信息安全是一个系统工程，信息存储、数据传输、用户行动、网络基础设施、业务利用方方面面都贯穿了安全的细胞。对企业的IT职员来说，要想把握好信息安全的命脉，就必需从概念到实践把握其间的接洽。

　　无独占偶，近日美国《Network World》根据其多年的经验，总结出了做信息安全最轻易疏忽的若干标题。记者发明，其中很多内容和国内用户与厂商在技巧实行、利用安排中的经验类似。为此，记者也联络了国内的大型用户和安全厂商，从五慷慨面总结了企业建设信息安全的重点要素，以飨读者。

　　第一招：断定安全架构

　　安全架构是信息安全最重要的蓝图，位列“五尽”之首。往大了说，它断定了企业的总体安全观与各项规章;往小了看，则包含了对存储、传输、边界、子网、用户行动的治理。

　　什么是安全架构

　　记者留心到美国《Network World》总结了过往25年间对信息安全的调查报告，其中有一个现象非常有趣：在25年的时间里，大批的企业开展了对安全的关注、投进、资源配置、培训，甚至是开展了相干的认证。但非常不幸，越来越多的企业IT主管表现，天天接触到的IT安全被侵害的现象逐渐增多。

　　“标题在于，面对同一的且有组织的IT要挟，大部分企业缺乏一个广泛的IT安全架构来应对。”新华人寿的IT经理谈到此标题的时候，感悟颇多。“安全的实行与企业在不同时代的关重视点有关，企业成长阶段，其IT核心在于保证业务的发展，因此安全必定是处于二线地位。而当企业成熟以后，需要对IT与业务进行整合，在这个过程中，安全的重要性才会凸显。”

　　换句话说，一个企业不仅业务上经历了由小变大的过程，IT安全同样会遵守这样的过程，因此建立一个好的IT安全架构，就是企业走向成熟的标记。

　　“一个架构代表了一个蓝图，它涵盖了在IT环境中的资源最佳配置与安排，并且其重要目标，就是支撑企业的业务运作。相应的，一个安全架构是一种计划，它描写了安全服务作为一个系统，帮助企业满足需求的过程。”

　　事实上，记者曾经见到过IBM公司的策略与架构部分给国内用户计划过相干的安全架构，他们的分析师曾流露，安全架构的设计原理就是请求贯彻一整套安全服务，并且这种服务的各种行动(包含性能)，都是为了往处理针对企业IT环境的各种要挟。

　　实行的必要条件

　　一套行之有效的安全架构，可以帮助企业以一种高效的方法应对安全挑衅。不过相应的，企业需要考虑以下两点因素：

　　第一，安全架构必需全面。

　　早在2年前，光大银行的一位IT负责人就向记者流露过，银行业对于IT安全的器重，并非与生俱来。他们一样经历了从无到有，经历了一个相当相当漫长时代的业务发展与技巧支撑过程。在这个复杂的过程中，经历了对金融机构各个环节的安全修补与技巧考虑，慢慢才形成了今天的接近完整的IT安全架构。

　　同样的道理，美国《Network World》的安全编纂在论述此标题的时候，着重夸张了安全架构的全面性，甚至他们将企业治理、通信、IT、无线电、员工行动和其他一些自然因素都回结到其中。

　　显然，IT硬件、网络组件都必需安全。当然，所有的软件同样必需是安全的，并且企业的员工也都是可以信任的。要知道，根据IDC持续两年的统计，70%(甚至更多)的安全风险都是起源于企业内部。

　　第二，配套的政策规章。

　　“政策规章”并非是一个中国特点，它在外企通常被说明为“企业政策阐明书”，它描写了如何实现和保持一个安全架构。之所以把“政策”摆在“规章”的前面，就是由于即便在合适的处所、有合适的安全架构，仍然会存在政策性失败的风险。

　　需要指出的是，配套完善的政策规章不仅仅是一个企业的内部制度，有些时候，它还必需包含一系列的技巧概念。由于很多技巧层次上的东西，只有与企业制度相接洽，才可以真准确保安全。

　　记者的见解是，对于技巧与规章的联合，美国同行的确比我们高超一些。举例来说，很多美国IT职员认为，一个强健的安全架构必需以多重边界保护的概念为基础，但同时必需表现出在相干企业中权利划分的思路。说实话，这种思路非常狡猾，不仅仅是由于它分层次的架构，更多是由于分层具备了在权利定义上的上风和企业业务上的不重叠。

　　安全架构七个区域

　　事实上，很多企业今天不得不处理大批的IT环境标题，特别是大批增加的与外部供应商和贸易合作伙伴的通信接洽。每一种环境都需要自己的安全方向，且每一种环境都需要不同的保护方法。

　　典范的，企业中将会存在非安全区域、半安全区域和全安全区域。对此，深佩服的安全负责人叶宜斌向记者表现，一个尺度的安全架构包含了：信息存储----文档、各种数据的生产与治理;数据传输----将数据进行各种加密后传输;用户行动----用户上网的记录，可以与禁止拜访的资源等;网络基础设施----物理的与运行上的安全;业务利用----各种终端利用中的安全审计与实现。

　　遗憾的是，目前国内还没有哪家安全厂商，可以将以上尺度的各个层面打包成同一的解决计划推荐给用户。事实上，有七成左右的用户还是把精力重要放在信息从内到外的连接安全上。不过荣幸地是，这些内容看起来复杂，但还是能够被组织起来，并且被定义、配置为更深层次的六大区域。

　　区域一:保护实物质产和网络通信

　　假如埋伏的进侵者有才能往把持一些物理设备或者截取一些信号，那么再怎么多的防火墙、代理服务器或者安全认证机制，都无法保护企业的信息安全。企业局域网、PC和无线设备(不安全的热点、家庭中没有启用加密的无线路由器、某些无线电话、蓝牙设备)都是一些可以被劫取信息的设备。

　　区域二:保护拜访

　　在这层安全区域中，基础的信任关系与拜访权限都要被验证，并且经常会需要供给一个类似仲裁的功效。其中，很多企业选择建设信任仓库。由于信任仓库可以与企业的中心AD(目录服务)联合在一起，从而实现单点登陆。

　　叶宜宾认为，这种模式结构了一个更加安全的区域，它超出了防火墙的DMZ和通过代理服务器拜访的模式。企业的IPS可以运行在这个环境中，以便处理可能产生的进侵。

　　区域三: 保护内部数据存储

　　该区域贯彻了深度防御原则，并且比起前面的区域来说，通过大批应用防火墙和安全网关增加了更多的保护。安全认证功效发明了一些内部安全空间，这些空间中存放着公司敏感记录、数据库、目录服务、信任/身份认证治理仓库，以及一些其他的受到保护的材料。IDS或者IPS也可以在这个环境中运行，以便处理可能的进侵行动。

　　区域四:保护利用

　　大批的企业级利用拥有其自身的利用级安全功效。然而，这些利用不能复制信任/认证治理仓库，只能依附一个集中的企业目录服务。

　　区域五:保护把持系统

　　重要的把持系统拥有其自身的安全功效来保护中间件，包含各种微码和EXE程序。不过，很多进侵都与把持系统的漏洞有关，这点需要国内企业的IT职员留心，由于很多中文版把持系统的安全系统补丁都会比英文版慢上一段时间。

感谢 的投稿 本文仅代表作者观点，与楚天站长站立场无关。