网络安全应急三观

本文从“看应急”、“三观论”以及“从三观看应急”三方面阐述了网络安全应急的特性、实施理念及三观应急的原则。文章首先介绍了应急在网络安全中的独特地位和复杂性，而“三观论”中的宏观、中观和微观分别对应着从上到下的三个层面，顶层的决策层，包括决策支持、风险管理；中间的运营层，体现为对于安全产品和安全任务的管理；底层的实现层则体现为安全部件，即安全产品和规范化的安全服务。而安全应急问题必须突破微观局限，要有快速具体的行动落实到实现层，并且用对应层面的措施来解决与之对应的责任和问题，中观是应急实施的引擎。

一、看应急

1．从安全功能的角度看

应急是一个可以覆盖整个周期的事情。

应急功能常常被看成PDR（保护、检测、响应）模型扩展为PDRR（保护、检测、响应、恢复）模型中的“恢复”。其实如果从业务连续性管理的完整体系来看待的话，应急工作是覆盖类似PDR模型的整个功能域的。从开始的准备阶段，到检测以及之后的响应（抑制、消除、恢复、后续跟踪等）。由此可以看出，应急在网络安全中的独特地位，它是以一件覆盖整个网络安全过程的大事。

2．从安全对象的角度来看

人们应该如何分析问题，怎么去保护应急对象呢？现在有一个很明显的趋势，就是大家越来越重视业务在安全事件中是否受到影响。安全域方法也再次引起业界的广泛关注，它是一个分析和理解安全对象（资产和业务）的好方法。

这里提到的一个“3+1安全域方法”是一种安全域简化设计方法。基本原理就是，网络不仅仅是由交换机、路由器、主机等设备组成，而是由网络构造组成；如果把网络设备理解成网络原子，一个网络构造就是一个分子；典型的网络构造比如，Client-Server结构、端到端结构等。从这个思路去分析网络就形成了“3+1安全域方法”。

按照这个方法，我们可以将网络和系统分解成4类域：局域计算的接入域，局域计算的服务域，以及将他们互相连接起来形成的互联域，另外还有一个是支撑域，所以称之为“3+1 安全域方法”。 如果用这种思维方式对应不同应急内容，来理解用户资产，可以很明显看出：

在服务域，会有集中式计算恢复、分布式计算恢复以及存储恢复。

在接入域，主要是对终端用户的恢复。

在互联域，就有网络和链路的冗余备份问题。网络本身是具有弹性的，但当遇到破坏性比较大的问题时，就需要做网络备份。

支撑域从形式上来说，是插入到网络的领域里，与接入和服务的连接方式不同，支撑域不直接影响核心业务，而是间接影响。支撑域常常是应急的指挥和协调中心所在地。

3．从威胁和风险的角度看

风险管理是一个与影响力大小和可能性这两个要素密切相关的工作。从风险的两个要素看，应急工作所处理的事件的可能性一般会比较小，但是在影响方面会突然暴发出来。一般安全工作和应急工作，我们可以从风险管理和业务连续性管理这两套思路来解决分别对待。两套方法有不同之处，也有相通的地方，例如在风险管理中有资产分析和评估，在业务连续性管理中有业务影响分析（BIA）。

4．资产-防护措施-威胁

从资产、防护措施和威胁这三个不同的视角看安全问题，有利于更全面地看，就会利于把问题简化处理。针对不同的业务特征，应该有什么思路去看待出现的安全事件，以及用什么样的方法提供保护，是值得我们深思的。

二、三观论

对于应急这个问题，这里介绍一个独特的观察角度，即“三观论”。“三观论”是指对整个问题从宏观（Macro-view）、中观（Middle-view）、微观（Micro-view）三个层面来分析。“三观论”看上去是一个很虚的概念，其实它是一个大思路、大观点，这种思路不仅只存在于信息安全领域，在其他领域也都能够体现出来。

[1] [2]  下一页