“百家”,既是“諸子百家”,亦為“百花齊放”。他們是各行各業網絡安全專家:有CSO、業界大咖、權威代表,更有奮戰在網安一線的實踐者、思想者和分享者。安在“百家”,最佳實踐,真知灼見,思想火花,期待有你!
李維春
安信證券安全總監
半年多前,剛入職現東家的時候,就有人問我:“咋樣,金融行業和科技行業差別大不?”答曰:“過半年回答你”,現在終於兌現承諾。12年民營科技企業信息安全經歷,9個月券商信息安全經歷,雖然我也認識不少金融業的安全負責人、有過不少溝通交流,總還是覺得對金融業瞭解不夠。最後一咬牙,決定還是寫出來,如果讀者能就此有討論、有思辨,我覺得也就達到了文章的目的。本文得到好友姚飛、唐勤、杜宏保的指導,在此謝過。
當然,有句廢話還是要說的:所見並不全面,如有偏頗,歡迎指教。為了避免極端情況,文中會用“基本”、“大體”、“絕大部分”等模糊性用詞,以代表大多數情況。按照我的分類標準,互聯網行業、電商、O2O沒有被歸類到科技行業裡面。
一、 企業開展信息安全工作的驅動力和安全目標
科技企業開展業務極少受到強監管,因此信息安全基本上是為了滿足業務需求,屬於“事件驅動型”或“業務驅動型”,對信息安全工作的效果非常看重。科技行業的客戶群體基本是B端,所以科技行業線上業務服務內容不多,決定了線上風險敞口較小;同時,為B端客戶提供服務的核心競爭力集中在其所創造、沉澱的各項知識產權和智力成果,因此科技行業的安全目標主要是防範商業秘密被洩露和竊取,保障產品和服務的安全(我習慣稱之為“產品安全”);隨著業務規模的增加、領域向海外擴張,也會需要滿足某些方面的安全合規(典型如GDPR、客戶隱私保護,或進入金融業等強監管領域)。
而金融企業的客戶群體有大量的C端客戶,以目前C端客戶的服務方式來看,有大量、發達的業務服務方式,因此決定了線上風險敞口較高,且金融企業信息化程度較高,因此金融企業安全防範重點目標是對抗、防範攻擊;同時也正因為服務群體涵蓋大部分to C客戶,又屬於金融行業,一旦服務發生中斷,對社會穩定會造成較大影響,因此金融行業在業務連續性保障方面會壓過一切,所以這也決定了金融企業高度重視運維,大部分情況下,安全要遷就運維;最後,因為金融行業屬於強監管行業,一旦發生內部信息洩露,洩露人員的違法成本會非常高,這也相對降低了內部人員洩密的動機。
因此金融企業的安全目標主要是滿足監管部門的安全要求,對抗破壞、竊取和欺詐,不發生被監管部門通報、處罰的安全事件,或者通俗地這麼說:如果發生了安全事件、違規事項,只要不被監管部門發現和處罰,大體都是可接受的。除了幾家頂尖的金融企業,絕大部分金融企業做信息安全還是為了滿足合規要求,本質上屬於“合規驅動型”,因此不但要符合網絡安全法、等級保護制度的要求,還有“一行三會”等監管單位下發的監管要求。
業務形態、驅動力和安全目標的顯著差異,也決定了後續幾點的差異。
二、 組織架構設計
科技企業通常會有一個實體的安全部門,要麼是與IT部門平行、與IT部門有不同的彙報對象,要麼就在IT部門下面、受CIO或IT負責人領導,甚至有的科技企業安全部門歸屬於研發體系。彙報層級看公司規模和重視程度,至少是副總裁直管,有時會向總裁或董事長直接彙報。重視信息安全的科技企業基本都會成立公司管理層參與的“信息安全委員會”,以便在公司層面上拉通信息安全要求、組織信息安全工作、開展重大決策;而且非常關鍵的是,這個委員會是實質性運作的,也就是定期開會彙報和審議,各單位主管作為委員會成員深度參與,信息安全與業務有碰撞有融合。
金融企業極少有獨立、實體的安全部門,如果有、一般也是信息技術部門的下屬團隊,常見狀態要麼是運維團隊中的幾個人承擔安全的職能,要麼將信息安全管理、實施、運維、運營職能分散到不同團隊中。彙報層級一般到IT負責人或CIO,極少能向公司管理層彙報。由於歷史習慣和認知差異,金融企業的信息安全基本還是在IT範圍內,因此極少有“信息安全委員會”這樣的組織架構,最多有“IT治理委員會”這樣的組織,且公司管理層的實質性參與極少。
