小公司，什么样的信息安全才是我们想要的？ - 4

安全的话题，讲清楚很不容易。如果你是公司老板或者负责公司信息安全的管理人员，哪怕欠缺相关知识和经验基础，我也要让你听明白、看懂、做到。跟着我的思路，轻松搞定公司的信息安全。

前面介绍了务实问题清单的业务问题清单和安全问题清单，这篇解释约束清单。

1. 理解自己公司的局限

小公司，各有各的不容易，资源总是相对匮乏。但公司要稳步向前发展，匮乏是常态，绝不是不去做好安全的理由。

理解自己在知识、能力、人才和资源上的局限，是解决安全问题的重要一步。

尝试着梳理公司在安全建设上的条件约束。或者将下面的例子与自己公司的实际情况相结合。

1. 预算不多。
2. 没有真正懂得安全的专业人才。
3. 员工总体电脑水平都很差，甚至没有必要的IT人才。太复杂的系统装不上，装上了普通员工也用不了。
4. 从领导到员工，缺乏安全意识，甚至对想象中的安全管理充满抗拒和误解。
5. 公司业务处在快速发展之中，组织结构、业务流程、工作焦点、人事各方面都变化频繁。
6. 对外服务，或与外部合作中处在相对弱势的地位，有些安全措施无法坚持。
7. 公司肯定要以效率为主，安全不能影响效率。基于此，很多安全措施就无法贯彻坚持。

结合自己对解决办法的预期，形成一个约束清单。如下所示：

示例：约束清单

显然，完美的条件和解决办法是不存在的。但有了上面的表格，在后面的分析中就可以做到心里有底，知道如何取舍。

2. 什么样的信息安全才是我们想要的？

业务问题清单表达了业务目标，安全问题清单列出了功能或管理要求，而约束清单进一步从实现方式、建设路径、性能要求等其他方面的做了补充。
至此，我们可以说已经有了一个比较完整的信息安全建设的需求描述。

下一步到了选择技术路线和解决方案的时刻。可以面对已有的三个清单，再确认一下：什么样的安全才是我们想要的？

2.1 管理和技术

常说三分技术、七分管理，信息安全是管理和技术的结合。

容易被决策者忽视的是：选定一个技术路线，就同时意味着选定了管理与技术相结合的分界，而进一步，今后管理工作的复杂度、管理策略的选择空间也就同时被决定了。

这个道理其实很容易理解，但它的深刻影响却常常被低估。举个例子：
为了防止研发人员将代码和芯片带出，很多企业选择了物理空间隔离。物理隔离就是选定的技术路线。而一旦决定了这个基础，日常的管理策略中，就必须要在物理空间的出入口安排安检门和保安。如果芯片的尺寸是12×9mm，安检门检测精度就要比这个尺寸更小。保安可以搜身，但要事先签署协议获得员工的许可；搜身要注意员工的隐私、情绪和性别取向等。如果安检门精度不足，就要清楚地知道门禁仅仅作为一个威慑存在，这种情况下擦除掉检测设备的品牌和型号是有帮助的……

所以，虽说三分技术、七分管理，但管理未必是决定性的，现实可能刚好相反。

理解了管理和技术的关系，我们可以知道，对于小公司而言，一个好的信息安全解决方案应该：

1. 有清晰的，容易理解的管理与技术的边界。
2. 由技术决定的管理策略的选择空间是可预期的。
3. 管理策略借助技术达成目标时，其机理和效果是可预期的。
4. 技术确定时，管理策略的机动空间要足够大，并能够弥补技术之不足。

2.2 有效、经济和可靠

信息安全产品或解决方案的选择，是以解决安全问题为目标的。类比于普通消费者，购买某个工具时所采用的选择标准值得参考：

1. 有效。首先要能够解决问题，而不是制造麻烦。要真正有效，而非表面文章。
2. 经济。就是便宜，性价比高。经济不光是价格低，效果好，还要使用成本低，学习成本低。买了一个便宜货，要天天伺候它，还得花大把时间学习他的使用，这就不能称作经济。而现实中，号称专业的技术类产品，往往是越难用越贵。
3. 可靠。就是关键时刻，能稳定、准确的发挥作用。

