IT人须持有安全观(四):安全无绝对

作者: TEC 分类: 安全前沿 发布时间: 2013-12-12 15:15 ė 6没有评论

唯变不变

    信息化早已是企业的共识,而现在信息安全似乎也逐渐得到了众家的认可,各大企业都如火如荼地部署着信息安全防护系统。究竟收效几何,恐怕各家不尽相同,但有一点是可以肯定,有不少企业正为此纠结不已,黯然神伤。其中有两种模式,分别代表着两个极端,但又同属一个观念层次,在此欲详细论述一番。这第一种模式是追求绝对安全,结果无论如何努力也达不到绝对安全,而弄得自己痛苦不堪;而另一种是在采取了一定的防护措施后,便满足地认为已达到绝对安全,于是放松警惕,最后遭受安全威胁的攻击,损失惨重。

 

我们常说世界万物都在变,唯一不变的就是变,安全当然也是在不断的变化中,永无绝对,以上两者纠结之因正在于此。那么信息安全无绝对,亦有它的客观成因,个人分析如下。      

 

首先技术上不可能实现百分之百的安全控制,因为防护无法涵盖所有的威胁。我们常用的防病毒、防恶意程序的软件大多以恶意代码已知的特征为基础,但是这种特征随时在变化,因此防护技术永远是跟随其后。

 

其次如果防护过于严格,可能会降低企业的工作效率。一般来说业务运行越通畅,越自由,经济增长会越快。当然太快了也容易出事,因此需要兼顾安全。但如果安全防护过度,就可能对业务造成严重的阻碍,这本身是一个极大的危机。这就好像赛车一样,太快了容易翻车,太慢了就失去获奖的机会,因此得把控好速度与安全之间的平衡。

 

再次企业在发展的过程必然进行设备升级或更换,那么同时必然会带来新的威胁,正所谓机会总与危险同在。新技术可以帮助企业提高生产率,甚至创造新的盈利模式,当然由于新技术存在诸多未知性,企业也将承担不可知的风险。全球四大会计所之一的安永的2011年度《全球企业十大风险与机遇报告》显示,新技术是中国企业面临的最主要风险之一。

 

处变之道

 

追求绝对安全显然不现实,但企业的安全防护还是得继续进行,如何正确看待信息安全?

 

首先要明确一点,企业的目标是盈利,因此业务是企业的工作重点,安全必须是以业务效率为前提,否则为安全而安全,意义不大。企业真正要做的,是平衡业务与安全的关系,通过努力使两者达到综合效益的最佳值。

 

为了达到上述目标,我以为以下三点是企业努力的方向。一是持续的风险评估,评估是为了发现威胁与漏洞,及时修复,保护企业的关键资产。“临时抱佛脚”,或者“三天打鱼,两天晒网”,这是部分企业做信息安全所遵循的模式,这种应急式投机式的防护往往漏洞百出,因为不成体系。真正有效的防护应该是建立在全面的、定期的风险评估基础上,然后根据评估结果制定合适的防护措施,减少遗漏同时对症下药,如此才能使资产得到最大程序的保护。

 

二是根据要保护的信息资产的涉密程度,以及面临的风险级别,部署轻重有别的防护力度。企业要保护的信息资产必然不都是处于同一级别,有普通,有秘密,有机密,还可能有绝密,不同的信息应该匹配合适的保护手段。而企业在风险评估过程会遇到大大小小许许多多的所谓的威胁,但要注意的是,不是每个威胁都会对企业造成明显的伤害,企业要考虑自己可接受的风险水平。ISO27001在分析与评价风险中有提到,要根据主要的威胁和信息系统脆弱性对资产的影响,以及当前的控制措施,评价安全失效的可能性。并考虑丧失资产的保密性、完整性或可用性,可能会对组织造成的影响,然后评估风险的级别,以确定风险是否可以接受。接受可接受的风险,可帮助企业节省更多的资源。当然做到这点不容易,因此企业需要再三谨慎。

 

三是以严格的安全管理制度作为辅助,尤其是提高全体人员的安全意识与素质,以确保防护技术发挥实效。员工是企业的载体,要想做好信息安全工作,首先上加强安全意识培训,使员工明确自己的责任,然后才能参与其中,及时发现异动并作出防御。要强调的是,这种培训必须是长期的才会有效,因为人从接触一项新事物到接受它一定是有一个过程。如果只是开一次会,做一次培训,办一次讲座,那员工会以为公司本身对安全就不够重视,因此当然不会放在以上。

 

套用一句流行的句式,没有绝对的安全,只有绝对的评估。只有不断地进行安全检查,及时发现问题并解决,才是长久的安全之道。

 

本文出自 “黄凯” 博客,请务必保留此出处http://techk.blog.51cto.com/3177718/882616





Related posts:

本文出自 信息防泄露大讲堂,转载时请注明出处及相应链接。

本文永久链接: http://www.ip-guard.net/blog/?p=1386

0

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Ɣ回顶部