基于攻击视角完善信息安全弹性防御体系思考

　　实际工作中，至少应掌握两类资产：一是系统资产，包括但不限于网络拓扑结构、业务逻辑架构、物理部署位置、系统数据流等，同时对资产的不光有内部报送，也应辅助扫描机外部探测;二是管理资产，包括但不限于组织架构图，研发、运维、供应链信息，保障及监管单位流程。

　　2.具备四个意识，防范创造性失灵

　　安全要和企业的整体战略、规模、成本结合起来，实事求是做安全，不能过度安全导致影响业务。具有核心意识，向单位业务核心业务靠拢，保障核心业务;具有大局意识，从整体的信息系统发展角度出发而非只从狭隘的安全角度出发;具备看齐意识，向行业、国内、国际的顶端安全理念看齐;具有政治意识，保证安全工作和信息化工作的合规和合法。

　　另外，防御系统出现创造性，系统性失灵，类似明斯基时刻，整体失效。凯文凯利(KK)在《失控》中将各种质量控制手段和反馈手段综合起来，可证明随着各种防控手段的综合应用，综合防御能力会出现1+1>2的情况。但根据热力学第二定律，宇宙的熵会随着时间的流逝而增加，随着复杂度的增加，由有序向无序，最终进入热寂(创造性失灵并且无法定位故障点)，这是大概率的系统性风险或明斯基时刻。

　　3.信息安主动迎接云、大数据和区块链等新技术

　　就像互联网的出现，电商颠覆了传统业态一样，云和大数据出现也对传统安全防护提出了挑战。安全体系应主动变革，从基础设施(IAAS)、操作系统(PAAS)、软件服务(SAAS)三个层面主动设计应对。

　　云安全的实现路径首先开展统一的访问控制4A，统一入口。其次开展业务层的隔离与追踪取证，基于业务逻辑开展软件定义安全，软件定义边界和微隔离。最后开展数据安全治理，在业务隔离的基础上开展追踪取证，对数据打标并在边界进行控制。

　　云安全时代的到来会带来一种变革，业务的入口更集中，安全相对来说也变的更集中，访问控制单点突破后，造成的损失几何级上升。但云安全时代的好处在于将力量分散的安全能力进行聚合，能力越大，责任就越多，对安全人员提出了更高的技术要求，知识升级和安全理念的更新。

　　4.稳健原则开展安全运营，开展威胁情报共享

　　稳健(Prudent)原则开展安全运营，银行业属于风险厌恶型，运营稳健涵盖谨慎、负责、勤勉和有能力。为此遵循适度谨慎(DueCare)和适度勤勉(DueDeligeou)准则开展运营设计。在安全管理设计上逻辑严密，体系架构合理并可实现，在安全运营上要注意留存记录及证据，以便回查。这样，事件调查处置中，以证明制度和运营的合理性，尽职尽责，避免造成人为重大疏忽，也是对单位资产和从业者的保护。

　　信息安全工作由于其不直接产生经济效应，在信息系统中处于相对弱势，安全界自称背锅侠，“没出事情的时候没什么用，出了事情就证明真没什么用，重保三宝，预案、检讨和辞呈”。正因如此，从业者跟更应该团结起来，开展信息交换，实现非对称打击或者防御。在第6届银行业数据中心联系会上，银行业形成共识，通过银行业威胁情报及安全事件信息共享，构建联防联治态势体系，用开放、共享、共赢的方法来主动应对外部攻击，提升信息安全防御维度。

　　此外，不仅向内做好用户风险警示，更要向管理层和监管层就安全风险预期达成一致，设立合理安全目标，实现适度安全。安全的目标不是消灭所有的风险，是基于成本和效率的考量，将信息安全风险控制在管理层“可接受”范围内。

（编辑：温州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!