创新型事业的信息安全策略思考三防｜科技创新型企业专刊·安全村

让我们首先回忆一个古老的事件：2014年有报道称索尼影业被GOP攻击，索尼影业为此蒙受了重大损失，其企业形象也因此严重受损。

^[1]

时至2021年，各种数据泄露事件仍层出不穷。4月，有报道^[2]称苹果代工厂“广达”被国际黑客组织REvil攻击并索要至少$50Million（约合人民币3.2亿元）的赎金。此外，“广达”还可能因此而面临苹果保密协议的高额罚金。由此可见，创新型事业的数据泄露将引发高额的损失。

面对频发的数据泄露事件，创新型事业需要如何进行信息安全防护？首先让我们从创新型事业的信息安全风险管理开始分析。

创新型事业的信息安全风险管理

信息安全风险关注CIA（C：机密性；I：完整性；A：可用性）三个维度，然而类型的业务单元，其信息内容决定了信息的CIA侧重点不同。如何为信息的CIA进行赋值是研究的关键点。让我们采用概念级和定性分析的方法，为创新型事业的信息安全风险值进行赋值。

概念级

信息安全风险概念级风险分析，可以在极短的时间内为决策者指明重点管理方向，奠定进一步的风险管理基石。概念级分析通常是借助管理者的风险知识和实践经验的快速组合分析。

由于信息具有可复制的特性和通过网络快速传输的能力，而隐藏在信息背后的知识产权保护、竞争优势决定了信息的高价值，其完整性、可用性可以利用时间成本进行代换，因此创新型事业中机密性保护的需求高于完整性和可用性，然后再对比完整性和可用性的风险需求。例如：通过概念级分析，某事业部将创新业务的CIA赋值为：C高；I中；A低。

定性分析

CIA快速递减分配法利用等比序列确定风险数值，针对风险中各因子的重要性排序，采用经验因子乘积，进行快速风险价值递减分配。例如：在某创新型事业中，该风险因子为0.7，小数位向0/5进行取舍，以便于大量的信息资产计算，在该规则下的风险价值结果为C（机密性）：I（完整性）：A（可用性）=7：2：1。

不同信息安全需求的事业部可以采用经验风险因子并定期评估调整，例如：代码就和创意有着不同的属性，代码被修改可能带来不可预期的其他后果，其完整性检查非常重要，但完整性检查利用签名原理却可以很容易实现一致性的检查。

小结：业务单元可以根据对信息资产的价值理解，继续深化至定量分析，将风险进行货币化。通常，定性分析对帮助决策者制定针对信息安全风险的基本方针和指导策略的需求已经能够满足，综合考虑定量分析的困难度，可针对高价值信息资产进行有筛选的定量分析。

三防策略

数据泄露被用窃取利用，最终会对业务产生严重影响并进一步造成组织单元甚至组织的形象损失，因此对偶发事件也应当进行防护，实践中最常被采用的策略即防窃取，然而决策者往往会忽略信息泄露后的处理，即防扩散和防效尤。防扩散即防治损失的进一步扩大，而防效尤则是通过威慑性反击，例如：利用法律武器震慑攻击者，从而避免效尤的发生造成更多的损失。

1.防窃取

在创新型事业中CIA的侧重点C（机密性），其重点在于布防，以下从传统架构逐步增强的角度展开，解决思路的成本和技术/部署难度递增。

1）网络隔离

网络隔离，是网络安全最经济、有效的防御方法之一，通过对不同安全需求的网络域采用物理或逻辑的隔离，造成攻击者的难度增加。

网络隔离通常配合设备管控使用，以防止有效授权的“内鬼”窃取信息。

2）虚拟桌面

虚拟桌面也是常用的防窃取方法，由于虚拟桌面具有良好的设备管控能力，因此被广泛使用。

3）密码学

a.加密：通过加密算法和良好的密钥管理方案，可以实现在信息的加密态被非法获取时的一定保护性。带密运行的方案当前获取、部署和管理的成本已经大幅下降，易用性也获得了高度提升。

b.水印：可标记访问者的带暗记的水印并不能阻止对信息的获取，但可以在追踪中起到重要作用。密码学作为创新型企业的“对抗工具”，数据发售型公司的可采用“曳光弹”（特征搜寻数据，用于数据泄露的快速搜寻，可实现对多媒体以及各种大数据体的快速检索）和“指纹”（例如：使用者授权的唯一性，用于溯源）技术。

4）分割入库

分割入库是基于局部数据无法逆推全部数据的思想，对数据进行分割，分割入库对系统的架构设计提出了挑战，首先是数据分割后不可用于推导，其次是分割入库带来了写/读复杂度的提高。实践应用中，数据分割后不可逆推是该技术应用的重点和难点。

