引言:對于企業(yè)而言,信息安全由業(yè)務(wù)需求驅(qū)動,而不是技術(shù)。它不是一件一勞永逸的事情,每家公司都有自己獨特的與安全相關(guān)的業(yè)務(wù)需求,業(yè)務(wù)永遠(yuǎn)是第一位的。但許多企業(yè)卻常常從技術(shù)的角度去評估安全,他們會這樣問:我們需要入口過濾嗎?我們需要入侵檢測嗎?
這些問題本身沒有錯誤,但技術(shù)并不是考慮安全的切入點。對安全防護(hù)來說,企業(yè)最首要的是評估業(yè)務(wù)系統(tǒng)在發(fā)生安全事件后可能造成的后果。有的業(yè)務(wù)系統(tǒng),其敏感信息泄露后,帶來的損失是災(zāi)害性的。如零售巨頭塔吉特用戶的信用卡信息泄露,目前已經(jīng)給其帶來了上億美元的損失。但如果黑客入侵的是后勤系統(tǒng)的數(shù)據(jù)庫,也許損失就要小上許多了。
風(fēng)險評估
在評估任何與安全風(fēng)險有關(guān)的特定應(yīng)用時,下面的框架非常有用。這個非正式的框架可以稱為“CIA”。
C(Confidentiality)-機(jī)密性。數(shù)據(jù)的敏感性如何,被入侵的后果有多嚴(yán)重?很明顯,某類數(shù)據(jù)如金融賬戶和個人身份信息需要高級別的保護(hù),還有其他類型的數(shù)據(jù),知識資產(chǎn)或市場計劃,也許需要高度保密也許不需要。但不管怎樣,需要依據(jù)機(jī)密級別給予不同的保護(hù)措施。
I(Integrity)-完整性。如果數(shù)據(jù)遭到篡改會產(chǎn)生什么后果?會計系統(tǒng)里的數(shù)據(jù)不可靠的話會是一場災(zāi)難。但倉儲系統(tǒng)和零售系統(tǒng)就會好一些。
A(Availability)-可用性。如果系統(tǒng)發(fā)生崩潰會怎樣?對于一個電商公司來說,保持網(wǎng)站運行提供在線服務(wù)是至關(guān)重要的,系統(tǒng)每Down掉一分鐘就會損失一分鐘的銷售。但對于廠商的官方展示網(wǎng)站來說,就又是另一回事了。
有兩方法來評估上述特性的情況分類:定量和定性。
定量的分析方法需要針對各系統(tǒng)的機(jī)密性、完整性和可用性提出問題,如果些特性出現(xiàn)問題大概會使企業(yè)損失多少成本。比如,對于一家電商公司來說,可以通過宕機(jī)或不能提供有效服務(wù)的單位時間乘以單位時間銷量,來大致估算。而對于項目工程來說,則需要計算耽誤的工時和人工工資。
顯然,這些計算的結(jié)果不可能精確。然而,它們可以幫助企業(yè)合理安排安全風(fēng)險的次序。而且,還可以讓企業(yè)對采取不同的安全措施做出大致的成本效益分析。
風(fēng)險評估是企業(yè)安全投入的基礎(chǔ),找出對業(yè)務(wù)影響比較大的安全風(fēng)險,把錢花在刀刃上。
定性分析更多的屬于主觀方面。例如,一家網(wǎng)站制作公司,只要保持它的網(wǎng)站7*24小時的正常顯示即可,即使后臺系統(tǒng)崩潰也影響不了它的產(chǎn)量和銷量。
技術(shù)評估
一旦企業(yè)排定了安全需求的次序,下一步就是技術(shù)評估。一般來說,這些評估選項都是業(yè)內(nèi)所共知的。
防病毒和防火墻。這兩種工具都屬于入口過濾,簡單的說就是,防病毒系統(tǒng)是通過對下載到本地的頁面郵件附件或軟件檢測發(fā)揮作用的。防火墻的功能則是檢測和阻止對企業(yè)未授權(quán)的訪問連接。
入侵檢測和安全信息事件管理(SIEM)。入侵檢測監(jiān)視網(wǎng)絡(luò)流量,發(fā)現(xiàn)可能是攻擊活動的流量異常。SIEM同樣具備這個功能,但同時可以分析各種來源的數(shù)據(jù)以找到惡意程序的活動模式,之后采取行動來阻止攻擊,如攔截網(wǎng)絡(luò)通信,禁止USB設(shè)備或殺掉進(jìn)程。
虛擬專用網(wǎng)絡(luò)(VPN)。VPN的專用通道確保了企業(yè)與外部辦公員工的安全通信,即使是合作伙伴也可以通過為其單獨設(shè)立的VPN通道訪問企業(yè)。
身份認(rèn)證與訪問控制。確定企業(yè)網(wǎng)絡(luò)訪問者的身份以及他訪問的內(nèi)容十分重要,對訪問行為的監(jiān)控可以快速的發(fā)現(xiàn)惡意活動。同時,在發(fā)現(xiàn)異常后,安全機(jī)制還應(yīng)具備立刻關(guān)閉訪問終端連接網(wǎng)絡(luò)的能力。
數(shù)據(jù)防泄露(DLP)。即便是再負(fù)責(zé)的員工,也無法完全避免因無心之失導(dǎo)致數(shù)據(jù)面臨風(fēng)險。因此,企業(yè)還需要建立一定程度的出口過濾機(jī)制,不僅是為了發(fā)現(xiàn)和阻止粗心造成的數(shù)據(jù)損失,還要防范故意泄露數(shù)據(jù)的內(nèi)鬼。
復(fù)雜性與成本
所有的技術(shù)都是為了搭建強(qiáng)有力的安全環(huán)境,但不幸的是部署這些技術(shù)不僅復(fù)雜還需要高昂的成本。復(fù)雜性源于業(yè)務(wù)的復(fù)雜性以及攻擊手段的日益進(jìn)化,成本則不只包括產(chǎn)品和使用證書(License)的購買,還包括技術(shù)人員的培訓(xùn)時間。要知道,不同的系統(tǒng)經(jīng)常會存在其獨有的特性。
外包的安全管理方式,正在吸引越來越多的中型企業(yè)。安全外包不僅消除了證書的購買和管理麻煩,還解決了安裝和運行多系統(tǒng)的混亂。對于許多企業(yè)來說,安全外包幾乎是唯一經(jīng)濟(jì)可行,并確保跟上最新的安全技術(shù)的管理方法。
D1Net評論:
總而言之,信息安全由業(yè)務(wù)驅(qū)動,而不是技術(shù)!目前大多數(shù)企業(yè)的安全管理工作都設(shè)置在技術(shù)部門,限制了安全不能真正做到從業(yè)務(wù)需求角度來驅(qū)動。因此,建立在部門聯(lián)動機(jī)制之上的安全機(jī)構(gòu)或許是一個有效的解決方案。
(原文作者:王小瑞)