有一些關於國外企業信息安全建設的文章中,總是強調CIO或CSO要能夠進入董事會,很好奇有多少國外企業能做到這個地步。以目前所見,短期內應該不會有國內企業做到這一步,能做到公司管理層深度參與已經很不錯了。
三、 資源投入
我以前的文章中總結過“資源”包括:人、財、物、政策權力、老闆的支持和參與。而彙報層級往往就決定了可以獲取怎樣的資源。
科技企業的資源投入上,財務預算的直接支持力度往往比較不夠,老闆反而願意給人、政策權力,用以彌補財務資源的不足。金融企業基本上相反,編制很難給,業務範圍也都在IT範疇,那就給錢,花錢辦事。當然,資源永遠都是有限的,“夠”和“不夠”也都是相對,但比較下來金融企業在財務資源方面確實更加充分。以我之前見過的例子,一家大型科技企業的信息安全團隊,人員規模40-50人,財務預算每年拼死拼活才能要到1000萬,最高的年份是2000萬;同等人員規模的金融企業安全團隊人員規模10+人,每年財務預算1個億;人員規模只有十分之一的金融企業,安全團隊2-3人,每年的財務預算至少達到1000萬。
資源投入上的思路差異,也決定了金融企業一定是安全產品、服務商的大客戶。同時,金融企業預算高、人員少的特點也導致在企業內部可能存在著處於“沉睡”狀態的安全產品,大概率是由於人員不足未能充分發揮作用,或僅為了滿足監管要求而存在,有時甚至會存在前任購買的安全產品在繼任者手上不再繼續使用的“浪費”現象。這種情況一般在科技企業裡面不太會存在。
四、 信息安全對抗的思路和實踐
如前所述,科技企業的安全目標主要是防範商業秘密被洩露和竊取、保障產品和服務的安全、滿足某些領域的安全合規要求;所面臨的安全威脅主要是“商業間諜或謀求商業利益的黑客”。所以其信息安全對抗的特點是
(1)大多數科技企業的安全原則是“多犧牲一些用戶體驗,多防範一些風險發生”,在安全策略上儘可能阻止、避免安全風險的引入,以此對抗信息安全威脅。
(2)大多數民營科技企業的管理作風比較強勢、非常強調自上而下的執行力,因此對於信息安全安全策略、安全項目的實行,非常強調整個組織的協調管理能力,大規模團隊作戰的機會多,所以在科技企業的安全團隊裡面,經常有項目管理類崗位的存在。這也就是為什麼很多人會認為科技企業做信息安全的“管理”比重很高的原因。
(3)安全團隊往往還具有決定獎懲的權力,這就保證了安全團隊在公司內的話語權和執行力。
金融企業的安全目標主要是滿足監管部門的安全要求,對抗入侵和攻擊,不發生被監管部門通報、處罰的安全事件;所面臨的安全威脅主要是“謀求直接經濟利益的黑客、黑產團伙”。所以其信息安全對抗的特點是:
(1)由於金融企業的業務部門佔有極高的地位,IT部門的話語權和地位相對不高,因此安全原則基本是“儘可能保證用戶體驗”,在安全策略上,控制、阻攔類策略做得少,主體依靠監控、分析、響應、處置來控制安全風險;
(2)由於安全風險的控制措施基本還是IT部門、IT系統的範圍,且前端控制、阻攔類策略少,因此金融企業在運用技術工具和方法的對抗、運營比重明顯大,強調工具、方法、人員的技術深度,這也就是為什麼很多人會認為金融企業做信息安全的“技術”比重很高的原因。同時,由於IT部門的話語權和地位相對不高,以及業務部門對安全工作的不理解、不重視,跨IT部門的安全項目(典型如數據治理、數據安全、終端安全項目)實施往往極為困難,溝通難度大、週期長。
(3)安全團隊在IT部門內部可能擁有獎懲權,但對其他部門一般不具有決定獎懲的權力。除非顯著故意且造成較大的負面影響,安全事件很難會有處罰結論。這和金融企業歷史沿革下來的企業文化也有關係。
五、 安全體系運作中的幾個點
科技企業對“人員安全”的重視程度極高,不但會綜合運用培訓、宣傳、活動、獎懲、排名、評價、發現告警等方式,而且會分層次、分崗位角色地提升人員的安全意識與能力。講到科技企業的人員安全,有著名的三句話叫“不想偷、不能偷、不敢偷”,其中其實還整合了“數據安全”的目標,因此幾乎是信息安全的終極目標了,能不重視嘛!
