安全增值服務成為電信增值業(yè)務新機會
RSA大中華區(qū)高級信息安全系統構架師 司馬麗維 2009/12/02
這些年來����,運營商IDC(Internet Data Center����,互聯網數據中心)不只停留在傳統業(yè)務層面���,其走向專業(yè)化與服務化��,開展更多增值服務成為發(fā)展趨勢���。從過去傳統的主機托管到虛擬主機、搭建企業(yè)專線局域網����,再到涉及網絡安全的硬件防火墻、網絡入侵檢測等增值業(yè)務不斷出現���。RSA認為�����,運營商IDC通過對不同數據在不同發(fā)展階段的管理,可以進一步向客戶提供更細化的安全增值業(yè)務��。終端業(yè)務同樣如此�����,3G時代手機將不再是簡單的溝通工具�,諸如在線交易型業(yè)務對身份認證的迫切需求同樣蘊藏諸多商機��。
相關數據顯示�,運營商IDC在主機托管的業(yè)務比例下滑嚴重�,但增值業(yè)務比例顯著增長,具體包括數據存儲備份�、網絡安全服務、代維服務等�����。從全球增值服務市場來看�����,安全增值服務的份額正在不斷增長����,其范疇主要包括九方面,分別是:內容安全服務����、實時監(jiān)控服務、防火墻服務��、企業(yè)恢復服務、郵件安全服務����、存儲安全服務、防DDOS服務���、入侵檢測服務�、安全認證服務��。實際上�,安全增值服務領域還可以繼續(xù)拓展,作為全業(yè)務運營的電信運營商來講����,除了企業(yè)內部信息安全管理的需求之外,電信運營商在提供安全增值服務方面蘊藏無限商機�,越來越受到關注。
從數據中心的角度或者說主機托管的角度來看�����,所有的信息安全隱患在IT領域要分成三方面����。第一,數據完整性保護�����,知道哪些數據是敏感的�����,這些數據放在了什么地方���。第二��,認證及身份管理��,數據分析之后�,對數據進行各種各樣的保護措施��。第三��,監(jiān)控�、報告、審計�,滿足法規(guī)遵從及優(yōu)化運營。
這里����,我主要以數據完整性保護���、認證與身份管理、信息監(jiān)控與報告三方面為中心���,圍繞運營商IDC如何提供安全增值業(yè)務方面做了詳細的介紹����。
電信安全增值業(yè)務之一:數據完整性保護
有關數據發(fā)現和完整性保護主要分成三個步驟��。首先是數據分類�����?梢詮男枨蠓治�、資產分析�����、漏洞分析等方面進行�,最后從信息的機密性、可用性����、完整性來確定不同級別。這里���,數據分類非常重要�����,在這個信息風險保護過程中�����,50%的工作都是在對數據分類�����,RSA就有專業(yè)的團隊做數據分析方面的工作�。
在數據的完整性保護方面����,運營商IDC可以向其金融、政府�����、交通等行業(yè)客戶提供更有針對性的安全增值服務。比如通過數據分類�,運營商IDC可以讓客戶清楚的了解到企業(yè)信息的重要級別和流向,以此提供不同級別的安全服務�����。并且通過對數據的發(fā)現�,IDC可向客戶提供更細化的信息管理服務,比如用戶證件號碼���、企業(yè)戰(zhàn)略藍圖�、企業(yè)知識產權等方面的信息����。
圖1 在數據中心、網絡���、終端實現數據控制
在數據發(fā)現的過程中����,是按照不同的策略來發(fā)現敏感級別不同的數據�,分類的信息都可以在RSA產品里面進行定義。這方面需要精確的匹配技術�,RSA在敏感信息的精確匹配方面在業(yè)界有很好的評價���。最后是對數據的控制�����,比如��,運營商IDC可將重要且敏感的信息放到最安全的地方并進行加密�����;在網絡層對不該傳出的信息做攔截���;在后臺進行日志管理及審計等���。
電信安全增值業(yè)務之二:統一認證及身份管理
渠道代理商對運營商核心業(yè)務系統的接入,一直是安全事件頻發(fā)的環(huán)節(jié)��。由于往往采用VPN接入方式����,將服務器暴露在公網上,社會渠道網點感染的病毒很容易進入信息中心的內網��,給運營商帶來巨大安全隱患。中國某省電信運營商很早就采用了RSA
SeurID強認證解決方案及RSA SecurID令牌為其虛擬專用網(簡稱VPN)提供安全認證保護�。
有關用戶身份保護可分為三級,首先是基本身份認證����,如RSA令牌,也稱作雙因素強身份認證�����。其次是基于風險的認證����。根據用戶活動風險的不同增加認證機制。最后是用戶身份欺詐防范服務�。在身份認證及網絡防欺詐方面,RSA擁有全球最大的防欺詐網絡��,有幾百個防欺詐專家每天都在研究和提供防欺詐的技術和手段����,包括最快速地識別、阻止�����、取證分析、及關閉欺詐攻擊�。
原有的分散賬號、靜態(tài)口令等模式的身份管理不再能夠滿足電信業(yè)務發(fā)展要求�。電信運營商需要統一的安全認證平臺,該平臺不僅可以滿足自身業(yè)務發(fā)展需求,還能向用戶及合作伙伴提供認證服務。借助統一認證平臺����,電信運營商可以向MSS(管理支撐系統)用戶、BOSS(業(yè)務運營支撐系統)用戶����、系統(主機、網絡���、數據庫)用戶����、ADSL用戶���,以及基于Web
