海鼎,助您成就梦想!

构建完整的企业信息安全体系

2014年01月04日

评论数(0)

一、信息安全三大问题

 

所谓企业信息系统的安全问题,通俗地说就是“如何使得正确的人在正确的时机做正确的事?”这个问题又可以进一步分解为以下三个问题:

问题一:如何确定是正确的用户?

问题二:如何确保用户只做被允许的事情?

问题三:如何知道用户做了正确的事?

问题一被称为“认证问题”,即如何确定当前使用信息系统的用户的身份是合法的。大多数的企业应用功能都要求只对具有合法身份的用户开放,这也是为什么绝大多数的企业应用都要求先登录系统再使用。最常见的认证授权就是通过设置用户登录密码,看似简单的用户密码本身就可能存在大量的安全隐患。例如:用户所设密码强度的问题;密码在数据库中的加密形式;密码在传输过程中如何防止窃听;设置密码重试/锁定机制防止密码暴力破解,等等。除了密码以外,还可以采取其它认证手段,例如令牌认证、指纹认证、短信认证甚至面部识别。也可以综合采用上述认证手段。此外登录只是一种最常见的需要进行认证的场景,在一些企业应用中,例如“向储值卡存钱”,可能还需要进一步的认证。

问题二被称为“授权问题”。一家大型企业的系统管理员有可能每天都要花大量的时间在进行与授权有关的操作。受到两个方面因素的影响:一方面企业员工的数量可能会发展成为一个庞大的数量,其中还要考虑员工的离职与招聘,进而伴随企业的组织机构的复杂化,在加上日常的人事变动;另一方面复杂的企业信息系统,也意味着更多需要授权的功能点。随着企业规模的变大,与信息化建设的深入,这两个因素增长的叠加效应,将更加使得这项工作的工作量大大增加。庞大的工作量本身就意味着巨大的安全隐患,毕竟做得越多,出错的可能性越大。

问题三被称为“审计问题”。当上述所有保护机制都失效的情况下,这将是安全的最后一道保障(同时这也往往是最被忽视的一个问题)。这是一种事后手段,即对所有信息系统中发生的事件进行记录,以便当需要的时候,可以通过对审计日志进行分析,再现当时的操作情景。

上述三个问题的解决方案共同构建起企业的信息安全框架。

看到这里有些读者可能会想,目前绝大多数企业信息系统都已经具备了上述功能,难道还不够吗?我们的回答是“不够”,问题出在几乎每个信息系统都包含了上述功能。而我们又该如何建立起面向整个企业的信息安全框架?

二、建立统一安全平台

 

认证、授权与审计构成了企业信息系统安全的三个方面,虽然绝大多数企业信息系统或多或少都已经包含有上述功能,然而问题恰恰就出在几乎所有的信息都自己搞一套。

先来看一个真实案例,出于隐私考虑这里故意隐去了可能让人联想到具体企业的有关信息:某商业企业的企划部门一段时间以来,始终很奇怪,他们在当地的一家竞争对手企业,总能在他们推出某项促销政策前,及时地推出针对性的促销。给这家企业在经营上带来了极大的被动,但苦于一直找不到证据。在半年时间内采用了多项保密措施,并对相关人员进行排查,问题始终存在。直到有一天,信息主管突然想到,一年前曾经有过一次企业内部论坛系统的部分数据被泄露,由于系统并不涉及重要的经营数据,因此当时并未引起特别的重视,只是针对问题对系统进行一次升级改造。但此时回想泄露的数据中包括用户数据表,很不幸地是其中用户密码是以明码方式存储的。想到这点后,这位信息主管立即要求所有相关人员修改密码,并且规定禁止与老密码相同。果然一段时间后企划部门再也没有报告类似情况的发生,由此就证实了这位信息主管的猜想:虽然内部论坛系统独立于负责核心的进销存系统,但人们通常会在多个信息系统之间采用完全相同的密码,竞争对手一定是在获取到部分用户的密码后,利用这一点直接进入到进销存系统对资料进行窃取的。

上述案例的“作案手法”看似没有任何技术含量,然而对于同时使用了多套信息系统的企业而言,想要真正杜绝变得十分困难。原因是这个漏洞来自于人的惰性。现代社会每个人都需要记忆大量的密码,通常人们的做法是将每个帐户的密码设成相同的。而且有时还使用非常容易被猜测的密码,例如生日或电话号码,非常容易被破解。那么就意味着一旦其中一个帐号的密码被泄露,所有的帐号的密码被泄露。对整个社会是这样,对于企业而言也是如此,企业内的多套应用系统中任何一个存在类似的安全漏洞,将很可能会波及到整个企业信息系统。真是“千里之堤,毁于蚁穴”。