金融企業對“人員安全”的理解大多還停留在“宣傳教育”層面,通常會開展多種形式的培訓、宣傳工作以增加信息安全的暴露機會;由於主要還是IT部門在執行這項工作,領導和全體員工的參與度相對較淺,有的金融企業也會舉辦CTF大賽、釣魚郵件測試這樣的活動來提升對安全的重視程度和開發人員的安全技能。但由於這些措施極少會將安全目標與公司、員工的利益結合在一起,總的來說影響力有限。
因為人少,金融企業對於流程化的工作(比如權限的申請、審批和開通)會傾向於更多地採用技術手段來控制和實現,對於業務層面的安全風險控制也更多地依賴IT系統來實現,同時還能實現“留痕可審計”的目的。
對比通過了安全體系認證的企業,金融企業的認證範圍基本上還是在IT部門,科技企業的認證範圍大多是全公司、至少也要包括核心的業務部門。這主要還是與安全團隊的工作目標、影響力有關。
六、 方法論
由於資源(尤其是財務預算)來之不易,企業生存環境面臨的挑戰巨大、有較大的經營壓力,科技企業非常關注將資源投放在“最重要”的事情上,並且對於目標達成度、資源利用效率非常介意,因此會運用企業經營管理領域的一些方法論來指導經營工作,諸如業務領先模型BLM、SWOT分析法、精益生產理論、孫子兵法。受此影響,科技企業的安全團隊往往也具有較強的方法論能力,在如何定義恰當的安全目標,如何全面而準確地分析當下和未來的安全風險,如何應對當下最重要的安全風險,如何分析風險背後產生的根本原因,採取怎樣的安全措施可以達到最佳性價比的效果,都有較完備的流程和方法論。
相比之下,金融企業似乎不太追求“最佳性價比”、“費用使用效率”,而關注投入之後得到最好的結果。由於資源(尤其是財務預算)相對寬鬆,一旦對安全威脅處置不當,極可能造成直接經濟損失,因此會傾向使用好的產品、服務來達成目標。但是由於安全團隊人數往往不多,因此大多依靠個人能力來識別安全風險、定義安全目標和解決安全問題,比較少依賴上述方法論以來保證效果和效率,思考和決策模式相對簡單快速。同時,金融企業在考慮項目、產品方案時,往往會傾向於採用同行(尤其是同行頭部企業)的做法。
七、 安全人員的能力結構
由上面一系列維度可以看出,科技企業的安全人員在管理類技能上更加突出一些,諸如規劃能力、項目管理、溝通協調;金融企業的安全人員在技術類技能上通常更深入一些,尤其是在攻防對抗、安全運營領域。
八、 總結
本文無意去評判科技企業和金融企業在信息安全領域工作方式的好壞優劣,文章寫出來可能也沒有什麼營養,初衷只是想做個對比分析、兌現我對朋友的承諾。存在就是合理的,信息安全也是企業經營管理的一個領域,老闆們也都不是傻子,自然會做出評判和評價。
閱讀更多 安在信息安全新媒體 的文章
