“安全的本質是信任問題”這句話是最早是在道哥的《白帽子講WEB安全》一書中看到的。書中也拿機場、車站的安檢做了舉例,雖然在當時就感覺這話說的有道理,但並沒產生共鳴。究其原因可能是當時所在公司的信息安全管理並未充分利用“信任”這一工具。近期在整理現公司信息安全建設思路和舉措的時候才豁然認識到,信息安全各類舉措其本質就是信任(訪問控制)的問題,下面我將通過安全管理與技術兩大方面舉例說明。
1、安全管理
“人之處,性本惡”是安全從業者堅持的理念,信息安全認爲公司所有人(老闆除外)都是不可信的,員工隨時可能竊取公司的涉密信息或破壞公司的信息系統(當然,多數情況都是員工安全意識不高,因誤操作或其他不好習慣造成的安全事件)。面對這些不受信任的員工,信息安全管理方面要做的事情有很多。
首先是竭盡所能,通過各種方式(培訓考覈、視頻、海報、手冊、期刊、屏保、動畫……)提高員工的安全意識。借鑑銀行用戶信用值,員工入職時HR或安全部也會記錄一份信息安全信任值,當員工參加了培訓、考試,反饋了安全風險,上報了安全漏洞,或因其他方面得到安全的獎勵時,信息安全信任值就會加分。相反,員工違反了信息安全規定,受到了信息安全處罰,信任值就減分。當分數低於某臨界值時,這名員工就極其不受信,信息安全必須及時對他開展一些舉措,如關閉相關權限,進行意識教育。
再來舉個管理舉措的例子,信息安全要設置各種權限申請流程,員工入職時默認無任何權限,工作中如需使用權限必須提交申請流程,由相關人員進行審批。仔細想想,其實審批過程就是判斷這件事、這個人是否信任的過程,如判斷業務真實性、需求合理性、員工穩定性。相關人員進行審批(相當於證明、驗證)後,這個事情就是受信的了,權限就可以開通了。
2、技術方面
說完了管理,我們在來看看技術舉措的信任原理。我們要說的是“安全的本質是信任問題”,那我們先來回顧明確下什麼是安全的信任問題,就是把信任和不信任區分開來,避免因爲不信任的東西導致信任的東西受到損害;或者是通過技術手段保留我們信任的,過濾不信任的。明確這個原理後,我們一起來回顧下安全領域中的各類舉措是不是遵循這個原理。
網絡安全建設就是對公司網絡進行安全域的劃分,包括辦公、生產、測試、BYOD、第三方,各區域之間的信任級別不一樣,所以我們要通過訪問控制嚴格限制安全域之間的訪問。這樣我們基本上能夠解決辦公區域病毒感染服務器,第三方人員惡意操作公司系統、非法連接登錄服務器、外部入侵等一系列問題。公司外的互聯網當然更是不受信任的區域,所以網絡邊界要部署防火牆、WAF、IPS等各類安全設備,這些安全設備通過規則庫過濾我們不信任的流量、數據包,從而避免內網遭受外部入侵。
系統安全我們要做的有需求評審、代碼評審、基線評審、漏洞掃描與應急監控、風控系統等。這些舉措不也是基於信任的原理嗎,比如操作系統、中間件、數據庫等各類安全基線,就是要把不受信任的端口、服務、配置關掉。監控審計、風控系統就是把不信任的事件、行爲挑出來,及時響應處置。
終端安全方面,我們認爲電腦本機是受信的,本機之外是不受信的,所以我們要進行各類隔離,比如通過各種安全工具控制U口、互聯網訪問、本機管理員等權限,還有就是DLP技術,通過識別外發文件的內容,判斷外發行爲是否可信,如果外發敏感信息,及時對外發行爲進行阻斷。
工作中還有很多類似的例子,在此不再一一敘述。這些也僅僅是我個人對安全工作的一點反思。我們不是爲了證明這個道理而在這長篇大論,最終目的還是幫助我們解決問題。當大家在工作中遇到一些難解的問題是,不妨想想“安全的本質是信任問題”這句話,嘗試當看透問題本質的時候,問題是否可迎刃而解。