企業網絡安全規劃建設實踐
規劃是指較全面或長遠的計劃。凡事預則立,不預則廢!
在企業戰略規劃方面,隨着市場環境變化速度的不斷加快,人們越來越意識到企業戰略規劃對企業生存和發展的重要性,戰略規劃能幫助企業解決影響組織未來發展最重要、最基本的問題,同時也能幫助企業確定組織使命和目標,保障企業發展方向是正確的,確保企業能夠發揮出“力出一孔”的威力。何爲“力出一孔”,比如火箭燃燒後的高速氣體,通過一個叫拉法爾噴管的小孔,擴散出來氣流,產生巨大的推力,可以把人類推向宇宙;水一旦在高壓下從一個小孔中噴出來,就可以用於切割鋼板,這就是“力出一孔”的威力。
網絡安全規劃,一定是自上而下的,是在充分繼承企業戰略規劃、IT戰略規劃的基礎上,建立的全面、明確、有前瞻性的安全計劃。網絡安全規劃可爲企業提前制定符合業務發展戰略的網絡安全建設路徑,使得網絡安全建設能夠有策略、有計劃地推進業務發展,明確投資假設的預期效果,最終提升戰略執行力,保障投資價值。
安全工作最大的痛點可能是到處充當“救火隊員”,工作處於“事件驅動”的狀態,發生安全事件後開始“零星的”、“針對性的”做一些補充完善工作。又或者是盲目的啓動項目建設,最終買了很多的“盒子”,堆積了很多安全產品,但實際安全效果不盡人意。這些現狀可能是因爲缺乏以風險爲導向的主動式安全體系、缺乏全局性的安全觀,缺乏對業務的支撐,導致安全價值無法體現。網絡安全規劃也許可以適當扭轉這些不利局面。
以下將從規劃啓動、現狀與差異分析、明確訴求與需求、建立規劃藍圖、輸出實施路線、彙報與宣貫、回顧改進與更新七個階段介紹網絡安全規劃的具體過程。
一、 規劃啓動
企業在剛成立網絡安全團隊時應啓動網絡安全規劃,明確方向和目標。
每年的11月份-1月份(農曆春節前)應在完成年度工作回顧的基礎上,開展來年的安全規劃,明確下一年的方向和目標,並更新安全團隊的中長期規劃。
結合外部網絡安全形勢與背景可以擇機啓動安全規劃工作,如“十四五”國家信息化規劃發佈後,可開展網絡安全中長期整體規劃;“數據安全法”、“個保法”相繼發佈後,可開展數據安全與隱私保護領域的中長期規劃;史詩級漏洞Log4j的爆發,可開展開源安全領域規劃。
二、 現狀與差異分析
安全規劃不是安全負責人幾天不睡覺拍出來的,也絕非僅僅是爲了設定幾個中長期目標。安全規劃啓動後應該首先開展現狀與差異分析,識別當前安全的痛點和差距,一份全面的安全規劃應從以下三個方面開展。
(一)內部分析
回頭看一看企業網絡安全建設的歷程,評估目前的現狀、分析存在的不足。具備一定規模的網絡安全團隊,可以按團隊組織架構的維度開展,規模稍小的網絡安全團隊,可以按工作領域的維度開展,目的是要確保現狀與差異分析的全面性,確保覆蓋安全團隊當前涉及的所有工作。現狀與差異分析的結果不是拿來向領導彙報的,所以不用擔心分析結果的“慘不忍睹”導致領導認爲安全工作做得不好,可以在安全團隊內部關起門來“自我批評、自我否定”。
(二)行業分析
內部分析過程中的“自我感覺良好”最可怕,一方面可能是因爲主觀原因,思想上沒有認清現狀與差異分析的價值,團隊內部未能深入討論。另一方面可能是因爲客觀原因,受限於我們當前的認知,感覺這方面的工作應該就是這樣,只能這樣。想不到原來別人還可以那樣,不知道業界已經有更好的解決方案和技術。所以安全團隊應該要能把握行業現狀,瞭解行業的發展情況,同時瞭解國際國內的安全標準框架,瞭解行業最佳實踐框架,日常多向安全廠商、同業、互聯網大廠學習,多參與一些業界的會議沙龍。目的是瞭解優秀的人正在做哪些優秀的事,打開思路、開闊眼界,以便切實發現自身不足,明確下一步應該走向哪裏。
