“二变一”的缠斗：迁移篇

  在该阶段，F公司IT资产被迁移到过渡安全域中进行“磨合”，妥善处理了危及信息安全和一些应用层面的问题，基本实现了第一阶段的平滑迁移。在过渡安全域中，我们全部使用S公司的IP地址。另外，根据S两公司的信息安全政策，我们制定了防火墙的安全策略和规则：

         第一，根据用户需求开通从过渡安全域的指定主机到S安全域指定主机之间的端口级访问控制；第二，根据用户需求开通从F安全域的指定主机到过渡安全域指定主机之间的端口级访问控制；第三，拒绝从F安全域到S安全域的任何数据访问，拒绝的同时进行审计跟踪。同时，根据这些规则，我们详细设计了S公司防火墙上的安全策略。



阶段二：过渡安全域→S安全域

         第二阶段的工作会轻松很多，因为随着过渡安全域的正常使用，接下来要做的就是从过渡安全域中把IT资产迁移到S安全域里。事实上，随着重组进程的加快，这部分并不困难。

         随着两公司业务整合的不断深入，IT的整合也随之深入开展。在第一阶段工作进行了一段时间后，F安全域中已经有95%的资产被迁移到过渡安全域中，此时进入第二阶段是最佳时机。

         需要提醒读者注意的是，由于过渡安全域中已经使用了S公司的IP地址，所以本阶段的迁移工作完全可以做到对用户PC和上层各种应用的透明。换句话说，IT人员在此阶段需要变更的，仅仅是S公司防火墙上的安全策略和少量IP路由。

         在第二阶段的末期，随着兼并公司总部的系统融合与迁移，中国区的工作可以逐渐收尾。IT人员在此阶段要做的，就是把被迁移公司的IT系统完全改造成兼并企业的一部分。

         在全部第二阶段工作完成以后，F公司中国区99%的IT资产已经迁移到了S 公司Intranet中。最重要的是，两公司在G国总部的IT迁移、融合也进行到了一定程度，涉及中国区的业务都从原来的经由F公司Intranet网络，迁移到经由S公司Intranet网络到达F公司中国区。

         基于此，我们完全可以在本阶段可以将F公司中国区IT系统完全改造成S公司Intranet的一部分。而IT人员首先要做的，就是取消F公司中国区的F公司广域网出口，所有出口流量都通过S公司Intranet。这样一来，F公司防火墙也可以被取消了。



阶段X：核心经验

         之所以称之为阶段X，是因为很多内容都是贯穿在整个基础篇与迁移篇的过程中的。对于国内企业用户来说，兼并中的信息安全并非一蹴而就，其复杂与难度往往体现在对项目的控制上。

         第一，确保良好的沟通

         与一般的IT系统集成的“交钥匙”项目相比，信息安全项目更多了一些管理上和不同组织内人的安全观念上的挑战。

         一个企业内部信息安全相关的事务大多是强制性、不容妥协的，而且安全方面的成本投入不会立竿见影，是不容易被各个业务部门甚至高层管理者接受并主动遵照执行的。面对信息安全中最薄弱的环节—IT系统的用户，包括企业内部员工及生产业务部门，如何使所有员工，特别是管理层真正接受，并在企业资源配置和企业IT宏观政策上全力支持信息安全建设和实施，是企业内部信息安全成功实施的关键因素。

         而在企业兼并相关的信息安全项目中，最具挑战性的是与被兼并方IT部门的沟通，并获得对方的理解配合及人力上的全力支持。

         由于两公司的IT系统合并，有可能导致原有IT管理流程的变更，甚至导致原IT部门人员工作岗位的变化，直接触及一些部门、个人的利益，这些都影响着对方支持信息安全项目的态度和力度。

         所以，一个信息安全项目能否成功实施，既取决于技术方案是否设计成功，更取决于安全项目的管理以及与当事各方通力合作的成功，良好的沟通至关重要。

作为该项目网络部分总负责人，除了应该具备深厚的技术背景，还要有优秀的沟通能力，能够在被兼并公司“动荡”的内部变革大环境中寻求到所需的配合，例如F公司准确、完整的IT资产配置管理等存档数据库，这会极大地降低项目实施的周期和成本。

         另外，由于F公司中国区的IT人员没有本地网络系统的管理权限，更不会在IT迁移的实施阶段直接参与具体设备配置的变更，我们还需要与G国IT管理员充分直接沟通，得到F公司全球路由变更，以及防火墙策略调整的配合。

         第二，步步为营，充分测试

         由于中国区的IT系统合并方案是两公司全球IT系统合并的第一步，在真正实施上述项目阶段前，我们在技术层面专门搭建了模拟环境做测试，如模拟在S公司防火墙两侧测试两公司的Windows域控制器DC之间建立信任关系等等。

         另外，我们并不是将S公司成熟的信息安全政策完全照搬到项目中，而是因地制宜地引入到项目的不同阶段，以适应不同时期的需要，这点也体现在技术层面的功能测试中，即通过技术层面的测试，检验S公司信息安全政策在项目不同阶段的可实施性，从而适当调整相应的技术解决方案，以符合信息安全政策。

         在项目实施过程中，每个新旧阶段交替时，我们都要做阶段性整体测试，以保证生产网的业务不受影响，以及对用户的透明度。

         第三，用户安全培训

         IT系统迁移时期的信息安全，不仅是技术问题，更是管理问题，不仅要管理设备、技术，更要降低信息的使用者—用户及员工方面的安全漏洞。

         在信息安全领域中，内部员工是最薄弱的环节，在新旧公司的管理交接过程中，为F公司的员工培训S公司的信息安全显得尤其重要。要防止发生用户无意识危害信息安全的事件，如擅自将私人电脑接入企业生产网络。

         另外，在企业兼并过程中一些员工难免会产生消极情绪，个别员工可能有危及信息安全行为，如趁乱窃取敏感的生产数据。通过信息安全教育与培训，我们需要原来F公司的员工尽快熟悉并理解新的工作环境中的重要的信息安全政策，主动遵守S公司信息安全政策，对危害信息安全的事件保持一定敏感性。

         第四，成本控制

         企业兼并行为是要付出巨大成本的，所以管理层往往对IT系统的迁移、合并，在成本控制上要求很高。任何设备采购都要有充分理由，并且要考虑兼并后的该设备存在的必要性。要充分利用现有资源，充分利用现有的网络设备和网络安全设备，尽量降低建设成本。

         由于项目中存在一些过渡阶段，一些涉及的IT设备，如S公司防火墙，在IT迁移全部完成后就会下线，就属于临时性设备。所以，我们在设备采购时要评估好用户需求，才能确定所需防火墙的性能，够用就行。

         举例来说，F公司已经使用了大量新购买的以太网交换机，必须完全利用起来，而在风险评估和项目迁移的第一阶段，要求这些交换机同时支持F安全域和过渡安全域，我们在这些交换机建立了若干二层VLAN，分别对应两个安全域。各VLAN的网关IP地址分别是S公司防火墙的E3和E2接口，这样既遵守了信息安全政策，又充分利用了现有设备。而且在进行第二阶段时，只需把过渡安全域VLAN的网关IP地址，简单地从S公司防火墙的E2接口设置到S安全域内，就可实现对应用、用户的平滑迁移。。