理解了生活就理解了安全 作者:吴强
不知不觉做安全也有些时间了,曾经对安全的无限憧憬和神秘的遐想都随着时间和方案逐渐的灰飞烟灭了。留下的更多是对国内安全界的强烈希望和深切担忧。
我们看待一件事情必须要溯本求源。那么安全的本质是什么?我们天天都会提到要注意安全,也身在其中忙忙碌碌,不亦乐乎。我们所做的和所求的究竟为了什么呢?佛家讲究因果关系,一切的因都是为了求什么果呢?四个字 --保家卫国。
目前所有对信息安全的概念探讨都一定会提到安全的 4个基本属性:
1.保密性(Confidentiality):确保只有经过授权的人才能访问信息。
2.完整性(Integrity): 保护信息和信息的处理方法准确而完整。
3.可用性(Availability): 确保经过授权的用户在需要时可以访问信息并使用相关信息资产。
4.可控性(Controllability): 就是对信息及信息系统实施安全监控。
理论的东西总有些枯燥和难于理解,我更加喜欢用生活中的类比来说明安全 --就是保护属于自己的钱不被除自己以外的任何人拿走。
1.首先你的钱你不希望别人知道,因为那是你的 ――保密性;
2.其次你不希望突然有一天发现自己的钱少了,原来有多少钱现在还是多少钱 ――完整性;
3.你肯定希望自己随时都能随心所欲的用这笔钱 ――可用性;
4.最后你希望任何时候都能知道有多少钱已经用了,是怎么用了,还剩下多少钱可以用 ――可控性;
所有的安全产品和安全理念无非都是围绕这 4个基本概念深入延伸而展开,而且这些概念彼此环环相扣,且生生不息的互为因果。
试想如果你的钱不放在柜子里,也不上锁,随便往哪里一扔,你的钱不被拿走才怪。所以一般人都会想一定要把这些钱找一个地方稳妥的放好,地点要隐秘,不能让别人发现。其次要能够有什么措施保证别人无法看,比如加锁或者放在保险柜里面等等。一般有藏私房钱的人都对此比较有经验。只有做好第一步保密后,才有可能保证下面的几点才有条件实现。那么钱已经藏好了,那么剩下的疑惑就是我的钱会不会少,如果钱藏得足够隐秘,钱一般不会少。如果钱不多不少,那么就要考虑我是否随时都能够方便的使用这笔钱,这些基本条件都具备后,必然会有一个新的问题,就是我如何去控制这些钱。我怎么知道谁(账号管理)在什么时间花了多少钱(历史记录),怎么花的(操作审计)。那么控制的目的是为了什么呢?为了这些钱能够按照自己的意图(安全策略)去花。
既然安全的本质就是保护钱,首先你要问自己的就是你有多少钱。我想富人和穷人在理解钱这个概念上肯定会有很多差别。没有人可以想象一个身无分文的人会考虑保护自己的钱,所以无产者无谓大概就是这个意思。什么样的条件就会催生怎么样保护的需求,所以提到安全首先要看自身的条件,不同层次的客户肯定会有不同层次的需求。这也是为什么目前几乎所有的安全产品几乎都集中在行业和企业用户的一个原因,因为普通用户不具有产生强烈安全需求的必要条件。对于普通人来说,只要家里的门有一把锁也许就可以了,这把锁是唯一的安全需求了,如果你劝说他去买一个高级的保险箱,这个难度可是相当的大阿!对于他来说,仅有的一些钱都在银行里,家里没啥值钱的了,就算真有人破门而入(黑客),也没啥大关系。但是对于富人来说,情况就完全不一样了。他肯定具有一定的安全意识,因为他的钱也是辛辛苦苦的挣的,不是抢来的。虽然国家的法律明确保护公民的私有财产神圣不受侵犯,不过现实中很多事情不能将简单的依赖法律,自己的痛自己知道,不如多花些钱来保护好自己的钱更加现实。首先他在住宅的选择上就要非常小心,会对周围的环境和安全要求很高,肯定要考虑在自己居住的豪宅周围限制闲杂人员的往来,怎么做呢?方圆几公里之外都要圈起来(安全域划分),明确区分出哪里是自己的领地;只有一条道能够通过(集中控制,入口唯一),在进入地点到豪宅这段路是他要绝对的控制的(内网保护),门口肯定要有保安需要你出示证件(身份认证),一到院子里面总会有几条狗热情的跑来闻闻你的味道( IPS),进入后随处都有摄像头跟踪(审计),所有的有价值产品都放在机关背后的保险箱(主机防护)里面等等,就看主人愿意花多少钱做到哪一步了。
保护私有财产不受侵犯,就是保家。对于任何一个在企业和行业内部的安全人员来说,首先就要想到的就是保家的概念。企业就是我们的家,我们要尽我们最大的力量去保护它不能受他人的任何侵犯。
在有了互联网以后,安全就更加有难度了,为啥呢?
