安全观之我见(四):安全无绝对
2012-05-30 15:25
218 查看
唯变不变
信息化早已是企业的共识,而现在信息安全似乎也逐渐得到了众家的认可,各大企业都如火如荼地部署着信息安全防护系统。究竟收效几何,恐怕各家不尽相同,但有一点是可以肯定,有不少企业正为此纠结不已,黯然神伤。其中有两种模式,分别代表着两个极端,但又同属一个观念层次,在此欲详细论述一番。这第一种模式是追求绝对安全,结果无论如何努力也达不到绝对安全,而弄得自己痛苦不堪;而另一种是在采取了一定的防护措施后,便满足地认为已达到绝对安全,于是放松警惕,最后遭受安全威胁的攻击,损失惨重。
我们常说世界万物都在变,唯一不变的就是变,安全当然也是在不断的变化中,永无绝对,以上两者纠结之因正在于此。那么信息安全无绝对,亦有它的客观成因,个人分析如下。 首先技术上不可能实现百分之百的安全控制,因为防护无法涵盖所有的威胁。我们常用的防病毒、防恶意程序的软件大多以恶意代码已知的特征为基础,但是这种特征随时在变化,因此防护技术永远是跟随其后。
其次如果防护过于严格,可能会降低企业的工作效率。一般来说业务运行越通畅,越自由,经济增长会越快。当然太快了也容易出事,因此需要兼顾安全。但如果安全防护过度,就可能对业务造成严重的阻碍,这本身是一个极大的危机。这就好像赛车一样,太快了容易翻车,太慢了就失去获奖的机会,因此得把控好速度与安全之间的平衡。
再次企业在发展的过程必然进行设备升级或更换,那么同时必然会带来新的威胁,正所谓机会总与危险同在。新技术可以帮助企业提高生产率,甚至创造新的盈利模式,当然由于新技术存在诸多未知性,企业也将承担不可知的风险。全球四大会计所之一的安永的2011年度《全球企业十大风险与机遇报告》显示,新技术是中国企业面临的最主要风险之一。
处变之道
追求绝对安全显然不现实,但企业的安全防护还是得继续进行,如何正确看待信息安全?
首先要明确一点,企业的目标是盈利,因此业务是企业的工作重点,安全必须是以业务效率为前提,否则为安全而安全,意义不大。企业真正要做的,是平衡业务与安全的关系,通过努力使两者达到综合效益的最佳值。
为了达到上述目标,我以为以下三点是企业努力的方向。一是持续的风险评估,评估是为了发现威胁与漏洞,及时修复,保护企业的关键资产。“临时抱佛脚”,或者“三天打鱼,两天晒网”,这是部分企业做信息安全所遵循的模式,这种应急式投机式的防护往往漏洞百出,因为不成体系。真正有效的防护应该是建立在全面的、定期的风险评估基础上,然后根据评估结果制定合适的防护措施,减少遗漏同时对症下药,如此才能使资产得到最大程序的保护。
二是根据要保护的信息资产的涉密程度,以及面临的风险级别,部署轻重有别的防护力度。企业要保护的信息资产必然不都是处于同一级别,有普通,有秘密,有机密,还可能有绝密,不同的信息应该匹配合适的保护手段。而企业在风险评估过程会遇到大大小小许许多多的所谓的威胁,但要注意的是,不是每个威胁都会对企业造成明显的伤害,企业要考虑自己可接受的风险水平。ISO27001在分析与评价风险中有提到,要根据主要的威胁和信息系统脆弱性对资产的影响,以及当前的控制措施,评价安全失效的可能性。并考虑丧失资产的保密性、完整性或可用性,可能会对组织造成的影响,然后评估风险的级别,以确定风险是否可以接受。接受可接受的风险,可帮助企业节省更多的资源。当然做到这点不容易,因此企业需要再三谨慎。
三是以严格的安全管理制度作为辅助,尤其是提高全体人员的安全意识与素质,以确保防护技术发挥实效。员工是企业的载体,要想做好信息安全工作,首先上加强安全意识培训,使员工明确自己的责任,然后才能参与其中,及时发现异动并作出防御。要强调的是,这种培训必须是长期的才会有效,因为人从接触一项新事物到接受它一定是有一个过程。如果只是开一次会,做一次培训,办一次讲座,那员工会以为公司本身对安全就不够重视,因此当然不会放在以上。
套用一句流行的句式,没有绝对的安全,只有绝对的评估。只有不断地进行安全检查,及时发现问题并解决,才是长久的安全之道。
信息化早已是企业的共识,而现在信息安全似乎也逐渐得到了众家的认可,各大企业都如火如荼地部署着信息安全防护系统。究竟收效几何,恐怕各家不尽相同,但有一点是可以肯定,有不少企业正为此纠结不已,黯然神伤。其中有两种模式,分别代表着两个极端,但又同属一个观念层次,在此欲详细论述一番。这第一种模式是追求绝对安全,结果无论如何努力也达不到绝对安全,而弄得自己痛苦不堪;而另一种是在采取了一定的防护措施后,便满足地认为已达到绝对安全,于是放松警惕,最后遭受安全威胁的攻击,损失惨重。
我们常说世界万物都在变,唯一不变的就是变,安全当然也是在不断的变化中,永无绝对,以上两者纠结之因正在于此。那么信息安全无绝对,亦有它的客观成因,个人分析如下。 首先技术上不可能实现百分之百的安全控制,因为防护无法涵盖所有的威胁。我们常用的防病毒、防恶意程序的软件大多以恶意代码已知的特征为基础,但是这种特征随时在变化,因此防护技术永远是跟随其后。
其次如果防护过于严格,可能会降低企业的工作效率。一般来说业务运行越通畅,越自由,经济增长会越快。当然太快了也容易出事,因此需要兼顾安全。但如果安全防护过度,就可能对业务造成严重的阻碍,这本身是一个极大的危机。这就好像赛车一样,太快了容易翻车,太慢了就失去获奖的机会,因此得把控好速度与安全之间的平衡。
再次企业在发展的过程必然进行设备升级或更换,那么同时必然会带来新的威胁,正所谓机会总与危险同在。新技术可以帮助企业提高生产率,甚至创造新的盈利模式,当然由于新技术存在诸多未知性,企业也将承担不可知的风险。全球四大会计所之一的安永的2011年度《全球企业十大风险与机遇报告》显示,新技术是中国企业面临的最主要风险之一。
处变之道
追求绝对安全显然不现实,但企业的安全防护还是得继续进行,如何正确看待信息安全?
首先要明确一点,企业的目标是盈利,因此业务是企业的工作重点,安全必须是以业务效率为前提,否则为安全而安全,意义不大。企业真正要做的,是平衡业务与安全的关系,通过努力使两者达到综合效益的最佳值。
为了达到上述目标,我以为以下三点是企业努力的方向。一是持续的风险评估,评估是为了发现威胁与漏洞,及时修复,保护企业的关键资产。“临时抱佛脚”,或者“三天打鱼,两天晒网”,这是部分企业做信息安全所遵循的模式,这种应急式投机式的防护往往漏洞百出,因为不成体系。真正有效的防护应该是建立在全面的、定期的风险评估基础上,然后根据评估结果制定合适的防护措施,减少遗漏同时对症下药,如此才能使资产得到最大程序的保护。
二是根据要保护的信息资产的涉密程度,以及面临的风险级别,部署轻重有别的防护力度。企业要保护的信息资产必然不都是处于同一级别,有普通,有秘密,有机密,还可能有绝密,不同的信息应该匹配合适的保护手段。而企业在风险评估过程会遇到大大小小许许多多的所谓的威胁,但要注意的是,不是每个威胁都会对企业造成明显的伤害,企业要考虑自己可接受的风险水平。ISO27001在分析与评价风险中有提到,要根据主要的威胁和信息系统脆弱性对资产的影响,以及当前的控制措施,评价安全失效的可能性。并考虑丧失资产的保密性、完整性或可用性,可能会对组织造成的影响,然后评估风险的级别,以确定风险是否可以接受。接受可接受的风险,可帮助企业节省更多的资源。当然做到这点不容易,因此企业需要再三谨慎。
三是以严格的安全管理制度作为辅助,尤其是提高全体人员的安全意识与素质,以确保防护技术发挥实效。员工是企业的载体,要想做好信息安全工作,首先上加强安全意识培训,使员工明确自己的责任,然后才能参与其中,及时发现异动并作出防御。要强调的是,这种培训必须是长期的才会有效,因为人从接触一项新事物到接受它一定是有一个过程。如果只是开一次会,做一次培训,办一次讲座,那员工会以为公司本身对安全就不够重视,因此当然不会放在以上。
套用一句流行的句式,没有绝对的安全,只有绝对的评估。只有不断地进行安全检查,及时发现问题并解决,才是长久的安全之道。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 安全观之我见(四):安全无绝对
- 打造100%绝对安全的个人电脑
- 无状态类在并发环境中绝对安全吗?
- 安全观之我见(二):无事不与安全同 推荐
- 杀毒软件无法绝对保障网购安全
- iis安全优化(禁止从外部通过站点域名下文件的绝对路径游览文件内容)
- PHP开发绝对不能违背的安全铁则
- PHP开发绝对不能违背的安全铁则
- 【译】一则故事:达到绝对安全的三个最佳措施
- ARM CEO:没有绝对安全,芯片漏洞可能再次发生
- 设置绝对安全的密码
- PHP开发绝对不能违背的安全铁则
- 量子通信,“绝对安全”的通信
- 我是谁:没有绝对安全的系统影评
- 北京公安坚决防止群体事件确保十八大绝对安全-安保-北京-孟建柱
- 企业网络安全观——给高管们的网络安全建议
- 绝对不可错过 WinRAR的三种安全战术
- 打造100%绝对安全的个人电脑
- 主线程中也不绝对安全的 UI 操作
- 百毒不侵?破解Linux“绝对安全论”