看应急 1.从安全功能的角度看 应急是一个可以覆盖整个周期的事情。 应急功能常常被看成PDR(保护、检测、响应)模型扩展为PDRR(保护、检测、响应、恢复)模型中的“恢复”。其实如果从业务连续性管理的完整体系来看待的话,应急工作是覆盖类似PDR模型的整个功能域的。从开始的准备阶段,到检测以及之后的响应(抑制、消除、恢复、后续跟踪等)。由此可以看出,应急在网络安全中的独特地位,它是以一件覆盖整个网络安全过程的大事。 2.从安全对象的角度来看 人们应该如何分析问题,怎么去保护应急对象呢?现在有一个很明显的趋势,就是大家越来越重视业务在安全事件中是否受到影响。安全域方法也再次引起业界的广泛关注,它是一个分析和理解安全对象(资产和业务)的好方法。 这里提到的一个“3+1安全域方法”是一种安全域简化设计方法。基本原理就是,网络不仅仅是由交换机、路由器、主机等设备组成,而是由网络构造组成;如果把网络设备理解成网络原子,一个网络构造就是一个分子;典型的网络构造比如,Client-Server结构、端到端结构等。从这个思路去分析网络就形成了“3+1安全域方法”。 按照这个方法,我们可以将网络和系统分解成4类域:局域计算的接入域,局域计算的服务域,以及将他们互相连接起来形成的互联域,另外还有一个是支撑域,所以称之为“3+1 安全域方法”。 如果用这种思维方式对应不同应急内容,来理解用户资产,可以很明显看出: 在服务域,会有集中式计算恢复、分布式计算恢复以及存储恢复。 在接入域,主要是对终端用户的恢复。 在互联域,就有网络和链路的冗余备份问题。网络本身是具有弹性的,但当遇到破坏性比较大的问题时,就需要做网络备份。 支撑域从形式上来说,是插入到网络的领域里,与接入和服务的连接方式不同,支撑域不直接影响核心业务,而是间接影响。支撑域常常是应急的指挥和协调中心所在地。 3.从威胁和风险的角度看 风险管理是一个与影响力大小和可能性这两个要素密切相关的工作。从风险的两个要素看,应急工作所处理的事件的可能性一般会比较小,但是在影响方面会突然暴发出来。一般安全工作和应急工作,我们可以从风险管理和业务连续性管理这两套思路来解决分别对待。两套方法有不同之处,也有相通的地方,例如在风险管理中有资产分析和评估,在业务连续性管理中有业务影响分析(BIA)。 4.资产-防护措施-威胁 从资产、防护措施和威胁这三个不同的视角看安全问题,有利于更全面地看,就会利于把问题简化处理。针对不同的业务特征,应该有什么思路去看待出现的安全事件,以及用什么样的方法提供保护,是值得我们深思的。
三观论 对于应急这个问题,这里介绍一个独特的观察角度,即“三观论”。“三观论”是指对整个问题从宏观(Macro-view)、中观(Middle-view)、微观(Micro-view)三个层面来分析。“三观论”看上去是一个很虚的概念,其实它是一个大思路、大观点,这种思路不仅只存在于信息安全领域,在其他领域也都能够体现出来。 首先,从范围大小来看,宏观、中观和微观分别对应着全局、局部及单点。涉及机构整体的问题是全局性的,属于宏观问题;局部问题主要涉及的是机构的一些部门或者业务;如果只是涉及单个或几个的个体或者业务的部件,这是微观范畴,就没有必要调动宏观资源来解决这些单点问题。为了能够用最少的资源达到理想效果,一定要在处理问题前分清事件的性质。 其次,从实体化程度方面来讲,“三观”又有另外一种感觉。宏观比较务虚、模型化,而微观比较实在、物理化。从这个思路来看安全事件,如果问题发生在安全设备、检测功能、资源、系统等方面,是微观层面;如果是流程、制度、大系统等出现了问题,结构性就显现出来了,这些内容更抽象、更模型化,已经属于中观层面了;再向上就是宏观层面的价值观、使命和业务等。到这个宏观层面后,厂商就更需要从用户角度去看待安全事件。众所周知,安全永远存在潜在性,在没有出现问题时,安全往往得不到足够的重视,业务繁忙起来或许还会被放弃,用户在出现问题才想起应该重视安全这个现象非常普遍。如果不能把要做的安全工作与决策和机构使命、业务价值连接起来的话,这个工作一定不会成功,如何上达决策是应该重点考虑的问题;当然,还必须实现一点就是必须要下达到微观。不能只务虚,更不能只沉浸在微观,这样项目也将是非常危险的。作为一个策划人,要拥有更好地协调微观、中观和宏观资源的意识,在“三观”层次上,务虚、务实都要兼顾到。 用“三观”的思路还可以分析很多问题,比如现在大家比较关注的ITIL体系,用“三观”思路去看其中的一个项目――能力管理项目。ITIL能力管理中三个不同实体化的子流程:微观对应的是资源能力管理层面,它管的就是一些很具体的事情;再向上中观对应的服务能力管理层面,管理的内容就很流程化;而最上面一层就变成使命化,关注的是业务能力管理,对应的正是宏观层面。所以说不同的规范和不同的方法或多或少都有“三观”味道在里面。 第三,如果从信息安全事件角度分析,对普通服务器的入侵事件就是一个具体、微观的事情,而蠕虫、洪流事件、破坏高影响服务器等事件已经上升到中观层面,全面/关键业务问题由属于宏观层面的事件。要能够及时判断出哪种事件属于哪个层次,才能够更快地、有针对性地解决问题。 第四,对于信息安全产品来讲,也可以从“三观”中看到其分布状况。像防火墙、入侵检测、防病毒、加密等产品,实现的是某一具体功能,比如说防火墙实现网络防护功能,加密是解决信道加密、数据加密,实现保密功能,这些都是具体的微观方式。如果再上一个层次,把一些方式结合起来,比如安全运营中心SOC (Security Operation Center)就将各种安全功能结合在一起,这种结合、组合、匹配已经具有结构性在里面。宏观层面的高层工具包括决策支持、风险管理系统,当领导关心某个具体数据时,要能够马上连到具体数据上,给领导正确的决策支持。实际上,现在业界的产品大部分处于微观层面,中观层面的组合功能和平台产品也慢慢地受到关注,但宏观层面还远远没有实现。 同样,对于信息安全服务,我们也可以将系统的评估加固这样的具体服务归结到微观层面;将安全域分析和整合服务、综合风险评估等服务理解为中观;而业务风险咨询、投资回报分析等决策支持服务就很显然属于宏观层次了。 “三观”是一种思路、一种观点,三个层面的“味道”各有不同。如果从微观来说,单点、基层的、物理系统、局部、功能性、实现都是微观;而体系结构、中层的、具体化一些运行性的、制度化的东西是中观;宏观则表现在价值、使命、业务等方面。还应该关注的一点是“三观”的组织层次和责任,出现问题后,要由谁去负责任、谁去做。一般来讲,决策层是机构的高层领导,主要负责决策、战略制定;中间的运营层,体现为对于安全产品和安全任务的运作、管理、执行;机构基层负责的是实现、运行及具体操作。