cnbird's blog

cnbird's blog

浅看华为IT内控

要说华为IT,先得介绍下现今华为的规模。华为发展至今为止,业已壮大到了9万余人之多,5个一级部门、3个独立子公司,在全球200多个设置地区部,任老板在IT部门投入很大,建立了大量的电子流程平台。NS部门主要负责整个华为的IT安全,包括安全预研、架构、监控、审计、稽核、以及IT流程建设并负责部分安全产品开发工作。就算是在这种情况下,也不可避免的出现了机密资料泄漏、黑客闯入、员工违规等信息安全事件,对手也是层出不穷,面临高智商IT犯罪的挑战。

整个IT有1000余人,先说说NS的内部结构,NS有100人左右,含有安全架构部、策略管理、安全开发、审计稽核几个3级部门。与NS经常打交道的部门有SO运维、OPS执行推广2级部门等。信息安全方案的建设过程最终要转产到SO去日常运维,在全球企业分支推广需要OPS来项目运作。当然NS只是华为信息安全IS体系的一部分,华为还设立了信管办、信息安全小组、信息安全部等更神秘的部门。

Network Security 的主要工作有:
1,信息安全新技术预研,供应商产品交流,安全项目立项,网络安全支持;
2,内部网络安全监控,如对IDPS,firewall,soc系统的管理;
3,内部安全审计,当然不仅仅是渗透测试,还有专门的稽核等取证工作;
4,信息安全策略制定,企业内控策略推广、落地等工作;
5,内部IT基础建设,安全产品开发等;

下面是对为的网络安全实现一些肤浅理解,为了条理性,鄙人对信息安全主要做了个分类:终端安全、web安全、邮件安全、接入应用安全、PKI体系、数据防泄漏等方面。基本覆盖了IS的C.I.A,完整、机密、可用;虽然主要是从安全技术架构去实现,但另外华为IT还建立了成熟的IT流程及电子流审批规范,真正将IS策略绑定到了管理职责、行为、人上。3分技术7分管理还是在华为IT建设中体现的尤为突出,据说华为通过了ISO27000认证。

终端安全
谈起这块,首要就是AV,华为采用Symantec的最新版本SEP11,含网络版防毒和HIPS功能,其实SEP的功能模块远不止这些,但华为另取奇道,自己开发了SPES终端监控软件,实现CPM硬件端口监控,身份认证,资产管理,终端审计,软件合规性管理、文件加密等同集成功能程序,McAfee t-Sales说SPES与他们的ApplicationControl比较有过之而无不及。
举个例子,某人使用USB拷贝数据,从USB拷入PC是可以的,但从PC拷贝至USB中,会触发SPES审计,SPES会直接屏幕截屏,中断网络,强制接入注销,当然机密文档另外有RMS加密技术,就算copy出来了,也是无法解密的(理论上:-)

WEB安全
没有进入华为前,总是猜测华为内部怎么上网,一直以为是以为固定PC才可上网查询有限网站的内容。
其实不然,这块IT使用了2中HTTP访问手段:
1是虚拟浏览器应用,首先员工上网通过电子流申请,由3级部门主管审批后,开通HTTP访问权限,申请人会获得安装程序和种子文件,该程序会模拟开启虚拟浏览器,使用种子文件进行身份认证,通过该虚拟IE访问WEB,当然这是在全程监控的过程中,有很多限制,应用也不是十分贴切,我反正觉得用长了我会崩溃。
2是Proxy,当然也需要申请,华为会有若干出口的代理(US,UK,AU,CN,IN,DE),就看你去那个出口了,这种方式会比较习惯。
现在的Proxy集成了AV、CF(内容过滤)的多种功能,可能是遵循传说中的一国一出口的原则,部署了大量的Proxy,在web通道的内控上做足了投入。

阅读更多
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