“二变一”的缠斗：基础篇

项目背景

         2005年，跨国企业S公司收购了F公司，两公司总部都位于G国，虽然该收购起始于海外的F公司和S公司总部，但考虑到全球IT支撑系统的稳定性，IT系统的全球重整与融合却以F公司中国区作为试点，希望中国区总结出行之有效的IT迁移解决方案，做到以点带面。

         笔者主持了两大跨国公司全球并购中的中国区IT系统的重新整合。作为负责维护S公司中国区网络系统的部门，笔者领导了将F公司的现有IT系统平滑并入S公司中国区网络的项目。

         企业间的并购与重组，是一些行业比较频繁的事情。值得关注的是，IT系统作为全球性企业运营支撑系统的关键元素，必然需要随着企业的重组而变化。

         企业业务上的重组过程往往是比较漫长的，从几个月到几年，分为不同阶段，而IT系统需要应对这些阶段以适应不同时期的企业生产经营活动的变化，目的是保证过渡期内的企业信息安全少受影响，从而使公司日常生产业务平滑过渡，并努力降低总体并购成本。

         “二变一”中的信息安全是具有挑战的，从制定信息安全总则到完成各方安全域的定义，再到风险评估，并最后落实为各个阶段的信息安全工作（包括其中的各种测试、成本控制、安全培训），都很复杂且充满挑战。为此，编辑从应用安全角度出发，邀请到了相关领域专家，将复杂的工作分成“基础”与“迁移”两篇，希望从实际案例中分享成功经验，以飨读者。

第一步：制定信息安全总则

确定安全目标

         S公司历来非常重视自身企业网的信息安全问题，所以，如何保证信息安全贯彻于整个IT系统的迁移与融合过程，是我们面临的最大挑战。我们的目标是通过经济有效的管理和技术手段，保证整个IT系统迁移过程不得违反S公司现有的信息安全政策，保证S公司信息安全的整体一致性。

明确IT资产

         企业间的兼并与重组反映到IT系统的迁移上，首先面临的问题是要明确被迁移的IT资产是什么，明确了IT资产也就明确了本项目的对象范围。在这里，最重要的、对企业最有价值的资产就是存储在数据库里的生产业务数据。例如设计图纸、财务报表、销售报表等。而孤立的数据必须通过网络系统才能被用户访问，所以网络系统也是重要的IT资产。另外，其他资产还包括PC、服务器、IT安全设备、操作系统、应用程序、数据库等。

量化安全保护

         明确了被迁移的企业信息资产的范围后，需要保护这些资产的以下三方面：

         第一，信息保密性。

         这些资产与F公司信息保密性有关，例如一些图纸信息直接关系到企业产品的质量、订单信息等，这些信息需要一定的保密措施，那么相关IT资产就需要一定程度的保护。

         第二，信息一致性。

         在IT迁移过程中，一些信息资产会被迁移到新的安全域中，那么必须保证两公司的授权用户对该信息访问的一致性，否则会破坏这些信息的真实性或者产生偏差，而这会直接影响生产运行。

         第三，信息高可用性。

         由于被整合的IT系统直接服务于24小时不间断运行的F公司生产网，这些信息资产的变化对F公司日常生产的影响非常大，任何IT系统方面的变更都要事先计划好时间，只能利用F公司生产间隙（如厂房检修）才能进行变更。

  在一个企业里，根据对安全要求的不同，往往人为定义多个安全域，各个安全域之间通过逻辑控制手段加以隔离并有限制、可控制地允许各安全域之间的访问和数据流动。在网络环境中，所有共同遵守相同安全策略并由同一组织管理的一组资产归为一个安全域。包括交换机、路由器、防火墙等网络设备和PC、服务器等主机设备，以及运行在这些硬件上的各种软件。

         从数据访问角度分析，客户机作为主体要访问客体资源时，IT人员需要关注主体与客体是否在同一个安全域内，对于跨越不同安全域的访问，IT人员要根据主体与客体所在的安全域级别的高低，定义相应访问控制策略并实施在相关安全设备上。

         在本项目中，因为只有S公司和F公司两个实体，本身就会自然地产生两个安全域。而IT系统的重整几乎会贯穿于整个企业的兼并过程，历时一年。所以，根据整个项目不同阶段的需要，我们共划分了三个安全域，即S安全域、F安全域、过渡安全域。

S安全域

         S安全域在整个项目期间都是真正的S公司Intranet，在第一阶段只包含了连接到S公司全球网的广域网路由器、局域网交换机以及S公司的Windows域控制器（S_DC）、打印服务器、DHCP服务器等必要的IT基础设施。该安全域的安全级别为高。

