信息安全由業(yè)務(wù)需求驅(qū)動(dòng),而不是技術(shù)。它不是一件一勞永逸的事情,每家公司都有自己獨(dú)特的與安全相關(guān)的業(yè)務(wù)需求,業(yè)務(wù)永遠(yuǎn)是第一位的。但許多企業(yè)卻常常從技術(shù)的角度去評(píng)估安全,他們會(huì)這樣問(wèn):我們需要入口過(guò)濾嗎?我們需要入侵檢測(cè)嗎?
這些問(wèn)題本身沒(méi)有錯(cuò)誤,但技術(shù)并不是考慮安全的切入點(diǎn)。對(duì)安全防護(hù)來(lái)說(shuō),企業(yè)最首要的是評(píng)估業(yè)務(wù)系統(tǒng)在發(fā)生安全事件后可能造成的后果。有的業(yè)務(wù)系統(tǒng),其敏感信息泄露后,帶來(lái)的損失是災(zāi)害性的。如零售巨頭塔吉特用戶的信用卡信息泄露,目前已經(jīng)給其帶來(lái)了上億美元的損失。但如果黑客入侵的是后勤系統(tǒng)的數(shù)據(jù)庫(kù),也許損失就要小上許多了。
風(fēng)險(xiǎn)評(píng)估
在評(píng)估任何與安全風(fēng)險(xiǎn)有關(guān)的特定應(yīng)用時(shí),下面的框架非常有用。這個(gè)非正式的框架可以稱為“CIA”。
C(Confidentiality)-機(jī)密性。數(shù)據(jù)的敏感性如何,被入侵的后果有多嚴(yán)重?很明顯,某類(lèi)數(shù)據(jù)如金融賬戶和個(gè)人身份信息需要高級(jí)別的保護(hù),還有其他類(lèi)型的數(shù)據(jù),知識(shí)資產(chǎn)或市場(chǎng)計(jì)劃,也許需要高度保密也許不需要。但不管怎樣,需要依據(jù)機(jī)密級(jí)別給予不同的保護(hù)措施。
I(Integrity)-完整性。如果數(shù)據(jù)遭到篡改會(huì)產(chǎn)生什么后果?會(huì)計(jì)系統(tǒng)里的數(shù)據(jù)不可靠的話會(huì)是一場(chǎng)災(zāi)難。但倉(cāng)儲(chǔ)系統(tǒng)和零售系統(tǒng)就會(huì)好一些。
A(Availability)-可用性。如果系統(tǒng)發(fā)生崩潰會(huì)怎樣?對(duì)于一個(gè)電商公司來(lái)說(shuō),保持網(wǎng)站運(yùn)行提供在線服務(wù)是至關(guān)重要的,系統(tǒng)每Down掉一分鐘就會(huì)損失一分鐘的銷(xiāo)售。但對(duì)于廠商的官方展示網(wǎng)站來(lái)說(shuō),就又是另一回事了。
有兩方法來(lái)評(píng)估上述特性的情況分類(lèi):定量和定性。
定量的分析方法需要針對(duì)各系統(tǒng)的機(jī)密性、完整性和可用性提出問(wèn)題,如果些特性出現(xiàn)問(wèn)題大概會(huì)使企業(yè)損失多少成本。比如,對(duì)于一家電商公司來(lái)說(shuō),可以通過(guò)宕機(jī)或不能提供有效服務(wù)的單位時(shí)間乘以單位時(shí)間銷(xiāo)量,來(lái)大致估算。而對(duì)于項(xiàng)目工程來(lái)說(shuō),則需要計(jì)算耽誤的工時(shí)和人工工資。
顯然,這些計(jì)算的結(jié)果不可能精確。然而,它們可以幫助企業(yè)合理安排安全風(fēng)險(xiǎn)的次序。而且,還可以讓企業(yè)對(duì)采取不同的安全措施做出大致的成本效益分析。
“風(fēng)險(xiǎn)評(píng)估是企業(yè)安全投入的基礎(chǔ),找出對(duì)業(yè)務(wù)影響比較大的安全風(fēng)險(xiǎn),把錢(qián)花在刀刃上。”--谷安天下總經(jīng)理 李華
