一、信息安全三大問題

所謂企業(yè)信息系統(tǒng)的安全問題，通俗地說就是“如何使得正確的人在正確的時機做正確的事？”這個問題又可以進一步分解為以下三個問題：

問題一：如何確定是正確的用戶？

問題二：如何確保用戶只做被允許的事情？

問題三：如何知道用戶做了正確的事？

問題一被稱為“認證問題”，即如何確定當前使用信息系統(tǒng)的用戶的身份是合法的。大多數(shù)的企業(yè)應用功能都要求只對具有合法身份的用戶開放，這也是為什么絕大多數(shù)的企業(yè)應用都要求先登錄系統(tǒng)再使用。最常見的認證授權(quán)就是通過設(shè)置用戶登錄密碼，看似簡單的用戶密碼本身就可能存在大量的安全隱患。例如：用戶所設(shè)密碼強度的問題；密碼在數(shù)據(jù)庫中的加密形式；密碼在傳輸過程中如何防止竊聽；設(shè)置密碼重試/鎖定機制防止密碼暴力破解，等等。除了密碼以外，還可以采取其它認證手段，例如令牌認證、指紋認證、短信認證甚至面部識別。也可以綜合采用上述認證手段。此外登錄只是一種最常見的需要進行認證的場景，在一些企業(yè)應用中，例如“向儲值卡存錢”，可能還需要進一步的認證。

問題二被稱為“授權(quán)問題”。一家大型企業(yè)的系統(tǒng)管理員有可能每天都要花大量的時間在進行與授權(quán)有關(guān)的操作。受到兩個方面因素的影響：一方面企業(yè)員工的數(shù)量可能會發(fā)展成為一個龐大的數(shù)量，其中還要考慮員工的離職與招聘，進而伴隨企業(yè)的組織機構(gòu)的復雜化，在加上日常的人事變動；另一方面復雜的企業(yè)信息系統(tǒng)，也意味著更多需要授權(quán)的功能點。隨著企業(yè)規(guī)模的變大，與信息化建設(shè)的深入，這兩個因素增長的疊加效應，將更加使得這項工作的工作量大大增加。龐大的工作量本身就意味著巨大的安全隱患，畢竟做得越多，出錯的可能性越大。

問題三被稱為“審計問題”。當上述所有保護機制都失效的情況下，這將是安全的最后一道保障（同時這也往往是最被忽視的一個問題）。這是一種事后手段，即對所有信息系統(tǒng)中發(fā)生的事件進行記錄，以便當需要的時候，可以通過對審計日志進行分析，再現(xiàn)當時的操作情景。

上述三個問題的解決方案共同構(gòu)建起企業(yè)的信息安全框架。

看到這里有些讀者可能會想，目前絕大多數(shù)企業(yè)信息系統(tǒng)都已經(jīng)具備了上述功能，難道還不夠嗎？我們的回答是“不夠”，問題出在幾乎每個信息系統(tǒng)都包含了上述功能。而我們又該如何建立起面向整個企業(yè)的信息安全框架？

二、建立統(tǒng)一安全平臺

認證、授權(quán)與審計構(gòu)成了企業(yè)信息系統(tǒng)安全的三個方面，雖然絕大多數(shù)企業(yè)信息系統(tǒng)或多或少都已經(jīng)包含有上述功能，然而問題恰恰就出在幾乎所有的信息都自己搞一套。