(三)業務分析
站在業務部門的角度,結合公司整體戰略的發展,安全團隊可以嘗試着分析業務部門在安全方面存在的不足,也是安全在業務支撐方面存在的不足,爲下面章節的“明確業務部門需求”做些準備。
三、 明確訴求與需求
訴求是安全團隊根據現狀與差異分析結果,自己提出來的安全期望和目標。比如安全團隊的訴求可能是,如何打破當前被動、孤立、片面的安全局面;如何讓安全工作能夠以業務爲驅動、以風險爲導向;如何建立自上而下、強健有力的網絡安全組織架構;如何更好的對標業界最佳實踐;如何更好的解決遠程辦公的安全風險;如何進一步降低應用安全漏洞等等。
需求是安全團隊之外的組織和人員提出來的。安全的價值是爲了支撐企業經營目標的達成。明確“他人”對安全的需求是安全規劃中很重要的一部分,安全團隊需要了解企業高層、業務部門、CTO、運維部門、開發部門、法律合規部等所有關聯部門和關聯干係人對安全的需求是什麼。企業高層提出的安全需求是爲了確保企業戰略目標的達成,業務部門領導提出的安全需求是爲了確保具體業務目標的達成,技術部門提出的安全需求是技術與安全的融合與促進。所以,挖掘需求、篩選合理需求,這些安全需求實現了,安全的價值自然也就體現了。
大道至簡,知易行難!企業高層、業務部門領導有可能壓根就沒考慮過安全方面的問題,對安全提不出什麼需求。那就更應該藉着規劃項目的機會,讓中高層領導想一想他們眼中的安全應該是什麼樣子,避免安全做了幾年後不被認可。可以嘗試通過訪談的方式開展需求調研,訪談前應根據不同的訪談對象制定訪談大綱,明確要訪談的目標以及訪談問題,訪談問題可提前發給被訪談人以便提前思考、充分準備。通過問題引導的方式期望能夠挖掘出對安全的真正合理需求。
訪談綱要示例
四、 建立規劃藍圖
完成上述“現狀與差異分析”、“明確訴求與需求”兩項工作後,安全團隊的痛點、存在的不足、與他人的差距、企業領導期望、相關人員的需求都已經基本清晰了,未來1-3年的目標也已經基本明確。接下來應該從整體上做一些梳理,輸出安全規劃藍圖,包含企業安全體系模型、企業安全體系架構兩部分。
(一)企業安全體系模型
圖:企業安全體系模型
1、安全戰略層面
基於企業戰略解讀的基礎上,明確安全願景、戰略目標、方針。
安全願景是要描繪安全要去哪裏,到達目的地後企業安全是什麼樣子。安全願景對外可以體現安全團隊的專業性,對內是一種具有引導與激勵團隊成員的未來情景的意象描繪,可以影響團隊及其成員的行動和行爲。
戰略目標,可以更清晰的明確安全價值。企業設立每個團隊都有其存在價值,每個團隊的目標都應是支撐企業的經營發展,支撐業務目標的達成。安全團隊絕非例外,安全團隊在建立目標時,不能在自己的小格局裏“自嗨”,結合上述的訴求與需求,務必要把安全目標與企業業務目標相貼合,時刻以支撐企業業務目標達成爲己任。比如企業安全團隊的目標可能是“承接和滿足業務需要,與業務流程有效融合,支撐業務創新,保障企業經營目標的達成”。產品安全團隊的目標可能是“規劃實施產品的安全特性,不斷提升產品的網絡安全與隱私保護能力,確保客戶對產品安全能力的信任,從而保障並提升產品的市場佔有率”。
2、安全組織層面
