你們企業的信息安全投入投對地方了嗎?
信息安全由業務需求驅動,而不是技術。它不是一件一勞永逸的事情,每家公司都有自己獨特的與安全相關的業務需求,業務永遠是第一位的。但許多企業卻常常從技術的角度去評估安全,他們會這樣問:我們需要入口過濾嗎?我們需要入侵檢測嗎?
這些問題本身沒有錯誤,但技術并不是考慮安全的切入點。對安全防護來說,企業最首要的是評估業務系統在發生安全事件后可能造成的后果。有的業務系統,其敏感信息泄露后,帶來的損失是災害性的。如零售巨頭塔吉特用戶的信用卡信息泄露,目前已經給其帶來了上億美元的損失。但如果黑客入侵的是后勤系統的數據庫,也許損失就要小上許多了。
風險評估
在評估任何與安全風險有關的特定應用時,下面的框架非常有用。這個非正式的框架可以稱為“CIA”。
C(Confidentiality)-機密性。數據的敏感性如何,被入侵的后果有多嚴重?很明顯,某類數據如金融賬戶和個人身份信息需要高級別的保護,還有其他類型的數據,知識資產或市場計劃,也許需要高度保密也許不需要。但不管怎樣,需要依據機密級別給予不同的保護措施。
I(Integrity)-完整性。如果數據遭到篡改會產生什么后果?會計系統里的數據不可靠的話會是一場災難。但倉儲系統和零售系統就會好一些。
A(Availability)-可用性。如果系統發生崩潰會怎樣?對于一個電商公司來說,保持網站運行提供在線服務是至關重要的,系統每Down掉一分鐘就會損失一分鐘的銷售。但對于廠商的官方展示網站來說,就又是另一回事了。
有兩方法來評估上述特性的情況分類:定量和定性。
定量的分析方法需要針對各系統的機密性、完整性和可用性提出問題,如果些特性出現問題大概會使企業損失多少成本。比如,對于一家電商公司來說,可以通過宕機或不能提供有效服務的單位時間乘以單位時間銷量,來大致估算。而對于項目工程來說,則需要計算耽誤的工時和人工工資。
顯然,這些計算的結果不可能精確。然而,它們可以幫助企業合理安排安全風險的次序。而且,還可以讓企業對采取不同的安全措施做出大致的成本效益分析。
“風險評估是企業安全投入的基礎,找出對業務影響比較大的安全風險,把錢花在刀刃上。”--谷安天下總經理 李華
定性分析更多的屬于主觀方面。例如,一家網站制作公司,只要保持它的網站7*24小時的正常顯示即可,即使后臺系統崩潰也影響不了它的產量和銷量。
技術評估
一旦企業排定了安全需求的次序,下一步就是技術評估。一般來說,這些評估選項都是業內所共知的。
防病毒和防火墻。這兩種工具都屬于入口過濾,簡單的說就是,防病毒系統是通過對下載到本地的頁面郵件附件或軟件檢測發揮作用的。防火墻的功能則是檢測和阻止對企業未授權的訪問連接。
入侵檢測和安全信息事件管理(SIEM)。入侵檢測監視網絡流量,發現可能是攻擊活動的流量異常。SIEM同樣具備這個功能,但同時可以分析各種來源的數據以找到惡意程序的活動模式,之后采取行動來阻止攻擊,如攔截網絡通信,禁止USB設備或殺掉進程。
虛擬專用網絡(VPN)。VPN的專用通道確保了企業與外部辦公員工的安全通信,即使是合作伙伴也可以通過為其單獨設立的VPN通道訪問企業。
身份認證與訪問控制。確定企業網絡訪問者的身份以及他訪問的內容十分重要,對訪問行為的監控可以快速的發現惡意活動。同時,在發現異常后,安全機制還應具備立刻關閉訪問終端連接網絡的能力。
數據防泄露(DLP)。即便是再負責的員工,也無法完全避免因無心之失導致數據面臨風險。因此,企業還需要建立一定程度的出口過濾機制,不僅是為了發現和阻止粗心造成的數據損失,還要防范故意泄露數據的內鬼。
復雜性與成本
所有的技術都是為了搭建強有力的安全環境,但不幸的是部署這些技術不僅復雜還需要高昂的成本。復雜性源于業務的復雜性以及攻擊手段的日益進化,成本則不只包括產品和使用證書(License)的購買,還包括技術人員的培訓時間。要知道,不同的系統經常會存在其獨有的特性。
外包的安全管理方式,正在吸引越來越多的中型企業。安全外包不僅消除了證書的購買和管理麻煩,還解決了安裝和運行多系統的混亂。對于許多企業來說,安全外包幾乎是唯一經濟可行,并確保跟上最新的安全技術的管理方法。
短評:信息安全由業務驅動,而不是技術!目前大多數企業的安全管理工作都設置在技術部門,限制了安全不能真正做到從業務需求角度來驅動。因此,建立在部門聯動機制之上的安全機構或許是一個有效的解決方案。
原文地址:http://www.aqniu.com/security-management/6788.html
