從目前了解的情況來看,甲方安全團隊規(guī)模在一個企業(yè)內(nèi)部的人員占比還是非常低的�����,在企業(yè)安全建設中����,大部分安全措施的落地都是由系統(tǒng)、業(yè)務和開發(fā)團隊來實施��。這時候���,對于安全團隊來說���,就非常需要注意安全工作的方式方法了���,以便將企業(yè)的信息安全建設逐步走向正軌。本文就是我對企業(yè)信息安全建設的方法論的一些思考�。
一、緊隨高層利益攸關者
在企業(yè)粗放式發(fā)展初期���,甚至是進入大企業(yè)行列之前��,信息安全也可能根本就不會進入CTO的思考范圍�,更別說CEO級別的管理層了��。當然這兩年情況好多了�,在網(wǎng)絡安全法頒發(fā)、中央網(wǎng)信委成立后�,CEO級別的管理層公開支持網(wǎng)絡安全工作必然是政治上正確的事,但這也不一定能成為你開展信息安全工作堅強后盾����。筆者以為,信息安全工作最堅強的后盾應該是數(shù)據(jù)中心老大或CTO類的人員�,因為信息安全事件最大的受害者可能是他們��,出現(xiàn)重大信息安全事件最可能履責者也較大可能是他們。因此���,從某種程度上說���,信息安全部門和數(shù)據(jù)中心老大或CTO類老大對安全的訴求是一致的,我們要緊緊跟隨在他們周圍���,適當利用他們的權(quán)力和影響力把一些信息安全訴求傳遞出去����。但是�,我們也不能什么事都往CTO那里轉(zhuǎn),如果這樣���,要你信息安全部干什么���?有些事能控制風險就本級解決吧。這里就有個問題��,哪些事是需要上升到CTO級別人員解決的呢�����?需要各位CSO們自己考慮掌握了。
二�����、團結(jié)同盟軍
雖然信息安全占據(jù)了一定的政策利好以及領導支持優(yōu)勢���,但是���,人少要求多是不可忽視的基本事實,因此�����,這就要求信息安全團隊需在企業(yè)內(nèi)部找到同盟軍��,以應對更加突出的安全風險���。一般來說����,基礎設施部門是一個不錯的同盟軍選擇���,比如網(wǎng)絡團隊���、云管平臺團隊�、主機系統(tǒng)團隊等��。主要原因有:(一)基礎設施規(guī)模龐大��,整改難度大�,盲目把他們作為主要治理對象可能會很難出成績�����;(二)信息安全基礎設施的很多建設需要依賴基礎設施部門支持���,比如流量采集���、監(jiān)控節(jié)點部署、主機申請����、網(wǎng)絡策略開通等。(三)基礎設施大部分都不會直接對外�����,風險等級不會太高,反觀應用安全確是當前風險等級最高���、安全管理最急迫的領域�����。通過團結(jié)同盟軍����,一起把應用開發(fā)安全管理好�����,在此之中���,再逐步對基礎設施部門提一些容易整改的安全需求����,畢竟也是一個戰(zhàn)壕里的戰(zhàn)友���,基礎設施部門估計也不好意思拒絕��。當然�,各個單位遇到的突出矛盾和情況也存在很大差別,尋找什么樣的同盟軍需要自己斟酌考慮���。
三�、抓主要矛盾
雖然企業(yè)安全團隊可能懷抱偉大理想�����,團隊初建可能意氣風發(fā)�����,躊躇滿志�,想盡快把企業(yè)安全防護水平整體提高一個臺階�����,但是�����,對于系統(tǒng)��、開發(fā)以及業(yè)務團隊來說,企業(yè)安全建設與管理都是給人家添加工作量的事情����,可能因為一個安全要求導致他們整個系統(tǒng)要返工重做,從思想上���、意識上有一定的反抗情緒也是人之常情�����。因此����,對于企業(yè)安全建設來說���,最重要的工作是做調(diào)查研究���,了解企業(yè)IT建設與安全管理現(xiàn)狀,識別影響組織和企業(yè)最大的風險���,然后再根據(jù)風險找出安全管理的牛鼻子方法��,抓住安全風險的主要矛盾���,這也是ROI平衡的一個具體方面����,切不可能眉目胡子一把抓��,事事都管��,沒有重點�����,把本就弱小的安全團隊像撒芝麻一樣撒到各個項目或事務中��,不能團結(jié)一致干一件事���,最后估計也難成一事。
四��、以可證明的風險說話
Linux 的創(chuàng)始人 Linus Torvalds 在 2000-08-25 給linux-kernel 郵件列表的一封郵件提到的:Talk is cheap���,Show me the code���。在安全管理上依然適用�����,當我們像唐僧念經(jīng)一樣翻來覆去的提示風險�,揭示風險��,卻沒有任何”漏洞利用證明“����,也不能拿出有效規(guī)避風險辦法,對于企業(yè)里的其他人員來說��,這些語言來說都是蒼白無力�����,而且還會對信息安全部門產(chǎn)生無用論��、能力不足論等思想���。風險本來就是抽象的�����,把抽象的概念傳達給企業(yè)內(nèi)員工���,我們只能用結(jié)果來說話�����,比如拿下系統(tǒng)控制權(quán)�、下載了關鍵數(shù)據(jù)等���。因此�����,我們要充分發(fā)揮自己的專業(yè)能力����,利用滲透測試�����、眾測����、攻防演練去最大限度的發(fā)現(xiàn)及證明各類風險危害,用鮮活的事例來教育員工��。
五���、切不可本本主義
安全工作最大的兩個動力:事件驅(qū)動和監(jiān)管要求���。內(nèi)部安全事件不能經(jīng)常發(fā)生吧,外部事件又總是有點隔靴搔癢之感��,能說一說�����,但是很難轉(zhuǎn)化為行動的動力�。很多時候能說事就只有監(jiān)管要求,但是我們也要注意不能拿著監(jiān)管要求��、安全體系等盲目要求按章辦事����、逐條落實,不考慮企業(yè)現(xiàn)狀��,這就會犯了本本主義和教條主義錯誤���。比如��,監(jiān)管要求中要求:生產(chǎn)和測試網(wǎng)絡要嚴格隔離���。這一條用意當然是好的��,但是要在企業(yè)內(nèi)部有效實施肯定會面臨較大的阻礙��,例如��,有些系統(tǒng)想運轉(zhuǎn)起來就是要求能夠?qū)崿F(xiàn)測試和生產(chǎn)聯(lián)通��;有些系統(tǒng)在測試環(huán)境搭建測試系統(tǒng)成本很大等等����,這時候都可會導致生產(chǎn)和測試不能完全隔離�����。此時���,就需要安全部門具有問題具體分析,靈活對待�����,在不違反重大原則、導致重大風險的情況下可以適當?shù)?、有限度的開綠燈。
六����、慎用尚方寶劍
在企業(yè)的內(nèi)部規(guī)章制度中,信息安全一般都會有一定的考核權(quán)和處罰權(quán)���,也可能有些大領導的直接授權(quán)等�,以此作為企業(yè)安全管理的尚方寶劍����。但是,筆者想說的是����,對于弱小且處于擴張中的團隊來說,一定要慎用尚方寶劍�����,使用不當會導致我們提前樹敵���。雖然���,我們本意和目的不是懲戒����,主要目是提高安全意識��。但是�,我們應當明白,我們的處罰對于別人來說都會造成經(jīng)濟上���、聲譽上的損失��,從而會對信息安全團隊本身產(chǎn)生一定的逆反心理�。同樣����,對于其他人員來說,這也會導致他們對信息安全團隊產(chǎn)生一定隔閡����,從此以后對信息安全管理不配合,或者表面支持���、背地里敷衍����、甚至使絆子��,這些都會給信息安全工作帶來較大的阻礙��。但是�,從長遠看,考核權(quán)和處罰權(quán)仍然是我們推動信息安全工作的主要抓手�����。
七���、善用乙方團隊
現(xiàn)實場景中����,有些乙方人員戲稱甲方叫“甲方爸爸”���,這是一句玩笑話��,其實甲方合同才是他們真是的“甲方爸爸”���,我們不過都是干活的����。作為一個甲方安全人員��,我們也應該明白�����,在業(yè)務高速發(fā)展和信息化程度越來越高的大背景下���,甲方的安全人員在數(shù)量上����、專業(yè)技能上還是與甲方的安全建設需求有一定的差距���。那么這時候���,乙方團隊就是甲方信息安全建設力量的重要補充。很多方案設計���、風險分析�����、技術(shù)實施都需要乙方人員的深度參與���,畢竟他們在細分領域以及專業(yè)場景上,比我們甲方人員要見得多��、識得廣�。作為甲方團隊人員,我們要善于使用乙方團隊���,團結(jié)帶領乙方團隊快速高效地搭建起甲方的信息安全治理體系��。
對于甲方來說�����,信息安全建設工作既是一個技術(shù)問題����,但已經(jīng)超越了技術(shù)問題���,這里面牽涉了很多制衡����、溝通、協(xié)調(diào)��、妥協(xié)等方方面面的問題�����。作為甲方信息安全人員來說���,在了解信息安全專業(yè)知識的時候���,還應該多掌握一些戰(zhàn)略戰(zhàn)術(shù)層面的方法論,以讓企業(yè)的信息安全工作能夠更好的推廣實施下去����。
