Secur1ty just lik3 a girl. B0th of th3m h4ve s0me h0les. Y0u alw4ys try to f1nd the h0le, but n0t 3very tim3 y0u c4n 3xpl0it it!
查看文章 |
甲方安全体系设计思想:走出第一步
2008-07-18 17:58
这里不讲安全产品、不谈漏洞、不谈0day、不讲细节 我们来讲点比较忽悠人的东西,你说是高屋建瓴也好,说是虚幻也好,先扯扯淡。 上一篇辨析了几个名词,我们分析了漏洞、威胁、风险、暴露时间的概念和区别,并举了例子。 其实我讲这些是为了这一篇做准备的。 甲方是什么?享受安全服务的就是甲方,提供安全服务的就是乙方。 说具体点,绿盟、启明这些就是乙方,百度、淘宝这些就是甲方。 乙方希望为甲方做安全评估,卖安全产品给甲方。甲方主营业务不是做安全,但是希望自己的主营业务的安全得到保障。 甲方的安全该怎么做?怎样才能设计出一套好的安全体系。 根据前一篇的理论,可以简单概括如下: 降低风险是目的,减少威胁是过程,消灭漏洞和缩短暴露时间是手段 明确了这个核心思想,就有了脉络可循。 安全体系应该是围绕这个思想来建立的。 所以我们应该做的第一步就是: 风险评估 首先要知道我们自己在保护什么,公司到底在乎什么,什么才是老板最担心丢失的。 风险评估往往是伴随着资产等级划分和大量的访谈的。 评估完风险后,就需要进行减少威胁的工作了。 我以前写过关于 Minimize Attack Surface 的文章,实际上就是一个减少威胁的过程。 这一阶段往往是安全体系设计的具体内容,可能伴随着各种模型和深度防御的思想。 这一阶段的设计往往是整个系统层面上的,也是比较宏观的一个过程。在系统设计好后如果要去改变原有系统,将变得很困难。这也是这一阶段所要面临的主要考验。 最后才是如何去消灭漏洞,如何建立合适的应急响应流程,把问题的处理落在实处。根据环境的不同,方法就是千变万化了。 今天扯淡可能扯的有点玄乎了,因为没有举任何例子,所以要是有不明白之处,就当我没写吧,我在梦游呢~~~~ |
最近读者:
