这两天大家在公司的内部论坛上一起讨论对安全的理解,甚是火热,我自上网以来就不大喜欢参与一些比较HOT的讨论,可是心里也有些痒痒,于是在这里独坐一隅也谈谈对安全的理解吧。
首先从个人角度,从事网络安全已经很有些日子了,所谓安全,实际上是对风险管理的最高境界,所有的风险你都给摁住了,你也就达到安全的境界了,这个对个人、对企业、对国家应该都是通用的吧。当然,我们不会去讨论这个角度的安全,我们所需要探讨的只是企业的商业需求需要利用IT来满足时所需要面对的风险即可,既然有了风险,就有了风险应对,我们姑且先按照PMBOK里面的风险应对来进行分类。
1、消极风险或威胁的应对策略
Avoid:通过安全咨询的服务,顾问们可以给出一些方法回避业务系统可能存在的风险,我们的存在是因为我们专门干这个的。
Transfer:对于业务系统而言,风险的转嫁非常困难,我们在这个时候担当的很多时候是责任的转嫁对象,没关系,拿人钱财,替人消灾。
Mitigate:我们的大部分工作都是在这个环节,大部分的安全服务和产品部署都是去减少风险的影响或降低风险发生的概率。
2、积极风险或机会的应对策略
Exploit:
Share:
Enhance:
在安全行业,积极风险似乎非常少,或者是我个人还没有想得太清楚。
3、威胁和机会的应对策略
Accept:基于Cost-Effective分析后,很多人可能都会采取的方式,对于同一个风险,可能使用网络设备的访问控制、防火墙部署、主机加固、补丁安装等方式都能进行管理,但是客户往往缺乏的是综合分析每一个控制手段所带来的其他好处,因为有一些应对措施客户不会去计算Effectives,甚至有一些咨询的专家也未必能说得十分清楚,一套清晰的安全投资决策树系统肯定能协助所有的人。
4、应急应对策略
不是所有的风险都能够控制,于是就有了应急应对策略;诚然,项目管理里未识别的风险是没有放在这个里面,但我们必须考虑,在安全行业,未识别的风险的处理方式应该也是放到应急应对策略里面了吧。
说了这么多,很多人一定认为我跑题了,对于安全的理解,批判一个常见的概念吧。
批判对象:“三分技术、七分管理”
3+7=10,也就是安全就分了技术和管理了,从事安全行业的人都推崇备至,我并不去证明到底是3还是7抑或是其分配的比例,而我认为安全仅仅包括技术和管理么?还有更高层面的东西吧-战略层面,业务系统已经意识到安全的重要性了,业务系统的三大需求(Quality、Fiduciary、Security)里已经开始把Security提到了很高的位置了,尤其是在一些金融行业,做安全的怎么去满足这些需求呢?所以从战略、管理、技术层面都应该去满足业务系统的需要,同时也要兼顾其他两个需求,我承认安全有两面性,会让业务系统损失一些Quality,也会让业务系统提高Fiduciary,是不是应该准备一些说辞来满足战略层面的东西呢?难道指望客户去进行分析,而我们不去引导,这样恐怕不是以客户为中心吧。有人也许会说管理就涵盖了我说的这些东西,但管理这词恐怕缺乏方向性的东西吧。
(有戚戚者Comment,不信者免谈)
再跑回来,从公司角度吧,我对安全的理解是战略、管理、技术三个层面的,是建立在业务系统这个主体上的,是对IT资源的安全管理(people,application,technology,facilities,data),是对于P(people)P(process)T(technology)的安全建设,是P2DR(Policy,Protection,Detection,Response)……这些概念有满足我心中三个层面的,也有满足管理和技术层面的,当然,我自己也有在技术层面的解释,每一个都可以说得上是引经据典,但提取出属于自己的方法论才是有效的,只有自己达到了这个高度,才可以跟客户见人说人话,见鬼说鬼话,而所说的这一切都是为公司的商业目标实现卖力的(当然也不排除发自内心的与客户真诚面对的交流),不同的客户选择的风险应对策略是不一样的,同一客户不同的人员关注的焦点也不一样,“只有变化是唯一不变的”,“以不变应万变”,这都是古人教给我们的好招啊,借助别人的研究成果提升对安全的理解,提炼出自己的方法论,找出自己心中理论的基础,从容面对所有挑战。
最后给公司做个广告,俺们公司是绿盟科技,欢迎来人来函洽谈业务。
想到哪里说到哪里,这里是blog,我自己的天地。
祝福看贴的人身体健康、工作顺利,身体健康>工作顺利。