一、信息安全三大問題

所謂企業信息系統的安全問題，通俗地說就是“如何使得正確的人在正確的時機做正確的事？”這個問題又可以進一步分解為以下三個問題：

問題一：如何確定是正確的用戶？

問題二：如何確保用戶只做被允許的事情？

問題三：如何知道用戶做了正確的事？

問題一被稱為“認證問題”，即如何確定當前使用信息系統的用戶的身份是合法的。大多數的企業應用功能都要求只對具有合法身份的用戶開放，這也是為什么絕大多數的企業應用都要求先登錄系統再使用。最常見的認證授權就是通過設置用戶登錄密碼，看似簡單的用戶密碼本身就可能存在大量的安全隱患。例如：用戶所設密碼強度的問題；密碼在數據庫中的加密形式；密碼在傳輸過程中如何防止竊聽；設置密碼重試/鎖定機制防止密碼暴力破解，等等。除了密碼以外，還可以采取其它認證手段，例如令牌認證、指紋認證、短信認證甚至面部識別。也可以綜合采用上述認證手段。此外登錄只是一種最常見的需要進行認證的場景，在一些企業應用中，例如“向儲值卡存錢”，可能還需要進一步的認證。

問題二被稱為“授權問題”。一家大型企業的系統管理員有可能每天都要花大量的時間在進行與授權有關的操作。受到兩個方面因素的影響：一方面企業員工的數量可能會發展成為一個龐大的數量，其中還要考慮員工的離職與招聘，進而伴隨企業的組織機構的復雜化，在加上日常的人事變動；另一方面復雜的企業信息系統，也意味著更多需要授權的功能點。隨著企業規模的變大，與信息化建設的深入，這兩個因素增長的疊加效應，將更加使得這項工作的工作量大大增加。龐大的工作量本身就意味著巨大的安全隱患，畢竟做得越多，出錯的可能性越大。

問題三被稱為“審計問題”。當上述所有保護機制都失效的情況下，這將是安全的最后一道保障（同時這也往往是最被忽視的一個問題）。這是一種事后手段，即對所有信息系統中發生的事件進行記錄，以便當需要的時候，可以通過對審計日志進行分析，再現當時的操作情景。

上述三個問題的解決方案共同構建起企業的信息安全框架。

看到這里有些讀者可能會想，目前絕大多數企業信息系統都已經具備了上述功能，難道還不夠嗎？我們的回答是“不夠”，問題出在幾乎每個信息系統都包含了上述功能。而我們又該如何建立起面向整個企業的信息安全框架？

二、建立統一安全平臺

認證、授權與審計構成了企業信息系統安全的三個方面，雖然絕大多數企業信息系統或多或少都已經包含有上述功能，然而問題恰恰就出在幾乎所有的信息都自己搞一套。

先來看一個真實案例，出于隱私考慮這里故意隱去了可能讓人聯想到具體企業的有關信息：某商業企業的企劃部門一段時間以來，始終很奇怪，他們在當地的一家競爭對手企業，總能在他們推出某項促銷政策前，及時地推出針對性的促銷。給這家企業在經營上帶來了極大的被動，但苦于一直找不到證據。在半年時間內采用了多項保密措施，并對相關人員進行排查，問題始終存在。直到有一天，信息主管突然想到，一年前曾經有過一次企業內部論壇系統的部分數據被泄露，由于系統并不涉及重要的經營數據，因此當時并未引起特別的重視，只是針對問題對系統進行一次升級改造。但此時回想泄露的數據中包括用戶數據表，很不幸地是其中用戶密碼是以明碼方式存儲的。想到這點后，這位信息主管立即要求所有相關人員修改密碼，并且規定禁止與老密碼相同。果然一段時間后企劃部門再也沒有報告類似情況的發生，由此就證實了這位信息主管的猜想：雖然內部論壇系統獨立于負責核心的進銷存系統，但人們通常會在多個信息系統之間采用完全相同的密碼，競爭對手一定是在獲取到部分用戶的密碼后，利用這一點直接進入到進銷存系統對資料進行竊取的。

上述案例的“作案手法”看似沒有任何技術含量，然而對于同時使用了多套信息系統的企業而言，想要真正杜絕變得十分困難。原因是這個漏洞來自于人的惰性�，F代社會每個人都需要記憶大量的密碼，通常人們的做法是將每個帳戶的密碼設成相同的。而且有時還使用非常容易被猜測的密碼，例如生日或電話號碼，非常容易被破解。那么就意味著一旦其中一個帳號的密碼被泄露，所有的帳號的密碼被泄露。對整個社會是這樣，對于企業而言也是如此，企業內的多套應用系統中任何一個存在類似的安全漏洞，將很可能會波及到整個企業信息系統。真是“千里之堤，毀于蟻穴”。

