【51CTO.com原創稿件】長假早已結束，想必大家已被難熬的七天“長班”整得七葷八素了吧?我們的漫談也算是和大家有半個月沒有見面了。大家別來無恙啊?記得細心的讀者朋友曾兩次留言要求談談具體項目的選型和實現過程。那好，靈活如我的廉哥這次就跨一下自己定下的界，擱置上期的人員治理的侃大山，暫時不寫運維了，改寫項目，并從項目啟動寫起。您看，咱這漫談夠任性吧?那么這次先和大家一起來看看信息安全在一個具體項目的初始階段所起到的作用。

[[173381]]

項目背景

話說我所供職的咨詢公司一向注重運用信息技術來為本公司提升競爭力，而且已經對云計算垂涎已久。最近在與客戶以及合作伙伴共同做項目的時候，環視周圍同行的應用系統，更是受到了“孕婦效應”的感染，顧問們一致要求上馬并使用一個“云交流與協作一站式平臺”，與時俱進的提升他們的辦公效率。

項目啟動

根據外企的行事風格，針對該平臺，我們公司各部門派代表臨時組建了一個項目委員會。而由于咨詢行業對合規要求比較嚴格，因此我們信息安全部作為信息技術和規范的“前哨團”，責無旁貸的參與到了該項目中。委員會成員們本著“別讓領導做問答題，要讓領導做是非題。”的精神和不給領導添麻煩的思想，經過三個晝夜的“燒腦”研究，整出了下面的幾份“超燃”的報告和問卷列表分別呈送給公司領導層審批以及發給各個應標的服務商作答。

需求分析

由于本公司的特殊性，哥在這里羅列出的只是主要內容，其它和項目描述有關的以及陳述性的內容皆已略去，也不足贅述。一句話，濃縮方得精華。

更為完整的需求分析報告需發給各個部門，特別是業務部代表確認簽字后提交給公司管理層審批備案。

技術選型依據

得出了上述需求分析，下一步便是依據公司特性進行技術選型了。鑒于我們身處咨詢行業，同時基于合伙制的前提條件下，應該盡量減少公司內部公攤固定資產的成本和管理投入，以實現各項目組按需使用、按用量分攤費用、以及靈活擴容等特點，我們在技術上選擇使用購置公有云的SaaS應用把各種碎片化的企業溝通和協作需求集中到一起實現。

風險分析

選定了技術方向，下一步就是安全團隊一展拳腳的時候了。由IT部門牽頭，安全和法務部門跟進，我們首先進行了風險分析和揭示，并得出如下高度概括的要點：

服務商審查

既然決定了是要購置云服務，眼看著項目組馬上要根據需求準備在服務提供者池里發offer了。此時我們安全團隊跳出來要求hold一下。因為這次的云服務相關項目相對來說比較新穎，各個服務商不免會牽著甲方的鼻子走，并把他們的產品忽悠上天。所以我們要淡定的，在心里默念喬幫主的那句“Think Different”，根據本公司的真實需求和行業規范特點，點對點的去做減法找不足，而不是做加法。因此我們召集項目組成員開了個“閉門會議”。最終決定，我們應當像那些顧問人員平時做業務那樣，對服務商也來個“盡職調查”式的全面審查。

這里值得提醒大家的是：這種審查一般發生在云服務項目立項后的對云提供商的遴選以及確定服務采購發生前的階段。那么問題來了，按圖索驥總歸有需要參考依據吧。幸好我們手頭有云安全聯盟(CSA)發布的云控制矩陣(Cloud Controls Matrix - CCM) 3.0版這一寶典神器，以便我們作為他山之石來照貓畫虎。下面羅列出作為企業安全人員我們需要從供應商那里了解到的、以及明確寫入將來的購置合同中的checklist。

這份收放自如的questionaire是不是足以讓服務商們既不至于“懵圈”又不會小覷我方知識面?至少我早已被自己感動得涕零了。不過值得注意的是，在完成對各個服務商的審查后，記得要上傳到內網項目集中管理平臺(如SharePoint)，以備日后審計所需哦。

當然話說回來，我們實際上也可以找一個知名的第三方云服務評審商(cloud assessor vendor - CAV)來協助我們完成，而非親自勞心勞力。但是考慮到該項目規模不算大，時間比較緊迫，以及成本方面等因素，所以我們信息安全部就自己操刀“練練手”了。

好了，當前該項目已經選定了達標的云服務提供商并已開啟了。廉哥會在后續的漫談中陸續向大家跟蹤并匯報整個項目在進行到各個階段時所涉及到的信息安全方面的“坑點”or“亮點”的。

最后抒情一下吧。記得在有記者問及一位非著名相聲演員：內容創作者都會恐懼江郎才盡之時，他的回答是：我們這個學的是技術。一個賣早飯、炸油條的會恐懼有一天江郎才盡嗎?同樣，廉哥也是信息安全界的手藝人plus熟練工，技術是我們的看家本領。衷心希望我的漫談能成為一些“低垂的果實”，方便讀者您去“采摘”，并且協助您和我一樣：持續保持著一個“技術人”的狀態。

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】