一、前言
我的经验告诉我:信息安全是针对信息保护的一种人为对抗,是人与人在技术与思维上的较量,是真正“没有硝烟”的战争。人采取的攻击方式是多方位的、多层次的,所以建立有效的信息安全保障体系是一件比较复杂的工程,说它是“战争”,是因为它充分体现了人的主观能动与技术创造性的结合。
而现实却告诉我:信息安全技术有很多,产品更是多如牛毛,防火墙、入侵检测、加密机等等,是否使用安全产品越多、越先进,我们网络中的信息就越安全呢?就象给新房子安上最好的防盗门,甚至多安装几道,你心里一样也会不塌实,因为再高明的“锁”对于高水平的小偷也是不安全的;另外,也许你的疏忽,钥匙放在门上,即使是“菜鸟”也一样可以登堂入室。因此,建设有效的安全保障体系需要安全技术与人的结合,同时对人的管理若没有技术落实到位也往往成为虚设。不是钱投入得多就安全,技术的飞速进步,投入也许成了“无底洞”,作为信息主管,你如何对领导解释大笔的开支预算?不投入更加不行,安全是一种责任,在事件来到时,你没有“作为”,同样要承担管理不力的责任。
为了能理清信息安全保障建设思路,我们2007年提出了“花瓶”模型,把信息安全保障分为三个维度:事件发生前的防护体系、事件发生过程中的监控体系与应急恢复体系、事件发生后的审计取证与分析体系;有机地把安全保障分为三道“防线”,先是对“普通”威胁的防护,用“防盗门”挡住一些中低级的入侵与病毒;再对那些高级“入侵者”采用“全程陪同”,建立网络上的实时监控体系,任何破坏行为及时被发现,把可能的损失降为最小;最后对内部人员(可控用户)建立审计体系,“要想人不知,除非己莫为”,取证可以增强安全保障的威慑作用。
经过一年的实践检验,“花瓶”模型还是非常实用的、有建设意义的,它不仅符合人对安全防护的理解,而且与国家有关信息安全的技术标准相吻合,如公安部的等级保护与保密局的分级保护,因此,它很适合安全公司的工程师与信息安全使用单位的管理者使用,对于理清建设思路、安排建设计划,确保网络的安全保障建设与业务拓展同步发展,有很强的指导意义。
然而随着它在信息安全保障建设中深入应用,对安全建设需求的深入理解,“花瓶”模型做了一些小的调整,使它更加适合建设与使用的需求,也适应安全技术的自然进化。
二、对“花瓶”模型的修正
1. 身份认证体系从防护平台移到审计平台:通过实践我们了解,采用身份鉴别系统的主要目的有两个,一是根据用户身份授权,建立有效的访问控制机制;二是为审计提供溯源的信息,很多厂家的审计系统审计到IP或MAC,不能到账户,更不能到人,这样即使发现违规,也无法提供直接证据,最后只能“喊两句狼来了”,因此,审计必需与身份鉴别与授权相结合,因为没有完备的授权管理,你又如何判定他行为是否越权呢?每个网络上的“公民”都有自己的身份证,并且是不可仿冒与篡改的,人的行为就会真正可查。
2. 风险评估的功能从防护平台移到监控平台:在实践中我们体会到,早期的安全思路是堵漏洞的方式,所以经常是先评估,找出漏洞,再打补丁;随着网络上的业务系统增加,网络成为使用单位的“信息神经”,是单位业务运转的基本平台,简单的“有病才瞧大夫”的模式显然不能满足用户的实际安全需求,持续性保障的“保镖模式”正在逐步替代了间歇性的“上医院模式”。因此,用户的领导层需要随时了解网络的整体安全态势,计算网络动态的“熵”值,安全管理者需要即可对某一事件的波及范围做出评估…风险评估成为监控系统的威胁评估工具。
