先聊聊什么是信息安全。
要讲信息安全,先看看其他领域的安全。
人身安全:姑娘家大晚上不要一个人出门夜跑。
财产安全:早上出门记得将窗户关好,将门反锁。
交通安全:上车要系安全带,不随意变道不超速。
我们来找找共同点:
1.保护啥?如花似玉的姑娘,家中的贵重物品,车上的乘客
2.谁会找麻烦?劫色的坏蛋,小偷,交通意外
3.为啥会有危险?姑娘打不过坏蛋而且晚上可能没人求救,门锁容易被小偷打开,违规驾驶可能会发生车祸
原谅我来个不恰当的比喻,姑娘就是有价值的资产,劫色的坏蛋就是威胁,姑娘手无缚鸡之力就是脆弱性。那么姑娘晚上一个人夜跑的风险就是这3个因素的综和权衡值了。
假设这个姑娘是如花,坏蛋可能就打消劫色的念头了。
假设姑娘在健身房跑步,坏蛋就不能接近姑娘了。
假设姑娘是跆拳道黑带9段,坏蛋在打劫姑娘的时候可能反被姑娘干趴下了。
讲到这里大家应该明白信息安全这个概念的内涵了,信息安全玩的还是风险控制,把安全风险降低到自己能够接受的水平,这就是信息安全的目标。每个机构投入到信息安全的资源是有限的,如何发挥这些有限资源的价值,来实现信息安全目标,这是各机构的安全担当该干的活。
信息安全的位置
一个股民在2015年的股灾前成功逃顶,赚了一大笔钱,寻思着在老家盖一栋房子,预算200万,房屋建设成本95万,装修100万。房子盖好了,这个股民看着院子前坪,想着不是还剩5万块吗,哪就搞个围栏吧,增加点安全感,平时也可以挡个小偷小摸的人啥的,于是就花掉剩下的5万,搞了个还算洋气的围栏。
如果把整栋房子看作是一个机构在IT领域的投资预算的话,这个围栏就是信息安全的部分了,围栏在房主眼中的地位其实也是当下很多传统企业信息安全的战略地位,可有可无,聊胜于无,预算有剩余的情况下可以考虑一下,这就是当前信息安全的窘境。
再把这个场景延伸一下,假设是建了一个养猪场,防止有人偷猪(现在猪肉也挺贵),也建了道围墙,然后请了20个工人,其中要2个人负责养猪场的安全,猪场老板召集大家一起安排工作,有人愿意采购饲料,有人愿意负责猪仔购买,有人愿意负责配种,还有人愿意负责猪肉销售,唯独看护养猪场的两个岗位没有人申请,猪场老板一问,大家都说,这个岗位工资低,干得好是应该的,干得不好要挨骂,闹了小偷还得扣工资,其他岗位容易出成绩,还有油水捞,是个聪明人都知道怎么选。
通过上面这个贴近生活的故事,大家就知道目前在国内的各个企业尤其是传统机构里边,信息安全工作不好开展了,因为没人愿意干这个活,费力不讨好,所以导致信息安全保障工作跟不上信息化的发展,头重脚轻容易摔跟头。
故事接着说,猪场老板在饭桌上把这个事跟自己的小姨夫说了,小姨夫是个机灵人,胸脯一拍,说,姐夫,这个事交给我嘛,我帮你解决这个事,都万物互联时代了,我们用互联网+养猪场的方法来解决你的后顾之忧,你把养猪场的安全外包给我,你那两个工人也可以不用招了,省了一大笔钱,我在你们猪场安装视频监控,然后通过互联网在我们的监控中心7×24小时给你看着,保证会及时发现小偷小贼,怎么样,你每年支付一笔外包费用给我就行了,省心又省事,关键是还便宜。咱们都是自家人,我给你打8折!你看我代理的这个视频监控系统品牌在国内可是响当当的,姐夫,你可是咱们市养殖协会的常务理事长,你给我推广推广这个外包服务,这也算是响应互联网+时代的万众创新了。
