在工作中,常遇到用户问一个类似的问题,“是不是我们部署了xx安全产品,按照xx的安全规范进行了配置,我们的网络和机器就能保证长时间安全了?”笔者通常会告诉用户,进行安全工程,只能保证在未来的一段时间内,进行过安全加固的对象有相对的安全。
为什么说是相对的安全?
在能否保证长时间安全这个问题上,用户都希望选择的安全厂商能够给他们一个肯定的回答。但事实上,安全本身就是一个相对的概念,如果安全厂商提供的方案,能够对所有在用户安全项目的前期调研阶段所发现的安全漏洞和风险提供相应的防护,就可以认为这个方案是成功的。而对于在用户项目部署之后所出现的新威胁或者在项目调研阶段由于可能性很小而被忽略掉的威胁,如果在某一天发生并影响了用户的正常运作,甚至造成了损失,也不能说是之前所实施的安全项目的失败。
举个例子,用户在邮件服务器上部署了一套反垃圾邮件方案,之后99.5%的垃圾邮件都被过滤掉(假设1%的漏过率是用户可以接受的指标),我们可以说这个方案是成功的。但最近突然出现了新类型的垃圾邮件,这种垃圾邮件用带广告信息的PDF做附件,和平时常见的垃圾邮件有很大区别,因此垃圾邮件的漏过率上升到30%,甚至在某一天,放在外网上的邮件服务器被人DDoS了,整个企业的邮件服务瘫痪。新类型的垃圾邮件是部署反垃圾邮件方案之后出现的新威胁,而DDoS发生在邮件服务器上也是比较罕见的,虽然用户当初部署了反垃圾邮件方案,而且确实在之后的时间里发生了作用,但新的威胁依然破坏了用户辛辛苦苦构建起来的环境。
既然部署安全方案并不能保证长时间的安全,那为什么还要部署?
答案很简单,安全方案就像汽车,有了汽车之后人们的出行就方便快捷还不受天气影响,但汽车每隔一段时间需要保养,需要检查,不然的话,满身毛病的汽车想必没有谁敢坐——安全方案对企业的意义也类似,安全方案保证了企业的业务和信息处理流程正常进行,但它也和其他任何有有效期的事物一样,需要常常维护,否则就会逐渐失去它的保护作用,反而变成用户虚假的安全感的来源。
用户大多有这样的经验,反病毒软件只要晚升级几天,病毒检测能力就变得很差,而一次蠕虫或者病毒的爆发,通常会在短时间内影响到企业内网的大部分机器。显然,要应对这样的风险,需要用户持续关注最新的安全新闻、保持反病毒软件的更新,这样的行为,可以算作安全持续性的表现。
对于安全持续性,笔者的理解是通过技术或管理上的措施,保持防护已知威胁的能力,并对未知威胁有迅速有效的响应。一个企业的安全持续性,可以衡量出这个企业在面对信息安全威胁时,有多大的能力减少自己的损失并保证自己的业务持续进行。
怎么保证安全持续性?
安全持续性,重点就在“持续”两个字上,它体现在用户对安全的关注和维护是不间断的。而如何进行“持续”,笔者认为大概可以分成两个方面来说:技术和管理。技术上对安全的维护包括日常的维护,比如整个内网的机器操作系统的补丁升级、各种应用软件的更新、内部网络地址的分配和网络故障的排除、各种安全设备和软件日志的收集和定期分析等等,用户可以定时进行企业范围内的安全检查,及时发现和修补可能存在的安全隐患。除了日常维护和定期检查之外,企业还可以根据自己业务的特点和可能面临的灾难性威胁,制定业务持续计划(BCP)和灾难恢复计划(DRP),部署备份方案等,以在企业部署的所有安全防护方案失效的情况下,还能保护企业关键业务和关键数据。