先來看一個真實案例，出于隱私考慮這里故意隱去了可能讓人聯(lián)想到具體企業(yè)的有關(guān)信息：某商業(yè)企業(yè)的企劃部門一段時間以來，始終很奇怪，他們在當?shù)氐囊患腋偁帉κ制髽I(yè)，總能在他們推出某項促銷政策前，及時地推出針對性的促銷。給這家企業(yè)在經(jīng)營上帶來了極大的被動，但苦于一直找不到證據(jù)。在半年時間內(nèi)采用了多項保密措施，并對相關(guān)人員進行排查，問題始終存在。直到有一天，信息主管突然想到，一年前曾經(jīng)有過一次企業(yè)內(nèi)部論壇系統(tǒng)的部分數(shù)據(jù)被泄露，由于系統(tǒng)并不涉及重要的經(jīng)營數(shù)據(jù)，因此當時并未引起特別的重視，只是針對問題對系統(tǒng)進行一次升級改造。但此時回想泄露的數(shù)據(jù)中包括用戶數(shù)據(jù)表，很不幸地是其中用戶密碼是以明碼方式存儲的。想到這點后，這位信息主管立即要求所有相關(guān)人員修改密碼，并且規(guī)定禁止與老密碼相同。果然一段時間后企劃部門再也沒有報告類似情況的發(fā)生，由此就證實了這位信息主管的猜想：雖然內(nèi)部論壇系統(tǒng)獨立于負責核心的進銷存系統(tǒng)，但人們通常會在多個信息系統(tǒng)之間采用完全相同的密碼，競爭對手一定是在獲取到部分用戶的密碼后，利用這一點直接進入到進銷存系統(tǒng)對資料進行竊取的。

上述案例的“作案手法”看似沒有任何技術(shù)含量，然而對于同時使用了多套信息系統(tǒng)的企業(yè)而言，想要真正杜絕變得十分困難。原因是這個漏洞來自于人的惰性。現(xiàn)代社會每個人都需要記憶大量的密碼，通常人們的做法是將每個帳戶的密碼設(shè)成相同的。而且有時還使用非常容易被猜測的密碼，例如生日或電話號碼，非常容易被破解。那么就意味著一旦其中一個帳號的密碼被泄露，所有的帳號的密碼被泄露。對整個社會是這樣，對于企業(yè)而言也是如此，企業(yè)內(nèi)的多套應用系統(tǒng)中任何一個存在類似的安全漏洞，將很可能會波及到整個企業(yè)信息系統(tǒng)。真是“千里之堤，毀于蟻穴”。

因此我們想到為企業(yè)搭建統(tǒng)一的安全平臺。將企業(yè)所有的應用與該平臺進行軟件層面的集成，將所有的上述安全領(lǐng)域問題統(tǒng)一交由該平臺負責處理。

還是剛才的案例，接下來看看加入有了統(tǒng)一的安全平臺會怎樣。由于這家企業(yè)采用的統(tǒng)一的安全平臺，所有安全數(shù)據(jù)被集中在了該平臺上，也就是說各個相關(guān)業(yè)務系統(tǒng)中不再需要保存相關(guān)安全數(shù)據(jù)。對于內(nèi)部論壇系統(tǒng)而言也是如此，因此即便該系統(tǒng)的數(shù)據(jù)庫被破解，完全不用擔心用戶數(shù)據(jù)因此泄露。時間回到一年前，發(fā)生了內(nèi)部論壇系統(tǒng)數(shù)據(jù)庫泄露事件，系統(tǒng)管理員感覺到了威脅，認為一些企業(yè)員工的密碼過于簡單，容易被破解。決定要求所有用戶重新設(shè)置密碼，并規(guī)定新密碼的加密強度。同時對于部分關(guān)鍵崗位人員決定采用密碼+令牌雙重認證方式。由于已經(jīng)建立了統(tǒng)一的安全平臺，以上操作只需要在該系統(tǒng)中即可完成，而且對于每個企業(yè)員工也只需要修改一次密碼，即可對所有應用系統(tǒng)同時生效。

由此可見“統(tǒng)一本身就是一種安全”。至此有人可能會提出質(zhì)疑，如果這個安全平臺被破解，豈不是一樣非常危險。事實上，當有了它后，我們完全可以通過加強該系統(tǒng)的安全性，從而提升整體信息系統(tǒng)的安全性。而且從社會分工的角度看，應該將專業(yè)的事情交給最專業(yè)的團隊，畢竟不可能各個應用系統(tǒng)的開發(fā)團隊在信息安全領(lǐng)域是最專業(yè)的。而且剛才的案例也證明了，往往信息系統(tǒng)整體安全性并不取決于最安全的哪一個，而取決于最不安全的哪一個。統(tǒng)一安全平臺產(chǎn)品的誕生正是為了打破這一企業(yè)信息安全的困局。

