家里小孩出门上学前,你会唠叨一句,过马路时记得看红绿灯。
晚上睡觉前,老婆会叮嘱你,记得把入户门反锁一下。
消防讲座时,老师会教你使用灭火器,在火灾发生时如何安全逃生。
身边的安全谁来和你讲,家人、利益相关者、政府机构等等。那么在信息安全领域谁在和你讲安全,其实也是利益相关者。
一个月黑风高的晚上,南山下的养鸡场进了一小伙毛贼,把张大户家的鸡偷了一大半。第二天被发现之后,养鸡场就热闹了,负责安全保卫工作的小李被一群人围在中间。
张大户和养鸡场合伙人隔壁老王在计算损失。
张大户的夫人在叫骂小李,几只做了记号的老母鸡本来要送人,结果全给偷走了。县里的鸡蛋小贩嘟囔着今天还有10户人家的鸡蛋是送不了啦,铁定要挨骂。
城防处的刘大总管在跟师爷分析养鸡场的安全保卫工作存在哪些纰漏。
县里衙门当差的大捕头带着几个捕快在取证盗贼痕迹。
还有几个镖局的大镖师也旁边指东指西,建言献策。
这个故事应该很容易懂吧,那假设小李是某家机构的安全主管,然后网络被攻击了,这个时候谁会来和你讲安全?
第一类:机构高层(张大户和隔壁老王)。比如你的大老板们,为什么要跟你讲?因为安全这个事影响到了机构的声誉、造成了社会影响、或经济损失等。
第二类:信息系统使用者(张大户夫人和鸡蛋小贩)。比如机构内部的基层员工、互联网服务客户等,为什么要跟你讲?因为安全这个事中断了日常的业务运作,客户邮件收到不到了,生产系统不能访问了,人家就会投诉你,找你麻烦。
第三类:行业监管机构(城防处)。比如银监会、保监会、证监会、工信部、国家能源局等一些列行业性的监管机构等,为什么要跟你讲?因为你没有按照他们的要求进行保障体系建设,并出现了重大事件。这个时候监管机构可能要尽兴全行业通报批评,并扣除一些奖励。
第四类:执法机关(衙门)。比如中央网信办、公安、安全等执法部门,会根据国家法律依法追究攻击者和你所在机构的相关责任。为什么要跟你讲?因为安全这个事影响到了国家安全、社会稳定和、公众利益以及被攻击机构利益。
第五类:安全服务提供商(镖局)。比如安全厂商、第三方安全测评机构等。他们会根据机构的信息安全现状提供一系列安全产品、系统或服务。为什么要跟你讲?因为他们可以帮助你将安全做得更好,交付形式也是各种各样。
如果你是信息安全从业者,你日常的工作除了跟冷冰冰的计算机、0和1打交道之外,剩下的全是与人沟通的活,而且沟通对象不外乎就是这五类对象。你的信息安全工作要做好,就一定要好好考虑这五类人和你讲的安全。
老板跟你讲底线,用户跟你讲保障,监管跟你讲合规,执法跟你讲责任,厂商跟你讲方法。
看到这里,我们知道了谁在和我们讲安全,为什么讲,讲什么。
聪明如你一定明白我讲的是什么意思,你们的安全团队要把事情做好,就得先摸清楚老板的底线和安全目标,换个词叫做愿景,再梳理好各条业务线用户的安全保障细节。内外结合,外部看合规,内部讲风控,同时把行业监管机构的各类条条框框弄明白,责任到部门、责任到人。
当然,你一个人的力量甚至一个团队的力量是有限的,不过不用担心,这不还有安全服务商(背锅侠)嘛,开玩笑了,安全服务商是我们信息安全保障工作当中的一只中坚力量,本人也是第三方安全机构的一员,大多数安全服务商干的是辛苦活,赚的是辛苦钱。
如果我们的安全团队是一个处理中心,那么,在传统的威胁和漏洞的输入基础上,再加上这5类人的安全需求输入,那么我们的工作应该会比之前做的更好。
看到这里,你们觉得上面的五类就齐活了么?其实不然,还有一类人,不方便放在上面,但是又特别重要,不得不说。
还有谁?!
还是这句台词,不过不是冯小刚在《功夫》里边的语境。
最后一类其实是朋友圈, 国内的安全圈子很小,按照大潘的南北向人才分类,安全圈也分南圈、北圈、赤道圈,基本上把有圈子意识的南北向大牛一网圈住,线上有微信群、QQ群、网站论 坛,线下有安全峰会、安全沙龙、以及安全饭局等。不管你是甲乙丙哪方的安全从业者,你总能在圈子里找到一群小伙伴,分享技术心得,讨论技术热点。
”老李,我们家的系统要上云了,哪天我们组个团去你家看看你们的云安全建设情况,顺便也给我们一点建议”,”好啊,你定个时间,我安排一下“,这种场景现在越来越多,安全圈的生态环境也是越来越开放,共享的有效情报和资料越来越多,那么现在的你,还要在圈子外徘徊不前么?
像Nuke大牛的安全威胁情报推进联盟,500人的大群,白天聊安全、晚上聊安全、吃饭的时候聊安全、周末的时候还在聊安全,氛围非常好,有疑问和问题基本能得到群友的解决,这就是圈子的力量。
你在和谁说安全?
