安全教育:企业安全涵盖哪些事情?
大致分为以下几方面:
1. 网络安全:基础、狭义但核心的部分,以计算机(PC、服务器、小型机、BYOD……)和网络为主体的网络安全,主要聚焦在纯技术层面。
2. 平台和业务安全:跟所在行业和主营业务相关的安全管理,例如反欺诈,不是纯技术层面的内容,是对基础安全的拓展,目的性比较强,属于特定领域的安全,不算广义安全。
3. 广义的信息安全:以IT两个字为核心,包括广义上的“Information”载体:计算机数据库意外还有包括纸质文档、机要,市场战略规划等经营管理信息、客户隐私、内部邮件、会议内容、运营数据、第三方的权益信息等但凡你想得到的都在其中,加上泛“Technology”的大安全体系。
4. IT风险管理、IT审计&内控:对于中大规模的海外上市公司而言,有诸如SOX-404这样的合规性需求,财务之外就是IT,其中所要求的在流程和技术方面的约束性条款跟信息安全管理重叠,属于外围和相关领域,而信息安全管理本身从属于IT风险管理,是CIO视角下的一个子领域。
5. 业务持续性管理:BCM(Business Continuity Management)不属于以上任何范畴、但又跟每一块都有交集,如果你觉得3和4有点虚,那么BCM绝对是面向实操的领域。最近前有网易、中有支付宝、后又携程,因为各种各样的原因业务中断,损失巨大都属于BCM的范畴。有人会问这跟安全有什么关系?安全是影响业务中断的很大一部分可能因素,例如DDOS,入侵导致必须关闭服务自检,数据丢失隐私泄露等。又会有人问这些归入安??全管理即可,为什么要跟BCM扯上关系,做安全的人可以不管这些吗?答案自然是可以不管,就好像说“我是个java程序员,JVM、dalvik(ART)运行原理不知道又有什么关系,完全不影响我写代码!” 事实上BCM提供了另一种更高维度,更完整的视角来看待业务中断的问题,对于安全事件,他的方法论也比单纯的ISMS更具有可操作性,对业务团队更有亲和力,因为你知道任何以安全团队自我为中心的安全建设都难以落地,最终都不会做的很好。
6. 安全品牌营销、渠道维护:CSO有时候要做一些务虚的事情,例如为品牌的安全形象出席一些市场宣介,presentation。笼统一点讲现在SRC的活动基本也属于这一类。
7. CXO们的其他需求:俗称打杂。这里你不要理解为让安全团队去攻击一下竞争对手的企业这样负面向的事情,而是有很多公司需要做,但运维开发都不干,干不了或者不适合干的事情,安全团队能力强大时可以承包下来的部分,事实上我的职业生涯里就做了不少这样的事情。
网络安全的甲方乙方
基础的网络安全是绝大多数在甲方的安全团队能cover的事情,不管你的安全团队能力如何,在公司里有无影响力,这个是必须要做的因为这是把你招过来的初衷。再往后的发展,是否止于此则看各人的想法,对于沉醉攻防技术的人其实不需要往后发展了这些足够了,但如果你的安全团队富有活力和想法,即便你想止于此他们也不干,把部门做大做强是这些人的愿望,只有这样才能给安全团队更大的空间,因为这点跟乙方是不一样的:对于乙方而言你可以在某个单点领域上无限深挖,而不会遇到天花板,因为你始终是在满足主营业务的需求,即使你成为骨灰级的专家公司也会对你在某方面创新有所期待而给你持续发展的可能性,但是在甲方,安全不是主营业务,归根结底是一个保值型的后台职能,不是一个能创造收益的前台职能,他是一个成本中心而非盈利中心,他的成本的大小跟业务规模以及公司盈利能力相关,公司发展时他的budget和headcount会发展,业务停滞时安全做的再好也不会追加投入,因为无此必要。反面的例子也有:做的不好反而追加投入的,那是一种政治技巧而非现实需要。
如果你在乙方的研究部,无论你的漏洞挖掘技能多牛逼,公司都不会跳出来说“你已经超出我们需求了,你还是去更NB的公司吧”(通常情况)。但是在甲方,假设是在一个国内排名大约TOP5-TOP10的互联网公司,养一个漏洞挖掘的大牛也会觉得很奇怪,他是在给公司创造价值还是在自娱自乐是会受到质疑的,CSO也会被质疑是否花了大价钱挖来的人不是出于业务需要而是用于扩大自己团队在业内影响力这种务虚的事。假如公司到了google这种级别,有一大堆产品,储备大牛则是顺利成章的,业务上显然是有这种需求的,不过还是要看产出是否对主营业务有帮助,工作成果不能转化为主营业务竞争力的尝试性活动在公司有钱的时候无所谓,在公司收紧腰带时则其存在价值会受到质疑。
以狭义的安全垂直拓展去发展甲方安全团队的思路本质上是个不可控的想法,筹码不在CSO手中,甚至不在CTO手中,而是看主营业务的晴雨表,也就是我以前微博上说的,甲方安全是要看“脸”的,这个脸还不是指跨部门沟通合作,而是在最原始的需求出发点上受限于他们。因此有想法的安全团队在(1)做的比较成熟时会转向(2),(2)是一个很大的领域,发展的好安全团队的规模会x2,x3,并且在企业价值链中的地位会逐渐前移,成为运营性质的职能,结合BCM真正成为一个和运维、开发并驾齐驱的大职能。
BCM在很多人眼里就是DR(灾难恢复),DR其实只是BCM中的一个点,属于下层分支。不过这对技术领域的人而言是最直观的部分,DR在互联网公司里由基础架构部门或运维主导,不过对于强势的甲方安全团队其实也是能参与其中一部分的,我之前也主导过这些,当然也是受到了绿盟的教育以及我的“前辈们”的启发。有兴趣的可以看一下BS25999。
企业信息安全建议
广义的信息安全,比较直观的映射就是ISO2700x系列,行业里的绝大多数人都知道ISO27001和BS7799.不展开了,对真正有安全基础的人而言都是很简单的东西。在企业里能否做到广义的安全,主要看安全负责人和安全团队在公司里影响力,对上没有影响力,没有诠释利害关系和游水的能力自然也就做不到这些,另一方面,狭义安全主要对接运维开发等技术面公司同僚,但是广义安全会对接整个公司的各个部门,对于沟通面的挑战来说又上了一个新的台阶,似乎在我看来这主要取决于安全的领队人物自己拥有什么样的知识结构以及他的推动能力如何。
对于(4),如果你所在的组织有这方面的需求,安全职能自然也会参与其中,是否刻意去发展他则看自己需求,对我朋友中某些做过IT治理和风险咨询的人相信是有能力一并吃下的,如果是技术派我就不建议你去搞了。
(6)属于水到渠成的事情,到了那一步你自然需要考虑,就算你不想公司也会让你去,就像我现在明明做技术活,却也不知道为啥会跟这一类事情挂上钩。
(7)有人看时自动过滤了,不过安全负责人自身是否有瓶颈,能否在企业里发展起来跟这条有很大关系,甚至有很多从(1)发展到(2)(3)的人都需要借助(7)这个渠道,点到为止不多说了。。。
对于互联网公司,我建议做1、2、5;对于传统行业,我建议做:1、3、4、5。
互联网安全内容
在互联网行业安全包括哪些内容,我觉得可以概括为:
信息安全管理(设计流程、整体策略等):这部分工作约占总量的10%,比较整体,跨度大,但工作量不多。
基础架构与网络安全:IDC、生产网络的各种链路和设备、服务器、大量的服务端程序和中间件,数据库等,偏运维侧,跟漏洞扫描,打补丁,ACL,安全配置,网络和主机入侵检测等这些事情相关性比较大,约占不到30%的工作量。
应用与交付安全:对各BG,事业部,业务线自研的产品进行应用层面的安全评估,代码审计,渗透测试,代码框架的安全功能,应用层的防火墙,应用层的入侵检测等,属于有点“繁琐”的工程,“撇不掉、理还乱”,大部分甲方团队都没有足够的人力去应付产品线交付的数量庞大的代码,没有能力去实践完整的SDL,这部分是当下比较有挑战的安全业务,整体比重30%+,还在持续增长中。
业务安全:上面提到的(2),包括账号安全、交易风控、征信、反价格爬虫,反作弊反bot程序、反欺诈、反钓鱼、反垃圾信息、舆情监控(内容信息安全)、防游戏外挂、打击黑色产业链、安全情报等,是在“吃饱饭”之后“思淫欲”的进阶需求,在基础安全问题解决之后,越来越受到重视的领域。整体约占30%左右的工作量,有的甚至大过50%。这里也已经纷纷出现乙方的创业型公司试图解决这些痛点。
对整体介绍的部分在前面的篇幅讲的比较多,主要目的是希望“视野”部分不缩水,这些概念在后面篇幅都不打算再展开了,如果你迟迟没看到技术篇,很正常,这只是一个开头而已。下一篇谈谈互联网企业安全管理和传统行业安全管理的区别。
下一篇: STM32点亮流水灯、驱动蜂鸣器