三、海鼎解決方案——HEADING^® IA™ 5

HEADING® IA™ 5（簡稱HDIA5）被設(shè)計為一個面向企業(yè)應用的通用的、可伸縮的、開放的和統(tǒng)一的企業(yè)信息安全管理平臺。其產(chǎn)品名“IA”來自于“Integrated Authentication, Authorization and Audit Platform”，從字面意義上理解就是“集成認證、授權(quán)與審計平臺”。

上一節(jié)所舉的案例主要涉及了信息安全三大領(lǐng)域中的認證領(lǐng)域，而事實上在另外兩個領(lǐng)域中也存在類似的問題，限于篇幅這里不再贅述。我們可以從以下產(chǎn)品設(shè)計目標中有所了解：

（一）提供完整的覆蓋企業(yè)應用安全的三大領(lǐng)域（認證、授權(quán)和審計）的解決方案，幫助企業(yè)建立起完整的企業(yè)安全體系。

（二）提供統(tǒng)一的安全管理數(shù)據(jù)庫。

將所有安全數(shù)據(jù)進行集中管理，改變以往分散在各個應用系統(tǒng)中并與業(yè)務數(shù)據(jù)混合的狀況，從而為安全數(shù)據(jù)庫構(gòu)建專門的安全策略提供可能。

（三）具備向所有來自不同軟件廠商、不同開發(fā)平臺的軟件產(chǎn)品提供安全服務的能力。

以開放服務接口的方式面向所有企業(yè)應用提供安全服務，允許應用軟件通過上述接口實現(xiàn)與HDIA平臺的集成。所開放的服務接口采用已經(jīng)被廣泛采用，且跨平臺的REST + JSON方式。

（四）具備提供全企業(yè)應用系統(tǒng)一致性的安全保障特性。

當將所有企業(yè)應用都與HDIA集成后，企業(yè)的安全保障得以統(tǒng)一，從而實現(xiàn)加強一個點的安全性，即可對整個企業(yè)信息系統(tǒng)生效。從而改變必須依賴各個應用的軟件廠商的現(xiàn)狀。

（五）提供統(tǒng)一安全管理界面，使得可以同時對多個應用系統(tǒng)進行授權(quán)等安全相關(guān)操作，降低系統(tǒng)管理員的工作負荷。

系統(tǒng)管理員不再需要分別進入每個應用系統(tǒng)，進行創(chuàng)建用戶和分配權(quán)限的工作，只需要登錄HDIA即可實現(xiàn)多數(shù)情況下的上述目標。從而降低系統(tǒng)管理員的工作負荷，進而降低由于操作繁瑣導致出現(xiàn)安全風險的可能。

（六）提供選擇并允許擴展新的安全策略，以提高系統(tǒng)的安全保障級別。

（七）無論有多少的應用系統(tǒng)，用戶都只需要記憶一個登錄口令。

（八）集成的單點登錄系統(tǒng)，一次登錄多點使用。

HDIA 5既然被稱為“統(tǒng)一平臺”，那么需要與其直接交互的除了提供系統(tǒng)管理員進行維護的界面外，還需要與所有相關(guān)的各種企業(yè)信息系統(tǒng)進行交互。因此在實施過程中一個必不可少的工作，就是需要對現(xiàn)有的企業(yè)信息系統(tǒng)進行改造，這個過程被稱為“軟件集成”。因此作為決策者需要將由此導致的成本計算在內(nèi)。

幸運地是HDIA 5本身就是面向服務架構(gòu)（SOA）思想的產(chǎn)物，對外開放服務接口，并提供了充分的文檔，以幫助各信息系統(tǒng)開發(fā)人員完成相關(guān)改造，從而輕松打造完全適用于企業(yè)的完整的信息安全體系。