「二變一」的纏鬥 遷移篇

2021-04-14 19:49:17 字數 3106 閱讀 6805

在該階段,f公司it資產被遷移到過渡安全域中進行「磨合」,妥善處理了危及資訊保安和一些應用層面的問題,基本實現了第一階段的平滑遷移。在過渡安全域中,我們全部使用s公司的ip位址。另外,根據s兩公司的資訊保安政策,我們制定了防火牆的安全策略和規則:

第一,根據使用者需求開通從過渡安全域的指定主機到s安全域指定主機之間的埠級訪問控制;第二,根據使用者需求開通從f安全域的指定主機到過渡安全域指定主機之間的埠級訪問控制;第三,拒絕從f安全域到s安全域的任何資料訪問,拒絕的同時進行審計跟蹤。同時,根據這些規則,我們詳細設計了s公司防火牆上的安全策略。

階段二:過渡安全域→s安全域

第二階段的工作會輕鬆很多,因為隨著過渡安全域的正常使用,接下來要做的就是從過渡安全域中把it資產遷移到s安全域裡。事實上,隨著重組程序的加快,這部分並不困難。

隨著兩公司業務整合的不斷深入,it的整合也隨之深入開展。在第一階段工作進行了一段時間後,f安全域中已經有95%的資產被遷移到過渡安全域中,此時進入第二階段是最佳時機。

需要提醒讀者注意的是,由於過渡安全域中已經使用了s公司的ip位址,所以本階段的遷移工作完全可以做到對使用者pc和上層各種應用的透明。換句話說,it人員在此階段需要變更的,僅僅是s公司防火牆上的安全策略和少量ip路由。

在第二階段的末期,隨著兼併公司總部的系統融合與遷移,中國區的工作可以逐漸收尾。it人員在此階段要做的,就是把被遷移公司的it系統完全改造成兼併企業的一部分。

在全部第二階段工作完成以後,f公司中國區99%的it資產已經遷移到了s 公司intranet中。最重要的是,兩公司在g國總部的it遷移、融合也進行到了一定程度,涉及中國區的業務都從原來的經由f公司intranet網路,遷移到經由s公司intranet網路到達f公司中國區。

基於此,我們完全可以在本階段可以將f公司中國區it系統完全改造成s公司intranet的一部分。而it人員首先要做的,就是取消f公司中國區的f公司廣域網出口,所有出口流量都通過s公司intranet。這樣一來,f公司防火牆也可以被取消了。

階段x:核心經驗

之所以稱之為階段x,是因為很多內容都是貫穿在整個基礎篇與遷移篇的過程中的。對於國內企業使用者來說,兼併中的資訊保安並非一蹴而就,其複雜與難度往往體現在對專案的控制上。

第一,確保良好的溝通

與一般的it系統整合的「交鑰匙」專案相比,資訊保安專案更多了一些管理上和不同組織內人的安全觀念上的挑戰。

乙個企業內部資訊保安相關的事務大多是強制性、不容妥協的,而且安全方面的成本投入不會立竿見影,是不容易被各個業務部門甚至高層管理者接受並主動遵照執行的。面對資訊保安中最薄弱的環節—it系統的使用者,包括企業內部員工及生產業務部門,如何使所有員工,特別是管理層真正接受,並在企業資源配置和企業it巨集觀政策上全力支援資訊保安建設和實施,是企業內部資訊保安成功實施的關鍵因素。

而在企業兼併相關的資訊保安專案中,最具挑戰性的是與被兼併方it部門的溝通,並獲得對方的理解配合及人力上的全力支援。

由於兩公司的it系統合併,有可能導致原有it管理流程的變更,甚至導致原it部門人員工作崗位的變化,直接觸及一些部門、個人的利益,這些都影響著對方支援資訊保安專案的態度和力度。

所以,乙個資訊保安專案能否成功實施,既取決於技術方案是否設計成功,更取決於安全專案的管理以及與當事各方通力合作的成功,良好的溝通至關重要。

作為該專案網路部分總負責人,除了應該具備深厚的技術背景,還要有優秀的溝通能力,能夠在被兼併公司「動盪」的內部變革大環境中尋求到所需的配合,例如f公司準確、完整的it資產配置管理等存檔資料庫,這會極大地降低專案實施的週期和成本。

