數(shù)據中心下一代信息安全架構規(guī)劃“十三五規(guī)劃”在即。就安全規(guī)劃中的核心“信息安全架構”在新形勢如何構建，天融信公司副總裁李宗洋提了其構想。

　　首先是從宏觀上看，信息安全產業(yè)及形勢的變化。一是安全驅動力：政策合規(guī)、安全需求“雙輪驅動”都在加強。

　　就某種程度而言，2014年可以說是真正的信息安全元年。政策性合規(guī)驅動、需求驅動依舊是信息安全市場的兩個重要的驅動點，而且驅動力都在加強。

　　1、從政策層面看國家成立了網絡安全與信息化領導小組，同時也出臺了相關的政策要求對信息安全產品、云計算服務等加強安全審查，通過政策、法律、規(guī)范的合規(guī)要求加強對信息安全的把控。自主可控更是是信息安全領域國家的基本意志體現(xiàn)。

　　2、從需求層面看，隨著愈演愈烈各種的信息泄密事件、大熱的APT攻擊等，大量的企業(yè)對信息安全的認識已經從“被動的防御”變成“主動的核心競爭力的塑造”，尤其是新型的互聯(lián)網金融、電商業(yè)務、云計算業(yè)務等都前瞻性的把安全當做市場競爭的重要砝碼并尋求各種資源不斷提升安全性。

　　二是安全關注點：從“系統(tǒng)”到“業(yè)務”到“人和數(shù)據”的轉移。

　　哪里有價值，哪里就有攻擊，攻擊者一定是不斷的靠近價值層。從未來看，安全的關注點也在發(fā)生變化，從早期的關注系統(tǒng)，到關注業(yè)務，到當下及未來更關注人、關注數(shù)據。

　　數(shù)據：是企業(yè)的核心競爭力所在，如何有效保護這些核心數(shù)據的安全已經得到企業(yè)高層領導的高度重視和密切關注。尤其在近幾年出現(xiàn)的大量的數(shù)據泄密事件，更是讓數(shù)據安全成為整個信息安全架構中最重要的一個模塊。

　　人是信息安全的最核心要素，再好的技術手段再完美的流程再嚴密的制度，沒有人的安全意識和技能保障下都無法確保系統(tǒng)安全，同時從人入手，提升人的意識和技能，這項工作在信息安全保障體系中一定能達到事半功倍的效果，人是信息安全的催化劑，人的安全意識和技能提升，對安全產品、安全技術的作用發(fā)揮會呈幾何級或指數(shù)級的提升。安全的實質是攻與防的博弈，安全的未來投入會更多的關注的“人”的這個層面。

　　三是安全交付物：從“安全產品”到“安全服務”到“安全運營”。

　　同其他產業(yè)一樣，信息安全產業(yè)同樣要經歷“產品模式”、“服務模式”、“體驗模式”的轉變，安全實質提供的是知識和能力，從發(fā)展趨勢看，安全將從硬件交付、軟件交付向運營化服務的過渡，依托產品+服務，提供7*24小時的運營化服務才能更無縫的契合用戶的安全需求。即SAAS：安全即服務。

　　隨著云的落地，給IT帶來了巨大的變革。云安全服務的出現(xiàn)，徹底顛覆了傳統(tǒng)安全產業(yè)基于軟硬件提供安全服務的模式，降低了企業(yè)部署安全產品的成本，使更多的企業(yè)可以享受到安全運營保障，全心關注企業(yè)的核心業(yè)務。運營化服務的SLA和信息保密及隱私的問題，是服務提供商后續(xù)需要重點考慮和解決的。

　　四是安全生態(tài)鏈：從“精細分工”到“供應鏈可信管理”到“安全生態(tài)圈的建設”。

　　企業(yè)需要構建一個安全的生態(tài)鏈，不僅自身的安全很重要，企業(yè)的上下游安全也很重要，企業(yè)上下游的合作伙伴的安全問題都會給企業(yè)帶來安全風險，整個供應鏈都需要進行嚴格的安全管理，企業(yè)要做好信息安全，同安全管理機構、安全評測機構等保持充分的溝通和聯(lián)系，以便了解國家的政策規(guī)范，同時在關鍵的安全時期也可以得到相關機構的支持。構建整個的安全生態(tài)鏈，通過廣泛的合作來確保企業(yè)安全目標的實現(xiàn)。

