这些年来,运营商IDC(Internet Data Center,互联网数据中心)不只停留在传统业务层面,其走向专业化与服务化,开展更多增值服务成为发展趋势。从过去传统的主机托管到虚拟主机、搭建企业专线局域网,再到涉及网络安全的硬件防火墙、网络入侵检测等增值业务不断出现。RSA认为,运营商IDC通过对不同数据在不同发展阶段的管理,可以进一步向客户提供更细化的安全增值业务。终端业务同样如此,3G时代手机将不再是简单的沟通工具,诸如在线交易型业务对身份认证的迫切需求同样蕴藏诸多商机。
相关数据显示,运营商IDC在主机托管的业务比例下滑严重,但增值业务比例显著增长,具体包括数据存储备份、网络安全服务、代维服务等。从全球增值服务市场来看,安全增值服务的份额正在不断增长,其范畴主要包括九方面,分别是:内容安全服务、实时监控服务、防火墙服务、企业恢复服务、邮件安全服务、存储安全服务、防DDOS服务、入侵检测服务、安全认证服务。实际上,安全增值服务领域还可以继续拓展,作为全业务运营的电信运营商来讲,除了企业内部信息安全管理的需求之外,电信运营商在提供安全增值服务方面蕴藏无限商机,越来越受到关注。
从数据中心的角度或者说主机托管的角度来看,所有的信息安全隐患在IT领域要分成三方面。第一,数据完整性保护,知道哪些数据是敏感的,这些数据放在了什么地方。第二,认证及身份管理,数据分析之后,对数据进行各种各样的保护措施。第三,监控、报告、审计,满足法规遵从及优化运营。
这里,我主要以数据完整性保护、认证与身份管理、信息监控与报告三方面为中心,围绕运营商IDC如何提供安全增值业务方面做了详细的介绍。
电信安全增值业务之一:数据完整性保护
有关数据发现和完整性保护主要分成三个步骤。首先是数据分类。可以从需求分析、资产分析、漏洞分析等方面进行,最后从信息的机密性、可用性、完整性来确定不同级别。这里,数据分类非常重要,在这个信息风险保护过程中,50%的工作都是在对数据分类,RSA就有专业的团队做数据分析方面的工作。
在数据的完整性保护方面,运营商IDC可以向其金融、政府、交通等行业客户提供更有针对性的安全增值服务。比如通过数据分类,运营商IDC可以让客户清楚的了解到企业信息的重要级别和流向,以此提供不同级别的安全服务。并且通过对数据的发现,IDC可向客户提供更细化的信息管理服务,比如用户证件号码、企业战略蓝图、企业知识产权等方面的信息。
图1 在数据中心、网络、终端实现数据控制
在数据发现的过程中,是按照不同的策略来发现敏感级别不同的数据,分类的信息都可以在RSA产品里面进行定义。这方面需要精确的匹配技术,RSA在敏感信息的精确匹配方面在业界有很好的评价。最后是对数据的控制,比如,运营商IDC可将重要且敏感的信息放到最安全的地方并进行加密;在网络层对不该传出的信息做拦截;在后台进行日志管理及审计等。
通信企业应该将信息风险管理的投入与业务相结合。这方面Telus的成功经验值得分享。Telus是加拿大电信三巨头之一,为客户提供完整的电信产品和服务,包括覆盖整个加拿大的数据、声讯和无线服务。为了满足所有合规性要求,并同时把信息安全做好的情况下,Telus认识到需要一个完整的、体系化的安全解决方案。
首先,Telus像所有电信运营商一样,企业本身面对着很多信息安全隐患;其次,作为规模较大的电信运营商,Telus需要满足合规性的要求,比如萨班斯法案,以及北美其它的法规要求。再次,Telus有很多的安全增值服务或外包服务,同样需要信息风险管理。RSA以信息风险为基础的整套管理体系符合Telus上述所需,包括各种法案法规的遵从;企业的全部信息的保护;所有信息的监控和报告;信息的加密&密钥管理;信息访问的认证及授权;信息的访问控制;数据发现及完整性保护。
Telus电信通过实施RSA整套风险管理体系,可以发现敏感信息在哪里,谁访问了这些数据,数据流向哪里, 风险在何时出现, 如何控制并降低这些风险。Telus 不只是从产品层面出发选择安全产品,而是选择通过整套平台实现信息管理和法规遵从。RSA风险管理体系帮助Telus实现了四个风险管理的目标,分别是定义敏感信息,进行数据分类;通过ISO27000框架建立一套安全体系;进行数据风险评估,对敏感信息做终端层、网络层和数据中心层的保护;最后通过应用RSA DLP和enVision等产品实现风险控制。
正如RSA全球总裁亚瑟·科维洛曾经说过的:“电信业是一个特殊的行业,不仅是RSA的客户同时还是合作伙伴,这意味着信息风险管理将与电信业务进一步融合。” 希望,安全增值业务也能为电信运营商带来新的商机,RSA愿意与国内的电信运营商深入探讨,并为电信运营商助一臂之力。
中国信息产业网(www.cnii.com.cn)
