明朝萬達王志海
“首都網(wǎng)絡(luò)安全日”的開展,是貫徹中央和國家高度重視網(wǎng)絡(luò)信息安全精神,呼應(yīng)中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組成立的有力行動。北京作為國家關(guān)系國防及國計民生等重要機構(gòu)的信息安全防護重鎮(zhèn)和國內(nèi)網(wǎng)絡(luò)信息安全技術(shù)與服務(wù)機構(gòu)最集中的重鎮(zhèn),開展“首都網(wǎng)絡(luò)安全日”活動的意義遠遠超出北京自身的范疇,應(yīng)該說對全國都具有示范性作用。
明朝萬達作為以國產(chǎn)加密技術(shù)為核心致力于服務(wù)國家黨政軍及金融等重要單位的數(shù)據(jù)安全和移動安全企業(yè),深刻感受到了我國信息安全在管理體系、技術(shù)體系、民眾認(rèn)知以及人才培養(yǎng)方面都存在亟待提高的地方。本文結(jié)合明朝萬達的實際工作經(jīng)驗重點談?wù)劶夹g(shù)體系方面的一些建議。
習(xí)近平組長提出“網(wǎng)絡(luò)安全與信息化是一體之雙翼”,將安全與信息化提到同等重要的高度上。那么在大型政企信息化建設(shè)工作中,如何有效落實“一體雙翼”,真正達到“安全”與“信息化”齊頭并進的效果,借助明朝萬達在數(shù)據(jù)安全和移動安全領(lǐng)域多年為客戶服務(wù)的經(jīng)驗,這里有幾個建議可供企業(yè)級用戶參考與討論。
一、落實信息化系統(tǒng)建設(shè)時“業(yè)務(wù)”與“安全”同步推進
目前,不少管理規(guī)范的單位已經(jīng)要求在信息化系統(tǒng)建設(shè)時同步進行安全規(guī)劃與設(shè)計,但是往往也就止步于此,在隨后的詳細設(shè)計及開發(fā)環(huán)節(jié)就開始“分道揚鑣”,從而導(dǎo)致信息系統(tǒng)的安全性與最初的規(guī)劃設(shè)計風(fēng)牛馬不相及,要不就是亡羊補牢市場上隨便找些安全產(chǎn)品補補“漏洞”,最終結(jié)果是安全規(guī)劃設(shè)計形同虛設(shè)。改變該現(xiàn)狀的有效辦法是必須在詳細設(shè)計及開發(fā)環(huán)節(jié)也要保持“安全”與“業(yè)務(wù)”的同步,將安全與應(yīng)用在代碼級實現(xiàn)接口,并建立緊密相關(guān)的聯(lián)動機制,從而迫使兩者同步推進。
二、針對每個業(yè)務(wù)系統(tǒng)進行“定制化”的安全設(shè)計
遍觀現(xiàn)在的業(yè)務(wù)系統(tǒng)方案關(guān)于安全設(shè)計部分,基本上是大同小異,其核心都是依據(jù)國家相關(guān)政策法規(guī),劃幾個安全域,堆放上一些安全產(chǎn)品即可,與業(yè)務(wù)系統(tǒng)可謂“離心離德”。要實現(xiàn)“一體雙翼”落地,必須改變目前對信息化安全的設(shè)計思路,將安全作為重要子系統(tǒng)嵌入到具體的業(yè)務(wù)系統(tǒng)流程中,即“內(nèi)建安全(Build Security In)”,這樣既可以打破目前不符合信息流通需求的“安全域”限制提高“安全應(yīng)用系統(tǒng)”的易用性,也有利于實現(xiàn)安全與業(yè)務(wù)的緊密相關(guān)落實“一體雙翼”。
三、建立“一系統(tǒng)雙平臺”的信息化管理機制
安全與業(yè)務(wù)發(fā)展同等重要的情況下,有必要改變目前一個業(yè)務(wù)系統(tǒng)一個管理平臺的機制,應(yīng)該將安全作為信息化的另外一維獨立顯性獨立出來。具體做法就是在一個信息化系統(tǒng)設(shè)計之時,即建立兩個管理平臺:業(yè)務(wù)管理平臺和安全管理平臺,在運維時分屬業(yè)務(wù)部門管理和安全部門管理,各自可以從不同的角度監(jiān)控整個信息化系統(tǒng)的運行狀態(tài)。當(dāng)然,安全管理平臺要遵從上述的“內(nèi)建”方式,真正嵌入到信息化系統(tǒng)中才能起到效果。
四、大力推動信息安全中間件形態(tài)的產(chǎn)品研發(fā)服務(wù)模式
傳統(tǒng)信息安全產(chǎn)業(yè),大都以固定產(chǎn)品和相關(guān)服務(wù)的形式推送給用戶,安全產(chǎn)品與業(yè)務(wù)系統(tǒng)涇渭分明,不但安全防護效果打折扣,而且易用性及效率也難以讓用戶滿意。明朝萬達在兩年前就發(fā)現(xiàn)該問題,并陸續(xù)推出了“數(shù)據(jù)安全中間件”和“移動安全中間件”為用戶業(yè)務(wù)系統(tǒng)提供可“按需定制的安全防護服務(wù)”,實際應(yīng)用效果良好,即可以貼身保護用戶業(yè)務(wù)系統(tǒng)的安全,又由于“內(nèi)建式安全”實現(xiàn)無感知安全防護獲得良好用戶體驗。安全中間件的產(chǎn)品形態(tài)及相關(guān)服務(wù),將可以大大推動信息化建設(shè)“一體雙翼”理念的落地,實現(xiàn)網(wǎng)絡(luò)安全與信息化的天然緊密耦合。
“一體雙翼”的提法切中了目前網(wǎng)絡(luò)安全與信息化的要害矛盾,但要具體落實,必須轉(zhuǎn)變信息安全建設(shè)思路,安全部門和業(yè)務(wù)部門必須緊密配合,采用從前到后緊密偶爾的方式來進行運作,才能最終取得成效。