前写的一篇关于风险分析与控制措施选择的一些小帖,一起堆到这儿
最近收到论坛的每周热贴提醒,发现有几篇都是在讨论风险控制方面的贴,有关于笔记本安全的,有关于文档控制,也有关于内网安全的,说到对策呢,有人建议管理,有人建议技术,有人建议管理与技术并重。我今天在这里也对风险控制稍加讨论,希望能够和大家碰撞一下,对我的思路有所启发。
[separator]
个人认为在针对重点保护对象实施的重大保护时,应该要根据全面的风险分析来做控制。这话可能听起来有点像是废话,这是信息安全的入门常识啊。的确,这是常识,但是我们在实际做控制的时候可能就没有把这一点说清楚。大家注意,我这儿强调的是说清楚,因为我相信各位信息安全的大侠和专家对于下面风险分析的前因后果一定比我更清楚,列得更全面,但是我们需要把它和老板,和非信息安全专业的业务部门说清楚,只有这样,你才能得到老板、业务部门管理层的支持,你的信息安全工作在公司也才能开展的下去。
[separator]
根据我在坛子里面看到的讨论和实际工作中见到的风险分析报告,我觉得很多时候风险分析和控制就是根据我们脑海中的一些最佳实践来做,而没有深入到问题的根源上,这样就缺少了让老板信服的理由。在前面的帖子中大家提出了很多独到的建议,这些建议大多都是条理清楚,逻辑清晰,从技术、管理等多个方面进行了考虑,仅仅从技术人员的角度来说,这些的确已经足够了。但是如果你需要把这份建议提交给老板或者你的客户来做决策的话,我觉得还是不够的,缺少什么?缺少让老板拍板的理由。
就拿笔记本安全管理的问题为例,一个好的安全实践是把笔记本里面的文件加密,我们现在没有加密,那么据此分析出来的风险就是如果不加密的话文件就可能会泄密,基于这样的分析我们就推荐笔记本硬盘加密或者文件加密。这样,一个看似完整的风险、控制分析到此就算结束了,但是老板可能会问我们到底需要硬盘加密还是文件加密呢?可不可以只上硬盘加密就够了呢?(老板当然喜欢这个了,不花钱么,任何企业的老板都要追求效益最大化的,当然国企、政府机关是追求政绩最大化 ^-^)我们就说,这个不行啊,这个不能防止我们自己把硬盘上的数据copy到家里的硬盘上卖给竞争对手。好,打住,到这儿其实我们才真正把问题的根源揪出来,硬盘全盘加密只能保证笔记本丢失时硬盘数据的保密性,但是不能防止笔记本合法用户的“数据偷窃”行为,文件加密或者是终端管理才是保护后者的良药。如果老板正是想控制自己人,防止他们把数据泄露到公司外面,那么他就肯定不会放弃文件加密这个控制措施了。
既然我们都很清楚,那么为什么要等到老板来问呢?如果我们在分析风险的时候从一开始就说明硬盘加密和文件加密分别控制什么性质的风险,让他一眼就能看清楚,这样就更容易做出决策。千万不要等他有了疑惑再来问我们,那样最终很可能会费力不讨好。一个好的报告就是要及时让读者产生疑惑,然后及时解决读者的疑惑,而不是只产生不解决。
在这个例子中,我们可以看到笔记本丢失其实是一种无意识或者说非故意的行为造成的风险,而笔记本用户对数据的非法copy则是故意为之,这种威胁性质的不同最终导致风险控制措施的不同。如果我们能够真正按照威胁—弱点--风险---控制措施的分析思路来进行,那么老板的决策就变得很简单,我们也不再需要面对老板的质问。当然,给老板的报告我们没有必要把我们分析的过程和盘托出,这个他也没有兴趣。但是我们还是可以根据这不同类型的风险对控制措施进行分类。
比如对于笔记本的管理,我们就可以这样罗列我们的控制措施建议:
(1)针对公司内部人员故意copy文件,泄漏公司机密的,我们有两个选择,当然也可以两者一起上:
a)需要把如下的18种途径控制住。。。。。。(各位已经列得足够详细,不再赘述),具体方案是使用某种终端控制的软件来控制这些信息泄密途径
b)对文件本身进行加密和权限控制,让他Y的即便把文件copy出去了也看不了
(2)针对公司内部人员犯无意识的错误,导致笔记本丢失而泄露机密的,我们可以:
a)制定制度,丢了就赔钱,罚死Y的
b)制定笔记本使用指南,天天培训,让他们把这些“三大纪律,八项注意”牢记在心
c)对笔记本硬盘进行加密,万一丢失了别人也看不了硬盘上的数据,气死Y的
(3)前面都是讲到数据的保密性,对于数据的可用性,每人配一台服务器,把重要数据都备份到服务器上,全备份、差异备份、增量备份,一个都不能少
(4) 。。。。。(此处省略N字)
刚才说到风险类型和控制措施类型的对应关系,个人认为主要是不同类型的威胁可以和控制措施画上那么一点点地对应关系。简析如下:
非故意威胁和故意威胁是人员威胁的两种类型,而威胁除了人员威胁之外还有自然灾害。这些不同类型的威胁的控制措施总体方向还是有些不同的。一般来说故意威胁只能靠技术措施去防止他们的产生,而无意识的威胁则需要管理措施来控制,这也是管理或者技术无用论产生的根源。如果想明白了只要人还存在,这两种不同的威胁就会同时存在(敢于这么说是因为对于人性的一点小小的感悟,惰性和贪欲是人的本性之一,惰性导致无意识犯错,贪欲导致故意犯罪),那么也就不存在管理与技术孰轻孰重的问题,他们必然是唇齿相依的关系。
当然只有对一些比较重要的保护对象,复杂、对业务影响又大的保护措施来说,才值得花这么大的力气作分析。因为这些控制很可能会对工作造成不便,影响工作效率,这显然和企业追求效益最大化的目标相背,那么一定要有比这些坏处更多的好处老板才会决定这么做。所以为了说服老板,必须要仔细分析。而对于像物理安全管理等一些比较基础同时又不会对业务造成太大影响的安全保护措施时一般是不用这么费力的。这些保护的好处显而易见又对大家影响不大,何乐而不为呢?
其实关于风险分析、风险控制真的是个很大的话题,这中间的方法历来就是众说纷纭,真可谓仁者见仁,智者见智。上文只是最近作项目时,重读OCTAVE的一些感悟。