用Bill Gates的话来说,互联网就是信息高速公路。想致富就要先修路,没有路你无法和外界沟通。骨干网其实就是国道,城域网就是省道。所谓的网络设备就好比是各个关卡或者收费站点,它能控制你可以去向何方。流量无非就是一条路上可以同时跑多少辆车的车道,所谓保密就是要保证车里面的东西不被看到。由此可以看出,要保证信息在整个传递过程中都保持安全,相对来说有些难。因为在信息传递的过程中有太多不可控因素,你不知道在哪一个关卡会有人窥探你,就算在路上也许也会有人拿着望远镜远远的在偷窥你,要解决信息在传递过程中的安全问题,必须保证你传递的信息本身不是明文或者用加密的设备( VPN)传递信息。
目前的概念是提及企业安全都会说网络安全,感觉安全只是和网络有关系。我个人的理解网络安全不是安全的本质,网络安全很重要,但是它不是企业安全的本质。网络安全的本质只是路的安全。路有很多条,这条路也许安全,那条路也许不安全,你能控制到每一条路都安全么?条条道路通罗马,你能控制到罗马的每一条路么?我们能做的就是要让自己回家的这条路一定是安全的(内网安全),因为这是家里人走得归家的路,这条路的安全极度的重要。因为目前黑客攻击的重点正在迁移,从原来的攻击服务器变成更多的攻击客户端机器。原因是目前对服务器的重视程度都比较高,而且攻击服务器的成本远远大于客户端。安全的方向在渐渐的从网络到主机,从外网到内网。
安全的本质是钱,对于任何一家公司来说,安全的本质是那些机密的文件数据。我认为数据的安全才是真正的安全。一切的安全因为数据存在而存在,因为数据的 “动“而“动“,因为它才是真正有价值的目标。数据不是放在空气里面的,它们一定要有存放之地,也许是在抽屉里面,也许是在保险箱里,也许是存放在银行的金库里面。无论怎么放它都必须依赖于容器,容器是什么?各个系统就是容器。放在 windows里面,windows就是容器,放在linux里面,linux就是容器,放在数据库里面,数据库就是容器。
由此可以看出,和数据文件相关的所有传输过程和涉及点都是和安全相关的。任何一个过程和点的薄弱都会带来数据安全的隐患。所谓的安全难做就是因为过程太多,变更太多,涉及到的人和其他不可控因素太多。
作为一个贼(hacker)是如何来思考?我知道在某栋豪宅里面有很多钱,那么首先我会在豪宅周围四处游走,一方面看看这个豪宅的保安措施是否到位,一边考虑是否可以绕过门口的保安进入(扫描踩点),如果有其他地方进入(各种漏洞),最好;如果没有只能走大门,那么必须清楚什么样的人可以进入,一般保安其实盘查的也不是很严格(防火墙),那么混进去不是一件太困难的事情,混入豪宅内部后(内网),发现里面的安全其实就没有外面那么严格了(内网的信任原则),你基本可以随意行走,既可以在花园散散步,也可以到屋内参观(权限控制松散)。在你行走的过程中,你一直留意周围是否有摄像头的监控(审计),因为你需要为自己留后路,你必须要保证能全身而退。凭着直觉你发现钱是放在二楼的保险箱里面,那么肯定要打开保险箱(渗透),然后就是在那里留一个后门(木门),能保证自己以后还能随时的进出,最后就是人不知鬼不觉的撤退,当然在撤退的过程中要保证擦除所有的做案证据。
安全其实也就是道高一尺,魔高一丈的过程。听起来有些不理解,有些妄自菲薄的味道。我不知道在企业里面负责安全的有多少是真正见到过正在发生的攻击行为,我有幸能亲身体会到那种攻击的震撼。我们部门的 “小黑“让我彻底改变了对攻击的看法,他所有的快乐都会在 “破门而入”的那一瞬间绽放,而在那一刻带给我的却是绝对的失落。做为一个守门员,没有什么比丢球感觉更加沮丧的了。他们的世界我无法真正的去体会和理解。做矛的和做盾的关注点肯定是不一样的。大家都知道某些地下组织里面都有一些未公开的漏洞,也就是通常说的 0day,这些信息只掌握在某些人手里,越是级别高的漏洞,知道得人越少,这本身就是一种信息的不对称。而我们对于这种 0day的问题基本上是束手无策的。在现实生活中,据说能搞定所有锁的高级窃贼依然是存在的,尽管数量很少。相对于他们来说,我们是绝对的弱者。我们能做到的是让他不知道锁的位置和多加几把锁。
2004年上海柏安帮助我们完成了网站的安全评估,也就是在这一年,我对安全的神秘感消失无踪。我深刻的体会到做安全的人必须要有正确的方法论去引导我们度过漫漫黑夜,从而到达黎明的彼岸。站在我的角度,企业不太适合自己来完成安全评估,俗话说见多才能识广。相对于专业的安全公司,我们的视野不够开阔,眼光不够深邃,有些习惯难以改变,太多制度和策略都难以推动。独乐乐不如众乐乐,与其闭门造车,不如在更加广阔的范围里面和更多安全专家一起来交流,探讨。当然前提就是要选好最适合自己的公司。安全评估的大概流程如下:
1.你要知道有多少钱。(信息资产)
2.根据钱的多少确定保护的级别,钱越多,安全措施的级别越高。(安全区域划分)
3.你要知道这些钱的存放位置(访问边界的设定)
4.谁能访问和谁不能访问(严格的权限控制)
5.模仿贼在四周仔仔细细观察(安全弱点的评估)
6.和管家,仆人畅谈安全(人员访谈)
7.关键地方一定要多加几道保险(深度防御)
8.加强思想道德教育,提高安全意识(人员意识培训)
理解了生活其实也就理解了安全。其实安全真的是不神秘。
