企業信息安全涵蓋哪些
責編:mhshi |2015-06-02 13:47:14企業安全教育來看大致分為以下幾方面:
1. 網絡安全:基礎、狹義但核心的部分,以計算機(PC、服務器、小型機、BYOD……)和網絡為主體的網絡安全,主要聚焦在純技術層面。
2. 平臺和業務安全:跟所在行業和主營業務相關的安全管理,例如反欺詐,不是純技術層面的內容,是對基礎安全的拓展,目的性比較強,屬于特定領域的安全,不算廣義安全。
3. 廣義的信息安全:以IT兩個字為核心,包括廣義上的“Information”載體:計算機數據庫意外還有包括紙質文檔、機要,市場戰略規劃等經營管理信息、客戶隱私、內部郵件、會議內容、運營數據、第三方的權益信息等但凡你想得到的都在其中,加上泛“Technology”的大安全體系。
4. IT風險管理、IT審計&內控:對于中大規模的海外上市公司而言,有諸如SOX-404這樣的合規性需求,財務之外就是IT,其中所要求的在流程和技術方面的約束性條款跟信息安全管理重疊,屬于外圍和相關領域,而信息安全管理本身從屬于IT風險管理,是CIO視角下的一個子領域。
5. 業務持續性管理:BCM(Business Continuity Management)不屬于以上任何范疇、但又跟每一塊都有交集,如果你覺得3和4有點虛,那么BCM絕對是面向實操的領域。最近前有網易、中有支付寶、后又攜程,因為各種各樣的原因業務中斷,損失巨大都屬于BCM的范疇。有人會問這跟安全有什么關系?安全是影響業務中斷的很大一部分可能因素,例如DDOS,入侵導致必須關閉服務自檢,數據丟失隱私泄露等。又會有人問這些歸入安全管理即可,為什么要跟BCM扯上關系,做安全的人可以不管這些嗎?答案自然是可以不管,就好像說“我是個java程序員,JVM、dalvik(ART)運行原理不知道又有什么關系,完全不影響我寫代碼!” 事實上BCM提供了另一種更高維度,更完整的視角來看待業務中斷的問題,對于安全事件,他的方法論也比單純的ISMS更具有可操作性,對業務團隊更有親和力,因為你知道任何以安全團隊自我為中心的安全建設都難以落地,最終都不會做的很好。
6. 安全品牌營銷、渠道維護:CSO有時候要做一些務虛的事情,例如為品牌的安全形象出席一些市場宣介,presentation。籠統一點講現在SRC的活動基本也屬于這一類。
7. CXO們的其他需求:俗稱打雜。這里你不要理解為讓安全團隊去攻擊一下競爭對手的企業這樣負面向的事情,而是有很多公司需要做,但運維開發都不干,干不了或者不適合干的事情,安全團隊能力強大時可以承包下來的部分,事實上我的職業生涯里就做了不少這樣的事情。
網絡安全的甲方乙方
基礎的網絡安全是絕大多數在甲方的安全團隊能cover的事情,不管你的安全團隊能力如何,在公司里有無影響力,這個是必須要做的因為這是把你招過來的初衷。再往后的發展,是否止于此則看各人的想法,對于沉醉攻防技術的人其實不需要往后發展了這些足夠了,但如果你的安全團隊富有活力和想法,即便你想止于此他們也不干,把部門做大做強是這些人的愿望,只有這樣才能給安全團隊更大的空間,因為這點跟乙方是不一樣的:對于乙方而言你可以在某個單點領域上無限深挖,而不會遇到天花板,因為你始終是在滿足主營業務的需求,即使你成為骨灰級的專家公司也會對你在某方面創新有所期待而給你持續發展的可能性,但是在甲方,安全不是主營業務,歸根結底是一個保值型的后臺職能,不是一個能創造收益的前臺職能,他是一個成本中心而非盈利中心,他的成本的大小跟業務規模以及公司盈利能力相關,公司發展時他的budget和headcount會發展,業務停滯時安全做的再好也不會追加投入,因為無此必要。反面的例子也有:做的不好反而追加投入的,那是一種政治技巧而非現實需要。
如果你在乙方的研究部,無論你的漏洞挖掘技能多牛逼,公司都不會跳出來說“你已經超出我們需求了,你還是去更NB的公司吧”(通常情況)。但是在甲方,假設是在一個國內排名大約TOP5-TOP10的互聯網公司,養一個漏洞挖掘的大牛也會覺得很奇怪,他是在給公司創造價值還是在自娛自樂是會受到質疑的,CSO也會被質疑是否花了大價錢挖來的人不是出于業務需要而是用于擴大自己團隊在業內影響力這種務虛的事。假如公司到了google這種級別,有一大堆產品,儲備大牛則是順利成章的,業務上顯然是有這種需求的,不過還是要看產出是否對主營業務有幫助,工作成果不能轉化為主營業務競爭力的嘗試性活動在公司有錢的時候無所謂,在公司收緊腰帶時則其存在價值會受到質疑。
以狹義的安全垂直拓展去發展甲方安全團隊的思路本質上是個不可控的想法,籌碼不在CSO手中,甚至不在CTO手中,而是看主營業務的晴雨表,也就是我以前微博上說的,甲方安全是要看“臉”的,這個臉還不是指跨部門溝通合作,而是在最原始的需求出發點上受限于他們。因此有想法的安全團隊在(1)做的比較成熟時會轉向(2),(2)是一個很大的領域,發展的好安全團隊的規模會x2,x3,并且在企業價值鏈中的地位會逐漸前移,成為運營性質的職能,結合BCM真正成為一個和運維、開發并駕齊驅的大職能。
BCM在很多人眼里就是DR(災難恢復),DR其實只是BCM中的一個點,屬于下層分支。不過這對技術領域的人而言是最直觀的部分,DR在互聯網公司里由基礎架構部門或運維主導,不過對于強勢的甲方安全團隊其實也是能參與其中一部分的,我之前也主導過這些,當然也是受到了綠盟的教育以及我的“前輩們”的啟發。有興趣的可以看一下BS25999。
企業信息安全建議
廣義的信息安全,比較直觀的映射就是ISO2700x系列,行業里的絕大多數人都知道ISO27001和BS7799.不展開了,對真正有安全基礎的人而言都是很簡單的東西。在企業里能否做到廣義的安全,主要看安全負責人和安全團隊在公司里影響力,對上沒有影響力,沒有詮釋利害關系和游水的能力自然也就做不到這些,另一方面,狹義安全主要對接運維開發等技術面公司同僚,但是廣義安全會對接整個公司的各個部門,對于溝通面的挑戰來說又上了一個新的臺階,似乎在我看來這主要取決于安全的領隊人物自己擁有什么樣的知識結構以及他的推動能力如何。
對于(4),如果你所在的組織有這方面的需求,安全職能自然也會參與其中,是否刻意去發展他則看自己需求,對我朋友中某些做過IT治理和風險咨詢的人相信是有能力一并吃下的,如果是技術派我就不建議你去搞了。
(6)屬于水到渠成的事情,到了那一步你自然需要考慮,就算你不想公司也會讓你去,就像我現在明明做技術活,卻也不知道為啥會跟這一類事情掛上鉤。
(7)有人看時自動過濾了,不過安全負責人自身是否有瓶頸,能否在企業里發展起來跟這條有很大關系,甚至有很多從(1)發展到(2)(3)的人都需要借助(7)這個渠道,點到為止不多說了……
對于互聯網公司,我建議做1、2、5;對于傳統行業,我建議做:1、3、4、5。
互聯網安全內容
在互聯網行業安全包括哪些內容,我覺得可以概括為:
信息安全管理(設計流程、整體策略等):這部分工作約占總量的10%,比較整體,跨度大,但工作量不多。
基礎架構與網絡安全:IDC、生產網絡的各種鏈路和設備、服務器、大量的服務端程序和中間件,數據庫等,偏運維側,跟漏洞掃描,打補丁,ACL,安全配置,網絡和主機入侵檢測等這些事情相關性比較大,約占不到30%的工作量。
應用與交付安全:對各BG,事業部,業務線自研的產品進行應用層面的安全評估,代碼審計,滲透測試,代碼框架的安全功能,應用層的防火墻,應用層的入侵檢測等,屬于有點“繁瑣”的工程,“撇不掉、理還亂”,大部分甲方團隊都沒有足夠的人力去應付產品線交付的數量龐大的代碼,沒有能力去實踐完整的SDL,這部分是當下比較有挑戰的安全業務,整體比重30%+,還在持續增長中。
業務安全:上面提到的(2),包括賬號安全、交易風控、征信、反價格爬蟲,反作弊反bot程序、反欺詐、反釣魚、反垃圾信息、輿情監控(內容信息安全)、防游戲外掛、打擊黑色產業鏈、安全情報等,是在“吃飽飯”之后“思淫欲”的進階需求,在基礎安全問題解決之后,越來越受到重視的領域。整體約占30%左右的工作量,有的甚至大過50%。這里也已經紛紛出現乙方的創業型公司試圖解決這些痛點。