因此我们想到为企业搭建统一的安全平台。将企业所有的应用与该平台进行软件层面的集成,将所有的上述安全领域问题统一交由该平台负责处理。

还是刚才的案例,接下来看看加入有了统一的安全平台会怎样。由于这家企业采用的统一的安全平台,所有安全数据被集中在了该平台上,也就是说各个相关业务系统中不再需要保存相关安全数据。对于内部论坛系统而言也是如此,因此即便该系统的数据库被破解,完全不用担心用户数据因此泄露。时间回到一年前,发生了内部论坛系统数据库泄露事件,系统管理员感觉到了威胁,认为一些企业员工的密码过于简单,容易被破解。决定要求所有用户重新设置密码,并规定新密码的加密强度。同时对于部分关键岗位人员决定采用密码+令牌双重认证方式。由于已经建立了统一的安全平台,以上操作只需要在该系统中即可完成,而且对于每个企业员工也只需要修改一次密码,即可对所有应用系统同时生效。

由此可见“统一本身就是一种安全”。至此有人可能会提出质疑,如果这个安全平台被破解,岂不是一样非常危险。事实上,当有了它后,我们完全可以通过加强该系统的安全性,从而提升整体信息系统的安全性。而且从社会分工的角度看,应该将专业的事情交给最专业的团队,毕竟不可能各个应用系统的开发团队在信息安全领域是最专业的。而且刚才的案例也证明了,往往信息系统整体安全性并不取决于最安全的哪一个,而取决于最不安全的哪一个。统一安全平台产品的诞生正是为了打破这一企业信息安全的困局。

三、海鼎解决方案——HEADING® IA™ 5

 

HEADING® IA™ 5(简称HDIA5)被设计为一个面向企业应用的通用的、可伸缩的、开放的和统一的企业信息安全管理平台。其产品名“IA”来自于“Integrated Authentication, Authorization and Audit Platform”,从字面意义上理解就是“集成认证、授权与审计平台”。

上一节所举的案例主要涉及了信息安全三大领域中的认证领域,而事实上在另外两个领域中也存在类似的问题,限于篇幅这里不再赘述。我们可以从以下产品设计目标中有所了解:

(一)提供完整的覆盖企业应用安全的三大领域(认证、授权和审计)的解决方案,帮助企业建立起完整的企业安全体系。

(二)提供统一的安全管理数据库。

将所有安全数据进行集中管理,改变以往分散在各个应用系统中并与业务数据混合的状况,从而为安全数据库构建专门的安全策略提供可能。

(三)具备向所有来自不同软件厂商、不同开发平台的软件产品提供安全服务的能力。

以开放服务接口的方式面向所有企业应用提供安全服务,允许应用软件通过上述接口实现与HDIA平台的集成。所开放的服务接口采用已经被广泛采用,且跨平台的REST + JSON方式。

(四)具备提供全企业应用系统一致性的安全保障特性。

当将所有企业应用都与HDIA集成后,企业的安全保障得以统一,从而实现加强一个点的安全性,即可对整个企业信息系统生效。从而改变必须依赖各个应用的软件厂商的现状。

(五)提供统一安全管理界面,使得可以同时对多个应用系统进行授权等安全相关操作,降低系统管理员的工作负荷。

系统管理员不再需要分别进入每个应用系统,进行创建用户和分配权限的工作,只需要登录HDIA即可实现多数情况下的上述目标。从而降低系统管理员的工作负荷,进而降低由于操作繁琐导致出现安全风险的可能。

(六)提供选择并允许扩展新的安全策略,以提高系统的安全保障级别。

(七)无论有多少的应用系统,用户都只需要记忆一个登录口令。

(八)集成的单点登录系统,一次登录多点使用。

HDIA 5既然被称为“统一平台”,那么需要与其直接交互的除了提供系统管理员进行维护的界面外,还需要与所有相关的各种企业信息系统进行交互。因此在实施过程中一个必不可少的工作,就是需要对现有的企业信息系统进行改造,这个过程被称为“软件集成”。因此作为决策者需要将由此导致的成本计算在内。

幸运地是HDIA 5本身就是面向服务架构(SOA)思想的产物,对外开放服务接口,并提供了充分的文档,以帮助各信息系统开发人员完成相关改造,从而轻松打造完全适用于企业的完整的信息安全体系。

 

文章为作者独立观点,不代表联商专栏立场。

联商专栏原创文章由作者授权发表,转载须经作者同意,并同时注明来源:联商专栏+海鼎。