信息安全成功的八 “定律”

信息技術(shù)專業(yè)的學(xué)生往往把在學(xué)校學(xué)習(xí)的專業(yè)知識直接帶到工作中。例如，新的編程和系統(tǒng)分析、設(shè)計(jì)技能可應(yīng)用于新開發(fā)的項(xiàng)目，這是因?yàn)楣驹絹碓较矚g訪問其內(nèi)部的云計(jì)算系統(tǒng)和移動基礎(chǔ)架構(gòu)。

安全問題卻有點(diǎn)兒不同。雖然專業(yè)技能仍很重要，但最好的安全專家將其IT的實(shí)踐經(jīng)驗(yàn)與信息安全、技術(shù)、人性的一般理論相結(jié)合。而其中的一些概念是從其它領(lǐng)域（如軍事防御）中借用的，這往往需要花費(fèi)多年的專業(yè)體驗(yàn)才能學(xué)會（有時(shí)這是很痛苦的事情）。掌握信息安全的概念和原則，我們就可以分析適當(dāng)環(huán)境或情形中的安全需要，因而就可以在允許訪問的需要與相關(guān)風(fēng)險(xiǎn)之間實(shí)現(xiàn)平衡。沒有兩個(gè)完全相同的系統(tǒng)或環(huán)境，也沒有哪本教科書可以規(guī)定如何解決某種安全問題。與之相反，我們必須依靠基于原則的分析和決策。

三大安全目標(biāo)是機(jī)密性、完整性、可用性

所有的信息安全措施都必須努力滿足至少如下三目標(biāo)之一：保護(hù)數(shù)據(jù)的機(jī)密性、保留數(shù)據(jù)的完整性、有益于授權(quán)用戶的可用性，這三個(gè)目標(biāo)形成了機(jī)密性、完整性、可用性的“鐵三角”，是所有安全項(xiàng)目的基礎(chǔ)。在制定保護(hù)計(jì)算機(jī)系統(tǒng)的計(jì)劃時(shí)，構(gòu)建策略和過程的信息安全專家必須考慮每一個(gè)目標(biāo)。

對于信息安全保護(hù)的機(jī)密性、完整性、可用性，我們無論如何強(qiáng)調(diào)都不過分。下面分析其實(shí)現(xiàn)模式：

完整性模式：完整性模式通過保護(hù)系統(tǒng)數(shù)據(jù)免受惡意或意外的變更而保持?jǐn)?shù)據(jù)的純凈和可信。完整性模式有三個(gè)目標(biāo)：一是防止未獲得授權(quán)的用戶對數(shù)據(jù)或程序的篡改，二是防止授權(quán)用戶對數(shù)據(jù)或程序的不正確的修改，三是保持?jǐn)?shù)據(jù)和程序的對內(nèi)和對外的連續(xù)性。

可用性模式保持?jǐn)?shù)據(jù)和資源對授權(quán)使用的可用性，在緊急情況或?yàn)?zāi)難期間，這尤其重要。信息安全專家通常要解決三個(gè)常見的困難：一是由于惡意攻擊或在實(shí)施中有未被發(fā)現(xiàn)的漏洞而導(dǎo)致的拒絕服務(wù)（例如，程序設(shè)計(jì)員編寫程序時(shí)，并沒有意識到程序中的某個(gè)缺陷，在程序接收到意外的輸入時(shí)會導(dǎo)致程序崩潰）。二是由于自然災(zāi)害（洪水、地震等）或人為活動（如人為爆炸等）而造成的信息系統(tǒng)功能的喪失。三是在正常使用期間，設(shè)備發(fā)生故障。

維持機(jī)密性、完整性、可用性的一些活動僅允許授權(quán)的人員訪問，對通過互聯(lián)網(wǎng)或存儲在數(shù)字媒體上的信息實(shí)施加密，定期測試計(jì)算機(jī)的安全性以發(fā)現(xiàn)新漏洞，積極構(gòu)建軟件防御，制定災(zāi)難恢復(fù)計(jì)劃確保在發(fā)生災(zāi)難或由于人員無法訪問時(shí)企業(yè)能夠繼續(xù)運(yùn)營。

將深度防御作為策略

銀行從來都不會將其資產(chǎn)放置在沒有任何保衛(wèi)的保險(xiǎn)箱中。一般而言，訪問保險(xiǎn)箱要求通過多層保護(hù)，其中可能包括保安、有專門訪問控制的帶鎖的門。此外，保險(xiǎn)箱所在的房間還有可能受到閉路電視、運(yùn)動傳感器的監(jiān)控，以及能夠快速檢測異常活動的警告系統(tǒng)。警報(bào)的響聲還可以使門自動上鎖，并且可以通知警察，或是排放催淚瓦斯使其充滿整個(gè)房間。

