安全增值服務(wù)成為電信增值業(yè)務(wù)新機(jī)會
RSA大中華區(qū)高級信息安全系統(tǒng)構(gòu)架師 司馬麗維 2009/12/02
這些年來�,運(yùn)營商IDC(Internet Data Center�����,互聯(lián)網(wǎng)數(shù)據(jù)中心)不只停留在傳統(tǒng)業(yè)務(wù)層面,其走向?qū)I(yè)化與服務(wù)化���,開展更多增值服務(wù)成為發(fā)展趨勢�。從過去傳統(tǒng)的主機(jī)托管到虛擬主機(jī)����、搭建企業(yè)專線局域網(wǎng)����,再到涉及網(wǎng)絡(luò)安全的硬件防火墻、網(wǎng)絡(luò)入侵檢測等增值業(yè)務(wù)不斷出現(xiàn)���。RSA認(rèn)為�,運(yùn)營商IDC通過對不同數(shù)據(jù)在不同發(fā)展階段的管理��,可以進(jìn)一步向客戶提供更細(xì)化的安全增值業(yè)務(wù)��。終端業(yè)務(wù)同樣如此�,3G時(shí)代手機(jī)將不再是簡單的溝通工具,諸如在線交易型業(yè)務(wù)對身份認(rèn)證的迫切需求同樣蘊(yùn)藏諸多商機(jī)�����。
相關(guān)數(shù)據(jù)顯示,運(yùn)營商IDC在主機(jī)托管的業(yè)務(wù)比例下滑嚴(yán)重�,但增值業(yè)務(wù)比例顯著增長,具體包括數(shù)據(jù)存儲備份���、網(wǎng)絡(luò)安全服務(wù)�����、代維服務(wù)等���。從全球增值服務(wù)市場來看,安全增值服務(wù)的份額正在不斷增長�,其范疇主要包括九方面,分別是:內(nèi)容安全服務(wù)�����、實(shí)時(shí)監(jiān)控服務(wù)���、防火墻服務(wù)���、企業(yè)恢復(fù)服務(wù)、郵件安全服務(wù)��、存儲安全服務(wù)、防DDOS服務(wù)���、入侵檢測服務(wù)�����、安全認(rèn)證服務(wù)���。實(shí)際上,安全增值服務(wù)領(lǐng)域還可以繼續(xù)拓展�,作為全業(yè)務(wù)運(yùn)營的電信運(yùn)營商來講���,除了企業(yè)內(nèi)部信息安全管理的需求之外���,電信運(yùn)營商在提供安全增值服務(wù)方面蘊(yùn)藏?zé)o限商機(jī),越來越受到關(guān)注���。
從數(shù)據(jù)中心的角度或者說主機(jī)托管的角度來看��,所有的信息安全隱患在IT領(lǐng)域要分成三方面�����。第一��,數(shù)據(jù)完整性保護(hù)��,知道哪些數(shù)據(jù)是敏感的��,這些數(shù)據(jù)放在了什么地方�。第二,認(rèn)證及身份管理�����,數(shù)據(jù)分析之后���,對數(shù)據(jù)進(jìn)行各種各樣的保護(hù)措施�����。第三��,監(jiān)控���、報(bào)告、審計(jì),滿足法規(guī)遵從及優(yōu)化運(yùn)營�����。
這里����,我主要以數(shù)據(jù)完整性保護(hù)、認(rèn)證與身份管理�����、信息監(jiān)控與報(bào)告三方面為中心��,圍繞運(yùn)營商IDC如何提供安全增值業(yè)務(wù)方面做了詳細(xì)的介紹�����。
電信安全增值業(yè)務(wù)之一:數(shù)據(jù)完整性保護(hù)
