不能说的秘密!

释放双眼,带上耳机,听听看~!

网络安全小贴士之内部安全

       在网络安全中,其实最大的隐患是人,尤其是内部人,是最难防范的,我们几乎所有措施和技术手段都是为了防范从外部来的危险:黑客、病毒、火灾…,却不知最大的风险来自内部,无意的误操作、故意的窃取和破坏、数据删除…它所带来的后果更加严重。    

最近,很多单位(尤其是医院)出现大面积病毒和网络被攻击事件,严重影响业务系统运行。我们帮单位处理后,单位信息主管大都会告诉我们说,不要告诉别人我们受到了攻击。站在他们的角度,提出这样的要求也无可厚非,我非常理解。毕竟这也是安全行业的一个特点:不可说,不能说。

长久以来,大家都有一个共识,网络安全事件同其他安全事件一样,一旦发生,当事人下意识的选择是捂盖子。因为如果说出去,感觉是一件很丢人的事,会让领导以为自己能力有限,工作没有做到位,会给单位带来不利影响,对自己和单位都不是什么好事。网络安全事件也就成了不能说的秘密。

但是,如果站在另外一个角度考虑,将这些事情公开未尝不是一件好事。

近几年来,国家将网络安全与国家安全并重,提到了国家战略的层面,网络安全法也于2017年6月1日正式启用。习近平同志也多次在不同的场合提到网络安全,他曾经说:没有信息化就没有现代化,没有网络安全,就没有国家安全。

在我看来影响我们网络安全整体进步的一个重要原因就是人的安全意识问题,包括操作员的安全意识、管理员的安全意识和领导的安全意识。遇到问题之后的“捂盖子”看似是对自己和单位好,但有些时候,“红红脸,出出汗”也未尝不是一个提高大家安全意识的好方法。

我国网络安全可以说才刚起步,一系列重大网络安全事件的发生,使领导决策层、行业和公众意识到我们在战略、组织、系统、能力等各方面存在诸多不足,可谓百事待兴。安全事故案例和分析,尤其是详细的技术分析,极其匮乏。而很多安全事件因为当事单位的隐瞒,导致同样的问题其他兄弟单位重复遇到。

网络安全“事故”是客观存在的,只不过有检测到的和没检测到的、披露的和没披露的、有根源分析的和不明所以的之分。美国联邦调查局某高官曾经说过: “世界上只有两种大型企业,一种是知道已经被黑客入侵的企业,另一种则是被入侵却浑然不知的企业。”世上没有绝对的安全,花了再多的钱,做了再好的安全手段,也不可能完全避免安全事故的发生,因为在攻击与反攻击、病毒与反病毒的斗争中,防总是被动的,是落后的,攻击只是一个点,只要找到任何一个漏洞就可以发起攻击,而防是全面的,想做到万无一失是不太可能的。对网络安全而言,不出问题是不正常的,一旦出了问题,第一时间通报,让更多的单位进行及时的防范,避免更大规模的问题出现,对于网络安全的整体来说,无疑是一件好事。

网络安全具有外在性。换句话说,个体在网络安全上的成效和意义超出该个体自身的利益,对个体之外群体的利益产生影响。与此类似的有传染病、消防、吸烟等。对于具有此类特性的社会事务,通常通过立法来进行约束,取消个体的一些自主权,而进行强制要求。比如我国的《传染病防治法》,一旦在某一个医院发现传染病,就会要求及时上报并隔离。其实安全和传染病也有类似之处。

举例来说,当某医院被攻击导致网络瘫痪或者数据库被泄露时,不仅该医院的业务受到影响,而且用户信息如果被泄露也会导致受影响用户的其它信息和业务受到损失。当没有法律强行要求时,受损单位的理性选择通常是将业务受影响或数据泄漏事件隐匿,或大事化小,从而降低自身的“代价”。但“捂盖子”的做法却增加了社会整体的潜在风险。相反地,如果有相关法律强制要求围绕安全事件的一系列责任,通过大幅增加“隐匿”安全事故的成本,将其理性选择转向客观透明地披露报告安全事故、通知受影响用户、主动或协助第三方进行事故“根源分析”… 这样长期实践的综合效果带来的是社会整体风险的降低,以及有数据支撑的、更为科学的公众安全实践。


当然,大家之所以选择不披露,还有一个重要的原因是责任的问题。如果不披露没有责任,而披露了反而会带来负面的影响,承担相应的代价,那一个“理性的人”的正常反应当然是选择不披露或者少披露。一些发达国家在安全事故披露方面通过立法建立了较为完善的制度,故意隐匿安全事故会给相关方带来严重的刑事、民事处罚。而我国在这方面还比较落后,相信以后会更完善。


 安全事故发生并披露后的代价、和“不披露”的责任放在一起,较低的那个,我们可以称之为“有效代价”,其高低是企业和组织评估安全投入是否合理合算的重要依据。

 简而言之,如果某类安全事故发生后的“有效代价”很低, 对于一个理性决策者来说,就没有必要和理由投入过高的资源去预防或阻止它。相反的,如果某类安全事件发生后的“有效代价”极其高昂,理性的决策者一定会投入相对应的安全资源而将其降低到可以接受的水平。

数据备份与灾难恢复

前    言 随着计算机存储信息量的不断增长,数据备份和灾难恢复就成为炙手可热的话题。灾难备份是信息系统安全的关键基础设施。重要信息系统必须构建灾难备份和恢复系统,以防范和抵御灾难所带来的毁灭性打击。数据是极为宝贵的财富,要保证信息系统持续的运

还有一个问题就是披露方的权威性,如果能有一个相对权威的响应平台,收到类似事件后能够及时进行响应和通告(至少是在同行业内),对于业内来说也是能引起重视的。否则,如果是安全厂商进行通告,难免给人在做广告宣传的嫌疑,如果我们不说具体单位,只说是某单位出了什么问题,客户一定认为是为了销售而在吓唬他们,如果说了具体单位,又明显违背了客户的意愿,给客户一种不信任感。就以最近遇到的攻击事件和勒索病毒为例,如果能有一个权威单位及时通知其他单位该问题的严重性,让所有单位部署相应的防范措施,我想也不至于会有这么多的单位出问题。


网络安全为人民,网络安全靠人民。要提高我国的网络水平,提高人的安全意识则是首要条件,尤其是对于行业和单位用户而言,如果:

1 、建立安全事故披露、通报和案例分析制度;

2 、明确界定安全事件“披露”和“隐瞒”的相应责任;要让隐瞒的代价大于披露的代价。

3 、建立安全事件收集和响应中心,指导受攻击单位进行应急处理。

那么对于行业及至国家整体的安全一定会大有裨益。


当然,国家应该是有这样的机构,比如国家病毒响应中心,但总感觉离我们过于遥远,如果每个地区或者行业能有一个这样的机构我觉得会更好。


希望以后网络安全事件不再是不能说的秘密,希望所有人所有单位的安全意识能更上一层楼。借用一句药房常用的话:但愿世间人无病,何惜架上药生尘。

    

最近遇到一些事情有感,不当之处还请大家指正。

 

欢迎关注:大兵说安全

本文源自微信公众号:大兵说安全

关于近期医院感染勒索病毒情况的通报

近日,朋友圈被GlobeImposterV3.0的文章刷屏了,各厂商也都讲自己的软件可以查杀。那么为什么还会被感染和加密呢?因为这次攻击并不是因为杀毒软件的问题。 我们从1月底开始也陆续遇到好几起该病毒的感染报告,经过我们技术人员的现场取证分析,了解了完整的

人已赞赏
安全工具

防电信诈骗安全手册

2019-10-14 17:33:06

安全工具

网络安全小贴士之内部安全

2019-10-14 17:33:11

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索