随着整个社会的数字化程度越来越高,信息安全成为备受瞩目的话题,企业所面临的安全威胁和压力与日俱增。搭建高效的信息安全体系,降低信息安全风险是各大企业密切关注的重要议题。
安全419了解到,拥有多年信息安全管理经验的行业老兵马金龙(吗啡),将自身的甲方安全积累凝结成《企业信息安全体系建设之道》一书,全面介绍了完整的企业信息安全体系的各个要素。近日,我们有幸邀请到作者本人,与大家聊一聊从业多年以及写作背后的心得体会,希望为广大的安全从业人员带来一些启发和参考。
企业安全建设面临内外部阻碍 但求自身所学为同行提供增益
吗啡目前就职于新浪公司,从事企业的安全建设工作已经超过15年,回顾一路走来的历程,其坦言遇到过许多不同的问题和挑战。
企业以追求利润和绩效为第一目标,因此在大多数公司中,安全作为成本项受重视程度普遍不够,导致安全团队在预算、资源和人力方面常常捉襟见肘。此外,在跨部门沟通方面,如安全团队与开发团队之间往往缺乏有效的沟通,导致安全措施无法被正确地实施。
除了组织和管理层面的难点,在技术方面,新产品新应用的快速发展源源不断地引入新生的安全威胁和风险,安全人员如何不断更新技能和知识,以便能够有效应对这些挑战,是每个安全团队都会面临的问题。比如,公司希望使用AI机器人招待客户,需要如何制定安全策略,才能避免“雪佛兰经销商1美元卖掉一辆SUV”这样的事件重演。
每个安全团队遇到的问题不尽相同,归根结底是缺少一个开展工作的切入点。随着《网络安全法》《数据安全法》《个人信息保护法》以及信息安全及隐私相关法律法规的不断完善,公安部等级保护、工信部CP年检以及各部委的执法检查紧密开展,企业的安全合规工作被前所未有地提升至更重要的层级,这便是开展工作的良好契机。
但罗马不是一天建成的,企业信息安全体系的建设也一样,需要有目的、有规划,循序渐进地进行,是一个持续不断发展的过程,这成为吗啡分享自身所学所用想法的起点。他的同行好友,猎豹移动高级总监林鹏(lion_00),也是《互联网安全建设从0到1》一书的作者,在书籍出版后说道,“不求销量,只想为信息安全事业留点东西、做些贡献。”这句话让吗啡很是触动,“如果我把自己所学的企业信息安全体系化建设的知识总结梳理出来,也许能给安全从业人员或有些对企业安全体系建设感兴趣的朋友带来一点启发和帮助。”于是,这才有了《企业信息安全体系建设之道》一书与大家的见面。
风险和需求日益升级 安全体系建设需与时俱进
吗啡从事安全工作的这些年,也正是互联网、云计算、大数据等技术和应用蓬勃发展的时期,企业的IT架构、业务环境和企业面临的安全风险都发生着翻天覆地的变化,自然地,企业安全体系的建设也在不断更新。最初,企业安全建设主要集中在防火墙、入侵检测系统等基础安全设施上,数字化转型持续深入,企业开始关注全面的安全,包括威胁情报、云安全、数据安全、移动设备和物联网安全、零信任、供应链安全等各个方面。吗啡为我们总结了产生明显变化和提升的几个风险点和需求点:
威胁情报 - 随着网络攻击的复杂性和频率增加,企业需要更快速地响应威胁,而威胁情报可以帮助企业实时监测和分析威胁,配合自动化处理自动采取相应的防护措施,大大提高了安全工作的效率。
云安全 - 随着云计算的普及,上云成为了各企业的首选,云安全也成为企业安全的重要组成部分,企业借助云原生安全保护在云端的数据和应用程序,同时防止外部攻击者利用漏洞进行攻击。
移动设备和物联网的安全 - 随着移动设备和物联网的普及,形成了万物互联的态势,企业开始面临新的安全挑战,这包括保护移动设备免受攻击、确保物联网设备的合规性等,企业也在不断地制定及更新安全策略,并采取相应的安全措施来应对这些新的威胁。
零信任模型 - 零信任模型对于传统边界防护是一种新的安全框架,它强调在任何情况下都不信任外部实体,除非经过验证和授权。这种模型可以帮助企业更好地保护其网络和数据,减少内部和外部的威胁。
人工智能和机器学习在安全中的应用 - 人工智能和机器学习技术在安全领域的应用日益广泛,这些技术可以帮助企业自动识别和预防潜在的威胁,提高安全防御的效率和准确性。
数据安全 - 随着数据隐私法规的日益严格,企业应该制定相应的管理及技术策略措施来确保其数据的安全性和合规性,包括对数据进行加密、匿名化处理,严格遵守相关的数据保护法规。
供应链安全 - 随着供应链的日益复杂,供应链安全成为企业需要关注的重要问题。企业需要确保其供应链中的各个环节都符合安全标准,防止供应链中的任何环节成为潜在的安全风险。
管理、技术、运营三足鼎立 协同保障安全体系有效运行
技术在不断发展,新的安全挑战在不断出现。为了应对这些挑战,企业需要不断更新其安全策略和技术,确保其安全体系能够适应不断变化的环境。吗啡在书中从安全管理、安全技术、安全运营三个部分来讲解企业信息安全体系的建设之道,在他看来,这是企业信息安全体系发挥作用缺一不可的三个方面。
