不做网络安全,业务照样运行
你有没有想过一个问题:我们的业务系统为什么需要网络安全,没有网络安全行不行?
你也许觉得这个问题很搞笑。
是的,现在国家层面网络安全建设的制定标准,形成网络安全建设的指导条例,推动网络安全立法;企业加大对网络安全建设的投入,既要数字化、又要安全化;新闻媒体对网络安全作用的宣传、对安全事件的披露,对安全制度、条例、法律的解读宣传;个人防护意识、隐私意识的提升。特别是网安人,感觉网络安全每时每刻都都在身边。
网络安全检测手段和方式的提升,可以快速的检测出以往认为安全的的业务系统存在安全风险、安全漏洞。通过安全的手段、安全的教育、安全宣传,一些大众认为不安全的方式,慢慢的走进了我们的生活,比如移动支付。网络安全的发展也促进了基础技术的发展,如加密技术等。
但我的答案是,没有网络安全,业务照样运行。
为什么呢?
记得吴军老师在一篇文章讲到“互联网的诞生,最初适于计算资源的缺乏,大家不得不集中使用少量的超级计算中心的资源,其本质就是以信息换能量。”其实,现在企业依托信息化推出的众多业务系统,其本质也是以信息换取更多的效率,减少完成某个目标所需要的能量需求,吸引更多的目标客户。需求在变化,企业的经营模式在变化,技术在发展,生意的模式也在变化,目标客户在变化,获取客源的模式也在变化。只要变化在,企业的信息化建设就会持续的进行,业务系统会层出不穷的上线。企业与企业之间的竞争一直存在,利益的吸引一直存在,不怀好意的技术掌握者一直存在。安全风险、安全漏洞、恶意攻击、数据泄漏、重大安全事件就会一直存在,不会消亡。即使没有网络安全,业务一样发展,有了网络安全,业务能更好的发展。
竞争永远存在,风险永远存在,网络安全就是要提升企业的竞争力,减少企业的风险。网络安全要做的就是尽可能的保障企业在竞争中不被第一个淘汰。用一句话说,就是在线第一,这就是网络安全存在的理由。
在线第一,业务能用
“业务能用,你做的一切事情才有价值”,业务都不能访问了,你做再好的安全方案,没有一点价值。网络安全必须附属在业务上,才能彰显其价值。
在线第一的第一个层面,就是两个字:能用。我们做方案的时候,设备防护方案也好,安全服务、安全加固也罢,首先要确保方案交付或者服务执行后,业务依然能用。好用是深层说的提升,先保证能用。
数据中心或者信息中心的规章、制度、流程指引、操作指南、就是为了业务能用。也许在一些突发情况时,为了业务能用,也会采用一些极端的行为或者操作,比如边界设备人为“bypass”或者直接下线,管控设备进行粗旷性的策略配置或者空配。这一切在能用的前提下变得那么的理所当然。
有次项目中就遇到一个事情。
某发电厂,烧煤发电的,也国内较早的一批发电厂之一。在2001年进行系统更新的时候,上了一套德国的系统,具体功能就不细说了,主要给十几个专家使用。当时上了最先进的操作系统Windows 2000 Professional 系统。 服务器和客户端同样的系统,而且还是C/S的业务模式。18年交流的时候,看到这些系统,当时就惊呀了。还在用啊,牛。很好奇就多聊了几句,一开始15台左右,这么多年的硬件合并再利用,现在还有几台。经过人员的变更、合作的中断,硬件的老化,清楚这几台机器的情况的人也不多了,但是还有是有7、8个50来岁专家在用。新的系统也换了,该升级的也升级了,但这套系统依然存在,需要等最后一个老专家退休后一起退休。
这家电厂,信息化、安全建设的水平应该在同类企业中还算不错,当时我们在沟通一个身份认证与权限管理的项目,要对内部业务系统的账号与权限进行统一的管理。与我们交流的负责人说“我们有32个系统,对接31个就行”剩下一个就是这个系统。没人敢动,没有能动。
Windows 2000 Professional系统的安全情况大家都很清楚,这个系统重要性也不言而喻,根据木桶原理,这套系统的存在就是整个网络安全建设中那个最短的板。可是再看它的防护
- 裸机,没有任何的防护措施
- 有专门的UPS供电,怕断电关机,起不来,加了UPS。
- 需要并网运行,只能在外围加固,比如网络ACL等;
这个事情就是想说明:网络安全建设所有的动作或行动必须以业务能用为前提,有些特殊情况下,业务优先,安全靠边。
网络安全就是这样的一个现实,每个业务系统都是不同的个体,有共性,也有差异,网络安全防护也要跟进不同的业务系统而有差异,特别是一些极端的情况,做了还不如不做。不做这个系统还能运行,做了,反倒出现了问题。为了保障更多的业务系统能得到更好的防护,网络安全从业者势必会提升自己的技能和知识储备,在各种不确定面前突破各种障碍,更好的维护业务系统的可用性。
在线第一,企业活着
企业活着,业务才有价值,安全才有需求。只有企业活着,才能保证业务系统实时在线。现在企业,特别是依托互联网发展的企业,除了正常的竞争、淘汰等使其消亡。有很多安全事件或者安全风险,也会让一个企业死掉。企业不但要活着,还有发展。
比如欧盟《通用数据保护条例》(GDPR)。旨在通过强调数据控制者的透明度、安全性和问责性来规范和加强欧洲公民的数据隐私权。此条例从提议、草案开始就受到极大的关注,众媒体多用“史上最严数据保护条例”来报道。互联网的发展使全球化发展的壁垒越来越小,也是众多互联网企业发展的需求。尽管企业规模越来越大,资源储备、技术实力、竞争力等各方面足够的强大。要想进入欧洲市场,符合GDPR要的信息化、安全建设投入也是不可缺少的。
比如对品牌的影响,也许某个安全事件的发生,特别是发生了用户信息泄漏事情,有可能直接导致这个企业的品牌影响断崖式下跌,甚至导致企业发展的停滞或死亡。
再比如,在传统企业时代,核心机密的泄漏或者窃取,需要有人进入企业内部,大费周章。现在,也许在某个黑暗的角落有个人正在尝试寻找你信息化防护的薄弱处,一旦突破,核心技术机密报漏无疑。
赵彦等《互联网企业安全高级指南》内对网络安全的概括的就很不错,以共勉。“从广义的网络安全或狭义的网络安全出发,根据企业自身所处的产业地位、IT总投入能力、商业规模和业务需求为目标,而建立的安全解决方案以及为保证方案实践的有效性而进行的一系列系统化、工程化的日常安全活动的集合。”希望信安从业者或者即将步入这个行业者,回归初心,戒浮戒躁。网络安全本来就是一个很复杂的学科,是实验科学。没有完美的方案、也没有绝对安全的方案,只有合适的方案。没有万能的产品,每个产品只是从不同的角度、不同的环境以及不同的安全理念,提供相应的防护或预防的手段。
在线第一,不仅是要求业务能用,同时要安全好用
在线第一,不仅是要保证企业活着,同样要能促进企业发展。
在线第一,网络安全存在的理由,也是目标。