分層安全也被稱為縱深防御。這種安全是在多個(gè)層中實(shí)施的，它提供保障資產(chǎn)安全的三個(gè)要素：防御、檢測、響應(yīng)。縱深防御還可以通過兩層或多層的長處來抵消某一層的不足。

在信息安全領(lǐng)域中，縱深防御要求在多個(gè)層級中實(shí)施保護(hù)、檢測和響應(yīng)攻擊的安全設(shè)備。例如，如果在設(shè)計(jì)時(shí)考慮到安全性，一個(gè)連接到互聯(lián)網(wǎng)的典型網(wǎng)絡(luò)必須包括路由器、防火墻、入侵檢測系統(tǒng)（IDS）來保護(hù)網(wǎng)絡(luò)免受潛在的入侵；并利用通信分析工具和實(shí)時(shí)的人員監(jiān)視來查看異常，依靠自動化的機(jī)制來關(guān)閉訪問，或?yàn)閼?yīng)對入侵者的檢測而從網(wǎng)絡(luò)中移除系統(tǒng)。

上述深度防御機(jī)制中每一層的安全性在部署之前都必須徹底地測試，以確保集成系統(tǒng)適合于正常操作。因?yàn)椋粋€(gè)鏈條的可靠和牢固程度是由其最薄弱的環(huán)節(jié)決定的。

計(jì)算機(jī)安全依靠兩類需求：功能需求和保證需求

功能需求描述了一個(gè)系統(tǒng)應(yīng)做什么，而保證需求描述了應(yīng)當(dāng)如何實(shí)施和測試功能需求。我們需要兩種需求來回答如下問題：系統(tǒng)是否在正確地運(yùn)行（如期望的那樣）?系統(tǒng)是否在以適當(dāng)?shù)姆绞秸_地運(yùn)行?

驗(yàn)證是檢驗(yàn)是否滿足一個(gè)或多個(gè)預(yù)定的需求或規(guī)范的過程。而確認(rèn)要確定用以滿足需要的機(jī)制的正確性或質(zhì)量。換言之，你可以開發(fā)解決某種需要的軟件，但此軟件有可能包含漏洞，惡意用戶得到此軟件后就有可能造成數(shù)據(jù)破壞。

在此，不妨以汽車的安全測試為例說明一下。驗(yàn)證座椅安全帶的測試可能包括進(jìn)行安全帶的應(yīng)力測試、測試鎖扣裝置、確保安全帶滿足所期望的應(yīng)用。而確認(rèn)測試可能包括用車內(nèi)假人進(jìn)行碰撞試驗(yàn)，以此證明座椅安全用于現(xiàn)實(shí)條件時(shí)是真正安全的，而且在惡劣條件下能仍能發(fā)揮作用。

至于軟件，我們需要驗(yàn)證和確認(rèn)兩方面的回答，其目的是在將產(chǎn)品推向危機(jī)四伏的環(huán)境之前贏取對產(chǎn)品的信心。當(dāng)今的多數(shù)商業(yè)性質(zhì)的非定制軟件都止步于驗(yàn)證，而沒有測試最終產(chǎn)品中的明顯的安全漏洞。軟件的開發(fā)者往往缺乏必要的資金和動機(jī)去破解、攻擊其自己的軟件。更常見的是，測試軟件的開發(fā)者在每個(gè)功能上可能滿足規(guī)范，但通常不會努力去找到突破軟件并使其失效的方法。

通過隱藏實(shí)現(xiàn)安全不靠譜

信息安全界的很多人相信，如果惡意攻擊者不知道軟件是如何實(shí)現(xiàn)安全的，安全性就會更好。雖然這看似符合邏輯，但并非事實(shí)。通過隱藏來實(shí)現(xiàn)安全意味著，通過隱藏安全機(jī)制的細(xì)節(jié)就足以保證系統(tǒng)的安全。模糊安全性會導(dǎo)致虛假的安全感，這往往比不解決安全問題更危險(xiǎn)。

如果一個(gè)系統(tǒng)的安全性是由對系統(tǒng)的安全機(jī)制的實(shí)施進(jìn)行保密來維持的，那么，在第一個(gè)人發(fā)現(xiàn)了安全機(jī)制如何工作后，整個(gè)系統(tǒng)就會崩潰（事實(shí)上，總有人在設(shè)法發(fā)現(xiàn)這些秘密）。更佳的方法是不僅僅用一種機(jī)制為整個(gè)系統(tǒng)的安全負(fù)責(zé)。這又一次涉及到與保護(hù)數(shù)據(jù)和資源有關(guān)的深度防御問題。

在開源代碼中，任何人都可以訪問程序的源代碼，分析其安全問題，然后將其與網(wǎng)絡(luò)社區(qū)人成員共享，從而削除漏洞，并通過簡化來改進(jìn)總體的安全性。

