浅看华为IT内控

8593hgc1b7

要说华为IT，先得介绍下现今华为的规模。华为发展至今为止，业已壮大到了9万余人之多，5个一级部门、3个独立子公司，在全球200多个设置地区部，任老板在IT部门投入很大，建立了大量的电子流程平台。NS部门主要负责整个华为的IT安全，包括安全预研、架构、监控、审计、稽核、以及IT流程建设并负责部分安全产品开发工作。就算是在这种情况下，也不可避免的出现了机密资料泄漏、黑客闯入、员工违规等信息安全事件，对手也是层出不穷，面临高智商IT犯罪的挑战。

整个IT有1000余人，先说说NS的内部结构，NS有100人左右，含有安全架构部、策略管理、安全开发、审计稽核几个3级部门。与NS经常打交道的部门有SO运维、OPS执行推广2级部门等。信息安全方案的建设过程最终要转产到SO去日常运维，在全球企业分支推广需要OPS来项目运作。当然NS只是华为信息安全IS体系的一部分，华为还设立了信管办、信息安全小组、信息安全部等更神秘的部门。

Network Security 的主要工作有：
1，信息安全新技术预研，供应商产品交流，安全项目立项，网络安全支持；
2，内部网络安全监控，如对IDPS，firewall，soc系统的管理；
3，内部安全审计，当然不仅仅是渗透测试，还有专门的稽核等取证工作；
4，信息安全策略制定，企业内控策略推广、落地等工作；
5，内部IT基础建设，安全产品开发等；

下面是对为的网络安全实现一些肤浅理解，为了条理性，鄙人对信息安全主要做了个分类：终端安全、web安全、邮件安全、接入应用安全、PKI体系、数据防泄漏等方面。基本覆盖了IS的C.I.A，完整、机密、可用；虽然主要是从安全技术架构去实现，但另外华为IT还建立了成熟的IT流程及电子流审批规范，真正将IS策略绑定到了管理职责、行为、人上。3分技术7分管理还是在华为IT建设中体现的尤为突出，据说华为通过了ISO27000认证。

终端安全
谈起这块，首要就是AV，华为采用Symantec的最新版本SEP11，含网络版防毒和HIPS功能，其实SEP的功能模块远不止这些，但华为另取奇道，自己开发了SPES终端监控软件，实现CPM硬件端口监控，身份认证，资产管理，终端审计，软件合规性管理、文件加密等同集成功能程序，McAfee t-Sales说SPES与他们的ApplicationControl比较有过之而无不及。
举个例子，某人使用USB拷贝数据，从USB拷入PC是可以的，但从PC拷贝至USB中，会触发SPES审计，SPES会直接屏幕截屏，中断网络，强制接入注销，当然机密文档另外有RMS加密技术，就算copy出来了，也是无法解密的（理论上:-）

WEB安全
没有进入华为前，总是猜测华为内部怎么上网，一直以为是以为固定PC才可上网查询有限网站的内容。
其实不然，这块IT使用了2中HTTP访问手段：
1是虚拟浏览器应用，首先员工上网通过电子流申请，由3级部门主管审批后，开通HTTP访问权限，申请人会获得安装程序和种子文件，该程序会模拟开启虚拟浏览器，使用种子文件进行身份认证，通过该虚拟IE访问WEB，当然这是在全程监控的过程中，有很多限制，应用也不是十分贴切，我反正觉得用长了我会崩溃。
2是Proxy，当然也需要申请，华为会有若干出口的代理（US，UK，AU，CN，IN，DE），就看你去那个出口了，这种方式会比较习惯。
现在的Proxy集成了AV、CF（内容过滤）的多种功能，可能是遵循传说中的一国一出口的原则，部署了大量的Proxy，在web通道的内控上做足了投入。