定性分析更多的屬于主觀方面。例如,一家網(wǎng)站制作公司,只要保持它的網(wǎng)站7*24小時(shí)的正常顯示即可,即使后臺(tái)系統(tǒng)崩潰也影響不了它的產(chǎn)量和銷(xiāo)量。
技術(shù)評(píng)估
一旦企業(yè)排定了安全需求的次序,下一步就是技術(shù)評(píng)估。一般來(lái)說(shuō),這些評(píng)估選項(xiàng)都是業(yè)內(nèi)所共知的。
防病毒和防火墻。這兩種工具都屬于入口過(guò)濾,簡(jiǎn)單的說(shuō)就是,防病毒系統(tǒng)是通過(guò)對(duì)下載到本地的頁(yè)面郵件附件或軟件檢測(cè)發(fā)揮作用的。防火墻的功能則是檢測(cè)和阻止對(duì)企業(yè)未授權(quán)的訪問(wèn)連接。
入侵檢測(cè)和安全信息事件管理(SIEM)。入侵檢測(cè)監(jiān)視網(wǎng)絡(luò)流量,發(fā)現(xiàn)可能是攻擊活動(dòng)的流量異常。SIEM同樣具備這個(gè)功能,但同時(shí)可以分析各種來(lái)源的數(shù)據(jù)以找到惡意程序的活動(dòng)模式,之后采取行動(dòng)來(lái)阻止攻擊,如攔截網(wǎng)絡(luò)通信,禁止USB設(shè)備或殺掉進(jìn)程。
虛擬專用網(wǎng)絡(luò)(VPN)。VPN的專用通道確保了企業(yè)與外部辦公員工的安全通信,即使是合作伙伴也可以通過(guò)為其單獨(dú)設(shè)立的VPN通道訪問(wèn)企業(yè)。
身份認(rèn)證與訪問(wèn)控制。確定企業(yè)網(wǎng)絡(luò)訪問(wèn)者的身份以及他訪問(wèn)的內(nèi)容十分重要,對(duì)訪問(wèn)行為的監(jiān)控可以快速的發(fā)現(xiàn)惡意活動(dòng)。同時(shí),在發(fā)現(xiàn)異常后,安全機(jī)制還應(yīng)具備立刻關(guān)閉訪問(wèn)終端連接網(wǎng)絡(luò)的能力。
數(shù)據(jù)防泄露(DLP)。即便是再負(fù)責(zé)的員工,也無(wú)法完全避免因無(wú)心之失導(dǎo)致數(shù)據(jù)面臨風(fēng)險(xiǎn)。因此,企業(yè)還需要建立一定程度的出口過(guò)濾機(jī)制,不僅是為了發(fā)現(xiàn)和阻止粗心造成的數(shù)據(jù)損失,還要防范故意泄露數(shù)據(jù)的內(nèi)鬼。
復(fù)雜性與成本
所有的技術(shù)都是為了搭建強(qiáng)有力的安全環(huán)境,但不幸的是部署這些技術(shù)不僅復(fù)雜還需要高昂的成本。復(fù)雜性源于業(yè)務(wù)的復(fù)雜性以及攻擊手段的日益進(jìn)化,成本則不只包括產(chǎn)品和使用證書(shū)(License)的購(gòu)買(mǎi),還包括技術(shù)人員的培訓(xùn)時(shí)間。要知道,不同的系統(tǒng)經(jīng)常會(huì)存在其獨(dú)有的特性。
外包的安全管理方式,正在吸引越來(lái)越多的中型企業(yè)。安全外包不僅消除了證書(shū)的購(gòu)買(mǎi)和管理麻煩,還解決了安裝和運(yùn)行多系統(tǒng)的混亂。對(duì)于許多企業(yè)來(lái)說(shuō),安全外包幾乎是唯一經(jīng)濟(jì)可行,并確保跟上最新的安全技術(shù)的管理方法。
短評(píng):信息安全由業(yè)務(wù)驅(qū)動(dòng),而不是技術(shù)!目前大多數(shù)企業(yè)的安全管理工作都設(shè)置在技術(shù)部門(mén),限制了安全不能真正做到從業(yè)務(wù)需求角度來(lái)驅(qū)動(dòng)。因此,建立在部門(mén)聯(lián)動(dòng)機(jī)制之上的安全機(jī)構(gòu)或許是一個(gè)有效的解決方案。
原文地址:http://www.aqniu.com/security-management/6788.html