2.3 专业、系统和全面

通常情况下，专业、系统和全面会被认为是一个好的信息安全方案应该满足的标准。很多中等规模以上的企业都乐于聘用顾问专家、开展咨询项目、组织管理层参加系统培训，目的之一就是希望提高公司的信息安全专业水平。但对于小公司，就算专业水平提高了，知道了也不等于能做到。而且，行业中低水平同质化竞争的驱动下，很多看似专业、系统、全面的做法，其实具有很大的误导性，容易导致客户陷入过渡建设和选择困难的迷思。

这里希望能够给出一个可供参考的判断方法，帮助小公司排除干扰，立足需求，做出明智的选择。

1. 专业。专业的解决办法通常是经过合理抽象的，具有逻辑的一致性和稳定的判断准则。
2. 系统。构成系统的组成部分应该具备有机的关系，组件（或模块）之间的相互作用相互依赖关系应该具备合理性，从中能看到设计者应该具备的和谐的世界观。
3. 全面。全面覆盖是合理分类的结果。一个全面的结论应该同时提供关于分类方法的说明和关于例外的提示。

头痛医头脚痛医脚不能叫做专业，叠床架屋不能叫做系统，事无巨细不能叫做全面。

2.4 可验证的安全性

假如一个客户对信息安全一无所知，是不是他就没有资格购买安全产品或获得信息安全的服务？这个说法简直荒唐，但更荒唐的是很多人却习以为常！
我作为客户不懂安全，那厂商不应该更加努力，提供客户能看懂且能验证的安全么？

作为一个小公司客户，即使懂得一些信息安全，也应该暂时把自己的专业知识丢在一边，要求供应商提供安全性的证明。或者，起码可以对“安全性”做出可验证水平的评估：

1. 不言而喻的安全性。一看就懂，不证自明。比如物理空间隔离用来保护研发代码，所有代码都在一个隔离空间里产生、使用和交换，只要管好出口，就没有被窃取的可能。需要注意的是，不言而喻只是说安全性水平容易理解和验证，并非安全性水平本身。物理空间隔离依然存在电磁辐射、夹带外泄等脆弱性。
2. 形式证明的安全性。供应商提供一套逻辑方法，基于这套方法，用户验证了一部分安全性的存在，并可由已验证部分推及和信任未验证部分的安全性。
3. 列举的安全性。供应商列举出已经解决的所有安全问题，并逐一提供验证测试用例。但依然存在可以想见的攻击方式，不确定安全方案是否能够有效应对。
4. 诉诸权威的安全性。供应商声称他采用了某种权威认可的技术，并且提供验证手段证明的确采用了。值得注意的是，采用了权威的方法并不等于达到权威保证的结果。比如某军密等级的加密U盘，数据也的确是加密了，但密钥却保存在引导扇区中。
5. 诉诸迷信的安全性。供应商用自己品牌的声誉来证明，或宣称某某大牛都赞扬其安全性，或宣称经历了黑客攻击而屹立不倒……等等。

好的安全性应该是可验证的，供应商应当努力降低验证的难度。但是，并不是说不可验证的安全性就一定安全性不高。现实可能刚好相反，在一个专业性很高的领域，客户可能不得不被迫依赖权威，甚至迷信来做出选择。

3. 小结

业务问题清单表达了业务目标，安全问题清单列出了功能或管理要求，而约束清单澄清了我们做不到的，或不能做的事情，三者构成了一个完整的信息安全需求。

在清楚需求之后，我们将在下一篇介绍如何选择信息安全的产品和解决方案，也就是如何制定行动清单和采取行动。