安全管理 – 基本权衡因素
Jesper M. Johansson
安全程序经理
Microsoft 公司
要获取安全管理专栏的文章列表及其他信息,请单击此处。
欢迎访问 Microsoft TechNet 的安全管理专栏。这是一个新的专栏,主要探讨系统管理和网络安全管理方面的问题。这个专栏没有固定的发表日期,但是一般说来每一个月或两个月会发表一期。本专栏旨在向您描述如何提高网络的安全性,并帮助您了解各种常见的安全问题。它还教您如何在保证安全性满足用户和管理层要求的同时,提高自己的安全意识。信息安全(Information security,infosec)是网络安全的基本组成部分,它是一个过程。它没有终点,而且您无法随意开启并处理它。Infosec 是一个珍爱的婴儿,需要您的细心呵护,需要您的拥抱,有时还需要您清理它。本专栏系列的重点之一就是论述为了提高网络安全性所需执行的日常工作。在这个首期专栏中,我将概要性地描述,为了更好地保护网络安全所需考虑的基本权衡因素。
本页内容
 | 基本权衡因素 |
| 结论 |
基本权衡因素
在我加盟 Microsoft 之前,我有 12 年在全职或兼职地做网络管理方面的工作,在此期间接触过各种规模的网络。这 12 年的工作经历,我日渐清晰地体会到这样一点:没有人会打电话告诉你,网络运行得是多么正常。在我 12 年的网络管理职业生涯中,从来没有接到过一个电话告诉我说,电子邮件系统运行正常,用户可以毫无障碍地打印文件,所有文件都能正常访问。我在凌晨五点接到的所有电话,都是有人在向我大喊大叫,告诉我网络出故障了。我从中总结出以下两点:
1. | 凌晨五点打电话的人通常是那些破环网络的罪魁祸首。 |
2. | 信息技术只有在用户不再考虑它是如何或为什么正常工作的时候,才能正常运行。 |
虽然现实生活中,第一点所描述的情况会各不相同,难以从中总结规律,但是第二点则是我称之为“透明原则”的一个实例。 和多数管理员不同,用户并不是因为技术本身而对技术感兴趣。事实上,他们对技术根本不感兴趣。用户只是希望技术能够正常运行,以便他们可以完成工作,而不必让他们考虑技术为什么可以正常工作或是如何工作的。因此,对信息技术的最根本挑战就是如何实现隐身,即对用户完全透明。每次用户必须考虑技术方面的问题,都是因为技术未能完全按所预想的方式运转,或是用户无法访问所需的资源。当经理们不得不考虑技术时,通常是因为那时他们需要在技术上投入更多的资金。从根本上说,网络管理员的工作是如何让他或她自己变得透明。
那么,这和安全性有何关联呢?问题是网络管理的目的是确保用户可以获得所需的一切,而安全性则是限制用户的访问权限。我有一个同时曾有一妙语,“访问被拒绝?很好,这表明安全性正在发挥作用。”这意味着安全管理在本质上是网络管理的对立面,也就是说它们的目标实际上是冲突的。因此,我们有一个需要考虑的基本权衡因素。
透明的实现形式多种多样。技术应该易于使用。然而,管理信息系统教授 Fred Davis 曾做一个有关技术接受度的调查研究,研究表明技术也需要易于使用,即需要某种突出的功能,让用户可以接受。我将所有这些概念总结为一个词——易用。本质上说,就是在安全性和易用性之间进行权衡。最安全的系统是与外界隔绝并封锁在一个安全地方的系统。
对所有软件技术都有此隐含要求。在任何操作系统上安装应用程序时,都将启用某些附加功能,这些功能将降低系统的安全性,因为它增加了系统的攻击面。在后续专栏中,我们将讨论如何加固安全环境,并讲述如何分析使用场景,以实现最优地加固系统。
我们可以使技术更为安全,但这样也许会降低它的易用性。那么,我们应该如何让它更为安全且 更易于使用呢?这就需要引入权衡中的第三方。任何一位优秀的工程师都熟悉“快、好、省”原则。只满足其中两个要求并不难。
最近,我拜访了一位客户,帮助他们设计网络安全体系结构。随着讨论的不断深入,我越来越清楚地认识到,人们难以很好地平衡安全性和易用性。如果将网络安全性提高到某种程度,那么将不得不在一定程度上降低其易用性。在讨论进行了大约 15 分钟后,我站起身来,在白板上画了下图:
然后我转向 CIO,让他从中选择两项。他思考了片刻,然后说,“好,那我选择安全和易用”。刹那间,每个人都知道了他们必须处理什么,大家也转为讨论他们需要花费什么资源来使系统既安全又 易用。
认识安全性、易用性和成本之间的这种基本权衡是极其重要的。是的,可以既顾及安全性,又顾及易用性,但是还要考虑成本,也就是说要考虑资金、时间和人员。可以既顾及低成本高效益,又顾及易用性,而且使系统既安全,又低成本高效益也并不困难。然而,要使系统既安全又易用却需要付出巨大努力,也需要花很多时间来思考。安全既耗费时间,又耗费资源。
让系统或网络管理员管理安全性是具有副作用的,因为他们做这些工作只能使冲突升级。作为系统或网络管理员,其职责是让系统正常工作,让用户无需考虑技术,使技术变得透明。而作为安全管理员,其职责是完全相反的。只有那些具备完全分割的多重性格的人才可能同时成功地担任这两个角色。尽力愉悦两位主顾有点类似于既扮演善良、温和的吉基尔医生(Dr. Jekyll),又扮演凶恶、残暴的海德先生(Mr. Hyde)。那些让您在一个领域中表现良好的技能,正是那些让您在另一个领域中减分的技能。这可能正是当今的问题,因为许多管理 Infosec 的人既是网络或系统管理员,又是兼职的安全管理员。理想情况下,安全管理员应该是那些了解系统和网络管理,但是其工作职责是首先考虑安全性,然后才考虑易用性。他需要和网络/系统管理员密切配合,而且这两种角色显然应该由那些能很好地合作的人来担任。但是,安全性和易用性的接口处存在冲突是必要的。只有让这两个角色具有不同的目标,才能在安全性和易用性的统一体中找到最佳的平衡点。
实际上,处理这种平衡有多种方法。每个供应商的技术都用在许多不同的组织中。如果我们使用“努力”来平衡“低成本”,我们会发现供应商在获取技术易用性和安全性方面付出的努力,将弥补客户在达到同样目的时所付出的努力。其等式如下:
这二者之间并不是严格的一比一的关系,因为各自的效率不同。换句话说,供应商在提高产品安全性和易用性方面付出的努力并不完全等于客户从中获得的益处。然而,供应商在提高产品安全性和易用性方面付出的某些努力的确会使客户受益。
要看这方面的示例,只要看 Windows 2000 中的 IPSec 就可以。IPSec 应该说是 Windows 及其他许多非 Windows 操作系统中最有用的安全技术之一。例如,在 2002 年由 eWeek 杂志主办的 OpenHack IV 挑战赛中,IPSec 就是 Microsoft 成功的参赛作品中使用的最基本保护机制之一。(要详细了解在 OpenHack IV 挑战赛中 Microsoft 的参赛作品是如何受保护的,请访问 http://msdn.microsoft.com/library/en-us/dnnetsec/html/openhack.asp)。它的用途非常广,但在用户友好性方面的问题也非常突出。许多人不喜欢它的用户界面。但是,如果您能克服这一点,那么您会发现这样一个事实,IPSec:在阻止信息流方面要强于允许信息流的通过。现在,帮助分析为什么信息流无法通过的工具很少。最新版的 Windows,即 Windows Server 2003 中,网络监控器已经得到改进,它可以解析 IPSec 信息流,这大大地减少了客户对 IPSec 进行故障诊断所需付出的努力。随着 Microsoft 在提高 IPSec 易用性方面付出更大的努力,客户在部署时所需付出的努力将显著下降,使网络既安全又易用的成本也随之降低。我们由此获得的是供应商成本和客户成本之间的大体平衡。
这真正地意味着,一般说来都是物有所值的。高成本的产品也应该比低成本的产品更为安全和易用。当然这其中有其他因素在起作用,但是这种平衡方法是通用的。
结论
安全管理员面临着某些令人关注的权衡抉择。从根本上说,是在安全且易用的系统、安全且价廉的系统以及价廉且易用的系统之间做出选择。我们不可能拥有一切。最佳的操作方式是不要让同一个人既负责安全管理又负责系统管理。这两种任务的目标通常是相互冲突的,以至于无法由一个人来成功地完成这两种任务。
要获取安全管理专栏的文章列表及其他信息,请单击此处。