結合安全戰略,參考網絡安全領域相關的法律要求,建立由董事會、CEO統一領導的,包含關鍵部門的,覆蓋決策層、管理層、執行層的網絡安全組織體系。組織體系建立後應該通過一系列的措施確保組織體系的有效運轉,避免僅僅是發佈了紅頭文件,組織體系中的相關人員實際未能履行職責。
3、安全領域建設
結合現狀評估結果,明確接下來安全需要在哪些領域開展建設。重要領域應該制定必要的實施思路,比如基於人員職業生命週期的人員安全管理、基於研發生命週期的應用安全管理、基於數據生命週期的數據安全管理等等。
4、安全技術支撐
安全各領域的建設離不開安全技術的支撐。同時,安全技術日新月異,新型威脅層出不窮,安全團隊需要持續的開展新技術研究。
5、安全團隊
網絡安全建設的核心要素是網絡安全人才!網絡安全的競爭,歸根結底是人才競爭!網絡安全的對抗,最終是人與人之間的對抗!安全規劃以及安全工作能夠有效開展的基礎條件,就是具備一支“進的來、出的去、專業、自信、特別能戰鬥”的網絡安全團隊。
團隊建設包含上述的願景、目標,也包含團隊行爲準則、團隊氛圍、基於團隊人員的“選、用、育、留”。
團隊行爲包括:堅持爲業務創造價值、堅持勇於擔責、堅持風險“零容忍”、堅持工作閉環、堅持度量優化。關於安全團隊建設的實踐可參見諸子筆會9月份文章,諸子筆會|劉順:網絡安全團隊建設“大全”。
(二)企業安全體系架構
基於上述企業安全體系模型,參考安全領域的權威標準,以及業界優秀案例,企業網絡安全規劃時應制定企業安全體系架構圖,如下圖示例所示。每個企業的業務模式不同,安全所處的階段不同,所面臨的安全風險不同,安全關注點自然也不一樣。所以,在做規劃時務必要結合企業實際現狀,所謂的權威標準、優秀案例也不能照搬,僅作爲參考。
圖:企業安全體系架構圖
五、 輸出實施路線
(一)實施舉措
基於企業安全體系架構,結合企業安全當前風險、存在的不足等現狀,可以確定企業未來安全體系建設應該要實施的舉措。
圖:企業網絡安全建設舉措
(二)重要舉措建設思路
針對重要舉措需要制定建設思路或實施框架,上述這些安全領域基本上都有比較成熟的實踐思路可供參考。重要舉措建設思路或框架舉例如下:
數據安全體系框架
應用安全DevSecOps框架
(三)實施路線
對於識別出來的各項實施舉措,綜合考慮風險優先級、實施後的預期效果、實施難度等,確定舉措落地的優先級,輸出實施路線,明確大致計劃,樣例如下圖:
六、 彙報與宣貫
企業網絡安全規劃完成後,應做好向上彙報以及相關人員的宣貫。向上彙報的目的是讓領導知悉、理解當前的安全風險與挑戰,在安全目標與實施路線方面與領導達成一致意見。最重要的還有要獲取領導的承諾,包括人力資源、預算等承諾。向相關人員宣貫,包括要在安全團隊內部做好宣貫,確保所有成員統一思想、統一目標。同時也應向開發、業務等相關部門做好宣貫,讓大家瞭解安全的目標與大致計劃。
七、 回顧、改進與更新
每年11月份前安全團隊應對本年度網絡安全規劃建設情況開展一次系統評估與回顧。對照規劃中安全舉措實施路線圖,總結年度網絡安全建設情況,如下圖所示,對比原計劃與已實施情況,識別規劃中實施路線存在的偏差,梳理安全建設過程中存在的問題,針對問題制定下一步改進建議。
同時,結合本年度內外部的網絡安全形勢,新型威脅,新增的安全訴求與需求,也需對現有的安全規劃進行更新,包括新增一些規劃內容、調整安全舉措的實施路線等等。