F安全域

         F安全域在整个项目期间也是真正的F公司Intranet。在第一阶段包含了F公司在中国的全部IT资产，即100多台各种配置的PC、网络打印机、连接到F公司全球网的广域网及路由器、F公司拥有并管理的防火墙，20多台局域网交换机、F公司的Windows的域控制器（F_DC）、打印服务器、DHCP服务器等必要的IT基础设施。另外，该安全域中还包括一台CAD专用服务器，根据两公司全球兼并的统一时间表，该服务器在一定时期内还要被G国的F公司员工远程访问，以保证整个兼并过程中F公司在中国的生产活动不受影响，所以在项目的第三阶段才能迁移到S公司Intranet中。该安全域的安全级别为低。

过渡安全域

         整个项目历时漫长，即便计划周密，但仍会有不可预见的情况出现，而S公司的内部信息安全政策十分完善、严格，甚至对于违反信息安全政策的行为有经济惩罚措施。从F公司现有IT资产的安全可信程度上看，100多台PC和服务器不可能在短期内完全符合S公司的信息安全标准，并一次性迁移到S安全域中；从用户访问资源的模式上看，还存在着被S公司和F公司同时访问的资源，所以有必要设置一个过渡安全域以容纳刚刚从F安全域迁移出来的IT资产，如PC和服务器等。

         对两个公司而言，这个过渡安全域就是一个数据缓冲地带，即可以在项目迁移过程中满足双方对正在迁移的资产、数据的访问。这样既保证了生产的正常运行，又能规避S公司严格的信息安全政策，其安全级别为中等。

         总之，以上这些安全域分别包含了属于S公司和F公司的资产，以及在迁移期间需要被双方共同访问的资源，而对于企业兼并过程中的IT重整，最显著的特点就是在不同阶段，资产将从原来的安全域迁移到新的安全域，伴随着资产的迁移，它所遵循的安全策略也将发生变化，并接受新的组织、新的安全域的管理。

         在具体网络架构设计上，我们在F公司中国区架设了一台“S公司防火墙”，它属于S公司资产并由S公司IT人员完全控制，通过该防火墙隔离不同的安全区域，承担了通信策略、访问策略和接口访问控制策略的作用。而且该防火墙也是S公司Intranet的安全边界，符合S公司信息安全政策。

    作为F公司企业生产网的重要支撑系统，IT系统的整合进度一定取决于公司整体业务过渡时间表。由于两公司的兼并行为涉及面广，并且受各自总部的政策制约，历时近一年时间，IT系统迁移项目也将定义不同的项目阶段，以满足不同时期两个公司对信息资产的访问要求。

         为了确保所有的安全整合分别符合两家公司的信息安全政策。在这里，我们首先的工作，就是进行全面的风险评估。

         在这个阶段，我们要根据被迁移的资产范围，以S公司信息安全政策为标准，进行信息安全风险评估，即发现、评估风险并通过各种手段使之降低到可接受程度的过程。这样做的目的，是通过了解F公司当前IT资产的状态，从信息安全角度找到它们与S公司信息安全标准之间的差距，调查这些差距可以了解对S公司现有IT系统造成的危害是什么，危害的程度有多大，如何通过技术和管理手段来降低现存的风险，从而降低整合后的IT系统对S公司Intranet的危害。

         在风险评估工作中，主要通过现场勘察IT资产配置情况、远程漏洞扫描等管理、技术手段发现信息安全漏洞来评估这些漏洞可能导致的风险，并适当估计这些风险可能给企业带来的财务损失。

         信息安全方面的风险不可能百分之百地消除，消除这些风险是需要相应人力、物力成本的，所有的成本都会反映到项目的财务管理中，而我们的资源是有限的，并且要努力降低企业兼并过程中的成本支出，所以我们追求的不是完全消除风险，而是要找到一个阶段性的平衡点，使得实施了安全控制手段后的残留风险达到各方都能接受，并且百分之百符合S公司信息安全政策的程度。

         需要强调的是，信息安全风险评估具有一定的主观性，一般难以量化，多是定性发现。另外，公司的资源是有限的，所以常常通过排优先级的方式确定有限的资源优先用于降低哪些风险。

企业兼并中的信息安全基础工作
■ 制定信息安全总则
● 确定安全目标
● 明确IT资产
● 量化安全保护

■ 完成安全域定义
● 兼并企业安全域
● 被兼并企业安全域
● 双方过渡安全域

■ 风险评估
● 确保安全整合符合两家公司政策
● 寻求阶段性风险平衡点
● 注意评估工作中的优先级