网络安全应急三观

其次，从实体化程度方面来讲，“三观”又有另外一种感觉。宏观比较务虚、模型化，而微观比较实在、物理化。从这个思路来看安全事件，如果问题发生在安全设备、检测功能、资源、系统等方面，是微观层面；如果是流程、制度、大系统等出现了问题，结构性就显现出来了，这些内容更抽象、更模型化，已经属于中观层面了；再向上就是宏观层面的价值观、使命和业务等。到这个宏观层面后，厂商就更需要从用户角度去看待安全事件。众所周知，安全永远存在潜在性，在没有出现问题时，安全往往得不到足够的重视，业务繁忙起来或许还会被放弃，用户在出现问题才想起应该重视安全这个现象非常普遍。如果不能把要做的安全工作与决策和机构使命、业务价值连接起来的话，这个工作一定不会成功，如何上达决策是应该重点考虑的问题；当然，还必须实现一点就是必须要下达到微观。不能只务虚，更不能只沉浸在微观，这样项目也将是非常危险的。作为一个策划人，要拥有更好地协调微观、中观和宏观资源的意识，在“三观”层次上，务虚、务实都要兼顾到。

用“三观”的思路还可以分析很多问题，比如现在大家比较关注的ITIL体系，用“三观”思路去看其中的一个项目――能力管理项目。ITIL能力管理中三个不同实体化的子流程：微观对应的是资源能力管理层面，它管的就是一些很具体的事情；再向上中观对应的服务能力管理层面，管理的内容就很流程化；而最上面一层就变成使命化，关注的是业务能力管理，对应的正是宏观层面。所以说不同的规范和不同的方法或多或少都有“三观”味道在里面。

第三，如果从信息安全事件角度分析，对普通服务器的入侵事件就是一个具体、微观的事情，而蠕虫、洪流事件、破坏高影响服务器等事件已经上升到中观层面，全面／关键业务问题由属于宏观层面的事件。要能够及时判断出哪种事件属于哪个层次，才能够更快地、有针对性地解决问题。 第四，对于信息安全产品来讲，也可以从“三观”中看到其分布状况。像防火墙、入侵检测、防病毒、加密等产品，实现的是某一具体功能，比如说防火墙实现网络防护功能，加密是解决信道加密、数据加密，实现保密功能，这些都是具体的微观方式。如果再上一个层次，把一些方式结合起来，比如安全运营中心SOC （Security Operation Center）就将各种安全功能结合在一起，这种结合、组合、匹配已经具有结构性在里面。宏观层面的高层工具包括决策支持、风险管理系统，当领导关心某个具体数据时，要能够马上连到具体数据上，给领导正确的决策支持。实际上，现在业界的产品大部分处于微观层面，中观层面的组合功能和平台产品也慢慢地受到关注，但宏观层面还远远没有实现。

同样，对于信息安全服务，我们也可以将系统的评估加固这样的具体服务归结到微观层面；将安全域分析和整合服务、综合风险评估等服务理解为中观；而业务风险咨询、投资回报分析等决策支持服务就很显然属于宏观层次了。

“三观”是一种思路、一种观点，三个层面的“味道”各有不同。如果从微观来说，单点、基层的、物理系统、局部、功能性、实现都是微观；而体系结构、中层的、具体化一些运行性的、制度化的东西是中观；宏观则表现在价值、使命、业务等方面。还应该关注的一点是“三观”的组织层次和责任，出现问题后，要由谁去负责任、谁去做。一般来讲，决策层是机构的高层领导，主要负责决策、战略制定；中间的运营层，体现为对于安全产品和安全任务的运作、管理、执行；机构基层负责的是实现、运行及具体操作。

三、从三观看应急

上面介绍了用“三观”思路分析问题的一些基本概念，那么从“三观”来看网络安全应急会是什么样呢？

很多情况下，人们会沉浸到微观里面去，而安全应急常常是宏观和中观的问题，必须突破微观局限；并且还要有快速具体的行动落实到实现层；要用对应层面的措施来解决与之对应的责任和问题；要通过运营层，协调、控制、反愧管理实现层的安全要素，达成决策层的使命和决策。所以说，中观在整个应急体系内起到牵动作用，是应急实施的引擎。以上这些即为三观应急的基本原则，下面来具体分析一下：

如何才能突破微观的局限呢？要突破这个局限，首先关注的是怎样更有效地解决出现的问题。比如银行硬盘数据丢失、系统感染病毒或蠕虫等安全事件，人们经常会从微观上看待这些问题。银行硬盘数据丢失后主要考虑的是如何恢复硬盘中丢失的数据，而从另一个思路去看，硬盘只要备份，丢失数据可以很容易找回来，不需要投入过多精力在硬盘恢复上面。如果全方位看问题，从准备、检测、抑制、清除、恢复、后续跟踪等全过程考虑，问题会得到非常圆满地解决。而突破微观局限最好的方法就是：流程化、框架和最佳实践，这时候就不是一个简单的恢复问题。 从“三观”看落实的过程，可以发现价值观处于最高层面，人员和组织介于宏观与中观之间，接下来是文档、流程，物理系统和实际的行动就靠具体的微观，即实现层了。那么安全问题发生后，应该由谁来负责以及采取什么样的措施呢？通常来讲，服务器被入侵就该用微观方法去处理，采取清除的方式；而网络感染蠕虫的话则用中观方法处理，不能仅仅持清除的态度，要抑制蠕虫出现，不同问题要采取不同的措施。

在应急过程中，不可避免地要做一些价值的缺失决策，就是说要丢掉一些东西，这个决策由谁来做，如果涉及整个业务问题，只有领导可以决策，首先必须决定暂停或者是终止这件事情，然后再考虑丢弃什么、占有什么。而一些流程化的问题，运营层就可以处理，决定是忽略还是跳过；至于针对个别功能的问题，实现层就能够决定放弃或者是降低水平。现在应急的时间性要求越来越高，怎样才能把握好什么问题需要上报？哪些事情必须马上自己做出决策？在应急预案中一定要清楚这些内容，让不同层面的人去做不同层面的决策，把应该上报的东西及时上报上去。从“三观”思路去看应急，就会有非常独特的思考方式，这样处理事情就会更加完备。

从“三观论”来看应急工作，给我们带来的最大的不同就是，给出了一个分门别类、区别对待的方法。而且三观还能够和组织结构及其责任结合起来。

也许，各方面的问题和工作，通过宏观、中观、微观这个桥梁，和组织结构与责任的对应，才是最有价值的。

上一页  [1] [2]