【51CTO.com原創(chuàng)稿件】長假早已結(jié)束，想必大家已被難熬的七天“長班”整得七葷八素了吧?我們的漫談也算是和大家有半個月沒有見面了。大家別來無恙啊?記得細(xì)心的讀者朋友曾兩次留言要求談?wù)劸唧w項(xiàng)目的選型和實(shí)現(xiàn)過程。那好，靈活如我的廉哥這次就跨一下自己定下的界，擱置上期的人員治理的侃大山，暫時不寫運(yùn)維了，改寫項(xiàng)目，并從項(xiàng)目啟動寫起。您看，咱這漫談夠任性吧?那么這次先和大家一起來看看信息安全在一個具體項(xiàng)目的初始階段所起到的作用。

[[173381]]

項(xiàng)目背景

話說我所供職的咨詢公司一向注重運(yùn)用信息技術(shù)來為本公司提升競爭力，而且已經(jīng)對云計算垂涎已久。最近在與客戶以及合作伙伴共同做項(xiàng)目的時候，環(huán)視周圍同行的應(yīng)用系統(tǒng)，更是受到了“孕婦效應(yīng)”的感染，顧問們一致要求上馬并使用一個“云交流與協(xié)作一站式平臺”，與時俱進(jìn)的提升他們的辦公效率。

項(xiàng)目啟動

根據(jù)外企的行事風(fēng)格，針對該平臺，我們公司各部門派代表臨時組建了一個項(xiàng)目委員會。而由于咨詢行業(yè)對合規(guī)要求比較嚴(yán)格，因此我們信息安全部作為信息技術(shù)和規(guī)范的“前哨團(tuán)”，責(zé)無旁貸的參與到了該項(xiàng)目中。委員會成員們本著“別讓領(lǐng)導(dǎo)做問答題，要讓領(lǐng)導(dǎo)做是非題。”的精神和不給領(lǐng)導(dǎo)添麻煩的思想，經(jīng)過三個晝夜的“燒腦”研究，整出了下面的幾份“超燃”的報告和問卷列表分別呈送給公司領(lǐng)導(dǎo)層審批以及發(fā)給各個應(yīng)標(biāo)的服務(wù)商作答。

需求分析

由于本公司的特殊性，哥在這里羅列出的只是主要內(nèi)容，其它和項(xiàng)目描述有關(guān)的以及陳述性的內(nèi)容皆已略去，也不足贅述。一句話，濃縮方得精華。

更為完整的需求分析報告需發(fā)給各個部門，特別是業(yè)務(wù)部代表確認(rèn)簽字后提交給公司管理層審批備案。

技術(shù)選型依據(jù)

得出了上述需求分析，下一步便是依據(jù)公司特性進(jìn)行技術(shù)選型了。鑒于我們身處咨詢行業(yè)，同時基于合伙制的前提條件下，應(yīng)該盡量減少公司內(nèi)部公攤固定資產(chǎn)的成本和管理投入，以實(shí)現(xiàn)各項(xiàng)目組按需使用、按用量分?jǐn)傎M(fèi)用、以及靈活擴(kuò)容等特點(diǎn)，我們在技術(shù)上選擇使用購置公有云的SaaS應(yīng)用把各種碎片化的企業(yè)溝通和協(xié)作需求集中到一起實(shí)現(xiàn)。

風(fēng)險分析

選定了技術(shù)方向，下一步就是安全團(tuán)隊(duì)一展拳腳的時候了。由IT部門牽頭，安全和法務(wù)部門跟進(jìn)，我們首先進(jìn)行了風(fēng)險分析和揭示，并得出如下高度概括的要點(diǎn)：

服務(wù)商審查

既然決定了是要購置云服務(wù)，眼看著項(xiàng)目組馬上要根據(jù)需求準(zhǔn)備在服務(wù)提供者池里發(fā)offer了。此時我們安全團(tuán)隊(duì)跳出來要求hold一下。因?yàn)檫@次的云服務(wù)相關(guān)項(xiàng)目相對來說比較新穎，各個服務(wù)商不免會牽著甲方的鼻子走，并把他們的產(chǎn)品忽悠上天。所以我們要淡定的，在心里默念喬幫主的那句“Think Different”，根據(jù)本公司的真實(shí)需求和行業(yè)規(guī)范特點(diǎn)，點(diǎn)對點(diǎn)的去做減法找不足，而不是做加法。因此我們召集項(xiàng)目組成員開了個“閉門會議”。最終決定，我們應(yīng)當(dāng)像那些顧問人員平時做業(yè)務(wù)那樣，對服務(wù)商也來個“盡職調(diào)查”式的全面審查。

這里值得提醒大家的是：這種審查一般發(fā)生在云服務(wù)項(xiàng)目立項(xiàng)后的對云提供商的遴選以及確定服務(wù)采購發(fā)生前的階段。那么問題來了，按圖索驥總歸有需要參考依據(jù)吧。幸好我們手頭有云安全聯(lián)盟(CSA)發(fā)布的云控制矩陣(Cloud Controls Matrix - CCM) 3.0版這一寶典神器，以便我們作為他山之石來照貓畫虎。下面羅列出作為企業(yè)安全人員我們需要從供應(yīng)商那里了解到的、以及明確寫入將來的購置合同中的checklist。

這份收放自如的questionaire是不是足以讓服務(wù)商們既不至于“懵圈”又不會小覷我方知識面?至少我早已被自己感動得涕零了。不過值得注意的是，在完成對各個服務(wù)商的審查后，記得要上傳到內(nèi)網(wǎng)項(xiàng)目集中管理平臺(如SharePoint)，以備日后審計所需哦。

當(dāng)然話說回來，我們實(shí)際上也可以找一個知名的第三方云服務(wù)評審商(cloud assessor vendor - CAV)來協(xié)助我們完成，而非親自勞心勞力。但是考慮到該項(xiàng)目規(guī)模不算大，時間比較緊迫，以及成本方面等因素，所以我們信息安全部就自己操刀“練練手”了。

好了，當(dāng)前該項(xiàng)目已經(jīng)選定了達(dá)標(biāo)的云服務(wù)提供商并已開啟了。廉哥會在后續(xù)的漫談中陸續(xù)向大家跟蹤并匯報整個項(xiàng)目在進(jìn)行到各個階段時所涉及到的信息安全方面的“坑點(diǎn)”or“亮點(diǎn)”的。

最后抒情一下吧。記得在有記者問及一位非著名相聲演員：內(nèi)容創(chuàng)作者都會恐懼江郎才盡之時，他的回答是：我們這個學(xué)的是技術(shù)。一個賣早飯、炸油條的會恐懼有一天江郎才盡嗎?同樣，廉哥也是信息安全界的手藝人plus熟練工，技術(shù)是我們的看家本領(lǐng)。衷心希望我的漫談能成為一些“低垂的果實(shí)”，方便讀者您去“采摘”，并且協(xié)助您和我一樣：持續(xù)保持著一個“技術(shù)人”的狀態(tài)。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請注明原文作者和出處為51CTO.com】