觀點

面臨新資訊環境 莫忘資安四大心法

2011 / 12 / 27
廖邦彥
面臨新資訊環境  莫忘資安四大心法

在資訊安全領域中,有個比喻形容的很好,最安全的系統就是把網路線拔掉的系統。在做資訊安全防護時,沒人有把握能夠做到百分之百的安全,就好像再嚴格管制的城市,也沒有辦法達到零犯罪率。雖然再怎麼做,都不能保證完全消滅危安事件,尤其在這幾年資訊環境快速變遷下,更顯得困難,但是我們可以建立起正確的心態,好協助我們在面對各種資訊安全的課題時,做出對的判斷。

近年來,資訊環境的變化似乎特別多,影響層面又相當的廣。光是雲端服務的崛起,把資料、軟體(程式邏輯)、資料流等原本的架構,全部都翻了過來,當資訊安全的配套措施,像是防毒、防制資料外洩(DLP)、資訊安全事件管理(SIEM)、認證...等都還在苦苦追趕配合的情況下,系統又朝虛擬化發展,將資料庫、程式伺服器、網頁伺服器...等移植到虛擬機器上,已越來越可行也越來越成熟。同時,使用者的工作環境,也跟著提出桌面虛擬化的概念(VDI, Virtual Desktop Infrastructure),當資安設備必須繼續追趕的時候,使用者平台又改變了,隨著智慧手機功能越來越強大、平板設備(Tablet)的大受歡迎,企業資訊應用開始移植到新的平台上。

層出不窮的變化,免不了令資安把關人員感到腿軟。資訊安全團隊,有時候就像是電視電影裡面的苦命英雄,在遇到更強大的威脅之下,脫胎換骨,提升了自己的能力之後,成功打擊罪犯。但是最近這樣的趨勢,仿佛是同時間來了好幾個巨大的威脅,各種資安相關產品還無法完全配合,甚至對於這些同時而來的挑戰還沒有想好應對方式,在手上沒有武器的情況下,資安人員要如何對抗新的危險?

我想很難列出一些不變的條列式規則或者步驟,可以解決這樣複雜的環境變遷,就算列了出來,很快隨著資訊環境的改變,這些步驟就需要各種幅度的修改,此時,心法反而比招式來的更重要,面對這樣快速變遷的時代,必須要掌握原則性的標的來迎接挑戰。

一、掌握基本(礎)心法

如果我們要簡化資訊安全的精髓以及目標,只用一句話來說就是「確保重要資訊的安全」,而再分細一點,則是保全重要資訊的機密性(Confidentiality)、完整性(Integrity)、以及可用性(Availability)。最後到很細的時候,當然會演變成很具體的要求,舉例來說,防毒軟體的更新碼必須保持在最新、重要的系統補強(patch) 必須在10天內推到公司主要架構系統...等等,而往往在面對資訊環境變革的時候,看到這些細部的資訊安全要求,我們就亂了陣腳。如何在虛擬機器常常複製的環境佈署防毒軟體?DLP要怎麼整合在雲端環境裡面?就是這樣蜂擁而至的變化讓我們忘了怎麼去評估。

舉一個例子,假設今天因為溫室效應而造成全球水位上升,家家戶戶門前都成了河流,交通方式不再使用汽車而全部改為船隻,雖然很多的路上交通法規都會不同了,可是「確保人身安全與交通順暢」這些交通法規的目標並不會改變,無論你是在路上還是海上,這些都是一樣的目標。

就像所謂的「後PC 時代」,資訊系統的使用載具從傳統計算機變為智慧型手機以及平板系統,目的還是去使用資訊系統,而資訊安全的目標還是一樣:保護資訊系統、系統載具,以及資料流的安全。這些不管環境怎麼變,延伸出去各種達成方式的源頭都不會改變。沒有錯,就像剛剛的例子,大眾的交通工具都變成船隻,道路都變成運河,要配合的改變何止成千上萬,可是核心目標是相同的。資訊環境的變遷就是如此之快,不用這樣的態度來應對、分析改變,我們一下就會被排山倒海的決策淹沒了。