有關(guān)數(shù)據(jù)發(fā)現(xiàn)和完整性保護(hù)主要分成三個步驟����。首先是數(shù)據(jù)分類����。可以從需求分析、資產(chǎn)分析�����、漏洞分析等方面進(jìn)行��,最后從信息的機(jī)密性���、可用性�����、完整性來確定不同級別����。這里��,數(shù)據(jù)分類非常重要�����,在這個信息風(fēng)險(xiǎn)保護(hù)過程中�,50%的工作都是在對數(shù)據(jù)分類,RSA就有專業(yè)的團(tuán)隊(duì)做數(shù)據(jù)分析方面的工作�����。
在數(shù)據(jù)的完整性保護(hù)方面,運(yùn)營商IDC可以向其金融����、政府、交通等行業(yè)客戶提供更有針對性的安全增值服務(wù)����。比如通過數(shù)據(jù)分類,運(yùn)營商IDC可以讓客戶清楚的了解到企業(yè)信息的重要級別和流向��,以此提供不同級別的安全服務(wù)����。并且通過對數(shù)據(jù)的發(fā)現(xiàn),IDC可向客戶提供更細(xì)化的信息管理服務(wù)��,比如用戶證件號碼����、企業(yè)戰(zhàn)略藍(lán)圖����、企業(yè)知識產(chǎn)權(quán)等方面的信息。
圖1 在數(shù)據(jù)中心、網(wǎng)絡(luò)���、終端實(shí)現(xiàn)數(shù)據(jù)控制
在數(shù)據(jù)發(fā)現(xiàn)的過程中�����,是按照不同的策略來發(fā)現(xiàn)敏感級別不同的數(shù)據(jù)��,分類的信息都可以在RSA產(chǎn)品里面進(jìn)行定義�����。這方面需要精確的匹配技術(shù)��,RSA在敏感信息的精確匹配方面在業(yè)界有很好的評價(jià)���。最后是對數(shù)據(jù)的控制,比如����,運(yùn)營商IDC可將重要且敏感的信息放到最安全的地方并進(jìn)行加密;在網(wǎng)絡(luò)層對不該傳出的信息做攔截�����;在后臺進(jìn)行日志管理及審計(jì)等。
電信安全增值業(yè)務(wù)之二:統(tǒng)一認(rèn)證及身份管理
渠道代理商對運(yùn)營商核心業(yè)務(wù)系統(tǒng)的接入����,一直是安全事件頻發(fā)的環(huán)節(jié)。由于往往采用VPN接入方式��,將服務(wù)器暴露在公網(wǎng)上��,社會渠道網(wǎng)點(diǎn)感染的病毒很容易進(jìn)入信息中心的內(nèi)網(wǎng)���,給運(yùn)營商帶來巨大安全隱患��。中國某省電信運(yùn)營商很早就采用了RSA
SeurID強(qiáng)認(rèn)證解決方案及RSA SecurID令牌為其虛擬專用網(wǎng)(簡稱VPN)提供安全認(rèn)證保護(hù)���。
有關(guān)用戶身份保護(hù)可分為三級,首先是基本身份認(rèn)證��,如RSA令牌��,也稱作雙因素強(qiáng)身份認(rèn)證����。其次是基于風(fēng)險(xiǎn)的認(rèn)證。根據(jù)用戶活動風(fēng)險(xiǎn)的不同增加認(rèn)證機(jī)制��。最后是用戶身份欺詐防范服務(wù)��。在身份認(rèn)證及網(wǎng)絡(luò)防欺詐方面�,RSA擁有全球最大的防欺詐網(wǎng)絡(luò),有幾百個防欺詐專家每天都在研究和提供防欺詐的技術(shù)和手段�����,包括最快速地識別���、阻止����、取證分析����、及關(guān)閉欺詐攻擊。
原有的分散賬號����、靜態(tài)口令等模式的身份管理不再能夠滿足電信業(yè)務(wù)發(fā)展要求。電信運(yùn)營商需要統(tǒng)一的安全認(rèn)證平臺�,該平臺不僅可以滿足自身業(yè)務(wù)發(fā)展需求,還能向用戶及合作伙伴提供認(rèn)證服務(wù)����。借助統(tǒng)一認(rèn)證平臺��,電信運(yùn)營商可以向MSS(管理支撐系統(tǒng))用戶�����、BOSS(業(yè)務(wù)運(yùn)營支撐系統(tǒng))用戶����、系統(tǒng)(主機(jī)��、網(wǎng)絡(luò)�����、數(shù)據(jù)庫)用戶��、ADSL用戶��,以及基于Web
