如何有效实施信息安全管理体系

　　前言：

　　目前很多企业为了提高信息发布的性能和可靠性，向多个电信运营商同时租用互联网线路，所以拥有两条或两条以上的互联网连接链路，这些用户希望分别通过多条链路使用网络平台和资源，但是这样的网络出口建设形式，暴露出以下问题，并亟待解决。

　　同时，对于有一个或多个地区分支机构的公司结构，如果组织和控制企业异地分支机构的网络接入，让分支结构享有和公司本部同样优良的网络访问环境，统一的访问控制以及安全性，也成为一个需要解决的重大难题。

　　企业广域网链路络存在的问题：

　　1、链路的单点失效性：

　　采用单一Internet连接链路存在单点失效性，一旦该链路出现故障将造成整个企业网络的瘫痪。

　　2、链路性能的瓶颈：

　　单一Internet连接链路的带宽资源是有限的，无法满足企业内部全体用户对Internet访问时所需的带宽，同时也无法满足大量的Internet上的用户对企业的访问。

　　3、网络安全防护能力弱：

　　目前Internet上的各种各样的网络攻击层出不穷，路由器自身对网络攻击的防护能力非常有限，DOS/DDOS 网络攻击会对广域网络由器产生严重的影响。

　　现有的多条链路，互相之间没有联系，这就导致了两条链路的完全独立，不能互为所用;两条或多条链路分别独立接入，链路的占用可能不平均，带宽不能得到充分的利用;任一条链路的中断都会影响正常的上网工作，缺乏容错机制。

　　解决方案：

　　面对以上问题，应该在企业网络出口处部署一台梭子鱼LinkBalancer 330链路负载均衡器，如下图所示：

　　LB330链路负载均衡器部署在企业内部专线路由器之前，H3C路由器通过连接DDN专线，与企业另外地点的分支机构互联，分支机构通过总部的网通和电信出口统一对外访问互联网，同时享有对内部访问的所有局域网的便利。

　　这样既可以实现对多条internet接入链路的负载均衡，又同时实现公司所有的outbound流量(内部办公用户访问internet)和inbound流量(internet用户访问内部服务器)双向的负载均衡，并且可以根据智能算法选择最优路径，以达到最佳访问速度。如果当一个ISP1出现故障，负载均衡器可以及时地检测到，并将内外网流量转到ISP2上，网络仍然可以正常运行。LB330链路负载均衡器支持多达3条外接链路。此外，LB330链路负载均衡器具备抵御DoS/DDoS的功能，有效地保护内网的服务器免遭攻击。

　　方案特点:

　　1. 增加企业出口带宽，并提供了广域网链路的冗余。

　　2. 通过智能算法，可通过最优路径实现内外网访问。

　　3. 可以抵御DoS和 DDoS攻击有效的保护内网服务器。

　　为什么选择梭子鱼：

　　1、 聚合链路带宽

　　· 梭子鱼链路均衡机能自动聚合多个接入的带宽，管理员可以选择性价比最好的一家或多家接入商的多个较低带宽的接入，以最优的投资获得最好的带宽保障。.

　　2、 链路冗余

　　· 如果一条链路发生故障，梭子鱼链路均衡机能自动的将流量切换到别的正常的链路上，而不需要人工操作。在链路故障时，梭子鱼能自动周期性的进行检测，一旦检测到这条链路恢复正常，将再次启用此链路。正因为梭子鱼具备链路健康检测功能，因此能确保链路冗余。

　　3、 带宽管理和QoS

　　· 梭子鱼链路均衡机提供了带宽管理功能，对于不同的应用可以设置不同的优先级，例如：Web浏览和邮件设置为高优先级保障其带宽而流媒体及一些点到点(p2p)的应用则可配置成低优先级。优先级设置的灵活性确保带宽低优先级的应用不会干扰正常的商务应用。

　　4、 传统防火墙(作为一款边界设备，梭子鱼链路均衡机也具备防火墙的一些功能)：

　　· a) 网络地址转换(NAT)，该功能使得梭子鱼链路均衡机可以隔绝外网到内网的某种流量。

　　· b) 一对一的地址映射，一对一的地址映射允许梭子鱼将公网的IP直接分配给某个内网的设备上，一边外网能访问内部的应用，如SMTP应用。

　　· c) 端口转换，同一个外部地址可以根据端口转换到不同的内部服务器上;多个链路的同一个端口也可以转换到同一台内部设备上，这将方便外部到内部服务器的访问。

　　· d) IP 访问列表，可帮助管理员允许或阻止某个inbound或outbound流量。

　　5、梭子鱼链路均衡机还提供下列网络服务需求：

　　· a) DHCP server，梭子鱼链路均衡机根据DHCP协议自动分配IP地址，和传统DHCP服务器一样，梭子鱼上随时可以查看或管理的地址分配表。

　　· b) DNS caching server，梭子鱼链路均衡机可以配置成DNS查询服务器，在开启了DNS缓存功能后，内部网络通过梭子鱼可以进行解析，如果缓存中没有解析，梭子鱼将代理想ISP的DNS进行查询，并将结果发回给内部网络，这样，常用的DNS查询将在梭子鱼上完成。SSL卸载和加速：避免SSL加解密运算对服务器造成的额外压力，提高服务器的处理能力, 保证HTTPS访问的高效、安全、可靠。

　　时至今日，“信息”作为一种商业资产，其所拥有的价值对于一个企业而言毋庸置疑，重要性也与日俱增。越来越多的企业通过实施信息安全管理体系，来保证信息的保密性、完整性和可用性，保护信息免受来自各方的威胁，从而确保一个企业或机构可持续的发展。

　　通常企业都会通过聘请外部顾问以项目的形式，来进行自身信息安全管理体系的建设，咨询顾问与企业内体系推进人员共同进行体系的策划、风险评估、体系文件编写、风险管控措施规划，当体系建立完成后，最终由企业内部推行人员自行维护，推动体系的正常运转。通过这种方式来进行体系的建设，能够最大程度发挥咨询顾问的经验，使企业不会在体系的建设过程中迷失方向，但是，在项目结束咨询顾问撤场后，企业内部体系推行人员却显得无所适从，或者在体系的推行过程中显得并不是非常的得心应手，问题在哪里呢?主要是以下几个方面：

　　首先，在风险处置过程中所输出的众多信息安全管控措施难以统一规划，并且缺少各项控制措施与信息安全风险的一一对应。

　　众所周知，在风险评估的过程中将会全面、系统地对企业的各项信息资产进行详细的风险分析，系统的分析出企业所面临的各项风险，并对各项风险采取合理、有效的管控措施。在风险评估的过程中，企业所面临的信息安全风险的类别，以及每一类信息风险中实际风险的个数无疑是非常大的，并且不同类别的信息安全风险所采取管控措施的优先级也有很大的差别，如何对数量庞大的风险及管控措施进行合理的规划，对于企业来说无疑是一个很大的难题，尤其对于组织规模比较庞大的企业更是如此，因此如何对风险评估后的管控措施进行统一、合理的规划至关重要。

　　其次，信息安全管理体系中的各级文件、模板及记录很难有条理地进行管理。

　　信息安全管理体系拥有为数众多的文档化的方针、策略、规范、制度，并在体系运行的过程中将产生大量的记录，如何对这些文件进行分门别类的管理，并且很好的对其中的逻辑性与一致性进行控制，这对于体系维护人员来讲是一个不大不小的难题。

　　最后，体系实施及运作过程中关键的活动(如体系测量、组织内审、管理评审等)的策略、实施、记录很难系统化、程序化。

　　信息安全管理体系在进行PDCA循环运行中，控制措施测量、内审及管理评审是体系进行持续改进的发动机，但是，由于这些活动关系到企业的各个部门，组织、策划、协调起来非常的困难，因此，如何将这些活动的组织策划自动化、实施程序系统化，并且实施过程记录完整化是体系推行人员一个非常大的挑战。

　　如何对上面提到的这些问题进行有效的规避，即要发挥传统咨询模式的优点，又能够避免传统咨询模式的不足，使企业的信息安全管理体系实施更加有效呢?谷安天下经过多年的沉淀积累，总结了相关领域咨询经验，形成完善的信息安全体系建设方法论，通过结合IT风险控制体系建设流程及知识库，GooISMS能满足各级组织的IT风险控制体系建设需求。

　　GooISMS-信息安全体系建设系统包括安全体系规划、安全体系设计、安全体系实施、安全体系保障四个主要模块。这四个主要模块的功能说明如下：

　　1) 安全体系规划：分析识别出的信息安全改进措施，将需要增加或改进的措施分解成一项项任务或项目，明确每个任务或项目的目标、工作内容，分析任务或项目的实施优先级，根据实施优先级规划这些任务或项目的实施时间、实施范围及参与人员。

　　2) 安全体系设计：建立体系相关部门、人员、职责及联系信息，体统管理各类方针、策略、程序及作业指导书的模板及具体文件的归档、版本控制。

　　3) 安全体系实施：将各个任务实施的情况记录到系统中，对各项任务的实施的状态执行有效跟踪，并且评价各个任务实施的有效性。

　　4) 安全体系保障：对体系内部审核、外部审核及管理评审等活动进行组织、策划、协调，并对内审、外审、管理评审的过程进行记录，对各不符合项及预防措施进行记录及状态跟踪。

　　GooISMS-信息安全体系建设系统充分与信息安全管理体系咨询方法论进行结合，对体系建设过程提供完整的安全规划方法论，有效提高安全规划的合理性，提供内部审核、管理评审、外部审核等管理活动支持，保障体系的有效实施。