做IT多年,安全事件接触了不少(CIH、勒索病毒、XX泄密等等),从病毒到安全事件(包括政府机关的安全事件),也给不少的企业上过安全的课,还做了一年多数据安全产品的产品经理。随便谈谈关于我理解的一些安全。
安全界法则之一:世界上没有绝对的安全。安全的目标:进不来、看不懂、拿不走、跑不掉。
所有的安全中,最重要的是安全意识,而安全意识并不是哪家公司的产品所能达到的,因此安全产品仅能治标,不能治本。
以一个案例来谈,地主老财家,有一个祖传宝贝,你如何确保安全?
1、不让人知道,钱财不露白。这就是安全意识之一,至少你不能让人惦记,不能让人知道你最核心的数据是什么,在哪里。
2、你会在庄园入口增加安防,限制人员进入。这就是准入,比如接入准入,MAC认证
3、你会用一个密码柜把宝贝锁起来。这就是加密,比如文档加密,数据库遮罩
4、你会用院内放一些狗,防止生人误入。这就是访问控制及报警
5、你会安装一些监控,记录15天。这就是审计,数据库审计、日志审计、访问审计等
6、你会用一个一模一样的保险柜,用来骗人。这就是蜜罐、入侵检测等
7、你会做一个大设想,用一个大罩子盖住。这就是政府的内网独立,使用网闸或光盘等进行数据交互。
从小偷的角度来看:
先问清是什么宝贝(社会工程学,几乎都能得手)
踩点(网络嗅探等)
下手(木马植入等)
到手并出售
企业在IT投资上,一般都以业务型投资(ERP、MES、OA、BPM等)为主,安全投资一般比较少。因此企业抗风险能力较小。常见的企业安全投资一般有如下:
1、可靠性:双线路、硬盘阵列等
2、可恢复:备份(Symantec等)、双机热切(Hyper-v、Vmware平台,让热切变简单)
3、杀毒软件,微软的MES不错,但客户端几乎是360等的天下
4、防火墙与上网行为:深信服
5、路由器
6、三层交换
7、无线网络及控制:Ruckus直接的好用
8、统一身份认证:AD
其它的产品用的不多,比如审计、堡垒机、加密、入侵检测等,仅会对特定的环境使用,如设计部门一般会上加密。
以上随想随写,欢迎拍砖。