[[172523]]

測定信息安全風(fēng)險(xiǎn)的最佳方法是什么?最佳方法是馬上檢測所有系統(tǒng)和應(yīng)用程序的漏洞;這跟通過磁共振成像、血液分析等檢查人體健康一樣。有些人將這些工作稱為IT安全審計(jì)。有些人則稱為滲透測試。然而，對環(huán)境執(zhí)行深度分析并不是簡單地對比所制定政策與實(shí)際運(yùn)行情況——IT安全審計(jì)，也不是通過攻擊證明某個(gè)位置的安全——滲透測試，因此我更愿意將這些工作稱為信息安全評(píng)估。它們的涵義更寬泛一些、更中肯一些，它們有助于證明安全策略和流程在哪里方面有問題。

安全測試的語義可能讓人難以理解，但是最終目標(biāo)是在有人遇到之前找到和修復(fù)漏洞。安全專家的職責(zé)就是保證用正確的步驟去檢查所有問題，從而使發(fā)現(xiàn)的風(fēng)險(xiǎn)能夠讓人理解、解決或者作為一個(gè)問題進(jìn)入信息風(fēng)險(xiǎn)管理周期。下面列舉了有效信息安全評(píng)估中所包含的關(guān)鍵組成部分。要拋開派別和偏見，保證所有這些方面都在考慮范圍之內(nèi)并且得到足夠的重視：

支持

如果沒有管理層的支持，則不會(huì)出現(xiàn)一個(gè)好的信息安全評(píng)估項(xiàng)目，也不會(huì)實(shí)現(xiàn)長期的成功目標(biāo)。其中的原因很簡單。如果領(lǐng)導(dǎo)層不愿意投入所需要的資源實(shí)實(shí)在在地審視企業(yè)信息系統(tǒng)環(huán)境，那么所有其他工作都很難開展。要注重并保持任用正確的人員。工作職責(zé)不在于管理層，而在于IT和安全成員和領(lǐng)導(dǎo)人員。

范圍

理論上，這是一個(gè)扎實(shí)信息安全評(píng)估的最重要階段。我曾經(jīng)看到過無數(shù)的錯(cuò)誤例子，他們把系統(tǒng)、應(yīng)用程序甚至整個(gè)網(wǎng)絡(luò)環(huán)境者排隊(duì)在安全測試之外。這樣的原因總是一樣：“沒有足夠的時(shí)間或金錢，”以及“我們不需要測試這些那些系統(tǒng)。”設(shè)定范圍是正確的，但是你必須保證要覆蓋所有關(guān)鍵系統(tǒng)——要盡快而不是留到以后。最后，你需要檢查整個(gè)環(huán)境，因?yàn)橥褪且粋€(gè)看似正常的系統(tǒng)、網(wǎng)絡(luò)片段或安全流程致使所有方面出現(xiàn)問題。一定要考慮外部系統(tǒng)、內(nèi)部系統(tǒng)和在第三方云中托管的系統(tǒng)——包括營銷網(wǎng)站。此外，一定要在操作系統(tǒng)和Web應(yīng)用程序上都授權(quán)執(zhí)行安全測試。保證所有方面都進(jìn)行公平的測試——包括人員、流程和物理安全系統(tǒng)。

測試

要從漏洞掃描開始，篩選掃描結(jié)果，進(jìn)行人工分析，然后在你的環(huán)境和業(yè)務(wù)中查看有哪些漏洞可能被攻擊。從大的角度看，確實(shí)就是這么簡單。這個(gè)階段應(yīng)該包括破解密碼、無線網(wǎng)絡(luò)分析及特別重要的網(wǎng)絡(luò)釣魚郵件。有很多書描述了這個(gè)安全評(píng)估階段應(yīng)該要做的全部工作，如我自己寫的書《Hacking For Dummies》(黑客入門)。一定要以惡意用戶的角度去看待整個(gè)企業(yè)環(huán)境，尋找有哪些可以攻擊點(diǎn)，然后演示可能造成的后果，這樣才能分析問題和在需要的時(shí)候解決問題。