 

二、找到切入的角度以及深度

除了把持好基本的招式,面對改變所要切入的角度以及深度也是很重要的。何謂角度?又何謂深度?這牽涉到了新資訊環境所帶來改變的基本本質。看清楚新環境所帶來改變的形式是非常必要的,如果這個改變只牽涉到使用者認證與授權 (authentication and authorization),那就別浪費時間在檢視儲存資料的媒介是否要做加密;如果某個專案的系統虛擬化影響到的是主機安全(host security)相關的防毒、系統更新...等議題,而對原本系統之間的通訊沒有影響的話,就把精力花在影響的部分。

上述講的就是在分析問題時所切入的角度。如果企業某一個計畫建置在雲端服務上,對營運流程(business flow)的影響只牽涉到傳輸層,而不會影響到資料展現層及應用層,那我們分析的深度則應該專注在傳輸層,以及傳輸層改變所帶來的副作用,這就是所謂分析改變所切入的深度。

三、快速收斂 善用資源

面對資訊安全課題,快速收斂問題所在,才能面對每天不同的問題。不可否認的,要做好資訊安全,除了資訊安全本身的領域,所有資訊領域甚至非資訊領域都必須相當了解,從網路到資訊系統開發,從目錄服務到資料庫,從程式邏輯到商業流程,如果不瞭解運作的模式,怎麼可能了解危險存在的問題?

除此之外,很多時候解決資訊安全的問題需要一些創造力,或者是很多的創造力。如果迎面而來的問題發生在某個層面,不代表解決資訊安全問題的方式也一定需要在這個層面。舉個假設性的例子,如果原來環境採用用戶端軟體來確保使用者電子郵件的安全,但是現在某些使用者一定要使用平板設備,而目前沒有配合平板設備的郵件防毒軟體,那麼,是否可以考量在郵件閘道端(email gateway) 、郵件伺服器,或者雲端郵件閘道 ( cloud based email gateway) 採用防毒服務?當然這只是其中一個例子,深入了解每個環節,發揮資安的創造力,才能善用資源面對環境改變。  

四、勤於巡邏 避免死角

有人說過,資訊安全、稽核之類的企業活動,是一個「動態的狀況,而不是一個達成的目標」。資訊安全的防護活動,不是做到了一個目標以後,就可以放著不理,而是一個不斷轉動的PDCA循環,從計畫、檢視、改進、到行動,可說是處於一個動態平衡上。面對資訊環境不斷改變的現今,其中之一的正確心態,就是需要常常用資安的眼光來檢視企業資訊環境,及企業資訊活動。

每天不停運作的企業,就如同每天都要上路的長程車一樣,在車子發動前,都必須檢查胎壓、剎車、照明設施...等等,檢查最重要的原因就是要確保各個零件是否正常運作,以免危及行車安全。除了現有的定期資安查核之外,還需不定期地巡邏,在企業想要採取新的資訊應用時,確認是否符合資安要求,這也就是變革管理(change control)。變革管理除了用來分析計畫的改變是否符合企業需求,環境是否能配合,使用的資源是否合宜之外,資訊安全的分析也應該是變革管理的必要一環,如此不但可以有系統的追蹤新環境可能帶來的改變,也提供了改變發生前,資訊安全守門員應該站立的適當位置。

結論

如果上述的方式,都無法解決,最終還是要看整體環境。資訊安全是企業健康的重要一環,在企業考量是否要採用新的資訊變革時,檢視資訊環境是重要而且必要的步驟。 其實一個非常有系統的決策過程,把整個企業運作、危機管理、資訊安全等,都考慮進去;當潛在危機大的時候,成熟的決策過程自然會否決採納新的資訊環境應用;無可否認的,資訊安全是協助企業有方法的去面對潛在危險、遵循法規、提高企業形象、保護公司資產...等的策略。因此,資訊安全面對這些新環境變遷之際,也必須在企業活動的整體考量之下進行,而絕對不是閉門造車,這樣才能獲得成功面對改變所帶來的挑戰。

本文作者現任職於美國雲端服務公司。如您對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com