另外,由於f公司中國區的it人員沒有本地網路系統的管理許可權,更不會在it遷移的實施階段直接參與具體裝置配置的變更,我們還需要與g國it管理員充分直接溝通,得到f公司全球路由變更,以及防火牆策略調整的配合。

第二,步步為營,充分測試

由於中國區的it系統合併方案是兩公司全球it系統合併的第一步,在真正實施上述專案階段前,我們在技術層面專門搭建了模擬環境做測試,如模擬在s公司防火牆兩側測試兩公司的windows域控制器dc之間建立信任關係等等。

另外,我們並不是將s公司成熟的資訊保安政策完全照搬到專案中,而是因地制宜地引入到專案的不同階段,以適應不同時期的需要,這點也體現在技術層面的功能測試中,即通過技術層面的測試,檢驗s公司資訊保安政策在專案不同階段的可實施性,從而適當調整相應的技術解決方案,以符合資訊保安政策。

在專案實施過程中,每個新舊階段交替時,我們都要做階段性整體測試,以保證生產網的業務不受影響,以及對使用者的透明度。

第三,使用者安全培訓

it系統遷移時期的資訊保安,不僅是技術問題,更是管理問題,不僅要管理裝置、技術,更要降低資訊的使用者—使用者及員工方面的安全漏洞。

在資訊保安領域中,內部員工是最薄弱的環節,在新舊公司的管理交接過程中,為f公司的員工培訓s公司的資訊保安顯得尤其重要。要防止發生使用者無意識危害資訊保安的事件,如擅自將私人電腦接入企業生產網路。

另外,在企業兼併過程中一些員工難免會產生消極情緒,個別員工可能有危及資訊保安行為,如趁亂竊取敏感的生產資料。通過資訊保安教育與培訓,我們需要原來f公司的員工盡快熟悉並理解新的工作環境中的重要的資訊保安政策,主動遵守s公司資訊保安政策,對危害資訊保安的事件保持一定敏感性。

第四,成本控制

企業兼併行為是要付出巨大成本的,所以管理層往往對it系統的遷移、合併,在成本控制上要求很高。任何裝置採購都要有充分理由,並且要考慮兼併後的該裝置存在的必要性。要充分利用現有資源,充分利用現有的網路裝置和網路安全裝置,盡量降低建設成本。

由於專案中存在一些過渡階段,一些涉及的it裝置,如s公司防火牆,在it遷移全部完成後就會下線,就屬於臨時性裝置。所以,我們在裝置採購時要評估好使用者需求,才能確定所需防火牆的效能,夠用就行。

舉例來說,f公司已經使用了大量新購買的乙太網交換機,必須完全利用起來,而在風險評估和專案遷移的第一階段,要求這些交換機同時支援f安全域和過渡安全域,我們在這些交換機建立了若干二層vlan,分別對應兩個安全域。各vlan的閘道器ip位址分別是s公司防火牆的e3和e2介面,這樣既遵守了資訊保安政策,又充分利用了現有裝置。而且在進行第二階段時,只需把過渡安全域vlan的閘道器ip位址,簡單地從s公司防火牆的e2介面設定到s安全域內,就可實現對應用、使用者的平滑遷移。。  

BIEE入門篇之二 BIEE的遷移部署

在這裡講一下biee的部署。biee的資料庫層管理和邏輯建模均是在rpd檔案中進行管理,如下圖所示 rpd檔案存放在 oracle bi home server repository路徑下。具體的rpd檔名指向則由 oracle bi home server config nqsconfig.ini...

正規化篇之二第一正規化

第一正規化是指資料表中的每一列都是不可分割的基本資料項 也就是說資料庫中每一列都要存放一些最基本的資料 同一列中不能有多個值,即實體中的某個屬性不能有多個值或者不能有重複的屬性 第一正規化包括下列指導原則 陣列的每乙個屬性只能包含乙個值,關係中的每個陣列必須包含相同數量的值,關係中的每個陣列一定不能...

js 標準二維陣列變一維陣列的方法

利用es5的arr.reduce callback initialvalue 實現 var arr1 0,1 2,3 4,5 var arr2 arr1.reduce function a,b arr2 0,1,2,3,4,5 利用es6 var arr1 0,1 2,3 4,5 function ...