诸子笔会2022 | 陈圣:信息安全的“过”与“不及”
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
信息安全的“过”与“不及”
信息安全的“过”与“不及”
文 | 陈圣
陈圣
中通快递安全专家
今天的机构和组织面临着比以往任何时候都更大的安全挑战。引入数据保护政策,如 GDPR 需求企业、政府和医疗机构等保护存储和处理的所有个人和机密信息等。随着网络钓鱼攻击、勒索软件和恶意软件攻击变得更加复杂,各个行业的公司都在使用最先进的技术(如增强的身份验证方法和高级加密)来加强安全性,以锁定敏感信息并消除数据泄露的风险。虽然采取坚不可摧的安全措施可以保证机密数据的安全,但有时它可能会对企业的业务产生不利的影响,因为它变得过于复杂而用户无法掌握,或者过于严格以至于跨部门协作变得缓慢和笨拙,甚至低效。所有CSO和安全专业人员都有责任采用提供最大安全性但同时不会中断业务流程的系统。
上面说的现象让我想到用“过”与“不及”来组词,最常见的就是“过犹不及”,指事情做过了头就跟做得不够一样,都是不好的。通常是说做事要恰如其分,通俗点来讲这是一种平衡,这种平衡体现在很多方面。
安全领域需要平衡的地方体现在很多方面,首先让我最先想到的就是用户体验。用户体验和安全性对于任何系统都至关重要,简单地说,它们既可以被认为是一个统一的整体,又是跟业务联系紧密且互补的部分。这就是为什么安全较为成功的标准通常是以保持日常业务活动平稳运行的能力来衡量的,同时保证敏感数据和关键业务资产的安全。安全的平衡性和可用性应该是安全从业人员的首要目标,最好的安全解决方案是那些不仅能够提供坚如磐石的保护,而且能够避免过度的复杂性并实现顺畅业务流程的解决方案。当你为任何组织设计安全程序时,在安全性和可用性之间取得和谐平衡对于长远目标显得至关重要,这不仅仅是一个系统工具做什么,而是它在这个过程中能够为用户提供怎样的体验。
安全是在限制对资产、数据的访问和确保个人仍能完成工作之间的一种微妙平衡。由此带来的可能是将其视为商业智能、威胁情报、高可用性和保护等一系列因素的集成,目标是让用户的体验尽可能简单明了,直接满足用户的需求才是王道。安全性旨在成为企业业务发展的推动者,而不是阻碍者(笔者在晋升面试时会被Boss反复问到的几个问题之一)。如果你允许安全与可用性的思想在公司中占据主导地位,那么安全团队和其他特别是业务部门员工之间的摩擦就不可避免了,这会适得其反。我觉得还没有到那种程度,因为这样可能导致其他部门厌恶公司这种安全文化环境,导致的结果可能是不配合,甚至蔑视、逃避基本的安全意识和相应的做法。
个人认为保护敏感数据应该归结为可用性问题。安全存储的信息只有在可用时才能更为便捷地为人所使用,如何访问数据以及谁有权访问数据必须根据信息的性质和敏感程度配置控件。安全专业人员必须了解他们存储和保护的数据,并应根据其敏感程度对其进行分类分级。无论数据是静止的还是正在传输的,它都应该只提供给那些有权查看或使用它的权限级别的人。通过分类分级和访问权限组织数据可以有效地促进工作流程的流转,确保用户在具有适当的安全级别时可以轻松获得所需的信息。实施“最小特权原则”,用户应该只能访问他们执行其角色所需的信息和选项。
用户与之交互的任何安全系统及平台的前端都必须始终简单易用。无论安全解决方案有多强大,它都不应妨碍用户进行协作并获取他们工作所需的数据,或者冒着减慢业务流程而损害组织的风险。过于复杂的安全系统其危险在于可能无法发挥最佳效果,从而否定它的有用性。当用户没有正确利用多种功能时,不仅会使数据难以访问,甚至会带来数据安全的风险。
最好最强的安全性是一个什么都不可访问的环境,或者可访问性极其困难且过程繁冗的。客户和网站用户重视安全,但不希望实施重复验证过程呈现繁缛的安全控制,把它想象成一个几乎没有人可以进入的地下银行金库,当人们在进入其中取自己的私人金条时,还需要多个人站在你的旁边监督你的一举一动甚至你的细微动作。安全性和可用性之间的不协调很容易在企业或系统应用之间造成过于复杂和严密的安全性问题,这些可能导致违约和财务损失,甚至是用户流失。这样会使产品研发变得缓慢和繁琐,并导致最终用户使用体验不满意。因此,用户会离开你的页面,到别处搜索甚至卸载你的App。所以平衡安全性和可用性应该是产品设计的关键要求,这一点让产品经理往往不胜烦恼。
当安全性与可用性成为一个问题时,用户可能会寻找规避和绕过安全协议的方法,同时仍然遵守基础的安全性条例。对内部而言,程序员首要任务是以最优化的方式和额外的努力完成相关开发任务,但是往往我们会忽略一点,是一个员工总想着以最优化也就是最便捷方式解决问题,但往往都会使企业面临进一步的风险,因为更多的设备连接意味着更多的漏洞,没有做好相应安全测评的产品也会存在一定的漏洞。
例如,用户可能会要求访问远远超过他们“需要”的内容,或者出于工作目的使用个人设备访问公司更多的资源,他们还可以通过不受控制地介质或通道共享数据和资源,以达到更加方便的“工作”目的。
首先选择正确的安全类软硬件。当组织购买了错误的安全软硬件,或者没有分析对工作流和常规程序所产生的潜在影响时,安全性与可用性很快就会成为一个棘手的问题。在实施安全措施时,总会对实施过程和结果产生一些影响和限制,必须选择能够在安全端提供且对用户体验影响较小的安全软件,比如杀毒防毒的、DLP防数据泄露的等。好的安全工具和程序能够成功地平衡安全性和可用性,在既有可靠的控制,又有可访问资源的动态工作环境下,我个人认为是完全有可能实现最佳安全平衡的。
其次,启用必要的安全防护功能的策略及机制,如必须使用身份和访问管理来加强安全性以保护敏感信息。身份验证服务确保用户确实是他们所说的那样:
● 通过添加额外的加密层来双重确保用户数据的安全。公司在使用此类服务时,必须牢记部署身份认证服务不应给用户带来不便。安全和保障是最重要的,但这并不意味着用户应该受到负面的在线体验。
● 与他们的安全专业人员一起创建可以无缝集成并促进用户交易的身份验证和授权服务。
● 考虑聘请提供此类服务的公司,帮助客户保护在线身份和信息,同时为他们提供轻松的体验。
● 创建一个具有多层安全性并提供愉快用户体验的系统。
所以说,强大的安全能力一般是没有可供商量的余地的,这对于保护数据不受不良行为的影响非常重要,它有助于满足法规遵从性要求,并促进组织最佳实践。安全专业人员的主要目标应该是最大限度地提高积极的用户体验并最大限度地减少安全漏洞,同时创建一个可以阻止攻击者并且对用户非常友好的系统。作为一个致力于防止用户信息被滥用的组织,请认真考虑用户体验和安全性,因为即使您忽略了任何一个方面,最终都会得到一个存在安全漏洞或不满意且用户很少的系统!
总的来说,安全性不应该损害用户体验,而应该促进它。如果你有合适的系统,并投资于员工教育和培训,那么安全性与可用性一般是不成问题的。了解安全产品和安全威胁情报的员工更符合其组织的安全标准,好的工具应该能够最大限度地提高积极的用户体验,最大限度地减少安全漏洞。
最后,关注可用性——尽可能保证系统的高可用性。在产品中不仅仅要创建一个真正的拥有良好安全性和可用性的用户界面,这关乎到能否确保最终用户及时地完成他们需要的工作。从这个意义上讲,安全应该是更加高效的,不应该为了工作而对基础运营进行根本性的改变。
总之,一句话:安全系统需要激励并不断促进积极的体验,而不是涉及需要过多的时间和精力去产生过于复杂的步骤,从而在尝试访问资源时快速产生结果来满足用户的不同需求。
【10月主题:过与不及】
【9月主题:查漏补缺】
【8月主题:红与蓝】
刘志诚 张永宏 王忠惠 孙琦
肖文棣 孙瑜 杨文斌 陈圣 回顾
【7月主题:误区与陷阱】
刘志诚 张永宏 孙瑜 王忠惠 肖文棣
朱文义 杨文斌 孙琦 陈圣 回顾
【6月主题:远程办公与安全】
王忠惠 于闽东 刘志诚 孙琦 朱文义
张增斌 肖文棣 杨文斌 张永宏 孙瑜 陈圣 回顾
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
孙琦 孙瑜 半藏咸鱼 肖文棣 王振东 陈圣 回顾
2021首届诸子笔会
齐心抗疫 与你同在