数据遭泄露的事件多次见诸媒体,这应当引起任何公司管理层的重视。管理者认为安全的很多方面未必得到了应有的适当保护。有时,企业在不知不觉间就有可能将自身暴露于风险之中,且还不知道如何应对。
保障企业安全是一个需要考虑到很多方面的复杂问题。例如,攻击者可以借助第三方厂商取得企业网络的访问权,这进一步表明在内部和外部边界之间的安全漏洞。有时,在雇员打开了一个被恶意软件感染的邮件附件后,就会发生数据泄露的风险,这进一步凸显了在整个企业中进行安全培训的重要性。例如,前些日子闹得沸沸扬扬的索尼被黑事件中,美国的联邦调查局曾认为是朝鲜黑客所为,但事后的证据表明:内部心怀不满的人员在攻击中扮演了重要角色。
总体说来,这类严重的安全事件表明漏洞存在于技术和人这两方面因素中,而漏洞利用可能源自内部或外部的有意或无意的行动中。因而,全面的企业安全策略要求关注业务环境的所有方面,其中包括技术、策略、编制、人的行为分析等。
因而,企业进一步反省在信息安全方面的错误是很有必要的。本文将涉及企业在信息安全方面的常犯的错误,并指出了解决此类问题的出发点。
错误1:各自为战的阵营
在很多大型的企业,实施安全的责任存在于两个分离的阵营中:一个是应用程序的开发人员,其责任就是将安全性构建到业务应用中,另一个是信息安全人员,其重要职责是围绕业务应用构建安全防护。
上述做法虽然看似全面,但强健的外围和应用程序安全仍不能足以挫败针对当今网络的复杂攻击。应用程序开发者和信息安全的从业者之间的这种各自为战的状态会造成二者之间的知识差距,进而影响系统过程和策略的紧密结合,因而会造成其连接界面中的漏洞。两个阵营在安全问题上的差距持续存在,因为他们以不同的眼光看待应用或程序,并且其看问题的优先次序也不同。
解决此问题的出发点
全面的企业安全得益于整体化的方法,其中的安全从业者和应用程序的开发者在项目的一开始就紧密合作。上文谈及的分离的阵营可以通过形成一个软件安全小组而连接起来。软件安全小组应当有全面的背景和观点。相关人员在项目开始时就参与到小组中能够为跨阵营的协作提供有效途径。这种企业安全的整体化方法为应用程序开发、安全功能、网络架构、策略、过程的整合提供了基础。
错误2:标准不统一
企业环境的特点是多种操作系统、计算平台、设备构成日益复杂的网络。其中的某些设备是由企业拥有并控制的,当然还有一些不易控制的设备,如BYOD。此外,企业网络往往在多个水平上跨越不同的边界,例如,企业内部的不同边界(例如,不同部门)、企业之间的边界(供应商、客户、合作伙伴等)、不同地理位置(例如,携带移动设备的移动雇员)。关于如何保障这种复杂网络的安全性,企业的策略和过程需要不断地发展,而制定这种策略和过程的相关人员都有其自己领域内的安全观念。
这种情况的麻烦在于,虽然对于特定的设备来说,其要求和想法可能有效,但真正的安全漏洞存在于这些设备之间、不同系统的接口处及不同设备和系统之间的数据流中。在跨边界的设备和网络出现问题时,就可能导致安全失效问题。任何人要想理全面地理解安全和功能时都会感到非常困难。
解决此问题的出发点
制定跨边界的融合性标准可以有助于企业在日益复杂的环境中增强安全性。企业可以考虑在其“安全意识”培训项目中增加基本培训和融合性(“混搭”)培训。基本培训的重点是安全和软件开发中的基本概念,即那些在培训项目中可能会涉及到的概念。融合性(“混搭”)培训围绕这些概念展开,并将其放在企业环境中,促进跨企业的协作。
错误3:将业务过程和可用性作为后添加的东西
例如,有的企业非常重视用户体验,认为用户必须能够轻松地使用系统,复杂的安全要求不应影响自然的业务流程。当业务流程和安全性产生矛盾时,安全性要向业务流程让步。在便捷性和安全发生冲突时,便捷性往往能够取胜。这个事实反映在口令问题上就是:把写有口令的纸条粘在显示器上,等等。
解决此问题的出发点
企业要确认所有相关人员,其中涉及高级经理、项目经理、管理员、终端用户、网络和系统管理员、安全运维人员、测试人员、开发者、法律事务人员等,总之要确认与企业运营的安全性有关的一切人员,要确保在项目的初始阶段就考虑到业务的优先次序、工作流程、可用性问题等。在决定相关的人员时,不妨思考以下问题:为什么这些人很重要?这些人的一般背景是什么?这些人在工作中有可能遇到的挑战是什么?如何克服这些困难?这种对安全团队的更广义的观点可以促进不同相关人员的相互协作。强健的安全并不仅仅指的是技术;安全还应当构建到工作流程中。#p#
错误4:安全测试不充分
系统的功能操作规程描述了系统可以做什么。但安全漏洞往往与应用程序的非功能性方面联系在一起:即利用系统功能和目的之外的东西。不幸的是,许多企业将安全测试限定在功能测试上,而没有测试应当被禁止的系统功能上。即使在交付软件之前进行了一些渗透测试,这种安全测试也无法充分地确认有可能被攻击者利用的潜在漏洞的范围。
解决此问题的出发点
企业应该对功能操作规程进行扩展,使其既包括应用程序的目的和功能,又包括不希望其实现的功能。同样,安全测试也应进行相应的扩展,使其既可以测试期望其实现的功能,又能够测试不期望业务应用实现的功能。在测试时要有这种清醒的认识,还要认识到攻击者可获得的资源也越来越丰富,并且能够采用逃避防御的技术。有了这种认识后,保证测试人员和测试技术的多样化是一个好方法。因为对手是动态变化的,是多种多样的,他们有着各种动机、背景、方法等等,所以安全保护团队也应实现多样化。
企业安全的联手
企业安全是一种共同的责任,而且每个雇员都有其需要扮演的角色。企业信息安全责任不应当独立于业务和运营的决策。企业应当构建一个由有着安全、业务、技术等多种背景基础的人员组成的多样化团队,其目的是为了形成一种全面的安全决策。企业应向所有的雇员强调以下三方面的重要性,一是维护适当的安全制度,以保护私密和敏感数据;二是形成一种关于公司业务、安全、私密的策略;三是理解出现安全问题后的补救过程,并考虑运营和道德问题。
当今的企业环境包含着一种由技术和人员两方面的漏洞构成的动态交互。攻击者不但可以攻击设备、网络、人员的漏洞,而且还可以利用这些因素之间的接口漏洞。这种环境要求对企业的安全使用一种整体化的方法,也就是将相关人员(如软件开发者、安全专家等)链接起来的整体化方法。
具体说来,实施一种融合性方法有助于软件开发者和安全人员客服相互协作的困难,也助于企业管理分层安全的复杂性,并可以将新的应用整合到已有的安全架构中。从更广义的角度说,随着企业面临的环境日益复杂多变,采用融合性方法的企业将会更好解决上述问题。