从目前了解的情况来看,甲方安全团队规模在一个企业内部的人员占比还是非常低的,在企业安全建设中,大部分安全措施的落地都是由系统、业务和开发团队来实施。这时候,对于安全团队来说,就非常需要注意安全工作的方式方法了,以便将企业的信息安全建设逐步走向正轨。本文就是我对企业信息安全建设的方法论的一些思考。
在企业粗放式发展初期,甚至是进入大企业行列之前,信息安全也可能根本就不会进入CTO的思考范围,更别说CEO级别的管理层了。当然这两年情况好多了,在网络安全法颁发、中央网信委成立后,CEO级别的管理层公开支持网络安全工作必然是政治上正确的事,但这也不一定能成为你开展信息安全工作坚强后盾。笔者以为,信息安全工作最坚强的后盾应该是数据中心老大或CTO类的人员,因为信息安全事件最大的受害者可能是他们,出现重大信息安全事件最可能履责者也较大可能是他们。因此,从某种程度上说,信息安全部门和数据中心老大或CTO类老大对安全的诉求是一致的,我们要紧紧跟随在他们周围,适当利用他们的权力和影响力把一些信息安全诉求传递出去。但是,我们也不能什么事都往CTO那里转,如果这样,要你信息安全部干什么?有些事能控制风险就本级解决吧。这里就有个问题,哪些事是需要上升到CTO级别人员解决的呢?需要各位CSO们自己考虑掌握了。
虽然信息安全占据了一定的政策利好以及领导支持优势,但是,人少要求多是不可忽视的基本事实,因此,这就要求信息安全团队需在企业内部找到同盟军,以应对更加突出的安全风险。一般来说,基础设施部门是一个不错的同盟军选择,比如网络团队、云管平台团队、主机系统团队等。主要原因有:(一)基础设施规模庞大,整改难度大,盲目把他们作为主要治理对象可能会很难出成绩;(二)信息安全基础设施的很多建设需要依赖基础设施部门支持,比如流量采集、监控节点部署、主机申请、网络策略开通等。(三)基础设施大部分都不会直接对外,风险等级不会太高,反观应用安全确是当前风险等级最高、安全管理最急迫的领域。通过团结同盟军,一起把应用开发安全管理好,在此之中,再逐步对基础设施部门提一些容易整改的安全需求,毕竟也是一个战壕里的战友,基础设施部门估计也不好意思拒绝。当然,各个单位遇到的突出矛盾和情况也存在很大差别,寻找什么样的同盟军需要自己斟酌考虑。
虽然企业安全团队可能怀抱伟大理想,团队初建可能意气风发,踌躇满志,想尽快把企业安全防护水平整体提高一个台阶,但是,对于系统、开发以及业务团队来说,企业安全建设与管理都是给人家添加工作量的事情,可能因为一个安全要求导致他们整个系统要返工重做,从思想上、意识上有一定的反抗情绪也是人之常情。因此,对于企业安全建设来说,最重要的工作是做调查研究,了解企业IT建设与安全管理现状,识别影响组织和企业最大的风险,然后再根据风险找出安全管理的牛鼻子方法,抓住安全风险的主要矛盾,这也是ROI平衡的一个具体方面,切不可能眉目胡子一把抓,事事都管,没有重点,把本就弱小的安全团队像撒芝麻一样撒到各个项目或事务中,不能团结一致干一件事,最后估计也难成一事。
Linux 的创始人 Linus Torvalds 在 2000-08-25 给linux-kernel 邮件列表的一封邮件提到的:Talk is cheap,Show me the code。在安全管理上依然适用,当我们像唐僧念经一样翻来覆去的提示风险,揭示风险,却没有任何”漏洞利用证明“,也不能拿出有效规避风险办法,对于企业里的其他人员来说,这些语言来说都是苍白无力,而且还会对信息安全部门产生无用论、能力不足论等思想。风险本来就是抽象的,把抽象的概念传达给企业内员工,我们只能用结果来说话,比如拿下系统控制权、下载了关键数据等。因此,我们要充分发挥自己的专业能力,利用渗透测试、众测、攻防演练去最大限度的发现及证明各类风险危害,用鲜活的事例来教育员工。
安全工作最大的两个动力:事件驱动和监管要求。内部安全事件不能经常发生吧,外部事件又总是有点隔靴搔痒之感,能说一说,但是很难转化为行动的动力。很多时候能说事就只有监管要求,但是我们也要注意不能拿着监管要求、安全体系等盲目要求按章办事、逐条落实,不考虑企业现状,这就会犯了本本主义和教条主义错误。比如,监管要求中要求:生产和测试网络要严格隔离。这一条用意当然是好的,但是要在企业内部有效实施肯定会面临较大的阻碍,例如,有些系统想运转起来就是要求能够实现测试和生产联通;有些系统在测试环境搭建测试系统成本很大等等,这时候都可会导致生产和测试不能完全隔离。此时,就需要安全部门具有问题具体分析,灵活对待,在不违反重大原则、导致重大风险的情况下可以适当的、有限度的开绿灯。
在企业的内部规章制度中,信息安全一般都会有一定的考核权和处罚权,也可能有些大领导的直接授权等,以此作为企业安全管理的尚方宝剑。但是,笔者想说的是,对于弱小且处于扩张中的团队来说,一定要慎用尚方宝剑,使用不当会导致我们提前树敌。虽然,我们本意和目的不是惩戒,主要目是提高安全意识。但是,我们应当明白,我们的处罚对于别人来说都会造成经济上、声誉上的损失,从而会对信息安全团队本身产生一定的逆反心理。同样,对于其他人员来说,这也会导致他们对信息安全团队产生一定隔阂,从此以后对信息安全管理不配合,或者表面支持、背地里敷衍、甚至使绊子,这些都会给信息安全工作带来较大的阻碍。但是,从长远看,考核权和处罚权仍然是我们推动信息安全工作的主要抓手。
现实场景中,有些乙方人员戏称甲方叫“甲方爸爸”,这是一句玩笑话,其实甲方合同才是他们真是的“甲方爸爸”,我们不过都是干活的。作为一个甲方安全人员,我们也应该明白,在业务高速发展和信息化程度越来越高的大背景下,甲方的安全人员在数量上、专业技能上还是与甲方的安全建设需求有一定的差距。那么这时候,乙方团队就是甲方信息安全建设力量的重要补充。很多方案设计、风险分析、技术实施都需要乙方人员的深度参与,毕竟他们在细分领域以及专业场景上,比我们甲方人员要见得多、识得广。作为甲方团队人员,我们要善于使用乙方团队,团结带领乙方团队快速高效地搭建起甲方的信息安全治理体系。
对于甲方来说,信息安全建设工作既是一个技术问题,但已经超越了技术问题,这里面牵涉了很多制衡、沟通、协调、妥协等方方面面的问题。作为甲方信息安全人员来说,在了解信息安全专业知识的时候,还应该多掌握一些战略战术层面的方法论,以让企业的信息安全工作能够更好的推广实施下去。