网络安全应急三观:宏观、中观和微观二

发表于:2007-06-23来源:作者:点击数: 标签:
其次,从实体化程度方面来讲,“三观”又有另外一种感觉。宏观比较务虚、模型化,而微观比较实在、物理化。 从这个思路来看安全事件,如果问题发生在安全设备、检测功能、资源、系统等方面,是微观层面;如果是流程、制度、大系统等出现了问题,结构性就显现

   
  其次,从实体化程度方面来讲,“三观”又有另外一种感觉。宏观比较务虚、模型化,而微观比较实在、物理化。

从这个思路来看安全事件,如果问题发生在安全设备、检测功能、资源、系统等方面,是微观层面;如果是流程、制度、大系统等出现了问题,结构性就显现出来了,这些内容更抽象、更模型化,已经属于中观层面了;再向上就是宏观层面的价值观、使命和业务等。到这个宏观层面后,厂商就更需要从用户角度去看待安全事件。众所周知,安全永远存在潜在性,在没有出现问题时,安全往往得不到足够的重视,业务繁忙起来或许还会被放弃,用户在出现问题才想起应该重视安全这个现象非常普遍。如果不能把要做的安全工作与决策和机构使命、业务价值连接起来的话,这个工作一定不会成功,如何上达决策是应该重点考虑的问题;当然,还必须实现一点就是必须要下达到微观。不能只务虚,更不能只沉浸在微观,这样项目也将是非常危险的。作为一个策划人,要拥有更好地协调微观、中观和宏观资源的意识,在“三观”层次上,务虚、务实都要兼顾到。
  
  用“三观”的思路还可以分析很多问题,比如现在大家比较关注的ITIL体系,用“三观”思路去看其中的一个项目――能力管理项目。ITIL能力管理中三个不同实体化的子流程:微观对应的是资源能力管理层面,它管的就是一些很具体的事情;再向上中观对应的服务能力管理层面,管理的内容就很流程化;而最上面一层就变成使命化,关注的是业务能力管理,对应的正是宏观层面。所以说不同的规范和不同的方法或多或少都有“三观”味道在里面。
  
  第三,如果从信息安全事件角度分析,对普通服务器的入侵事件就是一个具体、微观的事情,而蠕虫、洪流事件、破坏高影响服务器等事件已经上升到中观层面,全面/关键业务问题由属于宏观层面的事件。要能够及时判断出哪种事件属于哪个层次,才能够更快地、有针对性地解决问题。
  
  第四,对于信息安全产品来讲,也可以从“三观”中看到其分布状况。像防火墙、入侵检测、防病毒、加密等产品,实现的是某一具体功能,比如说防火墙实现网络防护功能,加密是解决信道加密、数据加密,实现保密功能,这些都是具体的微观方式。如果再上一个层次,把一些方式结合起来,比如安全运营中心SOC (Security Operation Center)就将各种安全功能结合在一起,这种结合、组合、匹配已经具有结构性在里面。宏观层面的高层工具包括决策支持、风险管理系统,当领导关心某个具体数据时,要能够马上连到具体数据上,给领导正确的决策支持。实际上,现在业界的产品大部分处于微观层面,中观层面的组合功能和平台产品也慢慢地受到关注,但宏观层面还远远没有实现。
  
  同样,对于信息安全服务,我们也可以将系统的评估加固这样的具体服务归结到微观层面;将安全域分析和整合服务、综合风险评估等服务理解为中观;而业务风险咨询、投资回报分析等决策支持服务就很显然属于宏观层次了。
  
  “三观”是一种思路、一种观点,三个层面的“味道”各有不同。如果从微观来说,单点、基层的、物理系统、局部、功能性、实现都是微观;而体系结构、中层的、具体化一些运行性的、制度化的东西是中观;宏观则表现在价值、使命、业务等方面。还应该关注的一点是“三观”的组织层次和责任,出现问题后,要由谁去负责任、谁去做。一般来讲,决策层是机构的高层领导,主要负责决策、战略制定;中间的运营层,体现为对于安全产品和安全任务的运作、管理、执行;机构基层负责的是实现、运行及具体操作。
  
  三、从三观看应急
  
  上面介绍了用“三观”思路分析问题的一些基本概念,那么从“三观”来看网络安全应急会是什么样呢?
  
  很多情况下,人们会沉浸到微观里面去,而安全应急常常是宏观和中观的问题,必须突破微观局限;并且还要有快速具体的行动落实到实现层;要用对应层面的措施来解决与之对应的责任和问题;要通过运营层,协调、控制、反愧管理实现层的安全要素,达成决策层的使命和决策。所以说,中观在整个应急体系内起到牵动作用,是应急实施的引擎。以上这些即为三观应急的基本原则,下面来具体分析一下:
  
  如何才能突破微观的局限呢?要突破这个局限,首先关注的是怎样更有效地解决出现的问题。比如银行硬盘数据丢失、系统感染病毒或蠕虫等安全事件,人们经常会从微观上看待这些问题。银行硬盘数据丢失后主要考虑的是如何恢复硬盘中丢失的数据,而从另一个思路去看,硬盘只要备份,丢失数据可以很容易找回来,不需要投入过多精力在硬盘恢复上面。如果全方位看问题,从准备、检测、抑制、清除、恢复、后续跟踪等全过程考虑,问题会得到非常圆满地解决。而突破微观局限最好的方法就是:流程化、框架和最佳实践,这时候就不是一个简单的恢复问题。
  
  从“三观”看落实的过程,可以发现价值观处于最高层面,人员和组织介于宏观与中观之间,接下来是文档、流程,物理系统和实际的行动就靠具体的微观,即实现层了。那么安全问题发生后,应该由谁来负责以及采取什么样的措施呢?通常来讲,服务器被入侵就该用微观方法去处理,采取清除的方式;而网络感染蠕虫的话则用中观方法处理,不能仅仅持清除的态度,要抑制蠕虫出现,不同问题要采取不同的措施。
  
  在应急过程中,不可避免地要做一些价值的缺失决策,就是说要丢掉一些东西,这个决策由谁来做,如果涉及整个业务问题,只有领导可以决策,首先必须决定暂停或者是终止这件事情,然后再考虑丢弃什么、占有什么。而一些流程化的问题,运营层就可以处理,决定是忽略还是跳过;至于针对个别功能的问题,实现层就能够决定放弃或者是降低水平。现在应急的时间性要求越来越高,怎样才能把握好什么问题需要上报?哪些事情必须马上自己做出决策?在应急预案中一定要清楚这些内容,让不同层面的人去做不同层面的决策,把应该上报的东西及时上报上去。从“三观”思路去看应急,就会有非常独特的思考方式,这样处理事情就会更加完备。
  
  从“三观论”来看应急工作,给我们带来的最大的不同就是,给出了一个分门别类、区别对待的方法。而且三观还能够和组织结构及其责任结合起来。
  
  也许,各方面的问题和工作,通过宏观、中观、微观这个桥梁,和组织结构与责任的对应,才是最有价值的。

原文转自:http://www.ltesting.net