做安全这么多年,见过了太多的安全事件,被勒索几十万美金的,被攻击导致全院业务瘫痪的,硬盘损坏导致数据全部丢失的……幸福的家庭都是相似的,不幸的家庭却各有各的不幸。但在这些不幸的事件的背后,却也有着相同的原因。
归根一点,我认为源自对安全缺乏敬畏感。
风险是客观存在的,是不确定的,它不以人的意志为转移。面对安全,我们要有敬畏之心,不可麻痹大意。敬畏是我们对待事物的一种态度。
“敬”是严肃、认真,避免犯错误;
“畏”指谨慎、不懈怠。
一个人有了敬畏之心,便有了方向、行为准则和规范,从而自觉约束自己,不会麻痹大意而酿成大祸。
古人有云:“不敢暴虎,不敢冯河。人知其一,莫知其他。战战兢兢,如临深渊,如履薄冰。”这是古人在治理国家时的敬畏之心,告诫我们对于不甚了解的事情需要小心谨慎,不可麻痹大意。网络安全同样如此。
有一个信息主任跟我聊天时曾经说过:,做为信息中心的负责人,我虽然不懂安全,但我知道我的责任,我每天过的心惊胆颤,可以说是战战兢兢如履薄冰,总害怕会出问题,每天晚上回到家,最怕收到办公室电话,只要晚上打电话给我的,大部分都是出安全问题了。每天上班后下班前,我都要检查设备中的日志,查看有没有报警,确认没有问题才敢下班。
但并不是所有的人都有这样的敬畏之心。
缺乏敬畏感的表现之一是无知。
因为无知,所以无畏。因为无畏,所以无视。
尤其是一些基层的单位,没有专职的安全人员,管理员也没有经过安全的培训,对安全没有概念,没有技术能力,没有安全意识,其结果当然可想而知。
有的企业的数据被勒索病毒勒索,发现他们的防火墙策略竟然是内外全通,当我问他的时候,他说不可以全通吗?全通了防火墙就不能防范了吗?这是技术能力的方面的无知。
有的单位将内网高危端口映射到公网被勒索。问他为何这么做,他说因为业务需要,必须要映射出去,他也没有办法。这是不懂管理不按运维流程规范行为的无知。
有的单位服务器密码是非常简单的弱口令,甚至还有管理员把数据库和应用程序管理员口令写成文本文件放在桌面。这是技术人员对安全意识的无知。
有的单位对安全不重视不投入,重业务,轻安全。不要安全上投入资金,不在安全上投入人员,不舍得去培训培养技术人员,将IT部门视为花钱的部门,这是领导对安全重要性的无知。
意识是行为的先导。在安全体系建设中,思想意识往往比个人技能更重要。只有树立安全责任意识和风险防范意识,才能更好地规范自己的行为,严格履行岗位职责,才不至于心存侥幸、置若罔闻。
缺乏敬畏感的另一个表现是傲慢。
如果说无知是安全的大患,那么比无知更可怕的就是傲慢。
前几天去拜访一个客户,跟他聊起我们处理过的一些勒索病毒的事件,有些单位安全设备买的很全,但依然被勒索,我把发现他们存在的一些问题跟他介绍了一下,提醒他注意这些安全隐患,加强对安全策略的审查。他非常自信的说,我们的网络安全的很,不会出事。我们已经过了等保三级了,我跟网监关系好的很,他们让我们买什么我们就买什么,不会出事的。话说到这里,我也不好再说什么了,总不能非说你们网络会出事,好像要咒人家一样,因此只能夸奖他们真棒,要多向他们学习。
所有的事故,发生在别人身上都是故事。不要总以为这些故事跟自己没有关系,不要以为这种事故不会发生在自己的身上。如果我们不能从中吸取教训,那么下一次你可能就会成为别人口中的故事。
前几个月,有一家上市企业被勒索,我们去溯源后发现一些运维流程上的漏洞,当我们把发现的问题向他们汇报时,他们的一个领导直接打断了我们,说我们的管理没有问题,很完善。
刘慈欣在《三体》中说过一句话:弱小和无知不是生存的障碍,傲慢才是。每个文明每个人都是从无知和弱小发展开来,但是若不知敬畏,只会为自己的愚蠢付出代价。
心存敬畏,行有所依,要有孜孜以求的学习精神。
心存敬畏,行有所止,要有如履薄冰的谨慎态度。
敬畏职责。在其位谋其政,要明白自己工作所担负的责任,不推诿、不扯皮,竭尽全力履行自己的职责。做为一名信息安全人员,要不断加强学习,练就一身专业本领,不断提升工作能力。
敬畏规章。我们经常说安全是“三分技术,七分管理”,管理不是墙上的制度,规章流程制度不是用来应付检查的,而网络和系统安全运行的保障。敬畏规章,可以避免更多的安全事故。敬畏规章,严肃认真面对规章,充分认识规章的作用、意义,按照规章严格执行,严格操作。
敬畏安全。“网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”要时刻认识到安全的重要性,了解到风险产生的后果,意识到风险是随时有可能发生的。作为一线人员,要认真对待每一次的巡检,每一次的维护,认真处理每一条报警信息。一些小的问题往往会成为事故发生的导火索,成为潜伏的隐形杀手。
“居安思危,思则有备,有备无患”,要正确理解安全第一、预防为主。“安全第一”意识体现在预防为主,而不是危机来了才讲安全第一。要通过抓小事来找准薄弱环节,找出系统中的漏洞,找到事故苗头,及时消除隐患。而不是等到事情发生了再去手忙脚乱。安全第一,不是一个口号,而是要切实落实在实处,心中时刻绷紧安全这根弦。
对安全有敬畏之心,就是要对安全有尊敬、畏惧的心态。不可轻视更不可盲目自信。
首先在思想上高度重视,要有居安思危的思想,加强网络安全法律法规、各类《规章》、《标准》的学习,了解和掌握各类网络事件的预兆、处理方法和危害程度,懂得基本的应急处理知识,时刻绷紧安全之弦。
其次在行动上认真遵守这些法律法规和行业标准以及企业规章制度。按章作业,把各类规程、措施作为行动的准则,当危险来临时,能够科学避灾,科学施救,将损失降到最低。
再次要认真排查、处理各设备上的安全警报,排除安全隐患,分析和制定相应的措施,将各类事故隐患消灭在萌芽状态,确保数据安全。
最后,用孔子说过的一句话与各位IT人共勉:危者,安其位者也。亡者,保其存者也。乱者,有其治者也。是故君子安而不忘危,存而不忘亡,治而不忘乱,是以身安而国家可保也。
欢迎扫描二维码关注:大兵说安全
