“十三五规划”在即，很多企业已经开始信息安全规划的编写工作，关于安全规划中的核心“信息安全架构”在新形势如何构建的一些个人思考，（参考天融信同事及部分朋友的总结素材，致谢）。

整个内容拟从以下几个方面进行阐述，分三次写完。

第一部分：

1 信息安全产业及形势的变化有哪些（宏观）？

2 企业面临的信息安全挑战有哪些（微观）？

3 企业下一代信息安全架构制定的原则和方法？

第二部分：

4 下一代信息安全架构的是什么样的?

第三部分：

5 企业怎么选择适合自身的安全架构?

以下为正文

---------------------------------------------

“十三五规划”在即，关于企业“下一代信息安全架构”的思考（一）

（一）宏观：信息安全产业及形势的变化有哪些？

1.1、安全驱动力：政策合规、安全需求“双轮驱动”都在加强

就某种程度而言，2014年可以说是真正的信息安全元年。政策性合规驱动、需求驱动依旧是信息安全市场的两个重要的驱动点，而且驱动力都在加强。

1、从政策层面看国家成立了网络安全与信息化领导小组，同时也出台了相关的政策要求对信息安全产品、云计算服务等加强安全审查，通过政策、法律、规范的合规要求加强对信息安全的把控。自主可控更是是信息安全领域国家的基本意志体现。

2、从需求层面看，随着愈演愈烈各种的信息泄密事件、大热的APT攻击等，大量的企业对信息安全的认识已经从“被动的防御”变成“主动的核心竞争力的塑造”，尤其是新型的互联网金融、电商业务、云计算业务等都前瞻性的把安全当做市场竞争的重要砝码并寻求各种资源不断提升安全性。1.2、安全关注点：从“系统”到“业务”到“人和数据”的转移。

哪里有价值，哪里就有攻击，攻击者一定是不断的靠近价值层。从未来看，安全的关注点也在发生变化，从早期的关注系统，到关注业务，到当下及未来更关注人、关注数据。

数据：是企业的核心竞争力所在，如何有效保护这些核心数据的安全已经得到企业高层领导的高度重视和密切关注。尤其在近几年出现的大量的数据泄密事件，更是让数据安全成为整个信息安全架构中最重要的一个模块。

人是信息安全的最核心要素，再好的技术手段再完美的流程再严密的制度，没有人的安全意识和技能保障下都无法确保系统安全，同时从人入手，提升人的意识和技能，这项工作在信息安全保障体系中一定能达到事半功倍的效果，人是信息安全的催化剂，人的安全意识和技能提升，对安全产品、安全技术的作用发挥会呈几何级或指数级的提升。安全的实质是攻与防的博弈，安全的未来投入会更多的关注的“人”的这个层面。

　　1.3、安全交付物：从“安全产品”到“安全服务”到“安全运营”

同其他产业一样，信息安全产业同样要经历“产品模式”、“服务模式”、“体验模式”的转变，安全实质提供的是知识和能力，从发展趋势看，安全将从硬件交付、软件交付向运营化服务的过渡，依托产品+服务，提供7*24小时的运营化服务才能更无缝的契合用户的安全需求。即SAAS：安全即服务。

随着云的落地，给IT带来了巨大的变革。云安全服务的出现，彻底颠覆了传统安全产业基于软硬件提供安全服务的模式，降低了企业部署安全产品的成本，使更多的企业可以享受到安全运营保障，全心关注企业的核心业务。运营化服务的SLA和信息保密及隐私的问题，是服务提供商后续需要重点考虑和解决的。

1.4、安全生态链：从“精细分工”到“供应链可信管理”到“安全生态圈的建设”

企业需要构建一个安全的生态链，不仅自身的安全很重要，企业的上下游安全也很重要，企业上下游的合作伙伴的安全问题都会给企业带来安全风险，整个供应链都需要进行严格的安全管理，企业要做好信息安全，同安全管理机构、安全评测机构等保持充分的沟通和联系，以便了解国家的政策规范，同时在关键的安全时期也可以得到相关机构的支持。构建整个的安全生态链，通过广泛的合作来确保企业安全目标的实现。

　　（二）微观看：企业面临的安全挑战有哪些？

2.1信息安全犯罪趋利导向明显，攻击技术迅速发展，威胁源、威胁能力、威胁途径、威胁者所掌握的资源等要素变化致使更难以应对安全威胁。

商业的竞争对手、可能的敌对势力都可能会组织力量对企业进行安全攻击，以获取相关利益。在新的形势下，威胁的主体在发生变化，以前的威胁主体主要是个体、小组织团体，现在的对手可能会是有组织的攻击等。同时攻击技术的迅速发展，对企业的威胁越来越大。

2.2剧变的新技术、新业务的应用多给企业带来更大的安全风险,需要构建新的安全能力以云计算、大数据、社交和移动为驱动的新技术转型将带领企业向智慧企业转型。新业务的特点第一:通过大数据和分析建立核心竞争优势；第二:通过云计算重新塑造企业业务模式；第三:通过移动和社交技术构建互动参与体系。新计算、新网络、新应用、新数据，这些都是今后一段时期的信息安全方向和热点，每一个方向都会对未来的应用和业务带来巨大的改变，同时也带来新的安全挑战。

　　（三）企业下一代信息安全架构制定的原则和方法？

企业在执行信息安全架构时，要充分考虑整体信息安全产业及形势的变化，从业务战略出发，采用一定的架构模型和方法论，以解决实际问题为落脚点，兼顾未来的业务发展，制定符合企业自身发展的信息安全架构。IT安全架构目前比较流行的方法有TOGAF等，如下图，后面主要以EA为例来说明，架构没有对与错，只有适合与不适合。

　　3.1信息安全架构制定的原则

在进行企业安全架构设计时，需要充分考虑整体信息安全产业及形势的变化，

合规性要求的加强，需要多视角的安全符合；

需要更有力的顶层安全设计:安全架构核心是支撑企业业务发展和总体战略的实施；

有关键点：专注近2、3年需要解决的关键问题。避免仅仅追却大而全。

有超前性，能够涵盖2、3年的安全范畴。新的业务、计算模式，需要新的安全能力；

3.2下一代安全架构的设计方法

具体的设计方法包括自顶向下的架构设计和自下而上的建设支撑两个方向。同时可以横向最佳实践的借鉴（同类企业）

　　自顶向下的架构设计

信息安全实质是IT的一部分，企业信息安全架构也可以从IT中进行借鉴。在IT领域，目前比较流行的是采用企业架构EA的方法来进行架构设计和规划。从企业战略开始、以需求管理为核心，从企业战略到业务，再到应用，再到系统的设计方法，以及其中的设计内容。一步步分析并制定业务安全架构、数据安全架构、应用安全架构、基础设施安全架构等。

　　自下而上的建设支撑

企业的安全架构要落到实处，需要以解决企业安全问题为出发点，根据企业的目标与现状，根据架构设计而展开的高阶方案制定和项目清单梳理，进一步进行具体的任务、项目建设规划，通过具体的任务或项目来支撑业务安全架构、数据安全架构、应用安全架构、基础设施安全架构的实现。

　　最佳实践的借鉴：

借鉴同类型企业的信息安全架构及管理实践，形成自身的安全架构，业内有很多这样的沟通和交流，别人的最佳实践是有不少值得借鉴的。

待续.......，下次完成第二部分。