网络安全通识(一)网络安全存在的理由:在线第一

不做网络安全,业务照样运行

你有没有想过一个问题:我们的业务系统为什?#33905;?#35201;网络安全,没有网络安全?#32961;?#34892;?

你也许觉得这个问题很搞笑。

是的,现在国?#20063;?#38754;网络安全建设的制定标准,形成网络安全建设的指导条例,推动网络安全立法;企业加大对网络安全建设的?#24230;耄?#26082;要数字化、又要安全化;新闻媒体对网络安全作用的宣传、对安全事件的披露,对安全制度、条例、法律的解读宣传;个人防护意识、隐私意识的提升。特别是网安人,感觉网络安全每时每刻都都在身边。

网络安全检测手段和方式的提升,可以快速的检测出以往认为安全的的业务系统存在安全风险、安全漏洞。通过安全的手段、安全的教育、安全宣传,一些大众认为不安全的方式,慢慢的走进了我们的生活,比如移动支付。网络安全的发展也促进了基础技术的发展,如加密技术等。

但我的答案是,没有网络安全,业务照样运行。

为什么呢?

记得吴军老师在一篇文章讲到“互联网的诞生,最初适于计算资源的缺乏,大家不得不集中使用少量的超?#37117;?#31639;?#34892;?#30340;资源,其本质就是以信息换能量。”其实,现在企业依托信息化推出的众多业务系统,其本质也是以信息换取更多的效率,减少完成某个目标所需要的能量需求,吸引更多的目标客户。需求在变化,企业的经营模式在变化,技术在发展,生意的模式也在变化,目标客户在变化,获取客源的模式也在变化。只要变化在,企业的信息化建设就会?#20013;?#30340;进行,业务系统会层出不穷的上线。企业与企业之间的竞争一直存在,利益的吸引一直存在,不怀好意的技术掌?#29031;?#19968;直存在。安全风险、安全漏洞、恶意攻击、数据泄漏、重大安全事件就会一直存在,不会消亡。即使没有网络安全,业务一样发展,有了网络安全,业务能更好的发展。

竞争永远存在,风险永远存在,网络安全就是要提升企业的竞争力,减少企业的风险。网络安全要做的就是尽可能的保障企业在竞争?#32961;?#34987;第一个淘汰。用一句话说,就是在线第一,这就是网络安全存在的理由。

在线第一,业务能用

“业务能用,你做的一切事情才有价值?#20445;?#19994;务都不能访问了,你做再好的安全方案,没有一点价值。网络安全必须附属在业务上,才能彰显其价值。

在线第一的第一个层面,就是两个字:能用。我们做方案的时候,设备防护方案也好,安全服务、安全加固也罢,首先要确保方案交付或者服务?#33905;?#21518;,业务依然能用。好用是深层说的提升,?#32570;?#35777;能用。

数据?#34892;?#25110;者信息?#34892;?#30340;规章、制度、流程指引、操作指南、就是为了业务能用。也许在一些突发情况时,为了业务能用,?#19981;?#37319;用一些极端的行为或者操作,比如边界设备人为“bypass?#34987;?#32773;直接下线,管控设备进行粗旷性的策略配?#27809;?#32773;空配。这一切在能用的前提下变得那么的理所?#27604;弧?/p>

有次项目中就遇到一个事情。

某发电厂,?#24432;?#21457;电的,也国内?#26174;?#30340;一批发电厂之一。在2001年进行系统更新的时候,上了一套德国的系统,具体功能就不细说了,主要给十几个专家使用。当时上了最先进的操作系统Windows 2000 Professional 系统。 服务器和客户端同样的系统,而?#19968;?#26159;C/S的业务模式。18年交流的时候,看到这些系统,当时就惊呀了。还在用啊,牛。很好奇?#25237;?#32842;?#24605;?#21477;,一开始15台左右,这么多年的?#24067;?#21512;并再利用,现在还有几台。经过人员的变更、合作的中断,?#24067;?#30340;老化,清楚这几台机器的情况的人也不多了,但是还有是有7、8个50来岁专家在用。新的系统?#19981;?#20102;,该升级的也升?#35835;耍?#20294;这套系统依然存在,需要等最后一个老专家退休后一起退休。

