本文从“看应急”、“三观论”以及“从三观看应急”三方面阐述了网络安全应急的特性、实施理念及三观应急的原则。
文章首先介绍了应急在网络安全中的独特地位和复杂性,而“三观论”中的宏观、中观和微观分别对应着从上到下的三个层面,顶层的决策层,包括决策支持、风险管理;中间的运营层,体现为对于安全产品和安全任务的管理;底层的实现层则体现为安全部件,即安全产品和规范化的安全服务。而安全应急问题必须突破微观局限,要有快速具体的行动落实到实现层,并且用对应层面的措施来解决与之对应的责任和问题,中观是应急实施的引擎。
一、看应急
1.从安全功能的角度看
应急是一个可以覆盖整个周期的事情。
应急功能常常被看成PDR(保护、检测、响应)模型扩展为PDRR(保护、检测、响应、恢复)模型中的“恢复”。其实如果从业务连续性管理的完整体系来看待的话,应急工作是覆盖类似PDR模型的整个功能域的。从开始的准备阶段,到检测以及之后的响应(抑制、消除、恢复、后续跟踪等)。由此可以看出,应急在网络安全中的独特地位,它是以一件覆盖整个网络安全过程的大事。
2.从安全对象的角度来看
人们应该如何分析问题,怎么去保护应急对象呢?现在有一个很明显的趋势,就是大家越来越重视业务在安全事件中是否受到影响。安全域方法也再次引起业界的广泛关注,它是一个分析和理解安全对象(资产和业务)的好方法。
这里提到的一个“3+1安全域方法”是一种安全域简化设计方法。基本原理就是,网络不仅仅是由交换机、路由器、主机等设备组成,而是由网络构造组成;如果把网络设备理解成网络原子,一个网络构造就是一个分子;典型的网络构造比如,Client-Server结构、端到端结构等。从这个思路去分析网络就形成了“3+1安全域方法”。
按照这个方法,我们可以将网络和系统分解成4类域:局域计算的接入域,局域计算的服务域,以及将他们互相连接起来形成的互联域,另外还有一个是支撑域,所以称之为“3+1 安全域方法”。 如果用这种思维方式对应不同应急内容,来理解用户资产,可以很明显看出:
在服务域,会有集中式计算恢复、分布式计算恢复以及存储恢复。
在接入域,主要是对终端用户的恢复。
在互联域,就有网络和链路的冗余备份问题。网络本身是具有弹性的,但当遇到破坏性比较大的问题时,就需要做网络备份。
支撑域从形式上来说,是插入到网络的领域里,与接入和服务的连接方式不同,支撑域不直接影响核心业务,而是间接影响。支撑域常常是应急的指挥和协调中心所在地。
3.从威胁和风险的角度看
风险管理是一个与影响力大小和可能性这两个要素密切相关的工作。从风险的两个要素看,应急工作所处理的事件的可能性一般会比较小,但是在影响方面会突然暴发出来。一般安全工作和应急工作,我们可以从风险管理和业务连续性管理这两套思路来解决分别对待。两套方法有不同之处,也有相通的地方,例如在风险管理中有资产分析和评估,在业务连续性管理中有业务影响分析(BIA)。
4.资产-防护措施-威胁
从资产、防护措施和威胁这三个不同的视角看安全问题,有利于更全面地看,就会利于把问题简化处理。针对不同的业务特征,应该有什么思路去看待出现的安全事件,以及用什么样的方法提供保护,是值得我们深思的。
二、三观论
对于应急这个问题,这里介绍一个独特的观察角度,即“三观论”。“三观论”是指对整个问题从宏观(Macro-view)、中观(Middle-view)、微观(Micro-view)三个层面来分析。“三观论”看上去是一个很虚的概念,其实它是一个大思路、大观点,这种思路不仅只存在于信息安全领域,在其他领域也都能够体现出来。
首先,从范围大小来看,宏观、中观和微观分别对应着全局、局部及单点。涉及机构整体的问题是全局性的,属于宏观问题;局部问题主要涉及的是机构的一些部门或者业务;如果只是涉及单个或几个的个体或者业务的部件,这是微观范畴,就没有必要调动宏观资源来解决这些单点问题。为了能够用最少的资源达到理想效果,一定要在处理问题前分清事件的性质。