安全即風(fēng)險(xiǎn)管理

如果花在保障資產(chǎn)安全上的金錢超過了資產(chǎn)的固有價(jià)值，那就是一種資源的浪費(fèi)。在保護(hù)電子資產(chǎn)時(shí)，也是同樣道理。所有的安全工作是一個(gè)風(fēng)險(xiǎn)水平與花費(fèi)的資源數(shù)量所帶來的報(bào)酬之間的平衡。安全關(guān)心的不是清除一個(gè)系統(tǒng)或設(shè)施內(nèi)部的所有威脅，而是在黑客成功利用一個(gè)漏洞之后，清除所有的已知威脅并且使損失最小化。風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理是保障信息系統(tǒng)安全的中心主題。

風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)分析關(guān)注的是判定資產(chǎn)的經(jīng)濟(jì)價(jià)值，決定保護(hù)這些資產(chǎn)防止損失的最適當(dāng)?shù)拇胧Q定風(fēng)險(xiǎn)程度的最簡單形式涉及兩方面的因素：損失的后果是什么?這種損失發(fā)生的可能性多大?

表1列示了一個(gè)矩陣，我們可以根據(jù)這些因素來決定風(fēng)險(xiǎn)程度。

在決定了風(fēng)險(xiǎn)評級后，我們需要采取如下某種行動：

對于極端風(fēng)險(xiǎn)：要立即采取行動；對于高風(fēng)險(xiǎn)，需要引起高級管理人員的注意；對于中等風(fēng)險(xiǎn)，必須指定管理人員的責(zé)任；對于低風(fēng)險(xiǎn)，要由例行的進(jìn)程來處理。

在現(xiàn)實(shí)世界中，風(fēng)險(xiǎn)管理要比簡單地根據(jù)直覺或以前對某種情況的經(jīng)驗(yàn)做出人為判斷更為復(fù)雜。每一個(gè)系統(tǒng)都有唯一的安全問題，所以理解系統(tǒng)要維護(hù)的數(shù)據(jù)的具體性質(zhì)，理解使用什么軟件和硬件來部署系統(tǒng)以及部署團(tuán)隊(duì)的安全技能是非常重要的。

復(fù)雜是安全的大敵

系統(tǒng)越復(fù)雜，就越難以保證其安全。在程序和其它系統(tǒng)之間有太多的“移動組件”或接口，系統(tǒng)或接口就難以既保證安全又能按照所期望的那樣運(yùn)行。

人員、過程、技術(shù)是保證充分安全的必要成分

企業(yè)內(nèi)的任何個(gè)人都不應(yīng)當(dāng)有能力控制或關(guān)閉安全活動。這屬于責(zé)任分離問題。

實(shí)施過程控制的目的是為了保證不同的人員能夠每次以同樣的方式執(zhí)行同樣的操作。在實(shí)施如何執(zhí)行與安全有關(guān)的程序時(shí)，必須記錄其過程。企業(yè)必須記錄為保障安全操作而配置服務(wù)器操作系統(tǒng)的過程，安全管理人員可以使用此記錄程序來驗(yàn)證操作的正確性。

正如信息安全專家會建立過程控制來保證任何個(gè)人都不能完全控制一個(gè)系統(tǒng)一樣，我們絕對不應(yīng)當(dāng)完全信任技術(shù)。技術(shù)可能失效，如果沒有人去通知并修復(fù)技術(shù)問題，安全系統(tǒng)就會永久地停止運(yùn)轉(zhuǎn)。

人員、過程、技術(shù)控制是信息技術(shù)安全實(shí)踐領(lǐng)域（其中包括操作安全、應(yīng)用開發(fā)安全、物理安全、加密）中的關(guān)鍵要素，或稱為安全三大支柱。

披露漏洞有益于安全

在安全人員與軟件開發(fā)人員中的爭論往往涉及：在開發(fā)和發(fā)布補(bǔ)丁或修復(fù)之前，是否讓用戶們了解問題。如前所述，不讓用戶們了解漏洞只能帶來虛假的安全感。用戶們有權(quán)力知道其購買的產(chǎn)品中存在的缺陷，正如他們有權(quán)力知道因汽車存在缺陷而導(dǎo)致的召回一樣。

表1 安全矩陣

結(jié)語

計(jì)算機(jī)安全專家不但要了解其工作的技術(shù)方面，還必須理解信息安全背后的原則。正因?yàn)闆]有兩種完全相同的環(huán)境，所以就沒有關(guān)于通用安全措施的秘訣。由于每種情況都要求一種獨(dú)特的判斷才能解決信息系統(tǒng)中所固有的特定風(fēng)險(xiǎn)，所以信息安全專家需要做出基于原則的決策。