5）访问控制模型

访问控制模型的实现，在信息安全机密性管理中起到至关重要的作用，然而，良好的访问控制模型的实现，必然带来一系列的挑战。在以机密性为首要因素的环境中，宜采用BLP(Bell-LaPadula)模型：满足BLP模型的系统要求对系统的用户（主体）和数据（客体）做相应的安全标记，形成多级系统安全，用于限制主体对客体的访问操作，该模型加强了信息的机密性。

Bell-LaPadula遵循三条强制访问规则：

简单安全规则（simple security rule）：表示低安全级别的主体不能从高安全级别客体读取数据。
星属性安全规则（star property）：表示高安全级别的主体不能对低安全级别的客体写数据。
强星属性安全规则（strong star property）：表示一个主体可以对相同安全级别的客体进行读和写操作。

2.防扩散

从本文开头所回顾的事件来看，百密总有一疏，如何应对数据泄露也是创新型事业需要重点关注的事项。犹如一个被袭击的受伤者，避免其因失血过多而死亡才是紧急响应的要务，因此“找寻出血点并进行止血”才是挽救创新型事业的重点。防止信息的进一步扩散，即是创新型事业的“止血”过程，通常分为2个工作事项：

1）机密性风险检测

泄露风险检测是寻找“出血点”，它是个强技术工作，在互联网、深网和暗网中寻找蛛丝马迹，需要业务知识、网络信息安全、情报学、大数据、搜索引擎、机器学习和人工智能等综合知识的应用。

^[3]

例如：以图搜图、视频对比等需求，均对信息资产泄露追踪提出了新的挑战。

2）机密性响应处置

机密性响应处置是“止血”，通过依法通告并督促处理消除泄露源，其难点在于解决与分布在全球的运营者进行基于不同法律环境下的沟通过程。

3.防效尤

防效尤的手段是诉诸法律进行打击震慑。然而在诉诸法律前，仍然有大量的技术工作要进行，并且不总是能够成功。

1）追踪溯源：

追踪溯源，是实施震慑力的第一步。虽然Colonial Pipeline属于关键基础设施行业，但2021年针对Colonial Pipeline的勒索攻击事件^[4]，以及随后的赎金追回则值得所有行业的关注。

由于官方并未公布追踪溯源的细节，因此网络上的分析推测均依据开源情报，而从近年的招聘数据看，开源情报能力将是追踪溯源的主要技术增长点。

2）取证要义：

诉诸法律，需要有效证据的支持，如果说追踪溯源依赖的是情报与技术能力的运用，取证则是技术与法律的结合。理解不同国家针对电子证据的法律规定，利用合法手段提取证据和保存证据链的完整性则需要专门的知识领域组合。

小结：创新型事业需要综合应用(1.对数据泄露可能性的防范;2.数据疑似泄露的响应处置;3.确认的数据泄露的响应)策略，达到有效的信息资产保护能力，任意环节的缺失，都可能给事业带来不可挽回的创伤。

结束语

防范风险发生、快速检测与响应、震慑力，形成了创新型事业的信息资产的深层防护圈，需要组织内多部门的协同以及外部协作方能发挥更大效力。

最后，让我们以一个小故事来结束：动物园的管理员发现袋鼠从围栏里逃了出来，经过分析，大家认为：袋鼠之所以能逃出来是因为围栏太低，于是将围栏加高。第二天袋鼠还能逃出来，于是，围栏被继续加高。但是，令这些管理员们惊恐万分的是，无论围栏加高多少，袋鼠们都会在第二天逃出来。管理员们无奈安装了视频监控设备。终于，他们发现真正的“罪魁祸首”是未上锁的门，袋鼠们是通过大门“堂堂正正”地”跳“出来的。因此，在三防的重点环节---防窃取，仍需要检查并修复漏洞，三防的措施才能真正发挥作用。

[1].https://www.business2community.com/tech-gadgets/sony-pictures-hacked-gop-mean-01077919

[2].https://appleosophy.com/2021/04/22/ransom-leak-reveals-details-on-2021-macbook-pro/

[3].https://milvus.io/docs/v2.0.0/overview.md

[4].https://www.tokensos.com/news/2021/51866.html

作者介绍

刘广坤，天际友盟技术总监。有着飞行器制造安全系数3.0理念的信息安全工作者。

RECOMMEND

往期回顾

关于安全村文集·科技创新型企业专刊

科技强大的根本在于企业创新，创新过程中需要确保信息安全工作。专刊汇集了安全工作者的经验、教训、心得、体会、思路、方法、架构、方案，希望搭建一个创新型企业信息安全交流的平台，推动行业的信息安全工作交流、共享、提升。

关于安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。