本文转载至广州市CIO协会
CIO必要 相识 的信息安全OPQ,“O”就是Objective;“P”就是Planning,“Q”就是Question,就是CIO必要 关注企业信息安全的目标 、规划以及大概 迷惑 的题目 。
一、企业信息安全目标 (Objective)
以四个故事为例,第一个故事是2010年伊朗离心机变乱 ,让“震网病毒”名声大噪。第二个故事是伊朗击落美国“无人机”变乱 。第三个故事是雅虎30亿用户数据泄漏 变乱 ,这个变乱 阐明 白 只要有安全弊端 存在,数据泄漏 就会不停 发生,数据被泄漏 只是时间题目 ,如今 没被泄漏 大概 没被恶意利用 ,只是运气好。第四个故事是本年 5月12日发生的Wana Decrypt变乱 。这个变乱 到如今 为止已经已往 差不多半年的时间,但在这半年的时间里,仍会出现PC大概 服务器被病毒感染的征象 。从整个整改环境 来看,固然 有技能 步伐 和成熟履历 ,但仍克制 不了这些题目 的发生。
从这四个变乱 的发生可以知道,无论是针对故事一、二、三中的打击 (制作病毒或干扰体系 ),还是 防御,都不是大部分 企业IT部分 所能完成的工作。作为平凡 用户,可以关注故事三中的防御。作为企业CIO,必要 关注息争 决的是故事四中的变乱 。由于如今 的法律法规不支持受攻击单位 举行 反击,因此“及时 得到 并快速处理 惩罚 已知的紧张 盘算 机病毒、安全攻击和安全弊端 ,实现企业级防御”,是企业的信息安全目标 ,这也是CIO们对信息安全的真正关注点。
造成CEO、CIO对信息安全不关注的缘故起因 重要 有:非互联网行业,安全变乱 最多伤及“面子 ”,不伤“里子”;信息安全投入无显着 产生,不产生业绩,无辅助升迁;以为 没有敏感数据,荣幸 生理 ,如发生,只作偶发变乱 处理 惩罚 。
从技能 本身 来讲,常见的攻击种类,不管是拒绝服务类,数据泄漏 类,还是 ABT攻击类,如今 市面上都有比力 成熟的产物 可以去应对或办理 。有些处理 惩罚 ,比如 CCDOS、流水性攻击、网欣赏 攻击,这些除了安置一些装备 外,还可以在防火墙上做一些控制,乃至 在应用上做一些定制开辟 。
企业信息安全近况
从2010年到2016年整个企业市场信息化投入和安全变乱 的关系分析图来看,整个信息化投入出现 多少 增长征象 ,环球 范围内恶性安全变乱 固然 数量 在不绝 增多,但出现 直线增长,增长速率 并没有信息化投入大。
企业信息安全成熟度
对企业而言,国家级以及用户级的打击 防御并不是企业应该关心的题目 ,企业应该关心的是企业级的打击 防御,要做到抓大放小,将重要 的安全变乱 、病毒、弊端 举行 整改。假如 能做这些,企业信息安全成熟度根本 上可以到达 第二级和第三级,即可重复级和已界说 级。
从环球 1000强企业信息安全成熟度来看,大部分 企业的信息安全成熟度还处于第二级或第三级别,这重要 与企业业态有关。由于企业的业态并不必要 安全级别有多高,一样平常 二级即可,大概 是二级到三级之间,高技能 企业大概 会到达 四级和五级。不管是从成熟度还是 从安全变乱 的数量 来看,以安全的成熟度和级别来说,并不是越高越好,肯定 要和企业的业态和特点相匹配。
以国内有代表性企业的信息安全管理成熟度近况 来看,对于设置目标 是四级大概 五级的企业而言,其信息安全建成的时间会比力 长,一样平常 在十年大概 十年以上。自从《网络安全法》发布以后,有些企业会以为 随着企业安全程度 的进步 ,假如 能在三至五年的时间内完成信息安全的建立 会比力 好,这个时间段根本 可以完成从初始级到可重复级和已界说 级,就是从一级到三级,假如 再往上一级,那就会有压力。