Portal的用戶提供認證服務��;還可以向金融�、媒體、政務等行業(yè)客戶提供相關業(yè)務認證服務�。
目前,國內真正做成統一認證平臺的行業(yè)不多�,但電信運營商卻有著獨特的網絡、用戶���、品牌等優(yōu)勢�����。RSA能夠助力運營商建立統一的認證平臺���,不管是針對系統層的認證,比如針對主機���、路由器�����、防火墻的認證�;還是在線用戶的認證�����;以及基于應用的認證都可以在RSA認證平臺里面進行。
圖2風險管理中的統一認證平臺
與傳統的安全認證平臺相比��,RSA統一認證平臺最大的不同在于底層平臺是“自適應風險引擎”�����,這意味著即使某個用戶的身份被盜用了�,還可以根據用戶本身的活動行為及信息做進一步的判斷和認證。假如一個ADSL用戶進入到系統里面����,RSA可以在第一時間里做出判斷���,如果這個用戶的IP地址來自于RSA防欺詐網絡黑名單上的地址�����,這個時候即使用戶名和口令都是正確的��,RSA仍將進一步對該用戶進行其它認證�����。
電信安全增值業(yè)務之三:監(jiān)控���、報告��、審計
作為運營商IDC安全服務體系的一部分��,通過對信息的監(jiān)控�、報告�����、審計�,IDC同樣可以向客戶提供細化的增值服務。比如可以對客戶信息系統中關鍵資產�����、網絡邊界設備����、以及邊界安全防御設備提供重點監(jiān)控;還可以定期對信息系統中的關鍵資產進行單獨審計并提供獨立的審計報告�����?蛻敉ㄟ^購買這些統計報告����,從而更好的了解自身系統現狀,更有效地應對安全挑戰(zhàn)����。
從運營商內容需求看,對信息的監(jiān)控����、報告、審計����,可以有效簡化IT審計和法規(guī)遵從,并提高信息安全級別����,以及優(yōu)化IT系統及網絡運維�����。電信運營商應對國內外法規(guī)遵從的需求不斷增長�����,如國內的內控法案,國際的薩班斯法案�����。這些法案往往會給企業(yè)帶來重復的投入或負擔�����,RSA
enVision可以大大減輕企業(yè)在法規(guī)遵從方面的投入��,該平臺把國際上常見的審計法案都已經內置里面���,它可以自動地做審計�����,不需要再手工地搜集審計證據�。
圖3 數據監(jiān)控�、報告、審計的目標
通過RSA enVision平臺的統一管理����,整個IT系統的運行狀況都可以一目了然���。可以看到整個基礎架構的風險管理做到了什么地步�����,網絡層發(fā)生了什么事故�����,服務器出現了哪些病毒等���。并且這一切都是自動化實現����。
實例:Telus電信受益于完整安全體系的解決方案
通信企業(yè)應該將信息風險管理的投入與業(yè)務相結合�����。這方面Telus的成功經驗值得分享����。Telus是加拿大電信三巨頭之一�����,為客戶提供完整的電信產品和服務,包括覆蓋整個加拿大的數據���、聲訊和無線服務���。為了滿足所有合規(guī)性要求,并同時把信息安全做好的情況下�����,Telus認識到需要一個完整的�、體系化的安全解決方案。
首先���,Telus像所有電信運營商一樣���,企業(yè)本身面對著很多信息安全隱患;其次���,作為規(guī)模較大的電信運營商�����,Telus需要滿足合規(guī)性的要求��,比如薩班斯法案��,以及北美其它的法規(guī)要求����。再次,Telus有很多的安全增值服務或外包服務�,同樣需要信息風險管理。RSA以信息風險為基礎的整套管理體系符合Telus上述所需����,包括各種法案法規(guī)的遵從;企業(yè)的全部信息的保護�;所有信息的監(jiān)控和報告;信息的加密&密鑰管理�;信息訪問的認證及授權;信息的訪問控制�;數據發(fā)現及完整性保護。
Telus電信通過實施RSA整套風險管理體系����,可以發(fā)現敏感信息在哪里,誰訪問了這些數據,數據流向哪里, 風險在何時出現, 如何控制并降低這些風險��。Telus
不只是從產品層面出發(fā)選擇安全產品��,而是選擇通過整套平臺實現信息管理和法規(guī)遵從��。RSA風險管理體系幫助Telus實現了四個風險管理的目標��,分別是定義敏感信息����,進行數據分類��;通過ISO27000框架建立一套安全體系�;進行數據風險評估,對敏感信息做終端層����、網絡層和數據中心層的保護;最后通過應用RSA
DLP和enVision等產品實現風險控制�����。
正如RSA全球總裁亞瑟·科維洛曾經說過的:“電信業(yè)是一個特殊的行業(yè)�,不僅是RSA的客戶同時還是合作伙伴,這意味著信息風險管理將與電信業(yè)務進一步融合�!
希望,安全增值業(yè)務也能為電信運營商帶來新的商機����,RSA愿意與國內的電信運營商深入探討,并為電信運營商助一臂之力����。
中國信息產業(yè)網(www.cnii.com.cn)
相關閱讀: