英特尔:选择安腾平台建立企业安全计划

　　在当今的企业计算环境中，安全是头等大事。但是随着企业网络日益走向分布化，要实现绝对安全几乎是不可能的。因此，各企业必须制定企业安全计划（Enterprise Security Plan -- ESP），以确定在既有技术、预算及其它资源的限制下可实现的安全性的级别。基于创新技术的英特尔64位安腾平台提供企业安全计划所需要的经济高效、灵活延展和诸多可供选择的解决方案。

　　当企业开始执行安全计划时，其目标可能是保证数据及计算资源的绝对安全。不幸的是，要实现绝对的安全是不可能的，正如保证住所的绝对安全是不可能的一样。就设计而言，大多数计算机系统都不安全。计算机是用来处理及沟通信息的，而不是用来保护信息的。将计算机联系在一起的网络也将通信视作首要任务。

　　所以，当数以千计的计算机连接到更多的网段上时，大量破坏安全的隐患产生了。在这种情况下，在本地计算基础设施上落实各种安全技术并不能造就刀枪不入的系统安全，从而无法完全确保分布式系统的安全。然而，利用成熟技术可以在技术及资源的限度内实现安全最大化。审视安全问题的正确方式是提出如下问题："哪种级别的安全是适当的并且是可以实现的？"

　　企业安全计划

　　欲判定合适的并且是可以实现的安全级别，企业需要评估其组织结构、个人关系、政策甚至公司的政治关联。评估结果可能是一长串需要解决的安全问题。不可能一下子将它们都解决掉；也不可能在很短的时间内将问题彻底解决。不过，在正常的业务运作、公司愿意投入的资源及当今技术的限制范围内，通过实施企业安全计划，实现极其安全的技术基础设施是可能的。

　　企业安全计划是提供可实现的最高级别的安全性的一种方式。Dale Kutnick及F. Christian Byrnes在他们合著的《商业信息安全：保护企业及其网络的战略》一书中提出下列6步规划法，为设计及执行安全政策提供了实用的过程及方法。

　　企业安全计划的6个步骤

　　第一步：保障企业安全的准备工作

　　企业安全计划的第一步是企业为需要实施的安全变化做好准备。这一步骤在ESP中最为重要，这是因为如果没有足够的准备，任何安全计划注定以失败告终。准备工作涉及3项任务：
　　l 打造满足企业安全管理需要的基础。
　　l 确保存在一个结构合理的安全组织，以支持安全体系。
　　l 确保整个企业都被调动起来，支持新的安全计划。

　　企业安全计划的一个关键任务是动员企业员工支持安全计划。安全计划将产生新的角色及责任。它也要求用户采用新的程序。要让所有这些变动都被员工接受并在整个公司加以贯彻，需要管理层的大力支持。

　　第二步：按照资源及域组织安全

　　大多数组织在互不相关的业务部门（域）采用各种计算平台、操作系统、应用程序以及数据库管理系统（资源）。任何"解决安全问题"的试图都必须面对这样一个事实，即需要摆平的事情不仅仅限于现有员工及资金限制，至少在短期内是这样的。在确定风险顺序之前，企业的所有资源－需要防止未经授权访问的各种业务对象－都将被划分至不同的安全域。随后，这些域将允许管理员为他们面临的各种风险指配优先顺序。

　　第三步：完成基准安全性分析

　　在本步骤中，以实用方式，按照可用深度盘存现有的安全政策。该基准将作为侧重有关被研究域状态的政策被存档保留。今后，该政策记录要么作为表示安全政策变动的基准文件，要么被最终的政策文件重新利用。

　　第四步：完整的要求

　　尽管到此为止，您可能对资源的安全级别及公司的安全系统已经有了一个大概的了解，但还是必须清楚地说明安全要求。随后，安全管理员需要确定如何在整个企业内执行安全政策。

　　第五步：发现差距并根据需要指配优先顺序

　　现在，资源所有者及企业的商业需要已被记录在案。将该记录与当前的工作进行比较（差距），可以制定出各种战术目标。所谓战术目标是指利用当前的安全技术在一年内可以实现的目标。

　　根据资源所有者及企业的共同目的与目标制定出各种战略目标。由于任务过于繁重或者技术很不成熟或不充分，实现这些目标往往需要一年以上的时间。

　　在制定出这两种目标之后，企业即可确立安全技术战略。通过该项工作企业即可搭建安全架构。安全架构建立在实现确立的战术与战略目标所需要的安全政策及技术基础之上。ESP要求将安全问题看作是与理想状态的差异，即当前正在发生的事情与企业需要的安全性之间的差异。

　　上文所述的差距通过单独的安全工程来解决。因为不可能立刻弥补所有差距，所以根据任务的轻重缓急及可实现程度确定任务的优先顺序非常重要。这涉及到风险分析。

　　第六步：选择并规划工程

　　为安全工程制定可行计划是ESP的首要目标。如果安全管理员利用现有资源以最佳方式完成其份内之事，则他/她就是在为达到可实现的安全目标而努力：打造一个具有适当安全性的企业。

　　安全技术

　　全技术分为两类，即实现与支持技术。实现技术是创建安全环境的技术，而支持技术是支持安全环境的部分后台处理程序。

　　实现技术包括：
　　l 鉴权－计算系统确定请求来源的方法。
　　l 认证－保证在一段时间或者一定空间内身份一致性的过程。
　　l 授权－根据需要，仅授予每位被鉴权用户有限的权利。
　　l 访问控制－确保无法进行未经授权的操作。

　　安全支持技术包括：
　　l 管理－在所有地方同时保持完整的鉴权、认证及授权记录。
　　l 审查－了解企图或成功侵犯安全性的行动。

　　两种与安全使能技术紧密相关的做法对实现长期安全目标十分重要。其一是通过基于角色授权（RBA）实施的单点管理（SPA）。SPA使得安全管理员能够在分布式系统的某一单点管理个人安全。实施SPA是一项艰巨的任务，需要大量规划。

　　第二项技术是单点登录（SSO）系统。从用户的角度来说，他们非常希望建立这样一种系统安全机制，即他们只需登录一次便可访问他们工作所需的所有资源。

　　譬如说，一般员工需要分别进行20多次登录。这降低了工作效率、增加了支持成本，并导致从职员到CEO的每个人都对安全主管产生敌意。因此，减少登录次数常常是开展安全项目的动因所在。假定的解决方案是具有SSO架构的软件。然而，这种软件现在还不成熟，还不能以较低成本满足大公司整个企业内的安全需求。尽管如此，利用ESP，企业还是可以开始实现SPA及SSO并迅速向这些最佳做法靠拢。

　　选择安腾平台，制订企业安全计划

　　在当今的商业环境中，我们需要面对的是进行双向通信的分布式系统，因此我们不可能在整个基础设施周围竖起一堵围墙。重要的是可以实现何种级别的安全。实现企业安全计划可以帮助企业了解如何实现最高级别的安全性。在企业安全中，授权技术的角色最为重要。它通过鉴别使用哪种软件的哪些人有权执行任务并访问网络信息来保护数据及资源。但是，在当今不断扩张的分布式网络中，维持高效的授权对管理员来说不啻于一场恶梦。在缺乏真正的单一登录系统的情况下，使用单点管理及基于角色的授权是企业授权的最佳做法。

　　英特尔安腾处理器以全新的64位体系架构，对性能追求最高的市场需求提供强大计算动力、完整方案和与应用兼容的新一代计算平台，提供企业安全计划中所需要的计算性能，在数据安全领域具有无可比拟的优势，成为帮助企业建立企业安全计划的强力引擎。