安全增值服務(wù)成為電信增值業(yè)務(wù)新機會(huì )

RSA大中華區高級信息安全系統構架師 司馬麗維 2009/12/02

圖1 在數據中心、網(wǎng)絡(luò )、終端實(shí)現數據控制

　　在數據發(fā)現的過(guò)程中，是按照不同的策略來(lái)發(fā)現敏感級別不同的數據，分類(lèi)的信息都可以在RSA產(chǎn)品里面進(jìn)行定義。這方面需要精確的匹配技術(shù)，RSA在敏感信息的精確匹配方面在業(yè)界有很好的評價(jià)。最后是對數據的控制，比如，運營(yíng)商IDC可將重要且敏感的信息放到最安全的地方并進(jìn)行加密；在網(wǎng)絡(luò )層對不該傳出的信息做攔截；在后臺進(jìn)行日志管理及審計等。

電信安全增值業(yè)務(wù)之二：統一認證及身份管理

　　渠道代理商對運營(yíng)商核心業(yè)務(wù)系統的接入，一直是安全事件頻發(fā)的環(huán)節。由于往往采用VPN接入方式，將服務(wù)器暴露在公網(wǎng)上，社會(huì )渠道網(wǎng)點(diǎn)感染的病毒很容易進(jìn)入信息中心的內網(wǎng)，給運營(yíng)商帶來(lái)巨大安全隱患。中國某省電信運營(yíng)商很早就采用了RSA SeurID強認證解決方案及RSA SecurID令牌為其虛擬專(zhuān)用網(wǎng)（簡(jiǎn)稱(chēng)VPN）提供安全認證保護。

　　有關(guān)用戶(hù)身份保護可分為三級，首先是基本身份認證，如RSA令牌，也稱(chēng)作雙因素強身份認證。其次是基于風(fēng)險的認證。根據用戶(hù)活動(dòng)風(fēng)險的不同增加認證機制。最后是用戶(hù)身份欺詐防范服務(wù)。在身份認證及網(wǎng)絡(luò )防欺詐方面，RSA擁有全球最大的防欺詐網(wǎng)絡(luò )，有幾百個(gè)防欺詐專(zhuān)家每天都在研究和提供防欺詐的技術(shù)和手段，包括最快速地識別、阻止、取證分析、及關(guān)閉欺詐攻擊。

　　原有的分散賬號、靜態(tài)口令等模式的身份管理不再能夠滿(mǎn)足電信業(yè)務(wù)發(fā)展要求。電信運營(yíng)商需要統一的安全認證平臺，該平臺不僅可以滿(mǎn)足自身業(yè)務(wù)發(fā)展需求，還能向用戶(hù)及合作伙伴提供認證服務(wù)。借助統一認證平臺，電信運營(yíng)商可以向MSS（管理支撐系統）用戶(hù)、BOSS(業(yè)務(wù)運營(yíng)支撐系統)用戶(hù)、系統（主機、網(wǎng)絡(luò )、數據庫）用戶(hù)、ADSL用戶(hù)，以及基于Web Portal的用戶(hù)提供認證服務(wù)；還可以向金融、媒體、政務(wù)等行業(yè)客戶(hù)提供相關(guān)業(yè)務(wù)認證服務(wù)。

　　目前，國內真正做成統一認證平臺的行業(yè)不多，但電信運營(yíng)商卻有著(zhù)獨特的網(wǎng)絡(luò )、用戶(hù)、品牌等優(yōu)勢。RSA能夠助力運營(yíng)商建立統一的認證平臺，不管是針對系統層的認證，比如針對主機、路由器、防火墻的認證；還是在線(xiàn)用戶(hù)的認證；以及基于應用的認證都可以在RSA認證平臺里面進(jìn)行。

圖2風(fēng)險管理中的統一認證平臺

　　與傳統的安全認證平臺相比，RSA統一認證平臺最大的不同在于底層平臺是“自適應風(fēng)險引擎”，這意味著(zhù)即使某個(gè)用戶(hù)的身份被盜用了，還可以根據用戶(hù)本身的活動(dòng)行為及信息做進(jìn)一步的判斷和認證。假如一個(gè)ADSL用戶(hù)進(jìn)入到系統里面，RSA可以在第一時(shí)間里做出判斷，如果這個(gè)用戶(hù)的IP地址來(lái)自于RSA防欺詐網(wǎng)絡(luò )黑名單上的地址，這個(gè)時(shí)候即使用戶(hù)名和口令都是正確的，RSA仍將進(jìn)一步對該用戶(hù)進(jìn)行其它認證。

