信息安全体系-如何规划信息安全总体架构？.docx

如何规划信息安全总体架构？企业信息安全总体架构规划，是一个很大的题目，几年前就想写，但一直不敢下手，怕说歪了，怕说错了。在企业里做了几年信息安全工作，出来做了一些安全咨询工作之后，自以为对这个规划有了更多的认识和理解，特别是在喝下几杯小酒之后，终于有勇气写下这些文字。首先需要说明的是这篇文字不是对一个现成规划的解释，而是抛出一个如何做企业信息安全总体架构规划的思路。在谈企业信息安全总体架构规划之前，有必要澄清两个目前非常容易看到的误区，一个是：罗列一堆产品和技术；另一个是：网络安全架构规划。对于前者，往往是把能够看到的安全产品和安全技术，例如防火墙、防病毒、入侵监测、加密技术、VPN、终端准入控制等等，都堆砌起来。这是典型的照搬照用，好大好全。这就好比身体有恙去看病，医院不管三七二十一先来一个B超、彩超、心电图、核磁共振、X光、肝功能、肾功能等等各式花样的检查。这样做，往往花了大把的钱，浪费了大量的人力，却得不到想要的结果。对于后者，把企业信息安全等同于网络安全，给出的规划也只能是局部的，残缺不全的。这就好比井底之蛙，以偏概全。要做企业信息安全总体架构规划，首先要回答的是基于什么做规划。因素有很多，但是最重要的是企业的信息安全需求。抛开需求做规划，将避免不了掉进前面所讲的两种误区。因此，做规划要从需求入手。接下来讲一讲如何从需求开始，一步一步脚踏实地，同时又是高瞻远瞩地规划企业信息安全总体架构。首先，我们来看一个企业信息安全总体架构规划模型（见下图）。图 企业信息安全总体架构规划模型该模型是一种从企业信息安全的需求（保密性、完整性、可用性）为出发点，以应用安全、数据安全、主机安全、网络安全、桌面安全、物理安全为关注重点，层层剖析全面深入地挖掘企业的信息安全需求，构建以管理、技术和人员三者有机结合的立体的企业信息安全保障体系。该模型主要特点是：1. 均衡考虑企业在保密性（C）、完整性（I）和可用性（A）三方面的安全需求。2. 从应用安全、数据安全、主机安全、网络安全、桌面安全和物理安全等六大安全领域全面系统地实现企业的信息安全需求。3. 强调从安全技术、管理和人员三个方面综合构建企业信息安全保障体系。企业信息安全总体架构规划模型虽然清晰地指出了规划的要点、重点和思路，但是按照此模型还是不知道如何去做。在该模型的指导下，结合实践经验设计出相应的规划方法论（见下图）以指导架构规划的操作。企业信息安全总体架构规划方法论融合了管理和技术为核心的全面分析方法，以安全需求为焦点，从管理现状、技术现状和人员状况三个维度，综合采用调查问卷、人员访谈、现场察看、资料分析、技术检测等多种手段，全面深入地挖掘需求。在明确需求的前提下，借鉴同类企业成功经验并均衡考虑CIA，规划符合企业实情的信息安全保障体系。在企业信息安全总体架构规划方法论中，各环节的重点工作描述如下。图 企业信息安全总体架构规划方法论调查问卷针对企业情况，参照ISO27001/ISO13335等标准，制定相应的调查问卷，以全面了解企业的安全要求和安全状况、IT环境和IT状况、以及企业信息系统的应用情况和已经采取的安全控制手段。人员访谈选定关键领导和关键岗位，进行人员访谈，全面了解信息系统的安全需求，层层剖析深入了解企业信息系统各层面的安全现状，包括应用状况、数据存储及数据库、主机及操作系统、网络拓扑及网络管理、数据中心及桌面管理等。现场查看百闻不如一见。为了确保获取信息的全面性和准确性，实地考察是非常必要的。现场查看主要有两方面。一方面是了解现有技术措施的情况，例如设备使用状况、技术应用状况等；另一方面是物理环境察看，例如机房、办公室、其他重要区域、门禁、监控等。资料分析收集企业的相关资料进行分析，重点包括信息系统的部署架构、网络架构、安全制度、运维管理、IT的运行报告和IT的审计报告。技术检测采取技术手段进行漏洞检测和分析，包括渗透测试、漏洞扫描、本地检查和手工检查。充分发掘网络方面的漏洞、主机及操作系统漏洞、数据库方面的漏洞、应用方面的漏洞等。CIA均衡考虑通过前面5种方法完成需求分析之后，企业对信息安全的具体详细的需求就水落石出了。针对企业的信息安全需求，均衡考虑CIA三个方面设计技术、管理和人员控制措施，并将这些措施有机结合构建信息安全保障体系。同类企业成功经验有现成的桥，就没有必要摸着石头过河。因此，在设计信息安全保障体系时，借鉴国内企业在信息安全保障方面的成功案例