Portal的用戶提供認(rèn)證服務(wù)��;還可以向金融�、媒體、政務(wù)等行業(yè)客戶提供相關(guān)業(yè)務(wù)認(rèn)證服務(wù)。
目前�,國內(nèi)真正做成統(tǒng)一認(rèn)證平臺的行業(yè)不多,但電信運(yùn)營商卻有著獨(dú)特的網(wǎng)絡(luò)���、用戶����、品牌等優(yōu)勢��。RSA能夠助力運(yùn)營商建立統(tǒng)一的認(rèn)證平臺���,不管是針對系統(tǒng)層的認(rèn)證,比如針對主機(jī)��、路由器�、防火墻的認(rèn)證;還是在線用戶的認(rèn)證�����;以及基于應(yīng)用的認(rèn)證都可以在RSA認(rèn)證平臺里面進(jìn)行�����。
圖2風(fēng)險(xiǎn)管理中的統(tǒng)一認(rèn)證平臺
與傳統(tǒng)的安全認(rèn)證平臺相比����,RSA統(tǒng)一認(rèn)證平臺最大的不同在于底層平臺是“自適應(yīng)風(fēng)險(xiǎn)引擎”�����,這意味著即使某個用戶的身份被盜用了����,還可以根據(jù)用戶本身的活動行為及信息做進(jìn)一步的判斷和認(rèn)證�����。假如一個ADSL用戶進(jìn)入到系統(tǒng)里面�����,RSA可以在第一時(shí)間里做出判斷����,如果這個用戶的IP地址來自于RSA防欺詐網(wǎng)絡(luò)黑名單上的地址,這個時(shí)候即使用戶名和口令都是正確的����,RSA仍將進(jìn)一步對該用戶進(jìn)行其它認(rèn)證。
電信安全增值業(yè)務(wù)之三:監(jiān)控、報(bào)告��、審計(jì)
作為運(yùn)營商IDC安全服務(wù)體系的一部分��,通過對信息的監(jiān)控����、報(bào)告、審計(jì)�����,IDC同樣可以向客戶提供細(xì)化的增值服務(wù)���。比如可以對客戶信息系統(tǒng)中關(guān)鍵資產(chǎn)、網(wǎng)絡(luò)邊界設(shè)備��、以及邊界安全防御設(shè)備提供重點(diǎn)監(jiān)控���;還可以定期對信息系統(tǒng)中的關(guān)鍵資產(chǎn)進(jìn)行單獨(dú)審計(jì)并提供獨(dú)立的審計(jì)報(bào)告���。客戶通過購買這些統(tǒng)計(jì)報(bào)告���,從而更好的了解自身系統(tǒng)現(xiàn)狀���,更有效地應(yīng)對安全挑戰(zhàn)����。
從運(yùn)營商內(nèi)容需求看����,對信息的監(jiān)控、報(bào)告��、審計(jì)�,可以有效簡化IT審計(jì)和法規(guī)遵從,并提高信息安全級別�,以及優(yōu)化IT系統(tǒng)及網(wǎng)絡(luò)運(yùn)維。電信運(yùn)營商應(yīng)對國內(nèi)外法規(guī)遵從的需求不斷增長����,如國內(nèi)的內(nèi)控法案,國際的薩班斯法案����。這些法案往往會給企業(yè)帶來重復(fù)的投入或負(fù)擔(dān),RSA
enVision可以大大減輕企業(yè)在法規(guī)遵從方面的投入�,該平臺把國際上常見的審計(jì)法案都已經(jīng)內(nèi)置里面����,它可以自動地做審計(jì)���,不需要再手工地搜集審計(jì)證據(jù)�。
圖3 數(shù)據(jù)監(jiān)控��、報(bào)告�、審計(jì)的目標(biāo)