報(bào)告

漏洞掃描程序產(chǎn)生的500頁P(yáng)DF報(bào)告并不是重點(diǎn)。要有一個(gè)清晰具體的安全評(píng)估報(bào)告概括描述按優(yōu)化級(jí)劃分、淺顯易懂的結(jié)果和建議。最終報(bào)告并不一定要很長。只需要抓住重點(diǎn)，概括出從安全專家角度需要注意的具體漏洞——同樣，要考慮系統(tǒng)和業(yè)務(wù)所處的環(huán)境。報(bào)告中可以加入滲透測試和IT安全審計(jì)方面的元素。我并不推崇盲目跟從供應(yīng)商漏洞優(yōu)先級(jí)列表的常見做法。漏洞掃描程序就是一個(gè)例子，它通常都遵從常見漏洞打分系統(tǒng)(Common Vulnerability Scoring System)或類似的排名方式，它通常將非關(guān)鍵網(wǎng)絡(luò)打印機(jī)上用默認(rèn)通信字符啟動(dòng)的簡單網(wǎng)絡(luò)管理協(xié)議標(biāo)記為嚴(yán)重級(jí)別。如果這種結(jié)果也標(biāo)記為嚴(yán)重，那么更嚴(yán)重的防火墻密碼、核心Web應(yīng)用程序的SQL注入或關(guān)鍵服務(wù)器缺少防止遠(yuǎn)程攻擊的補(bǔ)丁又該標(biāo)記為什么級(jí)別呢?關(guān)鍵是要根據(jù)所在的環(huán)境及常識(shí)。最糟糕的信息安全評(píng)估就是沒能產(chǎn)生一份正式報(bào)表的評(píng)估，因?yàn)闊o法知道到底出現(xiàn)哪些問題，更不用說解決問題了。

解決問題

發(fā)現(xiàn)問題之后，要解決問題。我經(jīng)?？吹揭恍┌踩u(píng)估報(bào)告，其中所包含的具體結(jié)果一直處于未確認(rèn)狀態(tài)——或者至少在下一次安全評(píng)估之前仍未處理。這種問題很容易處理：將責(zé)任分配到人，保證所有人都各司其職。半年或一年后的下一次信息安全評(píng)估將確定之前的問題是否已經(jīng)解決。此外，也可以考慮對嚴(yán)重和高優(yōu)先級(jí)結(jié)果執(zhí)行一次修復(fù)驗(yàn)證，作為安全評(píng)估的后續(xù)工作，時(shí)間可以設(shè)定為報(bào)告提交和任務(wù)分配之后30~45天左右。

疏忽

保證安全評(píng)估之間的持續(xù)安全性需要進(jìn)行一些簡單的工作，如調(diào)整現(xiàn)有系統(tǒng)和軟件，實(shí)現(xiàn)一些新的技術(shù)控制，以及徹底改變一些策略和流程。不要試圖實(shí)現(xiàn)一種完美的安全性，前進(jìn)的目標(biāo)應(yīng)該是合理的安全性，使發(fā)現(xiàn)問題和解決問題的時(shí)間間隔越來越短。而且，管理層一定要保持介入。在合規(guī)性和合同義務(wù)等都需要由執(zhí)行主管來決定。無論他們是否關(guān)注這個(gè)方面，都需要他們參與其中。要在安全評(píng)估周期中讓必要人員準(zhǔn)時(shí)出現(xiàn)。這不僅能證明他們的投資回報(bào)，也是持續(xù)參與的重要條件。否則，安全就會(huì)游離在他們的思想意識(shí)之外，不會(huì)得到應(yīng)有的重視。

底線是每一個(gè)企業(yè)都有一些信息和計(jì)算資產(chǎn)可能受到黑客或惡意內(nèi)部人員的攻擊，也可能由于用戶失誤而遭受破壞。千萬別天真地認(rèn)為，自己不知道的信息風(fēng)險(xiǎn)是不會(huì)降臨到自己的頭上。企業(yè)不能只依靠IT安全審計(jì)或滲透測試。忽視安全評(píng)估并不是一種正確的職業(yè)方式。而且，發(fā)現(xiàn)信息風(fēng)險(xiǎn)但是不重視它是一種安全自殺行為——也可能導(dǎo)致職業(yè)生涯徹底失敗。要投入足夠的時(shí)間去規(guī)劃信息安全評(píng)估，保證做完應(yīng)該完成的工作，以及IT、開發(fā)、管理等相關(guān)人員都知道檢查結(jié)果，這樣問題才能得到解決。

由于有許多安全專家和供應(yīng)商值得依賴，因此信息安全評(píng)估并非一種很難的工作，而且投資回報(bào)能夠保證的情況下也不一定需要很大的投入。Warren Buffett曾經(jīng)說過：“只要你別做太多的錯(cuò)事，在你的生命中你只需要做一些為數(shù)不多的正確事情。”信息安全計(jì)劃就是一種投入或不投入的體現(xiàn)，當(dāng)然這其中也包括持續(xù)安全評(píng)估計(jì)劃。要保證它處于優(yōu)先執(zhí)行的位置。即使周期性持續(xù)地執(zhí)行，這些評(píng)估也不解決所有安全問題的完美方法。然而，可以肯定的一點(diǎn)是，如果選擇忽視這些重要工作，歷史悲劇肯定會(huì)再一次重復(fù)。