擺事實(shí)講道理 論數(shù)據(jù)安全防護(hù)的“表里”難關(guān)
信息時(shí)代,由于信息技術(shù)和互聯(lián)網(wǎng)的不斷深入,人們逐漸開始認(rèn)識(shí)到自身數(shù)據(jù)與信息安全的重要性。而作為信息時(shí)代的企業(yè),依靠數(shù)據(jù)、利用數(shù)據(jù)成了向前發(fā)展的必要手段。而國(guó)家,在這個(gè)時(shí)代可稱之為一個(gè)數(shù)據(jù)與信息的結(jié)合體,防護(hù)國(guó)家的信息與數(shù)據(jù)的安全成了一個(gè)國(guó)家的國(guó)防新標(biāo)準(zhǔn)。
雖然數(shù)據(jù)安全同信息技術(shù)與互聯(lián)網(wǎng)一樣正在深入更多的領(lǐng)域,但其真正問題也或許來自于此,由于不斷深入不同的領(lǐng)域,數(shù)據(jù)安全問題正變得越來越多樣,而在不同領(lǐng)域,數(shù)據(jù)安全防護(hù)的需求也各有不同,這也給與之相對(duì)應(yīng)的信息安全技術(shù)與數(shù)據(jù)防護(hù)技術(shù)提出了更高的要求。面對(duì)如此的狀況,數(shù)據(jù)安全該如何應(yīng)對(duì)?下面就讓這方面的專家山麗網(wǎng)安來告訴您吧。
就數(shù)據(jù)安全本身來說有“表”“里”兩大難關(guān)需要攻克
其實(shí)在數(shù)據(jù)安全領(lǐng)域,早有人把問題分為“內(nèi)”“外”來加以區(qū)分,“外”是指來自外部的入侵,主要是黑客攻擊、網(wǎng)絡(luò)攻擊、病毒入侵等;而“內(nèi)”主要來自系統(tǒng)的漏洞或者內(nèi)鬼。這樣的分類固然符合現(xiàn)在的防護(hù)現(xiàn)狀,但卻忽略重要的一點(diǎn),那就是排除“人”的因素。
眾所周知,“人”是最難以控制,不管是外部的黑客還是內(nèi)鬼,因?yàn)槟阌肋h(yuǎn)不知道黑客擁有怎樣的攻克技術(shù),內(nèi)鬼的級(jí)別到底多高,潛伏到底多深。所以通過防護(hù)“人”與管理“人”來達(dá)到數(shù)據(jù)安全的防護(hù),往往只能達(dá)到相對(duì)安全的標(biāo)準(zhǔn)。
不過,一旦排除了人的部分,或者說只剩下客觀的數(shù)據(jù)與信息的話,防護(hù)標(biāo)準(zhǔn)或者方法就變得相對(duì)簡(jiǎn)單和清晰了。而在這種情況下,其實(shí)也分為兩層,姑且我們稱之為“表”和“里”吧。
表層問題——數(shù)據(jù)安全正遭遇更多種類的外部襲擊
即使排除了變化最多的黑客因素,客觀的外部數(shù)據(jù)安全問題依然變化多樣。
以前IP的網(wǎng)絡(luò)環(huán)境,計(jì)算環(huán)境還是滿簡(jiǎn)單的。自從接入互聯(lián)網(wǎng)之后,各個(gè)方面的安全威脅將企業(yè)內(nèi)外部的混雜在一起,傳統(tǒng)的安全老三樣已經(jīng)不能很好的解決安全問題,這些安全威脅都跟經(jīng)濟(jì)利益相關(guān),跟國(guó)家利益相關(guān)。包括移動(dòng)接入,BYOD、云服務(wù)等,IT基礎(chǔ)架構(gòu)的變革帶來整個(gè)市場(chǎng)需求的變化。
