接上一篇《關于企業“下一代信息安全架構”的思考(一)》
本文為整個內容的第二部分。
---------------------------------------------
(四)構建下一代安全架構應該重視的關鍵點有哪些?
4.1、了解攻擊者到底在哪里?(分析威脅源)
通過威脅要素的識別,“威脅的來源”、“威脅的途徑”、“威脅的場景”、“威脅的層次”、“威脅的可能性”,以要素為關鍵點,建立應用系統安全威脅模型,得出業務系統可能面臨的安全威脅。從人的視角的威脅源主要有以下四類:
4.1.1 內部員工的誤操作、濫用職權
以前有過專門的統計,80%的安全問題是內部造成的。內部員工的誤操作、濫用職權是威脅的一個重要來源。尤其是能夠接觸到用戶敏感信息的內部管理員等。以前也多次出現有內部員工售賣用戶信息的行為發生。
對于內部員工的維護、業務操作,要考慮日志審計、留取證據等。
4.1.2 、一般黑客
這兩天剛剛爆發的bash破殼漏洞,再往前爆發的心臟出血漏洞,這些新漏洞一出來,網上有大量的攻擊者會利用自動化工具進行漏洞探測,發現有問題的系統會直接攻擊,拿下系統以供后續備用。我們平時安全工作做的再好,碰上這種新暴露的漏洞可能真防不勝防。
這種一般黑客,可能在你稍微打盹的時候就進入了你的系統。放后門、脫褲等等開始以系列的行為。
4.1.3 、商業競爭對手
商業上的競爭對手很可能會“關心”你的系統安全,歷史上也出現過利用IT系統漏洞獲取企業的客戶信息、合同信息以及相關商業機密信息。好多公司的郵件服務器權限其實競爭對手手里也有。你的競爭對手也可能雇傭“黑客”來對企業做定點攻擊。這種情況出現過很多起。
4.1.4 、敵對組織或國家
對一些商業上有一定影響力的公司,比如你的業務可能開展到海外,或者競爭對手可能來自于海外,這些都有可能受到敵對組織或國家的攻擊。這些也可以理解為常說的APT攻擊。在斯諾登所透露的信息中,我國著名的通信設備廠商也受到了美國NSA的攻擊。(這個信息網上都有)
4.2、戰略、合規驅動導向加強:
隨著國家對信息安全的重視,企業面臨來自國家、組織、行業的合規性安全要求越來越多。企業需要積極的實現合規性目標。在建立安全體系時,應充分識別相關的法律、規范等合規性要求,同時要關注行業或同類企業的最佳實踐,完善或重新定義企業的風險管理和合規性管理架構。
4.3、新技術的應用:
基礎架構防護必須積極考慮新技術的運用,以及各個作用層面上適用的安全能力。云計算安全、Anti APT、BYOD、大數據綜合分析、數據安全等等都是需要考慮的內容。
4.4、數據安全是企業架構的核心:
數據是企業的核心資產,需要進行數據安全架構的設計,圍繞數據安全生命周期打造多層防御的信息安全體系。針對當前越來越多的用戶信息泄密,可以重點突出“用戶隱私”,這個在國外比較重視,有些企業因為用戶信息泄密出現CEO等管理團隊辭職的情況。
4.5、“全線全時”業務安全保障:
為了更有效的控制安全風險,信息、軟件和資源的全生命周期安全管理勢在必行,需要端對端的“全線全時”業務安全保障。
4.6、打造信息安全生態圈:
企業需要構建一個安全的生態圈,不僅自身的安全很重要,企業的上下游安全也很重要,同時安全管理機構、安全評測機構等相關機構都需要保持充分的溝通和聯系,通過廣泛的合作來確保企業安全目標的實現。生態圈的管理包括管理制度、流程以及技術手段的建設等。
(五)安全架構樣例
在最佳實踐的研究上面,下一代安全架構借鑒了EA方法,并對EA架構模型進行了詳細的分析和研究。整體安全架構的基本框架變化不大,下一代企業信息安全架構圖如下:
(1)、以組織為本,企業信息安全架構同樣分作了戰略層、管理層、執行層。只有結合到現在的管理架構或優化現有的管理架構,才能更好的推進信息安全工作。所以第一緯度是安全組織的角度分三層考慮。
(2)、執行層主要參考EA的企業架構模型。進行分層設計。包括基礎架構安全、應用安全、數據安全、業務安全等。
(3)、架構不是只設計一個框架,后續的架構管控和架構變更也一定是架構設計的一部分重要內容。
待續.......,下次完成最后一部分。
京公網安備 11010502049343號