王志海 发表于:14年03月05日 16:18 [原创] DOIT.com.cn
通过掌上DOIT移动客户端可以订阅科技专栏,第一时间获得知名专家和业界领袖的深度剖析与趋势分析。本文作者:王志海先生系北京明朝万达科技有限公司董事长,专注于密码学应用及数据安全领域,致力拓展密码学技术在计算机、移动信息化、云计算和各种业务系统中的数据安全应用。
DOIT专栏文章 中央网络安全与信息化领导小组日前成立,习近平组长提出“网络安全与信息化是一体之双翼”,将安全与信息化提到同等重要的高度上。那么在大型政企信息化建设工作中,如何有效落实“一体双翼”,真正达到“安全”与“信息化”齐头并进的效果,借助明朝万达在数据安全和移动安全领域多年为客户服务的经验,这里有几个建议可供企业级用户参考与讨论。
一、落实信息化系统建设时“业务”与“安全”同步推进
目前,不少管理规范的单位已经要求在信息化系统建设时同步进行安全规划与设计,但是往往也就止步于此,在随后的详细设计及开发环节就开始“分道扬镳”,从而导致信息系统的安全性与最初的规划设计风牛马不相及,要不就是亡羊补牢市场上随便找些安全产品补补“漏洞”,最终结果是安全规划设计形同虚设。改变该现状的有效办法是必须在详细设计及开发环节也要保持“安全”与“业务”的同步,将安全与应用在代码级实现接口,并建立紧密相关的联动机制,从而迫使两者同步推进。
二、针对每个业务系统进行“定制化”的安全设计
遍观现在的业务系统方案关于安全设计部分,基本上是大同小异,其核心都是依据国家相关政策法规,划几个安全域,堆放上一些安全产品即可,与业务系统可谓“离心离德”。要实现“一体双翼”落地,必须改变目前对信息化安全的设计思路,将安全作为重要子系统嵌入到具体的业务系统流程中,即“内建安全(Build Security In)”,这样既可以打破目前不符合信息流通需求的“安全域”限制提高“安全应用系统”的易用性,也有利于实现安全与业务的紧密相关落实“一体双翼”。
三、建立“一系统双平台”的信息化管理机制
安全与业务发展同等重要的情况下,有必要改变目前一个业务系统一个管理平台的机制,应该将安全作为信息化的另外一维独立显性独立出来。具体做法就是在一个信息化系统设计之时,即建立两个管理平台:业务管理平台和安全管理平台,在运维时分属业务部门管理和安全部门管理,各自可以从不同的角度监控整个信息化系统的运行状态。当然,安全管理平台要遵从上述的“内建”方式,真正嵌入到信息化系统中才能起到效果。
四、大力推动信息安全中间件形态的产品研发服务模式
传统信息安全产业,大都以固定产品和相关服务的形式推送给用户,安全产品与业务系统泾渭分明,不但安全防护效果打折扣,而且易用性及效率也难以让用户满意。明朝万达在两年前就发现该问题,并陆续推出了“数据安全中间件”和“移动安全中间件”为用户业务系统提供可“按需定制的安全防护服务”,实际应用效果良好,即可以贴身保护用户业务系统的安全,又由于“内建式安全”实现无感知安全防护获得良好用户体验。安全中间件的产品形态及相关服务,将可以大大推动信息化建设“一体双翼”理念的落地,实现网络安全与信息化的天然紧密耦合。
“一体双翼”的提法切中了目前网络安全与信息化的要害矛盾,但要具体落实,必须转变信息安全建设思路,安全部门和业务部门必须紧密配合,采用从前到后紧密偶尔的方式来进行运作,才能最终取得成效。