人、關注數據。
數據:是企業的核心競爭力所在,如何有效保護這些核心數據的安全已經得到企業高層領導的高度重視和密切關注。尤其在近幾年出現的大量的數據泄密事件,更是讓數據安全成為整個信息安全架構中最重要的一個模塊。
人是信息安全的最核心要素,再好的技術手段再完美的流程再嚴密的制度,沒有人的安全意識和技能保障下都無法確保系統安全,同時從人入手,提升人的意識和技能,這項工作在信息安全保障體系中一定能達到事半功倍的效果,人是信息安全的催化劑,人的安全意識和技能提升,對安全產品、安全技術的作用發揮會呈幾何級或指數級的提升。安全的實質是攻與防的博弈,安全的未來投入會更多的關注的“人”的這個層面。
1.3、安全交付物:從“安全產品”到“安全服務”到“安全運營”
同其他產業一樣,信息安全產業同樣要經歷“產品模式”、“服務模式”、“體驗模式”的轉變,安全實質提供的是知識和能力,從發展趨勢看,安全將從硬件交付、軟件交付向運營化服務的過渡,依托產品+服務,提供7*24小時的運營化服務才能更無縫的契合用戶的安全需求。即SAAS:安全即服務。
隨著云的落地,給IT帶來了巨大的變革。云安全服務的出現,徹底顛覆了傳統安全產業基于軟硬件提供安全服務的模式,降低了企業部署安全產品的成本,使更多的企業可以享受到安全運營保障,全心關注企業的核心業務。運營化服務的SLA和信息保密及隱私的問題,是服務提供商后續需要重點考慮和解決的。
1.4、安全生態鏈:從“精細分工”到“供應鏈可信管理”到“安全生態圈的建設”
企業需要構建一個安全的生態鏈,不僅自身的安全很重要,企業的上下游安全也很重要,企業上下游的合作伙伴的安全問題都會給企業帶來安全風險,整個供應鏈都需要進行嚴格的安全管理,企業要做好信息安全,同安全管理機構、安全評測機構等保持充分的溝通和聯系,以便了解國家的政策規范,同時在關鍵的安全時期也可以得到相關機構的支持。構建整個的安全生態鏈,通過廣泛的合作來確保企業安全目標的實現。
(二)微觀看:企業面臨的安全挑戰有哪些?
2.1信息安全犯罪趨利導向明顯,攻擊技術迅速發展,威脅源、威脅能力、威脅途徑、威脅者所掌握的資源等要素變化致使更難以應對安全威脅。
商業的競爭對手、可能的敵對勢力都可能會組織力量對企業進行安全攻擊,以獲取相關利益。在新的形勢下,威脅的主體在發生變化,以前的威脅主體主要是個體、小組織團體,現在的對手可能會是有組織的攻擊等。同時攻擊技術的迅速發展,對企業的威脅越來越大。
2.2劇變的新技術、新業務的應用多給企業帶來更大的安全風險,需要構建新的安全能力以云計算、大數據、社交和移動為驅動的新技術轉型將帶領企業向智慧企業轉型。新業務的特點第一:通過大數據和分析建立核心競爭優勢;第二:通過云計算重新塑造企業業務模式;第三:通過移動和社交技術構建互動參與體系。新計算、新網絡、新應用、新數據,這些都是今后一段時期的信息安全方向和熱點,每一個方向都會對未來的應用和業務帶來巨大的改變,同時也帶來新的安全挑戰。
(三)企業下一代信息安全架構制定的原則和方法?
企業在執行信息安全架構時,要充分考慮整體信息安全產業及形勢的變化,從業務戰略出發,采用一定的架構模型和方法論,以解決實際問題為落腳點,兼顧未來的業務發展,制定符合企業自身發展的信息安全架構。IT安全架構目前比較流行的方法有TOGAF等,如下圖,后面主要以EA為例來說明,架構沒有對與錯,只有適合與不適合。
3.1信息安全架構制定的原則
在進行企業安全架構設計時,需要充分考慮整體信息安全產業及形勢的變化,
合規性要求的加強,需要多視角的安全符合;
需要更有力的頂層安全設計:安全架構核心是支撐企業業務發展和總體戰略的實施;
有關鍵點:專注近2、3年需要解決的關鍵問題。避免僅僅追卻大而全。
有超前性,能夠涵蓋2、3年的安全范疇。新的業務、計算模式,需要新的安全能力;
3.2下一代安全架構的設計方法
具體的設計方法包括自頂向下的架構設計和自下而上的建設支撐兩個方向。同時可以橫向最佳實踐的借鑒(同類企業)
自頂向下的架構設計
信息安全實質是IT的一部分,企業信息安全架構也可以從IT中進行借鑒。在IT領域,目前比較流行的是采用企業架構EA的方法來進行架構設計和規劃。從企業戰略開始、以需求管理為核心,從企業戰略到業務,再到應用,再到系統的設計方法,以及其中的設計內容。一步步分析并制定業務安全架構、數據安全架構、應用安全架構、基礎設施安全架構等。
自下而上的建設支撐
企業的安全架構要落到實處,需要以解決企業安全問題為出發點,根據企業的目標與現狀,根據架構設計而展開的高階方案制定和項目清單梳理,進一步進行具體的任務、項目建設規劃,通過具體的任務或項目來支撐業務安全架構、數據安全架構、應用安全架構、基礎設施安全架構的實現。
最佳實踐的借鑒:
借鑒同類型企業的信息安全架構及管理實踐,形成自身的安全架構,業內有很多這樣的溝通和交流,別人的最佳實踐是有不少值得借鑒的。
待續.......,下次完成第二部分。
京公網安備 11010502049343號