信息安全由业务需求驱动,而不是技术。它不是一件一劳永逸的事情,每家公司都有自己独特的与安全相关的业务需求,业务永远是第一位的。但许多企业却常常从技术的角度去评估安全,他们会这样问:我们需要入口过滤吗?我们需要入侵检测吗?
这些问题本身没有错误,但技术并不是考虑安全的切入点。对安全防护来说,企业最首要的是评估业务系统在发生安全事件后可能造成的后果。有的业务系统,其敏感信息泄露后,带来的损失是灾害性的。如零售巨头塔吉特用户的信用卡信息泄露,目前已经给其带来了上亿美元的损失。但如果黑客入侵的是后勤系统的数据库,也许损失就要小上许多了。
风险评估
在评估任何与安全风险有关的特定应用时,下面的框架非常有用。这个非正式的框架可以称为“CIA”。
C(Confidentiality)-机密性。数据的敏感性如何,被入侵的后果有多严重?很明显,某类数据如金融账户和个人身份信息需要高级别的保护,还有其他类型的数据,知识资产或市场计划,也许需要高度保密也许不需要。但不管怎样,需要依据机密级别给予不同的保护措施。
I(Integrity)-完整性。如果数据遭到篡改会产生什么后果?会计系统里的数据不可靠的话会是一场灾难。但仓储系统和零售系统就会好一些。
A(Availability)-可用性。如果系统发生崩溃会怎样?对于一个电商公司来说,保持网站运行提供在线服务是至关重要的,系统每Down掉一分钟就会损失一分钟的销售。但对于厂商的官方展示网站来说,就又是另一回事了。
有两方法来评估上述特性的情况分类:定量和定性。
定量的分析方法需要针对各系统的机密性、完整性和可用性提出问题,如果些特性出现问题大概会使企业损失多少成本。比如,对于一家电商公司来说,可以通过宕机或不能提供有效服务的单位时间乘以单位时间销量,来大致估算。而对于项目工程来说,则需要计算耽误的工时和人工工资。
显然,这些计算的结果不可能精确。然而,它们可以帮助企业合理安排安全风险的次序。而且,还可以让企业对采取不同的安全措施做出大致的成本效益分析。
“风险评估是企业安全投入的基础,找出对业务影响比较大的安全风险,把钱花在刀刃上。”--谷安天下总经理 李华
定性分析更多的属于主观方面。例如,一家网站制作公司,只要保持它的网站7*24小时的正常显示即可,即使后台系统崩溃也影响不了它的产量和销量。
技术评估
一旦企业排定了安全需求的次序,下一步就是技术评估。一般来说,这些评估选项都是业内所共知的。
防病毒和防火墙。这两种工具都属于入口过滤,简单的说就是,防病毒系统是通过对下载到本地的页面邮件附件或软件检测发挥作用的。防火墙的功能则是检测和阻止对企业未授权的访问连接。
入侵检测和安全信息事件管理(SIEM)。入侵检测监视网络流量,发现可能是攻击活动的流量异常。SIEM同样具备这个功能,但同时可以分析各种来源的数据以找到恶意程序的活动模式,之后采取行动来阻止攻击,如拦截网络通信,禁止USB设备或杀掉进程。
虚拟专用网络(VPN)。VPN的专用通道确保了企业与外部办公员工的安全通信,即使是合作伙伴也可以通过为其单独设立的VPN通道访问企业。
身份认证与访问控制。确定企业网络访问者的身份以及他访问的内容十分重要,对访问行为的监控可以快速的发现恶意活动。同时,在发现异常后,安全机制还应具备立刻关闭访问终端连接网络的能力。
数据防泄露(DLP)。即便是再负责的员工,也无法完全避免因无心之失导致数据面临风险。因此,企业还需要建立一定程度的出口过滤机制,不仅是为了发现和阻止粗心造成的数据损失,还要防范故意泄露数据的内鬼。
复杂性与成本
所有的技术都是为了搭建强有力的安全环境,但不幸的是部署这些技术不仅复杂还需要高昂的成本。复杂性源于业务的复杂性以及攻击手段的日益进化,成本则不只包括产品和使用证书(License)的购买,还包括技术人员的培训时间。要知道,不同的系统经常会存在其独有的特性。
外包的安全管理方式,正在吸引越来越多的中型企业。安全外包不仅消除了证书的购买和管理麻烦,还解决了安装和运行多系统的混乱。对于许多企业来说,安全外包几乎是唯一经济可行,并确保跟上最新的安全技术的管理方法。
短评:信息安全由业务驱动,而不是技术!目前大多数企业的安全管理工作都设置在技术部门,限制了安全不能真正做到从业务需求角度来驱动。因此,建立在部门联动机制之上的安全机构或许是一个有效的解决方案。
作者:王小瑞
来源:51CTO