因此我們想到為企業搭建統一的安全平臺。將企業所有的應用與該平臺進行軟件層面的集成，將所有的上述安全領域問題統一交由該平臺負責處理。

還是剛才的案例，接下來看看加入有了統一的安全平臺會怎樣。由于這家企業采用的統一的安全平臺，所有安全數據被集中在了該平臺上，也就是說各個相關業務系統中不再需要保存相關安全數據。對于內部論壇系統而言也是如此，因此即便該系統的數據庫被破解，完全不用擔心用戶數據因此泄露。時間回到一年前，發生了內部論壇系統數據庫泄露事件，系統管理員感覺到了威脅，認為一些企業員工的密碼過于簡單，容易被破解。決定要求所有用戶重新設置密碼，并規定新密碼的加密強度。同時對于部分關鍵崗位人員決定采用密碼+令牌雙重認證方式。由于已經建立了統一的安全平臺，以上操作只需要在該系統中即可完成，而且對于每個企業員工也只需要修改一次密碼，即可對所有應用系統同時生效。

由此可見“統一本身就是一種安全”。至此有人可能會提出質疑，如果這個安全平臺被破解，豈不是一樣非常危險。事實上，當有了它后，我們完全可以通過加強該系統的安全性，從而提升整體信息系統的安全性。而且從社會分工的角度看，應該將專業的事情交給最專業的團隊，畢竟不可能各個應用系統的開發團隊在信息安全領域是最專業的。而且剛才的案例也證明了，往往信息系統整體安全性并不取決于最安全的哪一個，而取決于最不安全的哪一個。統一安全平臺產品的誕生正是為了打破這一企業信息安全的困局。

三、海鼎解決方案——HEADING^® IA™ 5

HEADING® IA™ 5（簡稱HDIA5）被設計為一個面向企業應用的通用的、可伸縮的、開放的和統一的企業信息安全管理平臺。其產品名“IA”來自于“Integrated Authentication, Authorization and Audit Platform”，從字面意義上理解就是“集成認證、授權與審計平臺”。

上一節所舉的案例主要涉及了信息安全三大領域中的認證領域，而事實上在另外兩個領域中也存在類似的問題，限于篇幅這里不再贅述。我們可以從以下產品設計目標中有所了解：

（一）提供完整的覆蓋企業應用安全的三大領域（認證、授權和審計）的解決方案，幫助企業建立起完整的企業安全體系。

（二）提供統一的安全管理數據庫。

將所有安全數據進行集中管理，改變以往分散在各個應用系統中并與業務數據混合的狀況，從而為安全數據庫構建專門的安全策略提供可能。

（三）具備向所有來自不同軟件廠商、不同開發平臺的軟件產品提供安全服務的能力。

以開放服務接口的方式面向所有企業應用提供安全服務，允許應用軟件通過上述接口實現與HDIA平臺的集成。所開放的服務接口采用已經被廣泛采用，且跨平臺的REST + JSON方式。

（四）具備提供全企業應用系統一致性的安全保障特性。

當將所有企業應用都與HDIA集成后，企業的安全保障得以統一，從而實現加強一個點的安全性，即可對整個企業信息系統生效。從而改變必須依賴各個應用的軟件廠商的現狀。

（五）提供統一安全管理界面，使得可以同時對多個應用系統進行授權等安全相關操作，降低系統管理員的工作負荷。

系統管理員不再需要分別進入每個應用系統，進行創建用戶和分配權限的工作，只需要登錄HDIA即可實現多數情況下的上述目標。從而降低系統管理員的工作負荷，進而降低由于操作繁瑣導致出現安全風險的可能。

（六）提供選擇并允許擴展新的安全策略，以提高系統的安全保障級別。

（七）無論有多少的應用系統，用戶都只需要記憶一個登錄口令。

（八）集成的單點登錄系統，一次登錄多點使用。

HDIA 5既然被稱為“統一平臺”，那么需要與其直接交互的除了提供系統管理員進行維護的界面外，還需要與所有相關的各種企業信息系統進行交互。因此在實施過程中一個必不可少的工作，就是需要對現有的企業信息系統進行改造，這個過程被稱為“軟件集成”。因此作為決策者需要將由此導致的成本計算在內。

幸運地是HDIA 5本身就是面向服務架構（SOA）思想的產物，對外開放服務接口，并提供了充分的文檔，以幫助各信息系統開發人員完成相關改造，從而輕松打造完全適用于企業的完整的信息安全體系。