您的位置: 旅游网 > 网红

企业信息安全建设的思考

发布时间:2019-08-14 16:15:08
在企业做信息安全会遇到很多困惑,企业信息安全到底应该怎么做?管理、技术、流程还是人更重要?安全团队和安全人才该怎么建设培养和激励? 安全的本质 在企业做信息安全会遇到很多困惑,企业信息安全到底应该怎么做?管理、技术、流程还是人更重要?安全团队和安全人才该怎么建设培养和激励?带着这些问题参加了很多安全峰会,虽然有很多不错的会议和演讲者分享了很多体会,但相比之下,更多的会议和演讲者的做法还是不太专业。常见的套路:开篇讲一堆的安全事件,什么热讲什么;中篇讲所谓解决方案或思路,大部分代表其背后的利益团体,要么产品,要么先思路后产品;然后草草结尾。PPT做的很互联网,罗列的数据很多,可是没有讲清楚,中篇的方案或思路能解决上篇的热点问题吗?在企业信息安全人员觉悟普遍觉醒的今天,这样的会议会越来越没有市场。 在混迹于各种安全圈和各种安全人互动后,我越来越渴望长期以来一直困扰我的问题答案:安全的本质,或者说,安全问题的本质。 互联网本来是安全的,自从有了研究安全的人,就变得不安全了。SQL注入攻击自从1999年首次出现后就成为互联网安全的头号大敌,注入攻击的本质是把用户输入的数据当做代码执行,而开发人员设计用户输入的功能时,本身只是提供一个用户交互功能,根据用户的输入返回动态页面结果以便更好的用户体验,只是被恶意的人滥用了。再比如,钓鱼网站已成为很多金融机构的首要安全威胁,在2011年以前,很多金融机构的安全人员甚至都没有考虑过这个问题。时至今日,都会觉得很无辜,企业的网站没有安全漏洞,是钓鱼网站的狡猾和用户的“傻”才会让犯罪分子有机可乘。 上面两个例子中,开发人员信任用户输入,用户信任钓鱼网站,导致安全问题。个人认为,安全问题的本质是“信任”的问题。计算机用0和1定义整个世界,而企业的信息安全问题是解决0和1之间的广大灰度数据,运用各种措施,将灰度数据识别为0(不值得信任),或1(值得信任)。信任是安全问题的本源。比如企业设计安全方案时,要做基本的假设前提:安全人员、开发人员、运维人员默认是被信任的;比企业安全要求更高的国家设计安全方案时,安全人员、开发、运维人员可能就不是默认被信任的。不同的信任假设决定了安全方案的复杂程度和实施成本,安全需要平衡。 安全原则 (1)安全是持续改进的过程 如何让一台服务器不被不明武装分子攻陷,有没有一个类似“照妖镜”的工具,一旦安装上就可以高枕无忧,让恶意的攻击者无所遁形,有没有一个万能的“上帝之手”,帮我们干掉所有安全问题?很遗憾,没有。在解决安全问题的过程中,不可能一劳永逸。很多安全厂商在推销自己的安全产品时,会吹的天花乱坠,似乎无所不能,从早期的防火墙、防病毒,入侵检测,到现在的态势感知、威胁情报,智能分析,安全防御技术本身并没有革命性变化,一套入侵检测技术包装个名词,能从IDS到IPS、SIEM,再到现在的威胁情报,本质上还是开发检测规则,异常模式识别。实际上,安全产品、安全技术需要不断的随着攻击手段的发展而升级,也需要有人来运营,否则安全防护会成为稻草人,马奇诺防线,在变化的攻击手段前不堪一击。比如绝大多数公司的分支机构,安全人员都是兼职的,日常运维能保障安全设备可用性就很不错了,还能奢望这些每天忙于救火的安全人员能看懂数量不菲的各种安全告警吗?还有比入侵检测告警日志更难看的日志? 早期基于系统漏洞利用的攻击是主流,安全防护对应以防火墙和入侵检测为主,对互联网只开放少量端口,互联网资产管理主要是IP和端口的管理。随着攻击主流转变为Web攻击,安全防护对应升级为Web安全防护,出现了Web应用防火墙(WAF),互联网资产管理也相应转变为对第三方应用和开发使用框架为主,不再是旧有的资产管理概念。问渠那得清如许,为有源头