　　從微觀來看企業(yè)面臨的安全挑戰(zhàn)

　　一是，信息安全犯罪趨利導向明顯，攻擊技術迅速發(fā)展，威脅源、威脅能力、威脅途徑、威脅者所掌握的資源等要素變化致使更難以應對安全威脅。

　　商業(yè)的競爭對手、可能的敵對勢力都可能會組織力量對企業(yè)進行安全攻擊，以獲取相關利益。在新的形勢下，威脅的主體在發(fā)生變化，以前的威脅主體主要是個體、小組織團體，現(xiàn)在的對手可能會是有組織的攻擊等。同時攻擊技術的迅速發(fā)展，對企業(yè)的威脅越來越大。

　　二是劇變的新技術、新業(yè)務的應用多給企業(yè)帶來更大的安全風險,需要構建新的安全能力。

　　以云計算、大數(shù)據、社交和移動為驅動的新技術轉型將帶領企業(yè)向智慧企業(yè)轉型。新業(yè)務的特點第一:通過大數(shù)據和分析建立核心競爭優(yōu)勢;第二:通過云計算重新塑造企業(yè)業(yè)務模式;第三:通過移動和社交技術構建互動參與體系。新計算、新網絡、新應用、新數(shù)據，這些都是今后一段時期的信息安全方向和熱點，每一個方向都會對未來的應用和業(yè)務帶來巨大的改變，同時也帶來新的安全挑戰(zhàn)。

　　企業(yè)如何制定下一代信息安全架構

　　企業(yè)在執(zhí)行信息安全架構時，要充分考慮整體信息安全產業(yè)及形勢的變化，從業(yè)務戰(zhàn)略出發(fā)，采用一定的架構模型和方法論，以解決實際問題為落腳點，兼顧未來的業(yè)務發(fā)展，制定符合企業(yè)自身發(fā)展的信息安全架構。IT安全架構目前比較流行的方法有TOGAF等。

　　在進行企業(yè)安全架構設計時，需要充分考慮整體信息安全產業(yè)及形勢的變化，

　　合規(guī)性要求的加強，需要多視角的安全符合;

　　需要更有力的頂層安全設計:安全架構核心是支撐企業(yè)業(yè)務發(fā)展和總體戰(zhàn)略的實施;

　　有關鍵點：專注近2、3年需要解決的關鍵問題。避免僅僅追卻大而全;

　　有超前性，能夠涵蓋2、3年的安全范疇。新的業(yè)務、計算模式，需要新的安全能力。

　　具體的設計方法包括自頂向下的架構設計和自下而上的建設支撐兩個方向。同時可以橫向最佳實踐的借鑒(同類企業(yè))

　　自頂向下的架構設計

　　信息安全實質是IT的一部分，企業(yè)信息安全架構也可以從IT中進行借鑒。在IT領域，目前比較流行的是采用企業(yè)架構EA的方法來進行架構設計和規(guī)劃。從企業(yè)戰(zhàn)略開始、以需求管理為核心，從企業(yè)戰(zhàn)略到業(yè)務，再到應用，再到系統(tǒng)的設計方法，以及其中的設計內容。一步步分析并制定業(yè)務安全架構、數(shù)據安全架構、應用安全架構、基礎設施安全架構等。

　　自下而上的建設支撐

　　企業(yè)的安全架構要落到實處，需要以解決企業(yè)安全問題為出發(fā)點，根據企業(yè)的目標與現(xiàn)狀，根據架構設計而展開的高階方案制定和項目清單梳理，進一步進行具體的任務、項目建設規(guī)劃，通過具體的任務或項目來支撐業(yè)務安全架構、數(shù)據安全架構、應用安全架構、基礎設施安全架構的實現(xiàn)。

　　最佳實踐的借鑒：

　　借鑒同類型企業(yè)的信息安全架構及管理實踐，形成自身的安全架構，業(yè)內有很多這樣的溝通和交流，別人的最佳實踐是有不少值得借鑒的。

　　構建下一代安全架構關鍵點

　　1、了解攻擊者到底在哪里?(分析威脅源)

　　通過威脅要素的識別，“威脅的來源”、“威脅的途徑”、“威脅的場景”、“威脅的層次”、“威脅的可能性”，以要素為關鍵點，建立應用系統(tǒng)安全威脅模型，得出業(yè)務系統(tǒng)可能面臨的安全威脅。從人的視角的威脅源主要有以下四類：

　　內部員工的誤操作、濫用職權

　　以前有過專門的統(tǒng)計，80%的安全問題是內部造成的。內部員工的誤操作、濫用職權是威脅的一個重要來源。尤其是能夠接觸到用戶敏感信息的內部管理員等。以前也多次出現(xiàn)有內部員工售賣用戶信息的行為發(fā)生。對于內部員工的維護、業(yè)務操作，要考慮日志審計、留取證據等。

　　一般黑客

　　這兩天剛剛爆發(fā)的bash破殼漏洞，再往前爆發(fā)的心臟出血漏洞，這些新漏洞一出來，網上有大量的攻擊者會利用自動化工具進行漏洞探測，發(fā)現(xiàn)有問題的系統(tǒng)會直接攻擊，拿下系統(tǒng)以供后續(xù)備用。我們平時安全工作做的再好，碰上這種新暴露的漏洞可能真防不勝防。

　　這種一般黑客，可能在你稍微打盹的時候就進入了你的系統(tǒng)。放后門、拖褲等等開始以系列的行為。

　　商業(yè)競爭對手

　　商業(yè)上的競爭對手很可能會“關心”你的系統(tǒng)安全，歷史上也出現(xiàn)過利用IT系統(tǒng)漏洞獲取企業(yè)的客戶信息、合同信息以及相關商業(yè)機密信息。好多公司的郵件服務器權限其實競爭對手手里也有。你的競爭對手也可能雇傭“黑客”來對企業(yè)做定點攻擊。這種情況出現(xiàn)過很多起。

　　敵對組織或國家

　　對一些商業(yè)上有一定影響力的公司，比如你的業(yè)務可能開展到海外，或者競爭對手可能來自于海外，這些都有可能受到敵對組織或國家的攻擊。這些也可以理解為常

　　說的APT攻擊。在斯諾登所透露的信息中，我國著名的通信設備廠商也受到了美國NSA的攻擊。

　　2、戰(zhàn)略、合規(guī)驅動導向加強：

　　隨著國家對信息安全的重視，企業(yè)面臨來自國家、組織、行業(yè)的合規(guī)性安全要求越來越多。企業(yè)需要積極的實現(xiàn)合規(guī)性目標。在建立安全體系時，應充分識別相關的法律、規(guī)范等合規(guī)性要求，同時要關注行業(yè)或同類企業(yè)的最佳實踐，完善或重新定義企業(yè)的風險管理和合規(guī)性管理架構。

　　3、新技術的應用：

　　基礎架構防護必須積極考慮新技術的運用，以及各個作用層面上適用的安全能力。云計算安全、Anti APT、BYOD、大數(shù)據綜合分析、數(shù)據安全等等都是需要考慮的內容。

　　4、數(shù)據安全是企業(yè)架構的核心：

　　數(shù)據是企業(yè)的核心資產，需要進行數(shù)據安全架構的設計，圍繞數(shù)據安全生命周期打造多層防御的信息安全體系。針對當前越來越多的用戶信息泄密，可以重點突出“用戶隱私”，這個在國外比較重視，有些企業(yè)因為用戶信息泄密出現(xiàn)CEO等管理團隊辭職的情況。

　　5、“全線全時”業(yè)務安全保障：

　　為了更有效的控制安全風險，信息、軟件和資源的全生命周期安全管理勢在必行，需要端對端的“全線全時”業(yè)務安全保障。

　　6、打造信息安全生態(tài)圈：

　　企業(yè)需要構建一個安全的生態(tài)圈，不僅自身的安全很重要，企業(yè)的上下游安全也很重要，同時安全管理機構、安全評測機構等相關機構都需要保持充分的溝通和聯(lián)系，通過廣泛的合作來確保企業(yè)安全目標的實現(xiàn)。生態(tài)圈的管理包括管理制度、流程以及技術手段的建設等。

　　安全架構樣例

　　在最佳實踐的研究上面，下一代安全架構借鑒了EA方法，并對EA架構模型進行了詳細的分析和研究。整體安全架構的基本框架變化不大，下一代企業(yè)信息安全架構：

　　(1)、以組織為本，企業(yè)信息安全架構同樣分作了戰(zhàn)略層、管理層、執(zhí)行層。只有結合到現(xiàn)在的管理架構或優(yōu)化現(xiàn)有的管理架構，才能更好的推進信息安全工作。所以第一緯度是安全組織的角度分三層考慮。

