大潘的网誌 Jordan's Blog

安全措施的君臣佐使

［潘柱廷原创］

# 引子，安全五步法

　　谈论一个“安全五步法”已经有很多年了，现在还常常在演讲中提到。这个五步法就是：

1. 明确保护对象：明确安全保护的目标，明确要保障的资产和业务。
2. 分析风险：甄别出威胁被保护对象的各种内外部问题。
3. 找到针对性的解决方案
4. 检查这个解决方案所带来的副作用
5. 平衡得失，并决策

　　其实，上面这个五步法，最值得称道的就是第四步——检查副作用。而常常被用户们和安全顾问们疏忽的，也许是有意也许是无意的，就是这个对于“副作用”的思考。

# 所有的安全措施都有副作用

　　所有的安全措施都有副作用，这还是能够得到广泛认同的。比如，

• 增加一道防火墙，自然就多了一个单点故障机会；
• 为内网增加了一条外部互联链路，在提高了可靠性的同时，也增加了一个侵入通道；
• 将运维帐号统一经过一个堡垒机进行中央控制和审计的同时，也使得这个堡垒机故障可以造成全面运维工作的瘫痪；
• 为通信进行加密的同时，也使得这个通讯难于被监控和审计；
• 构建了一个所谓紧密链接的“可信”安全体系，同样也让这个体系被第三方监管出现困难；
• ... ...

　　上面这些例子，还不包括加强安全措施所带来的业务性能下降、资金大量投入。

　　这种对于副作用的关注，其实很像医学中看待“药”的副作用。“是药三分毒”，这是没有错的。我们都知道盲目服药，常常会带来较大的副作用。比如，某降血脂的药，就会伤肝；过度服用抗感冒的药，可能导致凉性太重。有的时候，两种药单独服用没有什么问题，但是一起服用就会抵消药效甚至于产生较大毒性。比如，人参不能和萝卜一起服用，否则人参的效用就大大降低；人说，菠菜和豆腐不能一起吃，否则会有麻嘴的感觉，不利于营养的吸收。

　　对于药物的副作用，我们人还是比较重视的。而到了IT领域，在看待一堆安全措施的时候，往往忽略副作用。一个典型的情况，从合规性要求和高层管理要求中，就单单强调一定要上某种安全措施，比如，一定要采购和部署防火墙、入侵检测，等级保护三级以上系统一定要采用强制访问控制，等等。一般来说，只要求上措施，而不管措施的副作用。

[separator]

　　我们经历的很多信息安全上的波折，都和“忽视副作用”有关。

　　很有必要，仿照《药学》《本草》这样的模式，来整理我们的各种安全措施。

# 所有的安全措施都有限制条件和假设环境

　　凭空说一个安全措施，就像单独说“门”是毫无意义的。这个门也就是摆在家居城的一个“门”而已。一个有意义的“门”是有适用条件的。比如说，门常常是有内外之分的，起到隔离的作用；门对于隔离的强度和门类是有分别的，比如金库的门和录音篷的门就都高级得很，但是高级得非常不同，一个是防止暴力破坏和非法解锁，一个是起隔音作用。可见，谈论一个安全措施，不谈其保护对象和面对的威胁是没有意义的。

　　示例，一个防火墙，如果不放到一个边界上，那就难于起到阻隔的作用；如果有很多条通路，而我们仅仅阻隔一个通路，那么这个阻隔就没有太大的意义。部署一个防火墙，不是嘎巴一下就上去了，而要切断这个链路，将防火墙摆在当中，两边连线，可能还要调整路由器和交换机的策略等等，最后才能让防火墙正常运行。

　　示例，一个IDS入侵检测也是类似，在一个大型网络中，如果仅仅在一个不重要的局部部署一两台IDS，那么对于整个大网安全状况的监控所能够起到的作用也就非常有限了。部署一个IDS必须有数据采集的保证。这就需要配置交换机镜像端口、插入TAP等操作。而当把IDS能力嵌入到IPS或者UTM中的时候，自然也就带来了网关的问题。IDS还会产生报警大量数据，如果不进行合理的策略配置，真正的威胁就会被海量的报警淹没；甚至，大量的报警数据还会填满存储空间，让系统失效。