安全管理是企业安全体系的基础,它涉及到制定和执行安全策略、规范和流程,确保员工遵守安全规定,以及进行安全意识和培训等。安全管理是整个安全体系的核心,它为其他方面提供指导和支持。
安全技术是企业安全体系的重要手段,它通过采用各种技术和工具来保护企业的网络、系统和数据免受攻击和威胁。安全技术包括防火墙、入侵检测系统、加密技术、身份认证等。
安全运营是企业安全体系的重要环节,它涉及到对安全事件进行监控、分析和响应,确保安全策略的有效实施。安全运营需要与安全管理、安全技术紧密配合,共同应对各种安全威胁。
这三个方面是相互关联、相互支持、互为保障的。安全管理为安全技术和安全运营提供指导;安全技术为安全管理提供技术支持;而安全运营则是安全管理、安全技术的实际应用和执行环节,确保企业安全体系的有效运行。就如同安全防护措施的正确实施需要同时有安全管理手段和安全技术手段一样,安全管理手段用来指导及监管,安全技术手段用来实施和验证。两种手段像人类走路的两条腿一样,相辅相成,配合前进。
在安全419过往与诸多业界人士的交流中,许多企业都或多或少存在管理、技术、运营三方建设不到位的情况,因此出现了“策略不落地”“重技术轻管理”“制度技术都有但安全依然做不好”等等问题。想要解决这些困难,需要公司高层的重视,修正并完善安全体系,同时吗啡表示,实施落地上还需要“人”“技术”“流程”的加持。
人 - 确保每个员工都了解并遵守安全规定,通过培训和宣传来提高员工的安全意识,增强他们的责任感和积极性。
技术 - 采用先进的安全技术和工具来保护企业的网络、信息系统和数据,要定期评估和更新这些技术和工具,以应对不断变化的安全威胁。
流程 - 制定明确的安全策略和流程,确保每个员工都了解并遵守这些规定。
如果暂时还没有得到高层的重视与支持,吗啡建议不妨借助外力,比如合规要求、执法检查等进行推动。
保持应有的关注和谨慎 成为团队和安全体系的强有力支持
更详细的方法论、建设步骤和技术细节留给读者们查阅书籍,说到底,想要这些手段发挥作用,安全人员始终是体系中最核心的支柱和最重要的变量。吗啡对此表示,安全人员在工作过程中应该具备两个属性——“应有的关注”和“应有的谨慎”。
这两个概念可以简单理解为是对安全问题的警觉性和对安全措施的审慎态度。前者可以和安全意识相对应,是对安全问题的认识和理解,它包括对潜在威胁的识别、对安全风险的评估以及对安全措施的重视。提升安全意识可以帮助员工更好地理解安全问题,认识到自己的责任和义务,从而更加谨慎地处理信息安全问题。后者可以和安全验证相对应,是指在采取安全措施之前,通过各种手段和方法来验证安全措施的有效性和正确性。许多时候,安全人员在采取安全措施时往往忽视了验证环节,导致安全措施未能充分发挥作用或者根本就是错误的,所以安全验证能力也是提升整体安全性的重要环节。
为了提升员工的安全意识和安全验证能力,可以采取以下措施:
定期组织和开展多样式的安全培训,提高员工对安全问题的认识和理解。培训内容可以包括最新的安全威胁、常见的攻击方式以及应对策略等。可以通过内部宣传、海报、邮件等方式,向员工宣传信息安全的重要性,提醒员工时刻保持警觉。
定期组织安全演练,让员工了解如何在真实场景中应对安全威胁。通过模拟攻击、病毒植入等场景,让员工了解如何快速识别和应对这些威胁。
制定详细的安全验证流程,确保员工在采取安全措施之前进行充分的验证。对于未通过验证的安全措施,要进行重新修订或重新验证,确保其有效性和正确性。同时,鼓励员工在发现安全问题或漏洞时及时上报,对于提供有价值信息的员工给予奖励或表扬。这样可以激发员工对安全问题的关注,同时也有助于企业及时发现和处理潜在的安全威胁。
承过往有益知识经验 铸未来不断进化的安全道路
最后,谈及写作过程,吗啡坦言遇到了各种各样的困难,几度曾想放弃。最难忘的是有一天,修改文稿濒临崩溃,便决定直接将内容拆成几个系列通过公众号发布而不再出版。那时,好友胡珀(lake2,资深安全专家)发来了承诺的书序,一股说不出的感动让吗啡重新燃起了坚持下去的动力。
不仅是林鹏和胡珀,这本书得到了数十位就职于甲方企业、安全厂商的行业大咖的支持和推荐,其中不乏多位各领域头部企业的安全负责人,以及安全行业中如雷贯耳的资深老炮。正是这些前辈的经验沉淀和无私分享,让更多从业者的道路,可以走得更加坚定坦荡。正如吗啡在书中所言,安全人员应该具有自主学习的能力,善于总结经验与教训,不断完善、充实自身知识体系,并学以致用;还应该尽职尽责,有强烈的使命感及责任心。这会给团队带来强烈的安全感,为今后业务拓展和监管合规提供强有力的支持,在安全领域成为团队成员心中坚实的后盾和信心来源。
下附《企业信息安全体系建设之道》目录,欢迎感兴趣、有需要的朋友阅读。