查看原文
其他

观点 | 企业安全建设实践路程思考

两块 FreeBuf安全咨询 2022-09-24

作者 | 两块
编 | Yanni

在信息安全管理体系方面,有适用比较广的ISO27001标准簇,也有国标的网络安全等级保护制度,实践落地不是照搬,不与之作比较,侧重对实际繁琐工作实践进行提炼,备忘出具有普遍意义的方法论,参考行业标准化的信息安全建设框架,结合特定场景下的实践落地过程,杂糅个人思考,力求避免过于强调技术语言,也尽量浅显易懂,谋求与同业之间引起共鸣和思考。

企业组织在进行信息安全建设规划时,“纵深防御”体系成为多数企业适用的架构参考,在其思想指导下,为了构建完善的安全防护体系和不断提升安全防护能力,对信息安全工作进行顶层架构设计和全面的规划布局属于第一要务。


01

需求分析


不仅仅是安全负责人,任一个员工都应该对企业本身所处行业、业务盈利模式、服务或产品、组织行事风格等具有一定程度的了解,这有助于信息安全人员从各方面对企业信息安全工作的目标进行理解,因此能够从中发现所处行业的信息安全趋势、主要风险来源、业务对抗模式、落地的困难与阻力等等,同业交流、会议论坛、研究报告、产业白皮书等还有内部会议,都应该是本企业安全人员及时关注的信息安全发展来源。

行业研究

假如建设初期我们对2019年的金融行业网络安全报告进行研究,可以发现当年其内容指出,预计2020年中国金融整体IT信息支出将超过215亿美元,针对金融领域的成功攻击可以迅速获得大量信息数据,让攻击者获得大量金钱收益,对于攻击者而言,金融服务行业是最大且最受欢迎的目标之一,等等诸多内容,行业研究报告是分析行业网络信息安全趋势的最佳来源。
而在FreeBuf咨询的2020-2021年对金融行业网络安全的研究报告中,通过行业调研和专家分享报告了新的理解和专业观察:
行业监管新动向,数据安全备受关注,数据安全与隐私保护成为金融监管的重点。金融行业作为数据密集型行业,多样化的数据源、海量的数据存储量、复杂的数据格式和血缘关系,受到多项法律法规的合规要求(以数据安全法、个人信息保护法为主);且数据泄露事件频发,在《数据泄露典型判例分析报告》中,针对所有与数据泄露相关的典型判例的150份裁判文书样本数据分析,发现内部人员泄露占数据泄露分布的80%,个人用户数据是数据泄露的主要类型。在严格的监管红线下,75%的企业最关注数据安全。
实战与合规并重,攻防演练常态化,实战是检验安全的有效标准。从国家部委到各省,甚至各行业,均开始以专项或全盘对抗方式进行周期性、常态化的进行攻防演练活动,通过演练来检验企业安全防护能力、安全保障能力和应急处置水平。
发现同行业的安全建设现状,成为建设目标的最有利参考。网络安全成为金融行业信息技术体系的重要职能部门,86.3%的企业具备安全团队或设置了具有安全职能的岗位,91%的企业由信息科技领导直接负责安全部门,且在持续增加网络安全方面的投入,有47%的企业安全投入占据IT总预算的3%-10%,24%的企业达到10%-15%。
金融行业风险变得聚焦,内控风险、外包风险、新型漏洞攻击、数据安全威胁、员工行为安全问题等。大部分企业在安全建设中存在的主要困难点突出有安全预算有限、安全人员较少且缺乏专业度、市场厂商产品及服务有待提高、安全建设在企业内不受领导重视等。

企业剖析

除了研究机构对行业的研究分析、同业的研究报告外,我们仍可以自观企业经营的营销重点、业务方向、服务及产品方式,有的放矢去理解企业信息安全的治理方面仍未明了的需求。例如某互联网大数据企业,业务经营以公共市场数据挖掘和科学分析为主,因此需要使用社会公共数据资源目录,在对接主管部门、大数据局等政务部门进行数据开放的数据处理使用,需满足政务数据主管和监管对数据保护的安全能力需求
作为数据开放的使用方,需要梳理国家法规要求,如网络安全等级保护要求、数据安全法、个人信息保护法、各省公共数据开放与共享的安全管理相关办法及行业监管要求。如果以数据为业务服务,经营数据、用户数据的安全管控是业务发展内生的安全需求,也是最重要的需求;且业务服务以SaaS及APP为主,为保障业务的连续性、安全可用,以及防止数据泄露、网络攻击,业务安全、云安全、APP合规等也是保障业务发展的直接需求,同样需要重点考虑。

方向分析

经过对科技公司通过行业趋势、同业实践现状和企业自身经营特点等其他各方面进行分析,快速发现企业安全建设的初步需求重点。因此初步可以将其简单归纳并梳理以下几条,在安全建设中需特别注意的方向(特定场景示例不与对照):

合规建设要求加强,2019年8月中国人行印发的《金融科技(FinTech)发展规划(2019-2021)》中指出,金融科技将成为防范化解金融风险的新利器,因此对相关行业进行合规、技查双管齐下。同时需要结合公安部主导新制定的网络安全等级保护标准(即等保2.0),全方位关注网络、数据、人员等多个维度,构建“一个中心、三重防护、全面管理”的一体化安全架构。

数据安全成为信息安全的重点,2019年CNCERT漏洞统计中涉及信息泄露的漏洞占76%,上升为最热门漏洞,不断发生的数据泄露事件和处罚案例,数据作为一种新型生产要素写入中央文件,数据安全相关法规颁布(数据安全法和个人信息保护法),都进一步督促企业需要完善数据安全治理工作。

信息安全风险呈现多样化,APT、系统0day漏洞、恶意勒索、内部人员数据泄漏等仍是信息安全所面临主要风险,网络钓鱼、拖库撞库、勒索/挖矿、数据泄露、撸羊毛等恶意行为仍是重灾区,新的攻击技术的应用,不断涌现的0day,使安全风险更难以识别难以预测。

人员安全是绕不开的话题,日常安全运营的安全事故中只有20%~30%是由于系统漏洞或其他外部原因造成,70%~80%是由于内部员工的疏忽或有意泄密造成的,因此,安全建设中人的因素比信息安全技术和平台系统的因素更重要。同时安全人才的缺乏和安全意识不足,仍是导致密码问题、网络钓鱼、误操作或无意识泄密的重要原因。


02

建设规划



树立正确的认识

信息安全管理作为公司级治理任务,不单是信息安全部门的工作,也不仅仅视为技术建设项目,是在公司信息科技战略指导下,为确保业务连续性和风险安全可控状态,多个部门协作实施的一系列活动。信息安全建设需要协调管理层、执行层、监督层等相关方,破解不同部门之间的沟通障碍,统一内部共识,实现安全管理建设一盘棋。因此需要跨部门协同,在公司层面、部门之间建立共识,树立正确的信息安全价值观。在行业实践中具有通用的安全共识方法论,可以指导我们树立正确的信息安全价值观。


建立明确的蓝图

企业安全建设必须要有明确的未来蓝图,指示出未来建设的总体框架。围绕在企业章程和经营业务目标下,着手搭建总体信息安全方针政策,明确信息安全的人员组织、工作思路、任务和重点,以及优化提升的建设原则,才能最终建立科学、合理、有效的信息安全管控体系。依照同业参考标准和实践经验,同样可以参考国际标准框架,制定属于本企业的信息安全蓝图,如下通过提炼出的信息安全体系全景图,总览信息安全管理体系。
信息安全体系的建设,必须以经营业务为导向,以合规监管为底线,以治理管控为策略,基于企业能力现状因素,充分参考行业实践,建立符合企业最大收益化的安全建设路线。
良好的信息安全体系的指导思想是,信息安全不仅仅为公司经营业务服务,更应该成为企业提供的服务(或产品)的最重要属性,成为赋能业务或者企业服务(或产品)价值体现的重要指标之一。
作为企业保持业务连续性和风险可控的主要风险管理工作,信息安全建设应以企业全面风险管理为指导框架,以风险管理的思维,坚持合法依规的红线和底线,在业务扩张转向成熟过程中,逐渐调整安全治理管控的侧重点,建立充分的指导方针和原则,助推信息安全的建设有效落地,只因安全与风险密不可分。
信息安全建设的平稳推进,依赖企业信息科技的投入资源、对风险的接受偏好,以及对管理体系的借鉴参考,特别是专业的信息安全管理人员的架构能力。作为专业的信息安全架构师,意味着需要了解主流的信息安全建设“最佳实践”,同时具有打破和知道何时打破“最佳实践”的能力,避免信息安全建设过程的踩坑,在行业标准化实践经验的指导下,平衡投入与收益,建立符合企业利益最大化的良好实践。

开展信息安全规划

信息安全规划是企业信息化发展战略的基础性工作,非可有可无的。由于各企业处于不同阶段,信息化的任务与目标不同,所以信息安全建设规划包括的内容不同,建设规模就有很大差异,因此,信息安全规划的落地推进无法从专业书籍或研究资料中找到有针对性的帮助,也不可能给出一个标准化的信息安全规划模版。在这里提出的信息安全规划框架与方法,给出了信息安全规划工作的一种建设原则、建设内容、建设思路,具体规划落地还需要深入细致地进行企业本地化的调查与研究,结合实际情况落到实处。
信息安全建设规划的最终效果应是体现在保障业务连续和信息系统及资源的安全可控层面,应该是明确安全建设的规划目标、框架、任务和行动路线等内容,防止盲目建设,因此建设规划应围绕着信息安全工作的明确路线进行开展。如下为例可以有以下几方面工作:

 1、战略规划

对信息安全建设的规划需要从信息化(信息科技建设)的战略入手,深入理解企业信息化发展的总体目标和各阶段实施目标,以此来制定信息安全的规划目标,保持与信息化的同步,来保障未来信息安全战略的有效落地执行。
- 了解企业发展战略
- 了解信息化发展方向和战略构想
- 了解信息化建设的挑战
- 理解信息化建设规划
- 理解经营业务需求
- 理解信息安全价值和意义
- 研究技术趋势
- 确定信息安全战略

 2、提出建设目标

对信息科技的工作现状进行整体的、综合的、全面的现状分析,找出以往工作中优势与不足,开展信息安全需求分析,根据信息化的建设目标进行分解,提出未来几年的信息安全需求,制定信息安全框架体系,明确信息安全建设的远景目标和重点方向。
- 开展信息安全需求分析
- 理解运维管理体系
- 制定建设规划框架
- 制定重要计划方向、重点任务
- 梳理内外部合规需求清单:法律法规、主管监管、隐私保护
- 理解内外部信息安全需要:
数据安全保护(如防泄漏、用户个人敏感信息保护)
外部攻击防护(如业务风控)
内部管理控制
确定未来3年信息安全建设目标和核心重点工作
如下为例的信息安全建设指导方针:
以数据安全为导向
以整体安全为目标
以领先实践为标准
旨在强调信息安全体系建设与企业经营业务类型、以及业务发展阶段同步,尽可能整体、全面的建设安全防护手段(不推荐,可能导致过度投入),且满足与行业良好实践同步。

 3、制定行动路线

以信息安全目标为中心,结合企业偏好、业务场景和风险威胁情况,构建可持续运转的闭环安全防护体系,实现组织安全能力建设。将信息安全目标分解成若干小的建设项,以便于今后的落实与实施。
- 理解基础网络和信息系统架构、主要技术选型
- 了解市场解决方案、前沿开源技术
- 借鉴行业良好实践
- 资源评估(成本预算、人力、配合环境)
- 风险评估:(发展阶段、重点目标、)现状分析和需求适配
- 确定建设路线:可研方案论证、PPT(人+流程+技术平台)、治理运营(风险防御、监控预警、应急处置、溯源分析、对抗)、持续改进(衡量体系、第三方评估)
- 确定年度实施计划(明确年度建设内容、投入方式、人力与资源、价值标准)
以下方法论示例供参考:
人的评估,高管层属于经济利益型还是专业背景型?风险管理属于保守型还是激进型?没有红头文件、没有监管通报、没有罚款,一概不做?既要马儿跑又要马儿不吃草,利用开源项目、免费白嫖?

建设指导原则

  • 明确业务导向,保障信息安全与业务目标的一致性
  • 聚焦核心基础安全能力,有重点分阶段低成本的分步走
  • 把控投入节奏,追求投入与收益的平衡,不过度保护,有差别的对待安全风险
  • 追求安全的收益,安全成为对业务和企业有益的价值体现,做得好也要讲得好
  • 以领先实践为标准,向同业看齐,努力超越竞对
信息安全规划作为企业战略在信息安全方面的落实和扩展,是以企业整体发展战略、信息化规划为基础,考虑外部合规、内部管控需要,诊断、分析、评估企业信息安全差距和需求,并结合信息安全最佳实践以及发展趋势,总结和提出企业信息安全建设的远景、目标、框架、任务和行动路线的过程(续建设规划与需求实践思考)。

03

建设模型



漏斗Y模型

信息安全建设的这个漏斗“V模型”方法本身很直观,自上而下规划、分析,自上而下推动,自下而上设计、实施、完善(参考首篇建设规划与需求实践思考,时间仓促,也算是承诺的续吧)。

方针

 一个目标、两个方向、三个维度:

建设目标:

按照特定意义场景下的信息安全体系发展阶段,打造“可防、可见、可控、可审、可信”的信息安全管理体系。

两个方向:

对外保障边界安全和业务安全

对内提升全员安全意识

三个维度:

管理建设维度:打造特色的业务与数据安全体系管理建设闭环体系

管控能力维度:建设全面的信息安全管控能力

安全运营维度:建立一套完善的安全运营管理流程


改进思维

动态纠偏思维:动态纠偏来自于PDCA不断迭代的思想,由某厂商市场总监提出,信息安全规划不是一成不变的,需要根据企业发展现状、信息化投入重点、建设周期、技术成熟度等进行合理调整,如某些子项的重要程度和顺序,使建设方案按照建设目标以最优的平衡实现最大化收益,“一以贯之、动态纠偏”。但应该坚持短期规划的一贯性原则,除非重大变故不建议进行推倒重建,避免因规划思想的不同而导致的重复建设和资源浪费。
差异化原则(反木桶原理):“木桶原理”,信息安全防护水平由最短的那块木板决定,是信息安全体系中最重要的一种建设思维,从防御维度来看的确如此。但从安全建设角度,按照最高规格的安全方案来建设,意味着安全强烈的主导性、大量的成本投入、复杂的管理程序、高难度的阻力,甚至阻碍业务的发展。建设方案应该充分考虑业务特性、适用场景、平衡风险与收益,有区别的针对性建设,打破实践重新塑造最优方案。

04

建设内容



管理建设维度

业务与安全体系建设,可以按照标准“规划、建设、监督检查、持续改进”的方式开展信息安全建设工作,形成PDCA闭环,持续提升信息安全管理能力。
“戴明环”PDCA(计划Plan、执行Do、检查Check、处理Action)是一个持续改进模型,把各项工作按照作出计划、计划实施、检查实施效果,然后将具有成效的措施纳入标准流程,不匹配的方法去掉或者留待下一个循环去解决,形成一套螺旋上升不断改进的工作方法。
假设一家初创企业,业务与安全体系建设都属于起步阶段,这意味着可以避免很多业务发展与安全建设的不平衡问题,可以严格按照标准流程从头建设属于自己的管理体系;如果业务成熟的企业,新增安全建设,便需要在一个特定阵痛期内,不断打破原有的管理流程,不断完善安全管理措施,斧正不规范的管理行为。
管理建设维度有两项重要的工作,即制度建设和评估审计。管理建设必须有完善的制度体系作为指导,形成制度、规范、方法等有层级的规范文件,在管理过程中才能“有依据、有目标、有方法”;而制度规范的落地执行,必须要依靠风险评估和管理审计,有理有据有效执行,达到目标效果。

管控能力维度

在内部管控方面建立一套完整的信息安全管控体系,包括基础网络安全、办公终端安全、数据安全、应用安全、管理安全等,按照PPT(人+流程+技术)系统工程,投入人员配置,设置过程和方法,建设技术平台工具,形成纵深的安全管控体系(技术体系不在此详述,实例为不完全参考)。

安全运营维度

根据信息安全事件防护、监测、预警、响应、恢复的机制,建立一套完整的安全运营管理流程,按照“事前、事中、事后”进行防护要求建设,达到及时响应恢复的目的,应对未来可能出现的各类信息安全事件。
分阶段实施,进入持续运营不断优化阶段,通过安全运营积累,实现标准化、可量化。

05

实践挑战


体系架构设计缺乏,对新技术的追捧,以及技术建设往平台化发展,常常认为以态势感知、XDR、综合管控平台等基础安全设备的采购、运维,作为主要信息安全体系建设目标。在安全管理体系方面没有概念,无法将业务风控、审计、法务合规、行政管理、物理安全、隐私保护等范围与信息安全的关系进行充分明确。建设了很多平台系统,依然没有成熟的管理体系,工作机制仍旧一团糟。未能掌握对公司战略目标和发展的分析,没有体系化的建设目标。
合规管理认知不准确,对合规的认知,仅仅停留在无监管通报即为安全的层面,根本未理解信息安全合规的初衷,以至于将等保、ISO27001等认为即是没用的一堆文档,形同虚设,常常有“合规都是虚的”观念。
人员短缺,在现阶段信息安全领域,有经验的顶层架构设计架构师过于缺乏,跟信息安全行业的发展以及人才的培养时间有关,市场还未历练出大批优秀的安全人才(历经业务生产和信息安全的双重历练)。国家战略的高度重视,资本的引入,未来的信息安全需求加强,都会推动行业的发展。企业对信息安全人才需求强烈,高级人才的短缺,但市场评价体系未有标准,无法支付安全行业的标准高薪,要么通过运维人员自行培养,或全部依赖外部服务商公司,但服务商的方法论体系并不一定适合实际落地执行。
预算不足,虽然在某些行业“十四五”规划中提到关键行业信息安全投入不得低于IT的10%,但大多数企业信息安全方面的投入仍不足5%,甚至没有基础的规划建设内容。
对新技术投入艰难,新技术的细分赛道,鱼龙混杂,想要根据行业技术发展趋势,利用好现有行业内成熟方案,‘不吃新螃蟹’,但又要对未来技术发展具有前瞻性,何其艰难。
成本投入管理难以体现,信息安全从未有与信息系统“同步规划、同步建设”的地位,信息安全作为企业内的后来者,无疑要抢占整体信息化建设的投入,且收益比量化没有较好的标准,导致多数企业在信息安全方面的成本投入整体偏保守。
向上管理任务艰巨,企业安全建设或者运营作为一项长期性工作,不能忽视与领导层之间的沟通,包括合理的预算投入、建设的必要性、安全运营价值体现等,同时不能无视跨部门带来的价值,比如对风险合规的有效支撑、对企业数字营销价值的体现、对日常经营管理的支持。在标准的组织架构内,治理领导层向管理执行层下达的目标是清晰的,而由下向上推动的建设活动,常常困难与阻力重重,无法得到应有的资源和协调。因此,以非专业的语言,向领导层展示和汇报信息安全管理的价值收益至关重要。
人员安全意识的提升,难上加难。在所有的信息安全建设,以及安全运营过程中,众所周知,人的因素的重要性,但如何开展员工安全意识的提升,有各种方式方法,但苦于收效甚微,频繁的人员变动、复杂的外包及供应链环境,安全意识提升的脚步无法停下(以后详述实践)。

精彩推荐



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存