電信安全增值業(yè)務(wù)之三：監控、報告、審計

　　作為運營(yíng)商IDC安全服務(wù)體系的一部分，通過(guò)對信息的監控、報告、審計，IDC同樣可以向客戶(hù)提供細化的增值服務(wù)。比如可以對客戶(hù)信息系統中關(guān)鍵資產(chǎn)、網(wǎng)絡(luò )邊界設備、以及邊界安全防御設備提供重點(diǎn)監控；還可以定期對信息系統中的關(guān)鍵資產(chǎn)進(jìn)行單獨審計并提供獨立的審計報告。客戶(hù)通過(guò)購買(mǎi)這些統計報告，從而更好的了解自身系統現狀，更有效地應對安全挑戰。

　　從運營(yíng)商內容需求看，對信息的監控、報告、審計，可以有效簡(jiǎn)化IT審計和法規遵從，并提高信息安全級別，以及優(yōu)化IT系統及網(wǎng)絡(luò )運維。電信運營(yíng)商應對國內外法規遵從的需求不斷增長(cháng)，如國內的內控法案，國際的薩班斯法案。這些法案往往會(huì )給企業(yè)帶來(lái)重復的投入或負擔，RSA enVision可以大大減輕企業(yè)在法規遵從方面的投入，該平臺把國際上常見(jiàn)的審計法案都已經(jīng)內置里面，它可以自動(dòng)地做審計，不需要再手工地搜集審計證據。

圖3 數據監控、報告、審計的目標

　　通過(guò)RSA enVision平臺的統一管理，整個(gè)IT系統的運行狀況都可以一目了然。可以看到整個(gè)基礎架構的風(fēng)險管理做到了什么地步，網(wǎng)絡(luò )層發(fā)生了什么事故，服務(wù)器出現了哪些病毒等。并且這一切都是自動(dòng)化實(shí)現。

實(shí)例：Telus電信受益于完整安全體系的解決方案

　　通信企業(yè)應該將信息風(fēng)險管理的投入與業(yè)務(wù)相結合。這方面Telus的成功經(jīng)驗值得分享。Telus是加拿大電信三巨頭之一，為客戶(hù)提供完整的電信產(chǎn)品和服務(wù)，包括覆蓋整個(gè)加拿大的數據、聲訊和無(wú)線(xiàn)服務(wù)。為了滿(mǎn)足所有合規性要求，并同時(shí)把信息安全做好的情況下，Telus認識到需要一個(gè)完整的、體系化的安全解決方案。

　　首先，Telus像所有電信運營(yíng)商一樣，企業(yè)本身面對著(zhù)很多信息安全隱患；其次，作為規模較大的電信運營(yíng)商，Telus需要滿(mǎn)足合規性的要求，比如薩班斯法案，以及北美其它的法規要求。再次，Telus有很多的安全增值服務(wù)或外包服務(wù)，同樣需要信息風(fēng)險管理。RSA以信息風(fēng)險為基礎的整套管理體系符合Telus上述所需，包括各種法案法規的遵從；企業(yè)的全部信息的保護；所有信息的監控和報告；信息的加密&密鑰管理；信息訪(fǎng)問(wèn)的認證及授權；信息的訪(fǎng)問(wèn)控制；數據發(fā)現及完整性保護。

　　Telus電信通過(guò)實(shí)施RSA整套風(fēng)險管理體系，可以發(fā)現敏感信息在哪里，誰(shuí)訪(fǎng)問(wèn)了這些數據，數據流向哪里, 風(fēng)險在何時(shí)出現, 如何控制并降低這些風(fēng)險。Telus 不只是從產(chǎn)品層面出發(fā)選擇安全產(chǎn)品，而是選擇通過(guò)整套平臺實(shí)現信息管理和法規遵從。RSA風(fēng)險管理體系幫助Telus實(shí)現了四個(gè)風(fēng)險管理的目標，分別是定義敏感信息，進(jìn)行數據分類(lèi)；通過(guò)ISO27000框架建立一套安全體系；進(jìn)行數據風(fēng)險評估，對敏感信息做終端層、網(wǎng)絡(luò )層和數據中心層的保護；最后通過(guò)應用RSA DLP和enVision等產(chǎn)品實(shí)現風(fēng)險控制。

　　正如RSA全球總裁亞瑟·科維洛曾經(jīng)說(shuō)過(guò)的：“電信業(yè)是一個(gè)特殊的行業(yè)，不僅是RSA的客戶(hù)同時(shí)還是合作伙伴，這意味著(zhù)信息風(fēng)險管理將與電信業(yè)務(wù)進(jìn)一步融合。” 希望，安全增值業(yè)務(wù)也能為電信運營(yíng)商帶來(lái)新的商機，RSA愿意與國內的電信運營(yíng)商深入探討，并為電信運營(yíng)商助一臂之力。

中國信息產(chǎn)業(yè)網(wǎng)(www.cnii.com.cn)