在工作中,常遇到用户问一个类似的问题,“是不是我们部署了xx安全产品,按照xx的安全规范进行了配置,我们的网络和机器就能保证长时间安全了?”笔者通常会告诉用户,进行安全工程,只能保证在未来的一段时间内,进行过安全加固的对象有相对的安全。
为什么说是相对的安全?
在能否保证长时间安全这个问题上,用户都希望选择的安全厂商能够给他们一个肯定的回答。但事实上,安全本身就是一个相对的概念,如果安全厂商提供的方案,能够对所有在用户安全项目的前期调研阶段所发现的安全漏洞和风险提供相应的防护,就可以认为这个方案是成功的。而对于在用户项目部署之后所出现的新威胁或者在项目调研阶段由于可能性很小而被忽略掉的威胁,如果在某一天发生并影响了用户的正常运作,甚至造成了损失,也不能说是之前所实施的安全项目的失败。
举个例子,用户在邮件服务器上部署了一套反垃圾邮件方案,之后99.5%的垃圾邮件都被过滤掉(假设1%的漏过率是用户可以接受的指标),我们可以说这个方案是成功的。但最近突然出现了新类型的垃圾邮件,这种垃圾邮件用带广告信息的PDF做附件,和平时常见的垃圾邮件有很大区别,因此垃圾邮件的漏过率上升到30%,甚至在某一天,放在外网上的邮件服务器被人DDoS了,整个企业的邮件服务瘫痪。新类型的垃圾邮件是部署反垃圾邮件方案之后出现的新威胁,而DDoS发生在邮件服务器上也是比较罕见的,虽然用户当初部署了反垃圾邮件方案,而且确实在之后的时间里发生了作用,但新的威胁依然破坏了用户辛辛苦苦构建起来的环境。
既然部署安全方案并不能保证长时间的安全,那为什么还要部署?
答案很简单,安全方案就像汽车,有了汽车之后人们的出行就方便快捷还不受天气影响,但汽车每隔一段时间需要保养,需要检查,不然的话,满身毛病的汽车想必没有谁敢坐——安全方案对企业的意义也类似,安全方案保证了企业的业务和信息处理流程正常进行,但它也和其他任何有有效期的事物一样,需要常常维护,否则就会逐渐失去它的保护作用,反而变成用户虚假的安全感的来源。
用户大多有这样的经验,反病毒软件只要晚升级几天,病毒检测能力就变得很差,而一次蠕虫或者病毒的爆发,通常会在短时间内影响到企业内网的大部分机器。显然,要应对这样的风险,需要用户持续关注最新的安全新闻、保持反病毒软件的更新,这样的行为,可以算作安全持续性的表现。
对于安全持续性,笔者的理解是通过技术或管理上的措施,保持防护已知威胁的能力,并对未知威胁有迅速有效的响应。一个企业的安全持续性,可以衡量出这个企业在面对信息安全威胁时,有多大的能力减少自己的损失并保证自己的业务持续进行。
怎么保证安全持续性?
安全持续性,重点就在“持续”两个字上,它体现在用户对安全的关注和维护是不间断的。而如何进行“持续”,笔者认为大概可以分成两个方面来说:技术和管理。技术上对安全的维护包括日常的维护,比如整个内网的机器操作系统的补丁升级、各种应用软件的更新、内部网络地址的分配和网络故障的排除、各种安全设备和软件日志的收集和定期分析等等,用户可以定时进行企业范围内的安全检查,及时发现和修补可能存在的安全隐患。除了日常维护和定期检查之外,企业还可以根据自己业务的特点和可能面临的灾难性威胁,制定业务持续计划(BCP)和灾难恢复计划(DRP),部署备份方案等,以在企业部署的所有安全防护方案失效的情况下,还能保护企业关键业务和关键数据。
管理方面对安全持续性的定义则更为广泛,安全行业内流传着这样一句话,“安全方案,是由30%的技术和70%的管理组成” 安全技术并不是万能的,它从属于管理,为实现企业的安全目标而部署,如果把技术的优先度放在管理前面,显然就是本末倒置。如果说安全技术维护是技术部门的责任,那安全管理就是企业管理者应该关注的方面。安全管理中最重要的是安全策略,管理层需要随时保证安全策略和公司业务相适应,如果企业的业务、运行环境出现改变,安全策略也需要随之改变。
此外,安全条例和企业员工IT使用的管理也是需要管理层长期关注的,管理层应该听取技术部门的意见,并经常进行审核。如果企业的技术部门在内网上部署了数据泄漏防护的方案,却发现员工经常使用移动存储设备,这时就应该和管理部门协调并修改企业关于移动存储设备使用的安全条例,因为网络上的数据泄漏防护方案并不能防止企业敏感数据从移动存储设备的途径泄漏出去。另外还有个常被企业管理层忽视的方面,员工IT使用的安全培训,安全培训应该由人事和技术部门合作,采取定期集中培训或其他灵活的方式进行。
安全持续性最重要的原则就是更新和准备:技术和管理随时根据企业的业务、IT运作环境的改变而改变。企业也要对各种可能发生的情况制定应急响应策略,进行相应的技术准备,这样,才能最大限度的保护企业的IT构架和信息财产,并保证企业在遭遇安全灾难时减少损失和维持业务的运转。