【51CTO.com原创稿件】长假早已结束,想必大家已被难熬的七天“长班”整得七荤八素了吧?我们的漫谈也算是和大家有半个月没有见面了。大家别来无恙啊?记得细心的读者朋友曾两次留言要求谈谈具体项目的选型和实现过程。那好,灵活如我的廉哥这次就跨一下自己定下的界,搁置上期的人员治理的侃大山,暂时不写运维了,改写项目,并从项目启动写起。您看,咱这漫谈够任性吧?那么这次先和大家一起来看看信息安全在一个具体项目的初始阶段所起到的作用。
项目背景
话说我所供职的咨询公司一向注重运用信息技术来为本公司提升竞争力,而且已经对云计算垂涎已久。最近在与客户以及合作伙伴共同做项目的时候,环视周围同行的应用系统,更是受到了“孕妇效应”的感染,顾问们一致要求上马并使用一个“云交流与协作一站式平台”,与时俱进的提升他们的办公效率。
项目启动
根据外企的行事风格,针对该平台,我们公司各部门派代表临时组建了一个项目委员会。而由于咨询行业对合规要求比较严格,因此我们信息安全部作为信息技术和规范的“前哨团”,责无旁贷的参与到了该项目中。委员会成员们本着“别让领导做问答题,要让领导做是非题。”的精神和不给领导添麻烦的思想,经过三个昼夜的“烧脑”研究,整出了下面的几份“超燃”的报告和问卷列表分别呈送给公司领导层审批以及发给各个应标的服务商作答。
需求分析
由于本公司的特殊性,哥在这里罗列出的只是主要内容,其它和项目描述有关的以及陈述性的内容皆已略去,也不足赘述。一句话,浓缩方得精华。
更为完整的需求分析报告需发给各个部门,特别是业务部代表确认签字后提交给公司管理层审批备案。
技术选型依据
得出了上述需求分析,下一步便是依据公司特性进行技术选型了。鉴于我们身处咨询行业,同时基于合伙制的前提条件下,应该尽量减少公司内部公摊固定资产的成本和管理投入,以实现各项目组按需使用、按用量分摊费用、以及灵活扩容等特点,我们在技术上选择使用购置公有云的SaaS应用把各种碎片化的企业沟通和协作需求集中到一起实现。
风险分析
选定了技术方向,下一步就是安全团队一展拳脚的时候了。由IT部门牵头,安全和法务部门跟进,我们首先进行了风险分析和揭示,并得出如下高度概括的要点:
服务商审查
既然决定了是要购置云服务,眼看着项目组马上要根据需求准备在服务提供者池里发offer了。此时我们安全团队跳出来要求hold一下。因为这次的云服务相关项目相对来说比较新颖,各个服务商不免会牵着甲方的鼻子走,并把他们的产品忽悠上天。所以我们要淡定的,在心里默念乔帮主的那句“Think Different”,根据本公司的真实需求和行业规范特点,点对点的去做减法找不足,而不是做加法。因此我们召集项目组成员开了个“闭门会议”。最终决定,我们应当像那些顾问人员平时做业务那样,对服务商也来个“尽职调查”式的全面审查。
这里值得提醒大家的是:这种审查一般发生在云服务项目立项后的对云提供商的遴选以及确定服务采购发生前的阶段。那么问题来了,按图索骥总归有需要参考依据吧。幸好我们手头有云安全联盟(CSA)发布的云控制矩阵(Cloud Controls Matrix - CCM) 3.0版这一宝典神器,以便我们作为他山之石来照猫画虎。下面罗列出作为企业安全人员我们需要从供应商那里了解到的、以及明确写入将来的购置合同中的checklist。
这份收放自如的questionaire是不是足以让服务商们既不至于“懵圈”又不会小觑我方知识面?至少我早已被自己感动得涕零了。不过值得注意的是,在完成对各个服务商的审查后,记得要上传到内网项目集中管理平台(如SharePoint),以备日后审计所需哦。
当然话说回来,我们实际上也可以找一个知名的第三方云服务评审商(cloud assessor vendor - CAV)来协助我们完成,而非亲自劳心劳力。但是考虑到该项目规模不算大,时间比较紧迫,以及成本方面等因素,所以我们信息安全部就自己操刀“练练手”了。
好了,当前该项目已经选定了达标的云服务提供商并已开启了。廉哥会在后续的漫谈中陆续向大家跟踪并汇报整个项目在进行到各个阶段时所涉及到的信息安全方面的“坑点”or“亮点”的。
最后抒情一下吧。记得在有记者问及一位非著名相声演员:内容创作者都会恐惧江郎才尽之时,他的回答是:我们这个学的是技术。一个卖早饭、炸油条的会恐惧有一天江郎才尽吗?同样,廉哥也是信息安全界的手艺人plus熟练工,技术是我们的看家本领。衷心希望我的漫谈能成为一些“低垂的果实”,方便读者您去“采摘”,并且协助您和我一样:持续保持着一个“技术人”的状态。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