同時(shí),網(wǎng)絡(luò)威脅給全球帶來巨大威脅,全球損失了4450億美元,網(wǎng)絡(luò)威脅給經(jīng)濟(jì)帶來的損害越來越嚴(yán)重,過去國(guó)內(nèi)的網(wǎng)絡(luò)安全還為上升層面,隨著網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組的成立,今年開始,各個(gè)省市在落實(shí)地方的網(wǎng)絡(luò)信息化安全領(lǐng)導(dǎo)小組。國(guó)家整體注重網(wǎng)絡(luò)安全,對(duì)廠商、集成商、代理商來說都是非常好的機(jī)會(huì)。
里層問題——漏洞仍是最大的威脅
在內(nèi)部雖然內(nèi)鬼神秘莫測(cè),但個(gè)人、企業(yè)甚至政府機(jī)構(gòu)使用的各種軟件所具有的“漏洞”依然是必須首要解決的問題。
為了更好的說明這個(gè)問題,下面引述一段“軟件安全老兵”的對(duì)話。
即使是最好的軟件也有漏洞,但通過在開發(fā)周期早期階段的關(guān)鍵控制,企業(yè)可以像進(jìn)行功能測(cè)試和質(zhì)量保證一樣檢查安全漏洞?,F(xiàn)在很多企業(yè)安全人員沒有時(shí)間顧及應(yīng)用安全性,而健康保險(xiǎn)公司Aetna首席信息安全官James Routh已經(jīng)在引領(lǐng)開發(fā)第五個(gè)軟件安全程序。
總是有些人反對(duì)軟件安全程序。我肯定你也聽到過他們的反對(duì)意見,他們常說:我們不能慢下來,我們不能受到限制。你如何應(yīng)對(duì)這些反對(duì)意見?
James Routh:人們真的很難會(huì)反對(duì)省錢、提高質(zhì)量和降低風(fēng)險(xiǎn)的程序。我擺出了簡(jiǎn)單的事實(shí),說明每個(gè)屬性和承諾,這件事情我常常做,所以比較容易?,F(xiàn)在開發(fā)人員并沒有異議,但項(xiàng)目經(jīng)理仍然怨聲載道,他們還沒有明白這樣做的好處。我現(xiàn)在使用的很多移動(dòng)應(yīng)用工具并不知名,所以我通常是從不熟悉它們的移動(dòng)開發(fā)人員那里獲得反饋。在這些情況下,我只是使用行業(yè)可用的數(shù)據(jù)來說明攻擊者可以非常容易地感染移動(dòng)應(yīng)用,以及通過二級(jí)渠道傳播它?,F(xiàn)在發(fā)現(xiàn)的大多數(shù)漏洞都是移動(dòng)軟件分發(fā)過程受到攻擊的結(jié)果。
底線是,當(dāng)你使用經(jīng)濟(jì)利益作為推動(dòng)因素時(shí),推動(dòng)軟件安全程序會(huì)變成簡(jiǎn)單的工作。成功部署程序更多是關(guān)于改變行為,而不是部署技術(shù),因此,我們將安全作為軟件質(zhì)量的屬性重新明確了開發(fā)領(lǐng)導(dǎo)者的角色(掌握過程和結(jié)果),而安全部門則負(fù)責(zé)設(shè)計(jì)控制和衡量有效性,這主要也是為了有助于開發(fā)領(lǐng)導(dǎo)者的工作。
讓我驚訝的事情是你在使用數(shù)據(jù)指標(biāo),而不只是口頭上說,“這是我們應(yīng)該做的事情”,你可以解釋它如何能節(jié)省資金來避免損失和周期外維護(hù)。你能否告訴我你的數(shù)據(jù)指標(biāo)有哪些?
James Routh:當(dāng)安全控制部署到開發(fā)過程時(shí),主要有兩個(gè)提高生產(chǎn)效率的基本驅(qū)動(dòng)力:首先,企業(yè)安全API(Enterprise Security API)等框架和開源組件選擇及靜態(tài)分析工具,可以防止漏洞進(jìn)入應(yīng)用構(gòu)建過程,這消除了修復(fù)漏洞和缺陷的成本。其次,與在生產(chǎn)過程中發(fā)現(xiàn)漏洞相比,在質(zhì)量保證中檢測(cè)到漏洞,然后修復(fù)高優(yōu)先級(jí)的缺陷,在時(shí)間方面更節(jié)省時(shí),且成本更低。
我計(jì)算了修復(fù)生產(chǎn)后期漏洞所需時(shí)間(高度復(fù)雜漏洞修復(fù)=8小時(shí);中等復(fù)雜程度=4小時(shí);簡(jiǎn)單修復(fù)=2小時(shí)),并比較開發(fā)過程中修復(fù)漏洞所需時(shí)間,然后乘以高風(fēng)險(xiǎn)漏洞的數(shù)量。我使用每小時(shí)標(biāo)準(zhǔn)恢復(fù)量作為成本,例如125美元,這是FTE開發(fā)人員(供應(yīng)商和第三方顧問公司進(jìn)行開發(fā))的行業(yè)平均每小時(shí)成本。其結(jié)果是,除了將漏洞修復(fù)從生產(chǎn)后期轉(zhuǎn)移到質(zhì)量保證或生產(chǎn)前期節(jié)省的成本外,這樣做還可以“提高生產(chǎn)效率”。而通過消除或減少修復(fù)漏洞的工作所節(jié)省的開發(fā)時(shí)間還可以重新投資于在更少時(shí)間內(nèi)提供更多功能。
我不明白的是,為什么很少高管像你這樣“懂”。你認(rèn)為我們可以怎樣做來提高對(duì)這個(gè)話題的理解?在過去15年,我們看到很多“滲透和修復(fù)”,以及各大軟件供應(yīng)商不斷推出修復(fù)補(bǔ)丁,如果這不是危險(xiǎn)的信號(hào),那是什么?我們可以做些什么?
James Routh:70多家公司現(xiàn)在使用BSIMM數(shù)據(jù)衡量其軟件安全程序的成熟度,軟件安全的知識(shí)體系已經(jīng)明顯改善。你問我為什么領(lǐng)導(dǎo)們很少明白這一點(diǎn),這是很合理的問題,我的觀點(diǎn)是,很多人明白軟件安全的經(jīng)濟(jì)推動(dòng)因素,并且跨行業(yè)部署了更有效的控制。我們比十年前更懂得軟件安全做法,我在這里與你分享的信息其實(shí)已經(jīng)公開化。
在推出補(bǔ)丁修復(fù)的很多軟件廠商中,他們也有成熟的軟件安全程序,包括微軟、Adobe Systems和EMC等?,F(xiàn)實(shí)情況是,完美和軟件并沒有關(guān)系,我們總是會(huì)有機(jī)會(huì)來發(fā)現(xiàn)和提高軟件漏洞。
我們正在嘗試新的東西,我們將所有控制部署到web應(yīng)用,并且基本上眾包了應(yīng)用的滲透測(cè)試來查看應(yīng)用的情況。這意味著軟件研究人員將會(huì)執(zhí)行滲透測(cè)試,并與我們分享其結(jié)果。
我非常希望在這個(gè)過程中發(fā)現(xiàn)新的漏洞,盡管在此之前對(duì)相同軟件版本已經(jīng)執(zhí)行了幾十次測(cè)試。這也有可能幫助我了解我們開發(fā)過程中部署的很多控制正在如何執(zhí)行以及哪里有改進(jìn)的機(jī)會(huì)。隨著時(shí)間的推移,我們還會(huì)追蹤漏洞密度,這些數(shù)據(jù)清楚地顯示了開發(fā)人員的顯著改進(jìn),因?yàn)樗麄兪褂昧烁玫墓ぞ邅戆l(fā)現(xiàn)開發(fā)中的漏洞。
