1.安全的本质
管理,技术,流程和人员哪个重要?
互联网本来是安全的,自从有了"研究安全"的人,就变得不安全了。
信息安全的本质是"信任"。计算机用0和1定义整个世界,而企业的信息安全目标是解决0和1之间的广大灰度数据,运用各种措施,将灰度数据识别为0(不值得信任)或
1(值得信任)。信任是解决信息安全问题的本源。比如,某些普通企业设计信息安全方案的时候,会假设安全人员,开发人员,运维人员是默认被信任的;比普通企业安全
更高要求的金融企业,这些人又默认不是被信任的。不同的信任假设决定了安全方案的复杂程度和实施成本,安全需要找到某个自己可以接受的"信任点",并在这个点上
取得成本和收益的平衡。
2.安全的原则
1.持续改进
2.纵深防御
从网络层,虚拟层,系统层,应用层,到数据层,用户层,业务层,总控层,进行层层防御。
3.非对称
对于攻击者,找到企业的一个弱点就够了;对于企业安全人员,必须找到系统的所有弱点,破坏比建设容易。怎么扭转,安全人员也需要非对称思维。各种"蜜"的产品
应用而生,比蜜网站,蜜域名,蜜数据库...
3.安全世界观
对信息安全人员来说,最重要的是建立"安全世界观",即解决安全问题的思路,以及看待安全问题的角度和高度,而不是具体掌握了多少漏洞,拿下多少权限,或者发现了
多少风险。
信息安全就是博弈和对抗,是一场人与人之间的战争。交战双方所争夺的是对信息资产的控制权,谁能够在博弈和对抗中牢牢的把控住各类信息资产的控制权,谁就取得了胜利。
4.正确处理几个关系
1.科学与技术
权衡利弊,选择当前情况的最优。
2.管理与技术
ISO27001 安全体系。
管理与技术,两手都需要抓,两手都需要硬。首先,从安全管理角度看,安全政策和流程如果没有技术和自动化的手段保障,无法有效落地,而脱离安全技术的安全政策和
流程也可能失败。其次,从安全技术的角度看,没有管理的辅助,可能会变成"为了技术而技术"的"自嗨"。
3.业务域安全
安全是为业务服务的,安全更是业务的属性之一,不安全或者没有安全考虑的业务就像不合格的产品一样,终究是要被市场淘汰的。本质上,安全也是一项服务,安全服务是
安全团队提供给用户和客户的一种服务类别。
4.甲方和乙方
1.安全度量
是指如何衡量企业安全的效果。对于安全效果,核心指标有2个:一个是漏洞数,一个是安全事件数。
2.历史问题免疫
运维管理目前事实上的标准是 ISO20000 服务管理体系,这套体系也称为 ITIL 运维流程管理,ITIL 众多流程中有个核心流程 --- 问题管理。问题管理有个有意思的
做法,通过问题管理的思维模式,对企业所有曾经出现过的历史故障进行举一反三的持续改进,从而实现对历史故障的免疫。
含义:一是对企业层级出现过的安全漏洞和安全事件做举一反三的彻底整改,从人,技术,流程,资源4个维度分析问题产生的根源,查找差距,并建立机制进行防护,从而
根本上解决已经出现的安全问题,实现历史问题免疫。二是对已部署的安全措施的有效性做100%确认。
3.安全成为属性
安全将成为各类系统甚至人才的关键属性之一。
4.安全人才缺口大
企业信息安全建设简介: