网络安全应急三观(宏观、中观和微观)

本文从"看应急"、"三观论"以及"从三观看应急"三方面阐述了网络安全应急的特性、实施理念及三观应急的原则。

文章首先介绍了应急在网络安全中的独特地位和复杂性,而"三观论"中的宏观、中观和微观分别对应着从上到下的三个层面,顶层的决策层,包括决策支持、风险管理;中间的运营层,体现为对于安全产品和安全任务的管理;底层的实现层则体现为安全部件,即安全产品和规范化的安全服务。而安全应急问题必须突破微观局限,要有快速具体的行动落实到实现层,并且用对应层面的措施来解决与之对应的责任和问题,中观是应急实施的引擎。

一、看应急

1.从安全功能的角度看

应急是一个可以覆盖整个周期的事情。

应急功能常常被看成PDR(保护、检测、响应)模型扩展为PDRR(保护、检测、响应、恢复)模型中的"恢复"。其实如果从业务连续性管理的完整体系来看待的话,应急工作是覆盖类似PDR模型的整个功能域的。从开始的准备阶段,到检测以及之后的响应(抑制、消除、恢复、后续跟踪等)。由此可以看出,应急在网络安全中的独特地位,它是以一件覆盖整个网络安全过程的大事。

2.从安全对象的角度来看

人们应该如何分析问题,怎么去保护应急对象呢?现在有一个很明显的趋势,就是大家越来越重视业务在安全事件中是否受到影响。安全域方法也再次引起业界的广泛关注,它是一个分析和理解安全对象(资产和业务)的好方法。

这里提到的一个"3+1安全域方法"是一种安全域简化设计方法。基本原理就是,网络不仅仅是由交换机、路由器、主机等设备组成,而是由网络构造组成;如果把网络设备理解成网络原子,一个网络构造就是一个分子;典型的网络构造比如,Client-Server结构、端到端结构等。从这个思路去分析网络就形成了"3+1安全域方法"。

按照这个方法,我们可以将网络和系统分解成4类域:局域计算的接入域,局域计算的服务域,以及将他们互相连接起来形成的互联域,另外还有一个是支撑域,所以称之为"3+1 安全域方法"。 如果用这种思维方式对应不同应急内容,来理解用户资产,可以很明显看出:

在服务域,会有集中式计算恢复、分布式计算恢复以及存储恢复。

在接入域,主要是对终端用户的恢复。

在互联域,就有网络和链路的冗余备份问题。网络本身是具有弹性的,但当遇到破坏性比较大的问题时,就需要做网络备份。

支撑域从形式上来说,是插入到网络的领域里,与接入和服务的连接方式不同,支撑域不直接影响核心业务,而是间接影响。支撑域常常是应急的指挥和协调中心所在地。

3.从威胁和风险的角度看

风险管理是一个与影响力大小和可能性这两个要素密切相关的工作。从风险的两个要素看,应急工作所处理的事件的可能性一般会比较小,但是在影响方面会突然暴发出来。一般安全工作和应急工作,我们可以从风险管理和业务连续性管理这两套思路来解决分别对待。两套方法有不同之处,也有相通的地方,例如在风险管理中有资产分析和评估,在业务连续性管理中有业务影响分析(BIA)。

4.资产-防护措施-威胁

从资产、防护措施和威胁这三个不同的视角看安全问题,有利于更全面地看,就会利于把问题简化处理。针对不同的业务特征,应该有什么思路去看待出现的安全事件,以及用什么样的方法提供保护,是值得我们深思的。

二、三观论

对于应急这个问题,这里介绍一个独特的观察角度,即"三观论"。"三观论"是指对整个问题从宏观(Macro-view)、中观(Middle-view)、微观(Micro-view)三个层面来分析。"三观论"看上去是一个很虚的概念,其实它是一个大思路、大观点,这种思路不仅只存在于信息安全领域,在其他领域也都能够体现出来。

首先,从范围大小来看,宏观、中观和微观分别对应着全局、局部及单点。涉及机构整体的问题是全局性的,属于宏观问题;局部问题主要涉及的是机构的一些部门或者业务;如果只是涉及单个或几个的个体或者业务的部件,这是微观范畴,就没有必要调动宏观资源来解决这些单点问题。为了能够用最少的资源达到理想效果,一定要在处理问题前分清事件的性质。

其次,从实体化程度方面来讲,"三观"又有另外一种感觉。宏观比较务虚、模型化,而微观比较实在、物理化。从这个思路来看安全事件,如果问题发生在安全设备、检测功能、资源、系统等方面,是微观层面;如果是流程、制度、大系统等出现了问题,结构性就显现出来了,这些内容更抽象、更模型化,已经属于中观层面了;再向上就是宏观层面的价值观、使命和业务等。到这个宏观层面后,厂商就更需要从用户角度去看待安全事件。众所周知,安全永远存在潜在性,在没有出现问题时,安全往往得不到足够的重视,业务繁忙起来或许还会被放弃,用户在出现问题才想起应该重视安全这个现象非常普遍。如果不能把要做的安全工作与决策和机构使命、业务价值连接起来的话,这个工作一定不会成功,如何上达决策是应该重点考虑的问题;当然,还必须实现一点就是必须要下达到微观。不能只务虚,更不能只沉浸在微观,这样项目也将是非常危险的。作为一个策划人,要拥有更好地协调微观、中观和宏观资源的意识,在"三观"层次上,务虚、务实都要兼顾到。

用"三观"的思路还可以分析很多问题,比如现在大家比较关注的ITIL体系,用"三观"思路去看其中的一个项目–能力管理项目。ITIL能力管理中三个不同实体化的子流程:微观对应的是资源能力管理层面,它管的就是一些很具体的事情;再向上中观对应的服务能力管理层面,管理的内容就很流程化;而最上面一层就变成使命化,关注的是业务能力管理,对应的正是宏观层面。所以说不同的规范和不同的方法或多或少都有"三观"味道在里面。

第三,如果从信息安全事件角度分析,对普通服务器的入侵事件就是一个具体、微观的事情,而蠕虫、洪流事件、破坏高影响服务器等事件已经上升到中观层面,全面/关键业务问题由属于宏观层面的事件。要能够及时判断出哪种事件属于哪个层次,才能够更快地、有针对性地解决问题。

第四,对于信息安全产品来讲,也可以从"三观"中看到其分布状况。像防火墙、入侵检测、防病毒、加密等产品,实现的是某一具体功能,比如说防火墙实现网络防护功能,加密是解决信道加密、数据加密,实现保密功能,这些都是具体的微观方式。如果再上一个层次,把一些方式结合起来,比如安全运营中心SOC (Security Operation Center)就将各种安全功能结合在一起,这种结合、组合、匹配已经具有结构性在里面。宏观层面的高层工具包括决策支持、风险管理系统,当领导关心某个具体数据时,要能够马上连到具体数据上,给领导正确的决策支持。实际上,现在业界的产品大部分处于微观层面,中观层面的组合功能和平台产品也慢慢地受到关注,但宏观层面还远远没有实现。

同样,对于信息安全服务,我们也可以将系统的评估加固这样的具体服务归结到微观层面;将安全域分析和整合服务、综合风险评估等服务理解为中观;而业务风险咨询、投资回报分析等决策支持服务就很显然属于宏观层次了。

"三观"是一种思路、一种观点,三个层面的"味道"各有不同。如果从微观来说,单点、基层的、物理系统、局部、功能性、实现都是微观;而体系结构、中层的、具体化一些运行性的、制度化的东西是中观;宏观则表现在价值、使命、业务等方面。还应该关注的一点是"三观"的组织层次和责任,出现问题后,要由谁去负责任、谁去做。一般来讲,决策层是机构的高层领导,主要负责决策、战略制定;中间的运营层,体现为对于安全产品和安全任务的运作、管理、执行;机构基层负责的是实现、运行及具体操作。

三、从三观看应急

上面介绍了用"三观"思路分析问题的一些基本概念,那么从"三观"来看网络安全应急会是什么样呢?

很多情况下,人们会沉浸到微观里面去,而安全应急常常是宏观和中观的问题,必须突破微观局限;并且还要有快速具体的行动落实到实现层;要用对应层面的措施来解决与之对应的责任和问题;要通过运营层,协调、控制、反馈、管理实现层的安全要素,达成决策层的使命和决策。所以说,中观在整个应急体系内起到牵动作用,是应急实施的引擎。以上这些即为三观应急的基本原则,下面来具体分析一下:

如何才能突破微观的局限呢?要突破这个局限,首先关注的是怎样更有效地解决出现的问题。比如银行硬盘数据丢失、系统感染病毒或蠕虫等安全事件,人们经常会从微观上看待这些问题。银行硬盘数据丢失后主要考虑的是如何恢复硬盘中丢失的数据,而从另一个思路去看,硬盘只要备份,丢失数据可以很容易找回来,不需要投入过多精力在硬盘恢复上面。如果全方位看问题,从准备、检测、抑制、清除、恢复、后续跟踪等全过程考虑,问题会得到非常圆满地解决。而突破微观局限最好的方法就是:流程化、框架和最佳实践,这时候就不是一个简单的恢复问题。

从"三观"看落实的过程,可以发现价值观处于最高层面,人员和组织介于宏观与中观之间,接下来是文档、流程,物理系统和实际的行动就靠具体的微观,即实现层了。那么安全问题发生后,应该由谁来负责以及采取什么样的措施呢?通常来讲,服务器被入侵就该用微观方法去处理,采取清除的方式;而网络感染蠕虫的话则用中观方法处理,不能仅仅持清除的态度,要抑制蠕虫出现,不同问题要采取不同的措施。

在应急过程中,不可避免地要做一些价值的缺失决策,就是说要丢掉一些东西,这个决策由谁来做,如果涉及整个业务问题,只有领导可以决策,首先必须决定暂停或者是终止这件事情,然后再考虑丢弃什么、占有什么。而一些流程化的问题,运营层就可以处理,决定是忽略还是跳过;至于针对个别功能的问题,实现层就能够决定放弃或者是降低水平。现在应急的时间性要求越来越高,怎样才能把握好什么问题需要上报?哪些事情必须马上自己做出决策?在应急预案中一定要清楚这些内容,让不同层面的人去做不同层面的决策,把应该上报的东西及时上报上去。从"三观"思路去看应急,就会有非常独特的思考方式,这样处理事情就会更加完备。

从"三观论"来看应急工作,给我们带来的最大的不同就是,给出了一个分门别类、区别对待的方法。而且三观还能够和组织结构及其责任结合起来。

也许,各方面的问题和工作,通过宏观、中观、微观这个桥梁,和组织结构与责任的对应,才是最有价值的。