接上一篇《關(guān)于企業(yè)“下一代信息安全架構(gòu)”的思考(一)》
本文為整個(gè)內(nèi)容的第二部分。
---------------------------------------------
(四)構(gòu)建下一代安全架構(gòu)應(yīng)該重視的關(guān)鍵點(diǎn)有哪些?
4.1、了解攻擊者到底在哪里?(分析威脅源)
通過威脅要素的識別,“威脅的來源”、“威脅的途徑”、“威脅的場景”、“威脅的層次”、“威脅的可能性”,以要素為關(guān)鍵點(diǎn),建立應(yīng)用系統(tǒng)安全威脅模型,得出業(yè)務(wù)系統(tǒng)可能面臨的安全威脅。從人的視角的威脅源主要有以下四類:
4.1.1 內(nèi)部員工的誤操作、濫用職權(quán)
以前有過專門的統(tǒng)計(jì),80%的安全問題是內(nèi)部造成的。內(nèi)部員工的誤操作、濫用職權(quán)是威脅的一個(gè)重要來源。尤其是能夠接觸到用戶敏感信息的內(nèi)部管理員等。以前也多次出現(xiàn)有內(nèi)部員工售賣用戶信息的行為發(fā)生。
對于內(nèi)部員工的維護(hù)、業(yè)務(wù)操作,要考慮日志審計(jì)、留取證據(jù)等。
4.1.2 、一般黑客
這兩天剛剛爆發(fā)的bash破殼漏洞,再往前爆發(fā)的心臟出血漏洞,這些新漏洞一出來,網(wǎng)上有大量的攻擊者會(huì)利用自動(dòng)化工具進(jìn)行漏洞探測,發(fā)現(xiàn)有問題的系統(tǒng)會(huì)直接攻擊,拿下系統(tǒng)以供后續(xù)備用。我們平時(shí)安全工作做的再好,碰上這種新暴露的漏洞可能真防不勝防。
這種一般黑客,可能在你稍微打盹的時(shí)候就進(jìn)入了你的系統(tǒng)。放后門、脫褲等等開始以系列的行為。
4.1.3 、商業(yè)競爭對手
商業(yè)上的競爭對手很可能會(huì)“關(guān)心”你的系統(tǒng)安全,歷史上也出現(xiàn)過利用IT系統(tǒng)漏洞獲取企業(yè)的客戶信息、合同信息以及相關(guān)商業(yè)機(jī)密信息。好多公司的郵件服務(wù)器權(quán)限其實(shí)競爭對手手里也有。你的競爭對手也可能雇傭“黑客”來對企業(yè)做定點(diǎn)攻擊。這種情況出現(xiàn)過很多起。
4.1.4 、敵對組織或國家
對一些商業(yè)上有一定影響力的公司,比如你的業(yè)務(wù)可能開展到海外,或者競爭對手可能來自于海外,這些都有可能受到敵對組織或國家的攻擊。這些也可以理解為常說的APT攻擊。在斯諾登所透露的信息中,我國著名的通信設(shè)備廠商也受到了美國NSA的攻擊。(這個(gè)信息網(wǎng)上都有)
4.2、戰(zhàn)略、合規(guī)驅(qū)動(dòng)導(dǎo)向加強(qiáng):
隨著國家對信息安全的重視,企業(yè)面臨來自國家、組織、行業(yè)的合規(guī)性安全要求越來越多。企業(yè)需要積極的實(shí)現(xiàn)合規(guī)性目標(biāo)。在建立安全體系時(shí),應(yīng)充分識別相關(guān)的法律、規(guī)范等合規(guī)性要求,同時(shí)要關(guān)注行業(yè)或同類企業(yè)的最佳實(shí)踐,完善或重新定義企業(yè)的風(fēng)險(xiǎn)管理和合規(guī)性管理架構(gòu)。
4.3、新技術(shù)的應(yīng)用:
基礎(chǔ)架構(gòu)防護(hù)必須積極考慮新技術(shù)的運(yùn)用,以及各個(gè)作用層面上適用的安全能力。云計(jì)算安全、Anti APT、BYOD、大數(shù)據(jù)綜合分析、數(shù)據(jù)安全等等都是需要考慮的內(nèi)容。
4.4、數(shù)據(jù)安全是企業(yè)架構(gòu)的核心:
數(shù)據(jù)是企業(yè)的核心資產(chǎn),需要進(jìn)行數(shù)據(jù)安全架構(gòu)的設(shè)計(jì),圍繞數(shù)據(jù)安全生命周期打造多層防御的信息安全體系。針對當(dāng)前越來越多的用戶信息泄密,可以重點(diǎn)突出“用戶隱私”,這個(gè)在國外比較重視,有些企業(yè)因?yàn)橛脩粜畔⑿姑艹霈F(xiàn)CEO等管理團(tuán)隊(duì)辭職的情況。
4.5、“全線全時(shí)”業(yè)務(wù)安全保障:
為了更有效的控制安全風(fēng)險(xiǎn),信息、軟件和資源的全生命周期安全管理勢在必行,需要端對端的“全線全時(shí)”業(yè)務(wù)安全保障。
4.6、打造信息安全生態(tài)圈:
企業(yè)需要構(gòu)建一個(gè)安全的生態(tài)圈,不僅自身的安全很重要,企業(yè)的上下游安全也很重要,同時(shí)安全管理機(jī)構(gòu)、安全評測機(jī)構(gòu)等相關(guān)機(jī)構(gòu)都需要保持充分的溝通和聯(lián)系,通過廣泛的合作來確保企業(yè)安全目標(biāo)的實(shí)現(xiàn)。生態(tài)圈的管理包括管理制度、流程以及技術(shù)手段的建設(shè)等。
(五)安全架構(gòu)樣例
在最佳實(shí)踐的研究上面,下一代安全架構(gòu)借鑒了EA方法,并對EA架構(gòu)模型進(jìn)行了詳細(xì)的分析和研究。整體安全架構(gòu)的基本框架變化不大,下一代企業(yè)信息安全架構(gòu)圖如下:
(1)、以組織為本,企業(yè)信息安全架構(gòu)同樣分作了戰(zhàn)略層、管理層、執(zhí)行層。只有結(jié)合到現(xiàn)在的管理架構(gòu)或優(yōu)化現(xiàn)有的管理架構(gòu),才能更好的推進(jìn)信息安全工作。所以第一緯度是安全組織的角度分三層考慮。
(2)、執(zhí)行層主要參考EA的企業(yè)架構(gòu)模型。進(jìn)行分層設(shè)計(jì)。包括基礎(chǔ)架構(gòu)安全、應(yīng)用安全、數(shù)據(jù)安全、業(yè)務(wù)安全等。
(3)、架構(gòu)不是只設(shè)計(jì)一個(gè)框架,后續(xù)的架構(gòu)管控和架構(gòu)變更也一定是架構(gòu)設(shè)計(jì)的一部分重要內(nèi)容。
待續(xù).......,下次完成最后一部分。