　　当然，如果将这些问题处理好，就能够获得良好的安全措施能力。

　　这方面，也非常类似中医用药的一些方法，比如，有一副药需要深入肾脏，那么就可以考虑给药中加一些“咸”，将一些原料用盐煸炒一下，就可以增加药入肾的功效。有些药需要空腹吃，有些药要随餐服用，这些都是为了增加药效抵消副作用。

＃安全措施的君臣佐使

　　在中医的一个药方中，常常不仅仅有一味药，常常是多味药组合成一个方剂。组成方剂的药物可按其在方剂中所起的作用分为君药、臣药、佐药、使药，称之为君、臣、佐、使。

• 君指方剂中针对主证起主要治 疗作用的药物。
• 臣指辅助君药治疗主证，或主要治疗兼证的药物。
• 佐指配合君臣药治疗兼证，或抑制君臣药的毒性，或起反佐作用的药物。
• 使指引导诸药直达病变部 位，或调和诸药的药物。

　　以治疗伤寒表证的麻黄汤为例，麻黄发汗解表为君药，桂枝助麻黄发汗解表为臣药，杏仁助麻黄平喘为佐药，甘草调和诸药为使药。一方之中，君药必不可缺，是解决主要问题的成分，而臣、佐、使三药则可酌情配置或删除。很多情况下，还要视患者情况而定。

　　那么，我们看一个信息安全解决方案，其中也一定有君臣佐使的区分。那个安全措施是解决主要矛盾的，那就是“君案”；其他如臣案、佐案、使案，各依其法。才能共同起到一个很好的效果。或者说，一个好的解决方案，必须有君臣佐使，我们在设计方案的时候必须全面地考虑君之外的臣佐使。举例，

• 部署IDS作为一个监控体系的方案核心，称之为君案，而且，为了能够获得较大范围的监控信息，在网络中部署了10-20台IDS。
• 为了能够让IDS的监控数据采集和传输得到保证，将IDS的数据通过带外传输到安全管理中心，这个传输方案可称为臣案；如果不采用带外管理，那么就不得不采用带内传输，那么就事宜采用VPN、加密传输、带宽保证等等措施，作为另外一种臣案。
• IDS的告警数据，如果不经过合理的配置策略，就会产生海量事件，从而使IDS的作用失效；为了能够避免这个副作用，就需要一个佐案——IDS策略配置服务，经过专业人员的分析和一段时间的跟踪来调整好IDS的策略。
• 为了能够让IDS很好的发挥作用，需要有一个很好的监控需求来配合。而这个监控需求最好来自于高层的需求。那么，就必须有配套的监控分析服务，可以称之为“使案”，这个配套服务可以产生必要的报告。有了这样的报告，就可以有效地驱动这个监控体系。

　　上面这个君臣佐使方案的例子，让大家可以看到一个真正的方案。

＃安全方案形成的步骤

　　即使是君臣佐使兼备的方案，同样有副作用和限制条件。作为方案的设计者、使用者，对于此点要有清醒的认识。

　　基于这个认识，将文章最早提到的安全五步法进行一下改进。因为，并不是在方案设计完成才考虑副作用，而是协同考虑君臣佐使所对应的需求，也就是关键需求（君需求）、限制条件（臣需求）、副作用（佐需求）和驱动条件（使需求）等等。所以，我们把方案形成列为下面的步骤：

1. 明确被保护的资产和业务
2. 甄别安全风险
3. 协调并配伍安全方案，包括安全能力实现、限制条件满足、副作用抑制和防范、功能驱动等等因素。方案可能有多种。
4. 根据方案的各种因素，以及经济利益考虑，总体平衡，并做出决策。
5. 最终的方案，既包括方案的内容，还要包括对于副作用的处理预案。

＃需要的积累和准备

　　要想做出上面的“君臣佐使”模式的方案，其前提是能够对于每个安全措施都有很好的全面描述。就像我们买的一盒药，药的说明书所描述的内容一样。那就要求我们重写信息安全的《药典》。