通過RSA enVision平臺的統(tǒng)一管理,整個IT系統(tǒng)的運(yùn)行狀況都可以一目了然����?梢钥吹秸麄基礎(chǔ)架構(gòu)的風(fēng)險(xiǎn)管理做到了什么地步�����,網(wǎng)絡(luò)層發(fā)生了什么事故����,服務(wù)器出現(xiàn)了哪些病毒等�。并且這一切都是自動化實(shí)現(xiàn)。
實(shí)例:Telus電信受益于完整安全體系的解決方案
通信企業(yè)應(yīng)該將信息風(fēng)險(xiǎn)管理的投入與業(yè)務(wù)相結(jié)合���。這方面Telus的成功經(jīng)驗(yàn)值得分享���。Telus是加拿大電信三巨頭之一�,為客戶提供完整的電信產(chǎn)品和服務(wù)�,包括覆蓋整個加拿大的數(shù)據(jù)、聲訊和無線服務(wù)���。為了滿足所有合規(guī)性要求����,并同時(shí)把信息安全做好的情況下����,Telus認(rèn)識到需要一個完整的、體系化的安全解決方案�。
首先,Telus像所有電信運(yùn)營商一樣�,企業(yè)本身面對著很多信息安全隱患;其次�����,作為規(guī)模較大的電信運(yùn)營商����,Telus需要滿足合規(guī)性的要求��,比如薩班斯法案�,以及北美其它的法規(guī)要求�。再次,Telus有很多的安全增值服務(wù)或外包服務(wù)��,同樣需要信息風(fēng)險(xiǎn)管理�����。RSA以信息風(fēng)險(xiǎn)為基礎(chǔ)的整套管理體系符合Telus上述所需�,包括各種法案法規(guī)的遵從;企業(yè)的全部信息的保護(hù)��;所有信息的監(jiān)控和報(bào)告���;信息的加密&密鑰管理;信息訪問的認(rèn)證及授權(quán)��;信息的訪問控制�����;數(shù)據(jù)發(fā)現(xiàn)及完整性保護(hù)。
Telus電信通過實(shí)施RSA整套風(fēng)險(xiǎn)管理體系��,可以發(fā)現(xiàn)敏感信息在哪里��,誰訪問了這些數(shù)據(jù)��,數(shù)據(jù)流向哪里, 風(fēng)險(xiǎn)在何時(shí)出現(xiàn), 如何控制并降低這些風(fēng)險(xiǎn)��。Telus
不只是從產(chǎn)品層面出發(fā)選擇安全產(chǎn)品�,而是選擇通過整套平臺實(shí)現(xiàn)信息管理和法規(guī)遵從。RSA風(fēng)險(xiǎn)管理體系幫助Telus實(shí)現(xiàn)了四個風(fēng)險(xiǎn)管理的目標(biāo)����,分別是定義敏感信息,進(jìn)行數(shù)據(jù)分類����;通過ISO27000框架建立一套安全體系;進(jìn)行數(shù)據(jù)風(fēng)險(xiǎn)評估�,對敏感信息做終端層、網(wǎng)絡(luò)層和數(shù)據(jù)中心層的保護(hù)�;最后通過應(yīng)用RSA
DLP和enVision等產(chǎn)品實(shí)現(xiàn)風(fēng)險(xiǎn)控制。
正如RSA全球總裁亞瑟·科維洛曾經(jīng)說過的:“電信業(yè)是一個特殊的行業(yè)���,不僅是RSA的客戶同時(shí)還是合作伙伴�����,這意味著信息風(fēng)險(xiǎn)管理將與電信業(yè)務(wù)進(jìn)一步融合�。”
希望�����,安全增值業(yè)務(wù)也能為電信運(yùn)營商帶來新的商機(jī)��,RSA愿意與國內(nèi)的電信運(yùn)營商深入探討����,并為電信運(yùn)營商助一臂之力。
中國信息產(chǎn)業(yè)網(wǎng)(www.cnii.com.cn)
相關(guān)閱讀: