“安全的本质是信任问题”这句话是最早是在道哥的《白帽子讲WEB安全》一书中看到的。书中也拿机场、车站的安检做了举例,虽然在当时就感觉这话说的有道理,但并没产生共鸣。究其原因可能是当时所在公司的信息安全管理并未充分利用“信任”这一工具。近期在整理现公司信息安全建设思路和举措的时候才豁然认识到,信息安全各类举措其本质就是信任(访问控制)的问题,下面我将通过安全管理与技术两大方面举例说明。
1、安全管理
“人之处,性本恶”是安全从业者坚持的理念,信息安全认为公司所有人(老板除外)都是不可信的,员工随时可能窃取公司的涉密信息或破坏公司的信息系统(当然,多数情况都是员工安全意识不高,因误操作或其他不好习惯造成的安全事件)。面对这些不受信任的员工,信息安全管理方面要做的事情有很多。
首先是竭尽所能,通过各种方式(培训考核、视频、海报、手册、期刊、屏保、动画……)提高员工的安全意识。借鉴银行用户信用值,员工入职时HR或安全部也会记录一份信息安全信任值,当员工参加了培训、考试,反馈了安全风险,上报了安全漏洞,或因其他方面得到安全的奖励时,信息安全信任值就会加分。相反,员工违反了信息安全规定,受到了信息安全处罚,信任值就减分。当分数低于某临界值时,这名员工就极其不受信,信息安全必须及时对他开展一些举措,如关闭相关权限,进行意识教育。
再来举个管理举措的例子,信息安全要设置各种权限申请流程,员工入职时默认无任何权限,工作中如需使用权限必须提交申请流程,由相关人员进行审批。仔细想想,其实审批过程就是判断这件事、这个人是否信任的过程,如判断业务真实性、需求合理性、员工稳定性。相关人员进行审批(相当于证明、验证)后,这个事情就是受信的了,权限就可以开通了。
2、技术方面
说完了管理,我们在来看看技术举措的信任原理。我们要说的是“安全的本质是信任问题”,那我们先来回顾明确下什么是安全的信任问题,就是把信任和不信任区分开来,避免因为不信任的东西导致信任的东西受到损害;或者是通过技术手段保留我们信任的,过滤不信任的。明确这个原理后,我们一起来回顾下安全领域中的各类举措是不是遵循这个原理。
网络安全建设就是对公司网络进行安全域的划分,包括办公、生产、测试、BYOD、第三方,各区域之间的信任级别不一样,所以我们要通过访问控制严格限制安全域之间的访问。这样我们基本上能够解决办公区域病毒感染服务器,第三方人员恶意操作公司系统、非法连接登录服务器、外部入侵等一系列问题。公司外的互联网当然更是不受信任的区域,所以网络边界要部署防火墙、WAF、IPS等各类安全设备,这些安全设备通过规则库过滤我们不信任的流量、数据包,从而避免内网遭受外部入侵。
系统安全我们要做的有需求评审、代码评审、基线评审、漏洞扫描与应急监控、风控系统等。这些举措不也是基于信任的原理吗,比如操作系统、中间件、数据库等各类安全基线,就是要把不受信任的端口、服务、配置关掉。监控审计、风控系统就是把不信任的事件、行为挑出来,及时响应处置。
终端安全方面,我们认为电脑本机是受信的,本机之外是不受信的,所以我们要进行各类隔离,比如通过各种安全工具控制U口、互联网访问、本机管理员等权限,还有就是DLP技术,通过识别外发文件的内容,判断外发行为是否可信,如果外发敏感信息,及时对外发行为进行阻断。
工作中还有很多类似的例子,在此不再一一叙述。这些也仅仅是我个人对安全工作的一点反思。我们不是为了证明这个道理而在这长篇大论,最终目的还是帮助我们解决问题。当大家在工作中遇到一些难解的问题是,不妨想想“安全的本质是信任问题”这句话,尝试当看透问题本质的时候,问题是否可迎刃而解。
387
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