前面我们聊了有六类人会和我们讲安全,他们讲的内容可以作为我们工作的输入。那作为反馈,我们应该和谁说安全?细心的朋友大致发现了别人跟我们“讲安全”,而我们同别人“说安全”,为什么有这个区别?我们拆拆字,讲是言旁加上一个井,说白了就是往井里喷口水。而说字则是言旁加上一个兑现的兑字,说一不二。
我们安全人员采取的任何措施和编制的任何管理制度,都要经得起推敲,慎之又慎,这也是责任使然。大道相通,任何领域简化后最后就剩下三件事:人、事、物,信息安全不外乎也是如此。那我们说安全的对象也是这三者。
村舍蓺麻驱鸟雀,牧童随草放牛羊。
这是陆游的一句诗,那我们就来看看这里边的人、事、物。牧童是人,牛羊是物,牧童在有草的地儿放牛放羊就是事儿。
人的范围很广,作为甲方的安全人员来说,我们的控制措施首先作用点就在人身上,这里边就包含机构组织架构所覆盖的所有部门、岗位和人员。上至决策层、中贯管理层、下达执行层,这是内部人员。还要考虑外部人员、如外包公司、代维人员、合作机构等等。
人的问题是最大的问题也是最难处理的问题,很多人以为信息安全就是跟设备跟系统打交道,其实远不止于此。很多决策层和管理层人员的企业邮箱密码还存在1qaz2wsx、P@ssw0rd诸如此类的弱口令你别说是系统本身的问题。
再然后是事,其实就是信息安全相关的活动或过程。如果是围绕信息系统来讲的话,系统的规划设计、建设实施、测试上线、运行维护等过程都是我们安全该说的,为了符合sox、iso27001、等级保护等要求,就会针对特定的事进行安全控制。
最后是物,物的包括两个层面,第一个层面是信息系统本身,包括我们的基础设施,如机房、网络、主机、应用和数据等。第二个层面是信息安全设施,安全设施又有三个维度,第一个维度是技术维度,如认证技术、加密技术、攻防技术、云安全技术等;第二个维度是产品维度,有网络安全产品、主机安全产品、应用安全产品等;第三个维度是系统维度,说白了就是安全系统,这里就有web云防护系统、桌面安全管理系统、数据防泄漏系统等地。
有些安全人员认为安全就是一台防火墙、就是一套防病毒系统,我只能讲,大家伙还记得我前面说的坐井观天,只见冰山一角么。
从咨询方法论的角度来说,防火墙只是一个安全产品,归类于边界安全产品类别,属于信息安全基础设施,利用防火墙可以实现访问控制的一部分内容,和其它访问控制措施耦合就组成了信息安全访问控制子架构,从属于信息安全架构。
而信息安全技术基础设施、信息安全架构、信息安全运作、信息安全治理、信息安全战略和规划、信息安全驱动最终组成机构的整体安全体系架构。
讲到这里,大家就会明白了信息安全是一个复杂精细的系统工程。
登高必自卑
长沙有座岳麓山,大家可能不熟悉,但说起程朱理学岳麓书院,大家可能耳闻。岳麓山是南岳衡山的余脉,位于长沙城湘江西边,是登山的好去处。山脚下进山入口有座亭子,古语有称:登高必自卑,行远必自迩。这座亭子就叫自卑亭。
大 家记得mac osx系统优胜美地主题的桌面背景么?前几天恰好看到一部记录片《走进迪恩波特》,极限运动大师迪恩波特从悬崖峭壁上徒手攀爬,向上爬时,只能看到眼前的 一块块巨石和裂缝,根本不知道上面有什么。而当最后登上优胜美地酋长峰峰顶时,站在丛山之巅,视野开阔无比,美景顿收眼底。
为什么要讲 这么一段,因为信息安全是庞大的系统工程,我们很多人终其一生,也只能是坐井观天,看到冰山一角而已。那么我的雪夜围炉系列就从最基本的信息安全概念、信 息安全本质、大致正确的信息安全观、攻防对抗的不对等、以及现阶段信息安全困境开始,一步步带着大家去领略信息安全世界不一样的风景。
信息安全领域的实践大抵也是这么一个过程。
记得rapido在一篇文章提到过国内安全这个词语的发展历程。
90年代末国内出现计算机安全有关的内容与要求,对应成英文会更容易理解Network Security,没错,就是网络安全,以网络为核心的安全。
当时信息化较早的公司开始建设企业网络,国家开始部署金X工程,金卡、金关、金盾等等,核心内容就是两个业务系统信息化与跨地域网络联通,这种大环境下,安全的重点就不难理解为网络层面的安全,保护网络的边界,确保联网后不出现重大安全事件。
过了几年,大概到2005、2006年,开始采用信息安全这个词语,对应的英文变为Information Security,更加重视保护信息,也就是内容与数据,这时的信息安全所指的安全涵盖范围更广泛,内容更多样,包括了传统的网络安全内容,也包括了信息、数据等安全内容。
近几年安全的专业词语又发生了变化,成为网络安全,但这个网络安全不同于最初的网络安全,从英文上看,已经演化为Cyber Security,可以理解为网络空间的安全,这个范围就更大更广泛了,甚至不仅仅是商业视角的范畴了。(感谢rapido文章剖析)
我们在和谁说安全?看到这里,大家基本上都明白了。人、事、物,简简单单三个字,我们要通过各种方法论、安全模型才能将这三个字串联组织起来,形成一种高效、持续、动态的管控模式。
谁在和我们讲安全?为什么讲?讲什么内容?这个是基础。
我们又在和谁说安全?何时说?何地说?怎么说?这个才是关键。
个人公众号(sunw3i)