就这样,安全外包服务(mss)也随之兴起,它解决了一大部分机构没有信息安全技术和人才储备积累的窘局,但是一直到现在,各位同行都知道它是个不赚钱费力还不讨好的活,报价的时候你来个3000/人日,客户会给你砍一半,过低的报价不可能让你把更牛逼的工程师往客户那送,而低成本的工程师又不能满足客户的高标准要求,最终的结果是,客户认为mss服务质量不值这个价,你收费这么高,还做的这么烂,这又陷入到一个死循环里边。
可怜的客户,他们不知道,在现有的环境和条件下,mss是最能给予他们最大助力的服务交付模式了。那么问题来了,如何来改变客户的认知,逐步引导客户增加预算,提升客户对mss的认可度,这似乎是一个永恒的话题。
不像卖盒子或一锤子买卖,利润会稍高一些,mss由于各种各样的原因最终会出现人力成本远超预算的局面,销售不愿意卖这个,其他的服务客户黏度又不够好,怎么办?这是我趟过的坑,说多了都是泪。
安全是前提vs安全是保障
最近听到这个说法,安全是前提而不再是保障。个人觉得这得分对象,对某些靠安全吃饭的互联网企业来说,确实安全是个大前提,像阿里腾讯这些互联网巨头,安全就是他们的生命线,这也是正是这些个巨头的内部安全团队囤积了国内一部分顶尖安全人才的缘由,但是这毕竟是少数派。
对于大多数党政机关,国家基础设施,央企、中小企业来说,信息化和网络安全这两条腿,要协调好连走路都比较费劲,你现在就要人家跑起来,快别这么逗了。对这些大多数来说,个人觉得提安全是前提只能强调你态度要端正,行动起来还是得对症下药。
经过这两年国家顶层设计的大力推进,各级监管机构的政策发文和监督检查,以及各项立法的针对性落地,不管是大多数还是少数派基本都明白了自上而下的网络安全变革的力度和彻底性,对我们来说是利好消息也是既定预期的落地。
忽如一夜东风来,千树万树梨花开。现如今各大土豪盖房子时必须得按照国家要求增加围栏和其他安防措施的预算啦,所以有条件的机构会逐步加强信息安全方面人财物的投入,信息安全分管领导在批预算的时候也多了一层考虑,这对各大安全服务商来说,还真是个妙事。自打来了政策,甲方都变得有钱了,以前口袋紧巴巴的时候,甲方只能买个盒饭便当,做个足底按摩,现在有了政策支持,领导批复,说话也底气十足。
“行吧,给我上几道你们的招牌菜,听说那下一代防火墙不错,赶紧给我整一个,另外我们领导喜欢看那个biubiubiu的导弹发射地图,你们给我也整一套。”
先不说疗效如何,大多数甲方至少告别了上顿不接下顿的紧巴日子。万事俱备,东风已到,百废俱兴。甲方领导豪情壮志,咱不正在编制信息化十三五规划么,得了,信息安全也得考虑进来,赶紧找个安全公司,给咱做个调研,根据咱的实际情况把这信息安全十三五规划也理顺了。
就这样,大多数机构在既有的信息安全工作基础上,修修补补,该换的换,该加的加,该撤的撤,紧迫性高的先上,锦上添花的放到后面,以前信息化和信息安全两条腿不一样长,现在先统筹一下,协调协调,争取把路走稳,然后再去考虑跑的问题。
安全保障没有银弹,协同和互补才能解决问题。
我胡扯一个故事给大家看看。
小和尚跟师傅下山去化缘,走了很远的路,小和尚饥饿难耐,肚子叫个不停。一阵风吹来,一股包子的清香扑面而来,原来在山脚小路的拐角处有一个包子铺,小和尚冲了过去,盯着包子哈喇子直流。
卖包子的大妈一猜估计是小和尚饿坏了,赶忙装了10个小笼包递给了小和尚,小和尚双手合十行了个礼,立马盘腿坐地上吃了起来,一口一个,这时师傅到了他身旁,见小和尚这窘态,不禁莞尔,提醒道,“你慢点吃,没人跟你抢。”
小和尚一口气连吃了8个,这才停下,一脸天真地问师父,“师傅,为什么前面那7个包子吃下去不饱肚子呢,只有吃了这第8个,肚子才不饿了,早知道就不浪费前面的包子啦,直接吃第8个就行了嘛,出家人浪费粮食,真是罪过。“
大家有没有觉得在信息安全领域也有很多像小和尚这般认知的人,很傻很天真。
”你看我们已经部署了waf,边界防火墙访问控制规则粒度粗一点没关系吧,tomcat也不用加固了吧。“
”什么?web服务器有两个操作系统高危漏洞补丁要不要打?我看算了吧,反正我们有ips的虚拟补丁“
”新数据中心的安全预算出来了,快给我看看,等等,为什么还要买边界防火墙,还有这个ips,采购清单中不是有soc产品了吗,有了它还要前面这些东西干嘛,给我砍掉。“
我们可能听到过很多类似的言论,部分人觉得随着云大物智移的广泛应用,it架构和安全环境发生了翻天覆地的变化,传统的安全手段不足以对抗新的威胁和攻击,所以就提出了传统安全产品已经步入了夕阳期,”传统安全产品无用论“一度甚嚣尘上。
还有部分人,偶尔发现某个防护节点拦住了黑客的攻击,就因此忽略各类安全防护措施的逻辑关系和纵深特点,觉得只要这个节点在,全世界都安全了,从而导致过于依赖防护体系中的某个安全防护节点,置其它于不顾。直到有一天,家里后院突然起火,才突然意识到我咋这么蠢。
突然想到了一句谚语,一叶障目,不见泰山。两耳塞豆,不闻雷霆。
合规并不代表安全,但合规是基础。
振锁以最短的时间满分通过了c1驾照的所有科目考试,在教练的赞叹声和其他学员艳羡的目光中拿到了驾照。
振锁为了庆祝自己拿到了驾照,召集了一群朋友,晚上小龙虾伺候。饭过三巡,在大排档旁边是一条大马路,有朋友的斯巴鲁brz就停旁边,这时候振锁手痒痒了,问朋友要了车钥匙,反正也没喝酒,就去旁边兜两圈,朋友不放心,就陪他一起上了车。
振锁上车就开始兴奋,想着brz的操控和性能,心花怒放,点火,放一档正准备走,朋友叫停了他,“你丫才拿的驾照,上车系安全带就忘记了,我去。”
“哥们儿太兴奋了,就忘记了”,振锁连忙系上,然后一脚油门,车子就串出去了。马路上车不多,振锁一路加速,然后跟朋友炫耀说,“哥们满分一次过拿的驾照,有这个天赋,你就放一万个心吧。”
话音未落,前方突然串出来一辆逆行的电动自行车,振锁一脚急刹,方向盘猛地一打,自行车是躲过去了,可brz也因为失控侧翻了。
朋友跟振锁吓得个半死,两人挣扎着从翻过来的brz里边爬出来,朋友看着惨不忍睹的brz,拍着振锁肩膀说,“你丫真命大,不是我提醒你系上安全带,你小子不死也得断胳膊断腿了。“
振锁一脸迷惑,耷拉着脸,嘴里嘟囔着,”我不是都顺利拿到驾照了么,也没有违反交通规则,他娘的怎么还会发生车祸。”
故事讲到这,大家应该清楚了合规和安全的关系,振锁开车上路就必须得持有驾照,必须得系安全带,这就是交通安全领域的合规,但是你即使完全合规,也不能100%保证不发生安全事故。合规的意义是什么,你让你掌握驾驶技能、交通法规和安全驾驶技巧,能够像安全带一样在发生交通事故的时候把伤害降低到最低,合规是安全的基石,做与不做差别很大。
再回到信息安全领域,甲方会遇到很多的合规需求,像等级保护、pci dss、iso27001等等,但一部分人对合规的认知和振锁差不多,认为满足合规就安全了,其实还远远不够,合规是让你的信息安全保障能力达到一个基本的60分水平,但是60分钟不是安全建设的目标和终点。
看到这里,各位甲方的朋友就应该在心里打个小算盘了,明年有多少预算,多少用来合规,多少用来后续的安全能力提升,保持一个动态平衡,这个游戏才算是玩对了。
(未完待续)
楼主幽默风趣,道理深入浅出,赞!