在工作中,常遇到使用者問一個類似的問題,“是不是我們部署了xx安全産品,按照xx的安全規範進行了配置,我們的網絡和機器就能保證長時間安全了?”筆者通常會告訴使用者,進行安全工程,隻能保證在未來的一段時間内,進行過安全加強的對象有相對的安全。
為什麼說是相對的安全?
在能否保證長時間安全這個問題上,使用者都希望選擇的安全廠商能夠給他們一個肯定的回答。但事實上,安全本身就是一個相對的概念,如果安全廠商提供的方案,能夠對所有在使用者安全項目的前期調研階段所發現的安全漏洞和風險提供相應的防護,就可以認為這個方案是成功的。而對于在使用者項目部署之後所出現的新威脅或者在項目調研階段由于可能性很小而被忽略掉的威脅,如果在某一天發生并影響了使用者的正常運作,甚至造成了損失,也不能說是之前所實施的安全項目的失敗。
舉個例子,使用者在郵件伺服器上部署了一套反垃圾郵件方案,之後99.5%的垃圾郵件都被過濾掉(假設1%的漏過率是使用者可以接受的名額),我們可以說這個方案是成功的。但最近突然出現了新類型的垃圾郵件,這種垃圾郵件用帶廣告資訊的PDF做附件,和平時常見的垃圾郵件有很大差別,是以垃圾郵件的漏過率上升到30%,甚至在某一天,放在外網上的郵件伺服器被人DDoS了,整個企業的郵件服務癱瘓。新類型的垃圾郵件是部署反垃圾郵件方案之後出現的新威脅,而DDoS發生在郵件伺服器上也是比較罕見的,雖然使用者當初部署了反垃圾郵件方案,而且确實在之後的時間裡發生了作用,但新的威脅依然破壞了使用者辛辛苦苦建構起來的環境。
既然部署安全方案并不能保證長時間的安全,那為什麼還要部署?
答案很簡單,安全方案就像汽車,有了汽車之後人們的出行就友善快捷還不受天氣影響,但汽車每隔一段時間需要保養,需要檢查,不然的話,滿身毛病的汽車想必沒有誰敢坐——安全方案對企業的意義也類似,安全方案保證了企業的業務和資訊處理流程正常進行,但它也和其他任何有有效期的事物一樣,需要常常維護,否則就會逐漸失去它的保護作用,反而變成使用者虛假的安全感的來源。
使用者大多有這樣的經驗,反病毒軟體隻要晚更新幾天,病毒檢測能力就變得很差,而一次蠕蟲或者病毒的爆發,通常會在短時間内影響到企業内網的大部分機器。顯然,要應對這樣的風險,需要使用者持續關注最新的安全新聞、保持反病毒軟體的更新,這樣的行為,可以算作安全持續性的表現。
對于安全持續性,筆者的了解是通過技術或管理上的措施,保持防護已知威脅的能力,并對未知威脅有迅速有效的響應。一個企業的安全持續性,可以衡量出這個企業在面對資訊安全威脅時,有多大的能力減少自己的損失并保證自己的業務持續進行。
怎麼保證安全持續性?
安全持續性,重點就在“持續”兩個字上,它展現在使用者對安全的關注和維護是不間斷的。而如何進行“持續”,筆者認為大概可以分成兩個方面來說:技術和管理。技術上對安全的維護包括日常的維護,比如整個内網的機器作業系統的更新檔更新、各種應用軟體的更新、内部網絡位址的配置設定和網絡故障的排除、各種安全裝置和軟體日志的收集和定期分析等等,使用者可以定時進行企業範圍内的安全檢查,及時發現和修補可能存在的安全隐患。除了日常維護和定期檢查之外,企業還可以根據自己業務的特點和可能面臨的災難性威脅,制定業務持續計劃(BCP)和災難恢複計劃(DRP),部署備份方案等,以在企業部署的所有安全防護方案失效的情況下,還能保護企業關鍵業務和關鍵資料。
管理方面對安全持續性的定義則更為廣泛,安全行業内流傳着這樣一句話,“安全方案,是由30%的技術和70%的管理組成” 安全技術并不是萬能的,它從屬于管理,為實作企業的安全目标而部署,如果把技術的優先度放在管理前面,顯然就是本末倒置。如果說安全技術維護是技術部門的責任,那安全管理就是企業管理者應該關注的方面。安全管理中最重要的是安全政策,管理層需要随時保證安全政策和公司業務相适應,如果企業的業務、運作環境出現改變,安全政策也需要随之改變。
此外,安全條例和企業員工IT使用的管理也是需要管理層長期關注的,管理層應該聽取技術部門的意見,并經常進行稽核。如果企業的技術部門在内網上部署了資料洩漏防護的方案,卻發現員工經常使用移動儲存設備,這時就應該和管理部門協調并修改企業關于移動儲存設備使用的安全條例,因為網絡上的資料洩漏防護方案并不能防止企業敏感資料從移動儲存設備的途徑洩漏出去。另外還有個常被企業管理層忽視的方面,員工IT使用的安全教育訓練,安全教育訓練應該由人事和技術部門合作,采取定期集中教育訓練或其他靈活的方式進行。
安全持續性最重要的原則就是更新和準備:技術和管理随時根據企業的業務、IT運作環境的改變而改變。企業也要對各種可能發生的情況制定應急響應政策,進行相應的技術準備,這樣,才能最大限度的保護企業的IT構架和資訊财産,并保證企業在遭遇安全災難時減少損失和維持業務的運轉。
本文轉自J0ker51CTO部落格,原文連結:http://blog.51cto.com/J0ker/35734,如需轉載請自行聯系原作者
![【圖解HTTP】——確定Web安全的HTTPSHTTPS小結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)