扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
安全专家的工作是非常有趣的。他们需要对现有的安全控制措施进行管理,同时还需要不断地在公司防御措施中寻找短板。这些短板往往是在差距分析中被发现,对于提供另外的应用、设备或服务的安全供应商来说,这又是一条生财之路。但是,这种模式是最有效或者说“最可靠的”吗?答案是否定的。
我们面临的挑战
很多公司的安全策略类似打地鼠游戏的玩家(见图A,来源:360digest.com),基本安全措施都已经部署到位了,并等待下一个新兴威胁的出现,然后利用虚拟木锤打击它。但如果没有真正保护策略的支持,这样的重复过程是永远不会结束的。这种一次性的方法可能为公司提供保护,但耗费的相关成本会大大地提高。此外,与新业务解决方案的结合只会扩大漏洞的数量,让安全保护的难度进一步上升。
图 A
对不同的安全控制措施进行管理、实施针对新威胁的解决方案或者监控措施,需要投入大量的软美元。这些冗余和“非统一”组件经常会在公司的防御体系中制造出新的漏洞,让信息保护和新业务解决方案的部署变得更加困难。
这就是安全专家开始工作的途径。但是,业务经理已经厌倦了微小而繁杂的信息技术预算。因此,我们将安全项目作为专门架构管理的时代已经过去了。该架构
应该支持公司其它业务体系来实现业务目标。通过建立包含了所有架构的全面解决方案,我们可以获得一个“足够安全”的环境,并且可以灵活安全地适应新的或者现有的业务体系。
解决方案
图B显示的就是一个基于实现预定业务目标的公司集成体系结构。在这里,所有一切的基础是明确提出来的经营策略。该基础将转化为定义了业务行为的实际信息技术体系。设计的网络和系统架构将为进程创建和调整提供支持,并为管理和运营团队提供相关信息。安全策略的作用是保证所有架构内部组件的正常运作和安全。
图 B
实现安全目标和玩好打地鼠游戏的模式是不一样的。我们现在需要的是一个明确定义、记录和管理的安全架构。通过它,信息技术团队可以在系统和网络中建立内置的安全子系统。因此,这里需要的就是来自诺威尔公司的罗克斯提供的统一框架。
根据罗克斯的观点,
第一步要做的应该是摆脱专用、零敲碎打的策略运行和风险管理模式。通过对公司所有的风险管理进程和措施进行处理,确保它们被清楚地界定和记录,该模式可以实现最佳效果。由于公司规模的不同,这可能涉及到数百甚至数千条控制措施和策略,所以,整个处理过程将会耗费一定的时间和精力。但是,这么做是非常值得的。
这一过程的结果是,所有的控制措施、它们的功能以及对现存短板和冗余的预估都会被列出来。几年前,我们在门诺保健中实施了这一模式。我们利用图C所示的电子表格对内容进行排列。
图 C
围绕着我们确定的新安全策略,表格中列出了各控制措施的期望目标。该策略是基于对信息系统和技术控制目标(COBIT)、健康保险携带和责任法案(HIPAA)以及国际标准化组织(ISO)/国际电工委员会(IEC)27002号规则等标准进行综合考虑后建立的,包括了所有数据和系统保护方面的目标。该策略确定和记录的目标架构是:
· 满足监管的要求
· 保护员工数据
· 保护机密商业信息
· 保证关键流程的正常运行,满足管理层的预期
· 对数据传输实现全面不间断的保护
· 容许进行内部和外部审计
表中的后续各列显示的是现有安全解决方案是否满足要求的情况。整个过程需要60天的时间,但结果已经近在眼前了。
通过利用矩阵,我们淘汰了几条冗余的控制措施,并通过启用其它控件上未使用的功能作为代替。我们继续利用矩阵来对风险进行确认,每次都可以成功地锁定新风险。我们发现,在大多数情况下,简单地修改现有的软件或硬件配置,就可以处理新出现的风险。(如果希望进一步了解矩阵的使用的话,请阅读《如何利用安全控制矩阵管理控件和降低成本》一文。)
因此,策略的组合和管理控制矩阵的建立可以降低运行成本,通过沟通让系统和网络组件融合为有利的进程,并可以对新出现的威胁进行灵活处理。我们应该停止就事论事的做法,主动选择建立一个预防、发现、控制和应对架构,以实现对所有威胁的有效处理。
结 论
与很多安全公司相比,我们更早地认识到这一点,就是对于安全来说,仅仅依靠指出威胁就可以自动获得经费的能力已经开始减弱了。我并不认为我们提供的方法是完美的,但它提供了可以随时进行改进的基础。最终我们就可以实现对业务需求有条不紊地进行响应,并以合理的成本应对来自内部和外部的安全挑战。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。