近日读了几本风行的中医畅销书,书中提到的“养生胜于治病”“三分治,七分养”之类说法引起了我很大的兴趣。仔细想来,这早在《黄帝内经》中就以“上工未治病,不治已病” 阐述的养生医学,其实对信息安全建设是大有指导意义的。
吃药治病与信息安全
安全问题对于IT系统来讲,就像是病症对于肌体。安全专家好比出诊的大夫,拿着听诊器、化验仪来诊病,然后开出方子,叮嘱病人停止工作好好养病——可不是?安全管理员干起活来也总是或多或少地拿出各种改进方案,“阻碍”企业业务的推进,害得不少工作计划“停工”。看来治理安全问题和治理身体疾病确实是有很多相通之处的,学术界也早就看出了这点,免疫学的思想已经被较好地应用在信息安全研究中了。
但在给计算机“看病”时,“计算机大夫”们却多推崇“治病医学”而不是“养生医学”,抽血、化验、拍X光,一个都不能少,大化学药片以毒攻毒地打入我们原本脆弱的信息系统里,而且还动不动就做留血的外科手术。更狠的是,安全专家们还时不时还犯犯“头痛医头,脚痛医脚”的错误。
“三分治,七分养”与安全建设
“三分治,七分养”是畅销书中的一个提法,它把“养生医学”的地位排列“治病医学”之上,提倡为了肌体健康,多多保养,多多通过食疗和生活习惯的改进来确保少得病,当然确实生病了还是要好好治,但这样能减少病痛与治疗的辛苦,更能延年益寿。
笔者认为,“三分治,七分养”的思想恰恰能解决中国信息安全建设中的一些痼疾,比常规重“治”轻“养”的做法更能够根治信息风险。——安全建设中的养生、调养,是指在信息系统建设的起步和推进过程中贯彻安全思想,而不是先破坏后治理。在部署每一台设备、上线每一个系统时,要像吃粮食后力保让它成为肌肉而不是冗余脂肪一样,把每一句代码写好、把每一个补丁打齐,不要亚健康运转。
“庸医误人”VS“妙手回春”
新概念提着轻松,但有没有效果可不一定——把“三分治,七分养”用于信息安全建设,到底是“庸医误人”还是“妙手回春”呢?“三分治,七分养”只是一种指导思想,不加上具体的实践,是不可能“妙手回春”的,但它也决不是“庸医误人”,它指出的是一种比较治本的安全建设方向。试想,如果我们摒弃“先建设,后治理”的破坏环境似的信息系统建设思路,把养生优先于治病的思想融入安全策略中,贯彻入制度中,虽会让我们“前期多辛苦”,但定能让我们“后期少受罪”,事半功倍。
下面,笔者将以信息安全产品“老三样”为例,分析一下“养”和“治”在其中的作用和科学运用的方法。
防火墙管理中的养与治
防火墙是在机构用户中应用最为广泛的产品,设计出科学的防火墙使用方法,惠泽范围会很广。可能有人会问,一台防火墙,有什么可以“养”的呢?其实不然。现今的防火墙管理,一般都是在“祸害”防火墙,在好端端双向封闭、安安全全的通路上强行打洞。打洞也就罢了,打时还不规矩、胡乱来,万一制度定的不清或者把的不严,就让一些紧急需求、特殊需要把端口开大了,造成或多或少的隐患。隐患也就罢了,事后还不好治理,开洞容易关闭难,影响业务的责任防火墙管理员可没法承担。这时,大窟窿在修复时往往困难重重,但如果打洞之前和过程中就规划好,就能够最大限度减少这种问题的发生。看,这里“治”就不如“养”了吧?
还有,防火墙管理维护中的策略文档管理尤为重要,但如果架设之初不做好记录、管理,事后想整理清楚就很烦琐了,最终使产品管理变得困难。所以,开始不“养”,后来想“养”也“养”不成。
防火墙的养与治的问题,也是网络安全问题的一个缩影,建设的时候多用心一些,“年轻”的时候多一点“保健”,网络安全问题就可以尽早防住。
防病毒管理中的养与治
病毒是对中国企业困扰最大的安全问题,防毒产品的应用覆盖面仅次于防火墙。对于病毒,我们最耳熟的词汇就是“杀毒”。杀,即是“治”,但现在的病毒都太厉害,好不容易查出来,却告知杀毒失败,让你隔离,随后却又是隔离失败……所以,“治”在此处经常力不从心。
但如果用心去“养”,就会很有收效。把人员的安全教育做好,对人员的上网行为用制度和监督约束住,把补丁先打好管好——这一系列“调养”相当于严格控制了人体的膳食,杜绝了“病从口入”的问题。
所以,病毒重在防,不在杀,重在养,不在治。防病毒的养与治的问题,也是系统安全问题的一个缩影,把科学的制度严格落实下去,好比人能合理作息,系统安全问题就管住一大半了。
入侵检测系统管理中的养与治
入侵是一种发生频率不一定高,但出现时威胁就会很大的安全问题。反入侵中比较成熟的工具是入侵检测系统(IDS),它的功能止于检测,所以只能诊病,而治病,还需防火墙联动配合或人工响应。但在黑客发动攻击时,往往是利用系统开发中的固有缺陷——即使防火墙设置的再正确,系统补丁打得再全,开发时留下的注入点之类问题依然会被黑客抓住不放。开发不当留的隐患,就相当于不良生活习惯、不良饮食结构为我们带来的身体痼疾,也是需要事前“养”的,开发中注意代码质量,不是留着当时或事后去“治”的。
反入侵的养与治的问题,也是应用安全问题的一个缩影,与其花钱体检(代码审核与渗透测试)、随身带着体温计(入侵检测系统),不如每天都早睡早起,戒烟戒酒,多吃素,少吃肉。
调养出安全的信息系统
安全产品“老三样”,应用最广,影响最大。上面的讨论证明了使用“三分治,七分养”的思想能够有效改进“老三样”的使用效果,也以此为例说明了这一思想对三种产品背后的网络、系统、应用三大安全问题的促进作用。从中,我们可以看出这一理论对整个信息安全建设的指导意义。
号脉是中医的诊断手段,“三分治,七分养”帮助信息安全建设号了一脉,挖掘了我们有时事倍功半的症结。“三分治,七分养”也是安全建设的一剂药方,真正把“养”的思想贯穿于整个信息化过程中,突出整体观,突出防范在先,可以让我们“调养”出能够保障业务安全的信息系统。
- 治理评论第一期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第六期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]