只要我們構(gòu)建軟件,在這個(gè)過程中就會(huì)發(fā)現(xiàn)漏洞以及提高其質(zhì)量的機(jī)會(huì)。顯然,投資于質(zhì)量改進(jìn)可以獲得更好的經(jīng)濟(jì)性,但軟件的完善將仍然還有很長(zhǎng)的一段路要走。
山麗網(wǎng)安總結(jié):從這段對(duì)話我們不難看出,漏洞安全必須從軟件“出身”的那一刻就必須時(shí)刻關(guān)注,并投入大量的精力和財(cái)力,這樣才會(huì)讓“致命漏洞”更少的出現(xiàn)。
根本做法 加密防護(hù)數(shù)據(jù)才是硬道理
從上述對(duì)數(shù)據(jù)安全防護(hù)“表里難關(guān)”的分析,我們不難看出,即使排除了變化最多、最難預(yù)測(cè)的人為因素,數(shù)據(jù)安全的防護(hù)依然面對(duì)許多不同的問題。面對(duì)這種情況,顯然我們的防護(hù)必須更深入,即觸及到我們需要防護(hù)的核心數(shù)據(jù),然后在劃定安全底線之后,再應(yīng)對(duì)各種不同的問題。而現(xiàn)今要做到這種效果就要使用多模加密技術(shù)。
在說多模加密之前,我們必須先了解下數(shù)據(jù)加密。數(shù)據(jù)加密直接作用于數(shù)據(jù)本身,使得數(shù)據(jù)在各種情況下都可以得到加密的防護(hù)。再者由于加密防護(hù)特殊性,使得數(shù)據(jù)即使泄露了,加密防護(hù)依然存在,只要算法不被破譯,數(shù)據(jù)和信息仍然可以稱作是安全的。由于這兩點(diǎn)保證,使得加密軟件成為了現(xiàn)代企業(yè)防護(hù)信息安全的最主要和最可靠的手段。
然后是多模加密。多模加密技術(shù)采用對(duì)稱算法和非對(duì)稱算法相結(jié)合的技術(shù),在確保加密質(zhì)量的同時(shí),其多模的特性能讓用戶自主地選擇加密模式從而更靈活地應(yīng)對(duì)各種防護(hù)需求和安全環(huán)境。同時(shí)作為這項(xiàng)技術(shù)使用的典型代表山麗防水墻的多模加密模塊還采用了基于系統(tǒng)內(nèi)核的透明加密技術(shù),從而進(jìn)一步確保了加密防護(hù)的即時(shí)性和完整性(加密與格式無關(guān))。
同時(shí),山麗網(wǎng)安為了應(yīng)對(duì)個(gè)人以及移動(dòng)終端平臺(tái)的防護(hù)需求,推出了以多模加密技術(shù)為核心的密盤系列。這些帶有加密功能的U盤同樣可以針對(duì)不同的防護(hù)需求做出靈活的應(yīng)對(duì)。
其實(shí),不管是“表里問題”還是“內(nèi)外問題”,數(shù)據(jù)安全問題日趨復(fù)雜是不爭(zhēng)的事實(shí)。除了積極的應(yīng)對(duì)之外,從更深層的地方,采用靈活且具有針對(duì)性的加密技術(shù)及其軟件進(jìn)行防護(hù)或許是最好的選擇!
提交
供應(yīng)鏈中的信息安全 淺談ERP系統(tǒng)的防護(hù)要領(lǐng)
針對(duì)NSA對(duì)云計(jì)算安全影響 數(shù)據(jù)加密是硬道理
“影子IT”信息安全隱患大 云計(jì)算發(fā)展受阻
看不見的危機(jī) 細(xì)數(shù)云計(jì)算的數(shù)據(jù)安全隱患
信息化與網(wǎng)絡(luò)安全 這個(gè)時(shí)代無法逃避的話題