这?#19994;?#21378;,信息化、安全建设的水平应该在同类企业中还算不错,当时我们在沟通一个身份?#29616;?#19982;权限管理的项目,要对内部业务系统的账号与权限进?#22411;?#19968;的管理。与我们交流的负责人说“我们有32个系统,对接31个就行”剩下一个就是这个系统。没人敢动,没有能动。

Windows 2000 Professional系统的安全情况大家都很清楚,这个系统重要性也不?#36828;?#21947;,根据?#23601;?#21407;理,这套系统的存在就是整个网络安全建设中那个最短的板。可是再看它的防护

  • 裸机,没有任何的防护措施
  • 有专门的UPS供电,?#38706;系?#20851;机,起不来,加了UPS。
  • 需要并网运行,只能在外围加固,比如网络ACL等;

这个事情就是想说明:网络安全建设所有的动作或行动必须以业务能用为前提,?#34892;?#29305;殊情况下,业务优先,安全靠边。

网络安全就是这样的一个现实,每个业务系统都是不同的个体,有共性,也?#32961;?#24322;,网络安全防护也要跟进不同的业务系统而?#32961;?#24322;,特别是一些极端的情况,做了还不如不做。不做这个系统还能运行,做了,反倒出现了问题。为了保障更多的业务系统能得到更好的防护,网络安全从业者势必会提升自己的技能和知识储备,在各种不确定面前突破各?#32456;?#30861;,更好的维护业务系统的可用性。

在线第一,企业活着

企业活?#29275;?#19994;务才有价值,安全才?#34892;?#27714;。只有企业活?#29275;?#25165;能保证业务系统实时在线。现在企业,特别是依托互联网发展的企业,除了正常的竞争、淘汰等使其消亡。有很多安全事件或者安全风险,?#19981;?#35753;一个企业死掉。企业不但要活?#29275;?#36824;有发展。

比如?#35775;恕?#36890;用数据保护条例》(GDPR)。旨在通过强调数据控制者的透明度、安全性和问责性来规范和加强欧洲公民的数据隐私权。此条例从提议、草案开始就受到极大的关注,众媒体多用“史上最严数据保护条例”来报道。互联网的发展使全球化发展的壁垒越来越小,也是众多互联网企业发展的需求。尽管企业规模越来越大,资源储备、技术实力、竞争力等各方面足够的强大。要想进入欧洲市场,符合GDPR要的信息化、安全建设?#24230;?#20063;是不可缺少的。

比如对品牌的影响,也许某个安全事件的发生,特别是发生了?#27809;?#20449;息泄漏事情,有可能直接导致这个企业的品牌影响断崖式下跌,甚至导致企业发展的停滞或死亡。

再比如,在传统企业时代,核心机密的泄漏或者窃取,需要有人进入企?#30340;?#37096;,大费周章。现在,也许在某个黑暗的角落有个人正在尝试?#32610;?#20320;信息化防护的薄弱处,一旦突破,核心技术机密报漏无疑。

赵彦等《互联网企业安全高级指南》内对网络安全的概括的就很不错,以共勉。“从广义的网络安全或狭义的网络安全出发,根据企业自身所处的产业地位、IT总?#24230;?#33021;力、商业规模和业务需求为目标,而建立的安全解决方案以及为保证方案?#23548;?#30340;?#34892;远?#36827;行的一系列系统化、工程化的日常安全活动的集合。”希望信安从业者或者即将步入这个行业者,回归初?#27169;?#25106;浮戒躁。网络安全本来就是一个很复杂的学科,是实验科学。没?#22411;?#32654;的方案、也没有绝对安全的方案,只有合适的方案。没?#22411;?#33021;的产品,每个产品只是从不同的角度、不同的环境以?#23433;?#21516;的安全理念,提供相应的防护或预防的手段。

在线第一,不仅是要求业务能用,同时要安全好用

在线第一,不仅是要保证企业活?#29275;?#21516;样要能促进企业发展。

在线第一,网络安全存在的理由,也是目标。

发表评论