“百家”,對安在來說不算是新欄目,比如早前我們曾開設過的專家專欄,但算是又一次的開始,這意味著我們將以更開放和更包容的方式讓網絡安全“諸子百家”們“百花齊放”,他們是各個行業代表性企業的CSO、安全骨幹,是業界大咖、專家,是思想者、實踐者和分享者。為此,安在將會持續呈現來自“百家”們的最佳實踐和真知灼見。
本期“百家”分享者,長期奮戰在網絡安全實踐一線,現任某芯片設計公司信息安全總監。他的CSO系列文章最初發表在“安全村”(www.sec-un.org/)。
truebasic,經歷複雜,當過開發、項目經理、創業者,“誤入”信息安全行業12年,科技研發型企業甲方經歷為主。希望成熟的甲方一起來帶動乙方市場的健康成長,故有此CSO系列。期待與甲乙方同行多交流、共成長。聯繫郵箱[email protected]。
整整1年前,想寫一系列文章,把CSO這個崗位的工作套路總結一下,不止包括自己掌握的,也包括聽到的、看到的、從別人那裡學來的。核心目的很簡單:總結共享、共同提升。結果後來工作上的事情一忙起來,然後也有點懶,就耽擱了。今年決定要完成這個目標,於是,提起精神來、認真做下去。
因為比較擅長寫制度、寫策略,所以想保持一點嚴謹性,先定義幾個名詞概念,避免讀者對後續的內容產生誤解。說的不嚴謹之處,請大家指正。
國家安全
根據“國家安全委員會”的相關公告和百度查詢,定義為:集政治安全、國土安全、軍事安全、經濟安全、文化安全、社會安全、科技安全、信息安全、生態安全、資源安全、核安全等於一體的國家安全體系。
注意,這裡用詞是“信息安全”,我其實有點疑惑,按照現在的用詞風格,用“網絡空間安全”似乎更加合適,為什麼呢?我為之找到的理由是:
(1)網絡空間安全其實是其他層面的安全在網絡空間的投射,可以被其他層面的安全概括;
(2)信息安全可能更加強調對各類信息資產、關鍵信息基礎設施、個人信息中的“信息”保護。
網絡空間安全 CyberSecurity
按照《國家網絡空間安全戰略》的描述,“網絡空間安全”指“國家政治、經濟、文化、社會、國防安全及公民在網絡空間的合法權益”(不過文中並沒有這麼定義,是我自己總結的)。
在網絡空間裡面,維護國家主權和國家安全、保護關鍵信息基礎設施、加強網絡文化建設、打擊網絡恐怖和違法犯罪等工作都歸於網絡空間安全工作的範疇,國家層面由中央網絡安全和信息化領導小組、中國國家互聯網信息辦公室具體負責。
網絡空間安全有時候也會被稱為“網絡安全”,因此在內涵、解釋上往往容易造成誤會。狹義的網絡安全通常指保護關鍵信息基礎設施、及其他有重大社會影響的信息系統,防止被攻擊、入侵、破壞、利用和竊取數據,更大比例上用技術手段來實現。
企業信息安全 Information Security
指企業(包括政府、各類企事業單位、社會團體)為了自身利益和所承擔的社會責任,保護所管轄範圍下信息的機密性、完整性、可用性(有時候還包括抗抵賴性、可追溯性)。企業信息安全的內涵分為信息資產安全、業務安全。
信息資產安全指企業內部流轉的信息資產(如各類電子文檔、紙件、郵件、代碼、有智力成果的固件、各種數據庫裡的數據、系統日誌、辦公研發區域、核心人員等)的機密性、完整性、可用性。
業務安全指企業內部核心業務的業務目標不被內外部威脅所破壞。這裡的業務目標不止包括機密性、完整性和可用性,還包括收入、利潤、真實用戶量和訪問量等各類業務指標。在不同行業和企業,業務安全的內涵有差別。
數據安全 Data Security
指各類電子數據的機密性、完整性、可用性。電子數據的典型形式包括但不限於各類電子文檔、郵件、代碼、有智力成果的固件、各種數據庫裡的數據、系統日誌。我認為數據安全屬於企業信息安全的一個子集,之所以會有這個子集,是因為電子數據的安全主要會通過技術手段來實現,由此就會派生出不同種類的安全工具和解決方案。
CSO
這裡定義的CSO,應該是企業內部信息安全團隊的實際負責人,是信息安全業務的一線、實際負責人。至於是行政正職還是副職、副總裁還是一級部門負責人還是二級部門負責人並不重要。
理解了幾個基本概念,對CSO來講,也許最重要的起步之一,就是要先搞清楚信息安全工作的驅動方式。
什麼叫信息安全工作的驅動方式?
