1.2 安全原则

对于信息安全工作目标和实现方案,每个企业可以根据自己的实际情况做出选择,可谓各有千秋,但有些普适性的基本原则是相通的。概括而言,信息安全原则主要有三点:持续改进、纵深防御和非对称。

1.持续改进

有没有办法确保一台服务器不被不明武装分子攻陷?有没有一个类似“照妖镜”的工具,一旦安装上就可以高枕无忧,让恶意的攻击者无所遁形?有没有一个万能的“上帝之手”,帮我们干掉所有安全问题?很遗憾,以上“神器”都不存在。

在解决安全问题的过程中,不可能一劳永逸。很多安全厂商在推销自己的安全产品时,吹得天花乱坠,似乎无所不能,从早期的防火墙、防病毒、入侵检测,到现在的态势感知、威胁情报、智能分析,安全防御技术本身并没有革命性的变化。一套入侵检测技术包装个名词,就能摇身一变从IDS到IPS、SIEM,再到现在的威胁情报,但本质上,都还是开发检测规则,进行异常模式识别。安全产品、安全技术不能光靠名词的改变来实现转型升级,而是需要不断地随着攻击手段的发展而升级,也需要有人来运营,否则安全就是稻草人,在变化的攻击手段前不堪一击。

因此,持续改进,PDCA(plan,do,check,act)循环,螺旋式上升,是信息安全的第一个原则。

2.纵深防御

在典型的入侵案例场景中,攻击者利用Web应用漏洞,获得低权限WebShell,然后通过低权限的WebShell上传更多文件,并尝试执行更高权限的系统命令,进一步在服务器上提权,再横向渗透,获得更多内网权限。在这个典型的攻击路径中,如果在任何一个环节设置有效的安全检测和防御措施,攻击都可能被检测和阻止。

因此,在安全防护技术没有革命性发展的当下,企业必须坚持纵深防御原则,从网络层、虚拟层、系统层、应用层,到数据层、用户层、业务层、总控层,进行层层防御,共同组成整个防御体系。这是信息安全的第二个原则。

3.非对称

对于攻击者来说,只要能够找到企业系统的一个弱点,就可以达到入侵系统的目的,而对于企业信息安全人员来说,必须找到系统的所有弱点,不能有遗漏,不能有滞后,才能保证系统不会出现问题。这种非对称性导致攻击者和安全人员的思维方式不同,也是企业信息安全工作难做的根本原因,因为破坏比建设要容易。战争中发明的各种反舰、巡航导弹、潜艇属于非对称作战武器。

该怎么扭转这种劣势呢?答案就是,安全防护人员也需要非对称思维。

那么,在信息安全领域,应该发展哪些非对称的安全防护“武器”呢?在这种情境下,各种“蜜”的产品应运而生了,蜜网站、蜜域名、蜜数据库、蜜表、蜜字段、蜜数据、蜜文件……如果企业在面对攻击时进行安全反制,恶意攻击者就很难全身而退。据我所知,很多企业已经进行了商业化大规模部署,并在实际对抗中取得不错的效果,这应该是未来安全防护发展的一个有益方向。

认识到非对称,并找到解决非对称问题的方法,这是信息安全的第三个原则。