　　(2)、執(zhí)行層主要參考EA的企業(yè)架構模型。進行分層設計。包括基礎架構安全、應用安全、數(shù)據安全、業(yè)務安全等。

　　(3)、架構不是只設計一個框架，后續(xù)的架構管控和架構變更也一定是架構設計的一部分重要內容。

　　企業(yè)安全架構規(guī)劃方法論及關鍵點

　　在制定企業(yè)信息安全架構以前，企業(yè)高層對信息安全認識至關重要。將安全作為業(yè)務的一項核心競爭力，“主動的”進行安全建設工作，應該是一個企業(yè)高層對信息安全認識的基本出發(fā)點。

　　在制定企業(yè)信息安全架構的一些關鍵要點如下：

　　首先依據企業(yè)的發(fā)展戰(zhàn)略，明確定義企業(yè)的安全愿景、目標、角色和需要的安全能力等，然后再從業(yè)務到應用，再到系統(tǒng)再到基礎架構。一步步分析并制定業(yè)務安全架構、數(shù)據安全架構、應用安全架構、基礎設施安全架構等。

　　行業(yè)的安全要求：主要關注法律、規(guī)范等合規(guī)性的要求。比如PCI/DSS、HIPAA、等級保護、數(shù)據安全保護等。同時要關注行業(yè)的最佳實踐比如ISO 2700X、COSO企業(yè)風險管理、ITIL等。

　　企業(yè)的業(yè)務需求：進行現(xiàn)狀及風險評估，根據業(yè)務策略和IT戰(zhàn)略，結合信息安全總體需求，提出信息安全的總體目標、建設思路，企業(yè)安全總體架構等。

　　注重未來的業(yè)務發(fā)展：考慮一些前瞻性的業(yè)務方向，進行面向未來的信息安全架構頂層設計。

　　架構不是只設計一個框架，后續(xù)的架構管控和架構變更也一定是架構設計的一部分重要內容。

　　企業(yè)在進行體系建設工作方法上需要關注的點

　　落地是最難的，引用哥倫布的故事：五百年前，當偉大的航海計劃在哥倫布心中萌動(目標清晰)，他用了五年的時間成主水手(定位明確)，再用了五年的時間成為學者(手段先進)，最后用了五年的時間四處演說，爭取支持(領導支持、同事理解)，一朝啟程(組織到位)，短短八個月里(流程順暢)，哥倫布發(fā)現(xiàn)了新大陸，他成了在歷史的長河中流光溢彩的人物。值得信息安全人員借鑒。

　　(1)“大處著眼、小處入手”

　　僅僅講思路是不夠的，要注意操作層面的東西。有了思路以后，必須要考慮階段性的目標、重點是什么、如何有效階段呈現(xiàn)工作效果讓別人認可，這些都是保證工作能持續(xù)的關鍵。

　　(2)“先僵化、后優(yōu)化、再固化”

　　快速上路很重要，在實施和推廣過程中一定要堅持“先僵化、后優(yōu)化、再固化”的思想，快速上路、快速調整。

　　(3)“三個一把手原則”

　　高層領導一把手，即取得最高管理層的支持和認可是項目成功的關鍵，在項目建設和變革過程中要打破部門墻;

　　中層各部門一把手，通過對業(yè)務流程的優(yōu)化，項目實施帶給業(yè)務收益和效率提升來進行引導，這樣就減少了阻力，形成動力;

　　各基層部門操作崗位的一把手，更好的推廣、監(jiān)督、宣傳，實現(xiàn)最大目標。

　　(4)思維的支點至關重要

　　從外向內看，從用戶角度向自身投射看。outside-in的思路很關鍵而不是inside-out。其實好多時候思路的出發(fā)點最關鍵。換位思考， outside-in，從別人的角度來映射回看問題。

　　(5) “以終為始”

　　設計好(或思考好)路線和過程，從目標定期往回審視。避免：走的太遠，忘記了為什么而出發(fā)。

　　(6)“持續(xù)優(yōu)化，不斷改進”

　　選擇能夠與競爭環(huán)境和業(yè)務需求匹配的系統(tǒng)，盡快行動起來，開始分享項目建設帶來的回報，等待完美不會帶來收益，信息安全項目是一個持續(xù)優(yōu)化，不斷改進的過程。