就是回答一個企業為什麼要做信息安全。正確理解一個企業為什麼做信息安全,可以:
(1)知道這個企業的信息安全目標、重點是什麼,“知道為什麼而戰”比“怎麼戰”更重要;
(2)找到一個最合理、最有效的方式來推動信息安全工作,同時也能夠更好地達到信息安全工作目標、展現價值;
(3)對CSO、信息安全從業人員的職業發展也是很重要的參考,知道這家企業是否適合自己、自己是否可以找到價值最大化的平臺。
根據個人經驗,我將企業信息安全工作驅動的方式歸納為4類:
1.事件驅動型
顧名思義,就是以被動響應為主的工作方式,通常指由於內部信息安全事件(諸如數據丟失或損壞、文檔失竊、商業秘密被竊取、知識產權被侵犯、競爭對手的惡意破壞)、外部信息安全事件(諸如WiFi萬能鑰匙、勒索病毒爆發、斯諾登事件被披露),從而開展一系列安全建設動作。
2.合規驅動型
這個也很好理解,就是以滿足外部規範、要求為主的工作方式,通常是根據外部規範、要求建立自身的信息安全管理體系,以達到規範要求為主要目的。
3.消費驅動型
沒錯,你沒看錯!就是以花預算為主的工作方式。通常是根據內外部規範、最佳實踐和供應商推薦,制訂年度規劃和預算,開展信息安全建設。其主要目的是把今年的預算花完,明年才能夠有足夠的預算花,剩下的只要不出事就萬事大吉。
4.業務驅動型
我原先把這種工作方式命名為“規劃驅動型”,但是仔細研究後發現,“合規驅動型”和“消費驅動型”也可能形成明確的規劃、並按照規劃推進落實。斟酌之後,我調整為“業務驅動型”。
常見的狀態通常是這樣的:
(1)老闆或業務部門重視;
(2)通常以業務部門發起、提出安全改進需求,或以信息安全部門發起、調研業務部門並形成安全改進需求,且業務部門的安全改進需求是信息安全部門工作的主要內容,其改進效果也應該是信息安全部門績效的主要輸入源;
(3)由於自身能力的問題,也可能會基於業務需求開展一些局部的、不繫統的安全建設,甚至可能效果不好;
(4)業務驅動型做得好,往往也會有合規驅動的工作形式和內容。
業務驅動下的信息安全目標,大致歸納為幾種:
(1)保護商業秘密和自主知識產權不被竊取和破壞;
(2)保護用戶個人信息、數據和身份安全;
(3)保護系統和應用的安全;
(4)保護營銷推廣、交易、支付、營收等業務目標的達成,保護企業和個人的錢款,不被破壞、竊取、惡意利用。
其中(4)被很多金融企業、互聯網企業稱為“業務安全”、“風控”,而我對“業務安全”的理解會更廣,這個話題另文描述。
以下根據個人經驗所知,不免有些偏頗,僅略做總結:
金融行業首先以合規驅動型為主,近些年隨著金融監管的加強、攻擊竊取事件的發生、對數據安全和個人信息保護的重視,正逐步邁向業務驅動型,優秀的金融單位已經顯然是業務驅動型。其中,銀行業成熟度最高,證券業其次,保險業最後。
互聯網金融近年來蓬勃發展,但由於面臨監管合規和持續盈利的壓力,總體局面上處於合規驅動型+業務驅動型結合,不同企業根據投入、自身能力各有偏重。
國內的電商、社交、遊戲行業,由於業務開展充分依託互聯網,無論是要對抗入侵和攻擊,還是要防範內部操作風險都是生死存亡的關口,因此以業務驅動型為主。
科技行業(包括了傳統的生產製造企業,新經濟形態下的生產製造+研發企業,非互聯網的純研發類企業)中分化顯著。營收和利潤已經達到一定規模、具備一定市場影響力的科技企業,如果在保護自主知識產權、商業秘密方面有原發的動力,會很快地進入業務驅動型。而如果缺乏足夠的科研實力,也就缺少保護知識產權和商業秘密的動力,往往會以事件驅動型或合規驅動型為主,並且合規驅動的動力大多來自於大客戶。
對於政府、事業單位、關鍵基礎設施(水、電、氣等)管理運營單位,即使在強力推進《網絡安全法》和等保測評標準的今天,我也認為是消費驅動型為主,合規驅動+事件驅動為輔。說的不客氣點,其實主要目標就是花錢、堆項目,順帶解決部分信息安全問題。個人經歷所限,我所見的這些單位都在華南,本觀點不針對全國。
運營商的信息安全,總體上我認為屬於合規驅動型。
地產、商業集團,我也見過3-4個,比較難以理解他們的信息安全工作驅動力是啥,就不瞎說了。
你所在的企業,信息安全處於那種驅動方式?來聊一聊?
在安在的分享第一期就先到這裡了,關於CSO工作實踐和心得,後續還有一系列的話題,不一定完全是我來寫,也可能我會攛掇幾個朋友一起來寫,這裡先預告一下:
l CSO應該如何開展工作?
l 如何評價一個企業的信息安全工作的好壞?
l 如何設計一個企業的信息安全架構和規劃?
l 如何運行一個企業的信息安全管理體系?
l 企業信息安全團隊人員的知識體系結構
l 數據防洩漏的體系應該如何建立、選擇和運營?
l 信息安全審計體系應該如何建立、選擇和運營?
l 如何滿足信息安全合規要求?
l 一些靠譜的信息工具、平臺推薦?踩過的坑和經驗
有任何意見、建議和想法,隨時可以聯繫本人,記得我的郵箱:
[email protected],歡迎交流!
閱讀更多 安在信息安全新媒體 的文章