简而言之,对企业来说,信息安全工作就是可以或许 做到企业级的安全防御,对已知的病毒、攻击和安全弊端 做及时 处理 惩罚 。对于未知的弊端 ,很多 时间 是没办法去关注大概 是整改的。
二、企业信息安全规划(Planning)
怎样 实现信息安全目标 ,简单 而言就是要有安全框架大概 安全蓝图,更广的范围还包罗 实行 路径和项目群。从团体 来看,就是要有一个安全目标 、一个信息安全的框架和蓝图、一个实行 路径和一个项目群四个部分 。
企业信息安全架构(1):通用型
通用型的企业信息安全框架,正面图是2013年版的ISO27001标准 ,顶层是信息安全的PDCA,还包罗 其他安全因素,如职员 、装备 、信息、流程、环境 等。通用型模子 对于很多 企业都实用 ,但又不实用 ,由于 它无法突出一些企业和行业的特点。这个模子 实用 于刚刚打仗 信息安全的企业,领导 比力 关注标准 本身 。假如 领导 对于标准 并不在意,大概 领导 对信息安全有本身 的原则和见解 ,那就不太得当 利用 通用型模子 。
企业信息安全架构(2):核心 技能 型
核心 技能 型模子 实用 于高科技的行业,大概 有本身 的核心 技能 和贸易 数据的大型企业。核心 技能 型模子 将业务需求、法律法规要求置于顶层,往下是信息体系 ,更多关注的是整个信息体系 的风险。根据信息体系 风险的驱动,然后要有职员 、资产以及构造 按照政策、信息技能 和安全操纵 去不绝 地举行 风险的处理 惩罚 和规避,不绝 低落 风险,终极 告竣 企业业务目标 大概 包管 业务目标 的实现。
企业信息安全架构(3):金融、国企或团体 企业
对于团体 企业大概 技能 要求比力 多的金融、电力这范例 的企业,企业信息安全架构更夸大 三大防线,即事前控制、事中控制、过后 控制,以及夸大 多级融合,即将信息安全体系以及风险管理体系,包罗 业务风险和安全风险融合在一起,大概 将运维ISO20000、ISO27000融合在一起,将外部的查抄 和内部的审计融合在一起,从而形成一个多合一的架构。这个模子 对于刚打仗 信息安全的企业来说,很轻易 资助 IT司理 或CIO说服CEO。由于 有些领导 很想知道哪些属于事前控制、哪些属于事中控制、哪些属于过后 控制,这个模子 能很好地阐明 这些题目 。比如 订定 安全制度、创建 安全构造 以及采取 安全技能 ,这些都是属于事前控制;事中控制就是做一些安全运维、装备 操纵 、定期的做风险评估、风险处理 、探求 弊端 等;过后 控制就是应急与灾备。
企业信息安全架构(4):风险驱动型
第四种企业信息安全框架就是风险驱动型,实现这一框架的条件 是企业已经实现全面融合管理。就是在企业内部,已经将安全的风险和业务的风险融合在一起,大概 在整个风险管理的过程中已经清楚 辨认 各个范畴 的风险,比如 安全风险、操纵 风险、IT风险等,通过风险的驱动来举行 安全控制,这种框架在外资企业比力 常见。
实行 路径/优先级
项目群(示例)
以项目群为例,在规划时通常会规划很多 项目,但项目之间存在一些逻辑关系,这些逻辑关系肯定 要表述清楚 。网络边界 大概 存在一堆项目,数据中心 、终端也有大概 存在一堆项目,要将这三大地区 做出分类,然后找出每类项目标 关注点。比如 ,网络边界 重要 是防攻击、防数据泄漏 ;数据中心 更多是加固的,如数据隔离、数据库审计等。终端的项目很多 ,信息安全最难开展,由于 终端的软硬件设置 都不标准 化。要将终端安全做好,起首 必要 办理 终端软件标准 化的题目 ,假如 标准 化做不好 ,终端的很多 安全都不能开展,会出现很多 题目 ,如安装的软件不兼容,大概 软件兼容但是运行速率 慢,硬件设置 不敷 等等。
假如 整个信息安全没有什么可做的项目,发起 优先实行 网络边界 类项目,由于 结果 显着 ,其次实行 数据中心 项目或终端项目。数据中心 内部的安全实行 是个慢功夫,最根本 要做的是数据隔离,要将差别 紧张 地区 与不紧张 的地区 分开,比如 互联网与互联网体系 ,不能将其他的体系 放在同一个地区 里。
三、CIO们常狐疑 的题目 (Question)
Q1:信息安全管什么
信息安全,除了IT体系 的安全外,还包罗 业务数据安全、人力资源安全、信息体系 安全、物理环境 安全等,乃至 还包罗 法律法规的合规题目 。法律法规由法务部分 管理,业务数据由业务部分 管理,保密由保密部分 管理。从这个角度来看,整个信息技能 部分 必要 管理的事项并不是很多 。但是,很多 企业高层一提到信息安全,每每 会将它和信息体系 融合在一起,信息安全就是信息体系 要做的事变 。这个时间 ,CIO大概 IT司理 就必须要明白 一件事变 ,就是信息安全对企业而言到底要管理哪些东西。
关于业务数据的安全,起首 ,业务数据是由业务部分 产生,业务部分 对业务数据有保密责任,要对数据的质量、真实性负责。信息部分 要做好业务数据在信息体系 内部的存储、互换 ,这个边界 要分别 清楚 。再如人身安全,不管是职前、职中、职后,还是 对外部职员 的雇佣前、雇佣中、雇佣后,都必要 把边界 梳理清楚 。很多 时间 ,企业对内部员工的管理通常由人力资源部分 负责。但对于外包职员 ,则是项目由谁开展,谁就应该负责外包职员 的安全。至于安全原则,必要 由人力资源部分 ,大概 是信息技能 部分 和业务部分 订定 清楚 ,然后由各人 去实行 。
Q2:安全性和可用性的边界
关于安全性和可用性的边界 题目 ,对于大部分 CIO来说,他们只负责管理信息技能 部分 ,大概 包罗 财务 和内控部分 。在这种配景 下,假如 CIO不敷 强势,最好只做信息体系 的安全,其他安全临时 不做。假如 充足 强势,可以将安全范围扩大。纵然 只做信息体系 的安全,在信息技能 部分 内部,安全还是 有广义和狭义之分。广义的安全包罗 体系 可用性。按国际标准 化构造 (ISO)的界说 ,信息安全管理体系(ISMS:对应ISO27001系列标准 )关注信息体系 的安全性(Security),IT服务管理体系(ITSM:对应ISO20000系列标准 )关注信息体系 的可用性(Available),两个体系间的重叠部分 为应急与灾备,即业务连续 性管理体系(BCMS:对应ISO38500系列标准 )。
整个大概 性的东西,包罗 应急与灾备,偶然 会作为一个单独的范畴 或课题去建立 ,由一个专门的团队负责。不管有没有专门的团队负责,整个大概 性的灾备都不能放在安全内里 ,这与加密、攻击、病毒等常见的安全题目 不属于同一个范畴,做法也不雷同 。除此之外的安全,最好由安全团队负责开展,将信息安全管理体系与IT服务管理体系分开,假如 再细分,可将业务连续 性管理体系与应急灾备分开。
Q3:信息安全职责分别
安全从国内企业的角度来说,着实 就是一个职责的分别 和归属的题目 。信息安全管理职责的分别 有三个原则,一是谁全部 ,谁负责。分别 上级单位 与部属 单位 间的管理边界 ;分别 信息管理部分 与业务部分 间的职责边界 。二是谁管理,谁负责。可再细化为“建立 期:谁建立 ,谁负责;运维期:谁运维,谁负责”;分别 信息管理部分 内部各团队间的职责边界 。三是谁利用 ,谁负责。分别 信息管理部分 与用户间的职责边界 。
Q4:安全团队放在哪
安全团队放在哪?重要 有三种方式。一是从属 数据中心 。这种方式的长处 是安全建立 和变乱 处理 惩罚 时,轻易 变更 底子 办法 团队资源;缺点是与客户(开辟 团队、部属 单位 )间隔 太远,管控职责发挥不敷 ,会导致后续整改本钱 提拔 ,工作被动状态连续 。二是从属 架构、PMO团队。这种方式的长处 是增补 PMO对信息安全知识的短板,利于形成“管控协力 ”,利于对安全要求落实的监督 ,可以或许 较早得到 关于开辟 团队和部属 单位 的连续 信息,利于IT体系 大会合 时,开展“康健 查抄 和整改”工作;缺点是仍不是“业务安全专家”,功能发挥仍在技能 范畴 。三是从属 管理层。这种方式的长处 是安全建立 和安全变乱 处理 惩罚 时,变更 其他团队速率 会加快 ;缺点是大概 造成太过 夸大 信息安全,影响服从 ,与项目组、各技能 团队间隔 太远,倒霉 于安全变乱 和弊端 发现和整改跟进工作。
Q5:安全职员 的工作职责
安全职员 的工作大部分 为“求人型”、“推而不动型”,这部分 工作的开展方式,必要 CIO在架构计划 时先思量 清楚 ,否则无法开展。整个安全工作可分为PDCA。“P”是决定 、规划;“D”是具体 工作实行 ;“C”是落实环境 ,监督 查抄 ;“A”是采取 步伐 ,连续 改进。由于 安全涉及范围广,安全职员 必要 处理 惩罚 攻击变乱 、处理 惩罚 数据库的安全、加固、整改等等,这此中 有些工作是安全职员 做不了的事变 ,只能由网络管理员大概 应用管理员去做。因此,“D”和“A”的工作大部分 由其他团队负责,安全团队只能做一小部分 。
Q6:怎样 克制 安全制度“两张皮”
怎样 克制 安全制度“两张皮”?这必要 将安全控制融入“信息体系 开辟 生命周期”。从整个生命周期来看,分为立项阶段、界说 阶段、计划 阶段、实现阶段、运维阶段、废弃阶段。此中 ,安全需求调研和界说 、安全方案计划 重要 由开辟 团队或建立 团队去完成,假如 没有本领 开展,可以找供应商大概 安全团队负责;假如 企业内部有安全团队,最好尽早参与 项目中,乃至 可以在立项阶段或安全需求调研时参与 ,尽早将安全需求提出,克制 后期被动。对于大部分 企业来说,在整个项目标 开辟 和计划 阶段,让安全团队参与 是一件比力 困难的事变 。但是,安全团队可以做好以下三方面的事变 :一是计划 方案出来后,可以让安全团队负责方案评审;二是在项目上线时,让安全团队负责上线安全查抄 ;三是做好项目上线后的定期安全查抄 。
Q7:互联网公司安全:代码即安全
传统企业与互联网公司在安全方面的做法,起首 在整个物理层面上根本 是雷同 的,但是在集成和网络层面上有很多 差别 。互联网公司有很多 开源技能 和个性化的开辟 ,这是最大的差别 。从整个概念来说,互联网公司安全就是代码即安全,很多 传统企业更多是安全装备 和贸易 软件的安全,比如 购买一些装备 ,这些很难做到个性化定制和个性化设置。
Q8:《网络安全法》的执法环境 信息
从如今 来看,《网络安全法》在国内的实行 环境 超乎想象。像腾讯微信、百度贴吧、淘宝、证券公司等都有处罚案例。从如今 的实行 环境 来看,一些大企业,比如 能源、金融、运营商、交通、大型互联网公司等,这些企业必要 切实落实网络安全法的具体 步伐 ,包罗 体系 的品级 掩护 、信息的掩护 等等,网络安全法对这方面的处罚比力 严厉 。
v 问答篇
CIO:怎样 开展7分管理3分技能 的信息安全建立 ?有哪些战略 ?500人规模的公司,信息安全团队该怎样 构建?
牛志军:看企业所处阶段,假如 安全才开始做,我以为 应该是7分技能 3分管理。比及 技能 本领 根本 具备,再把7分管理和3分技能 倒过来。在战略 上,发起 紧张 关注:核心 数据防泄漏 、核心 体系 防攻击(包罗 权限控制)、严峻 病毒变乱 。配多少人,要看企业业态,假如 是制造业,发起 每300台配一名安全职员 ,假如 有核心 技能 ,发起 人数要增长 。
CIO:企业信息安全涉及到内部环境 和外部环境 等多方面的题目 。针对“内部方面”企业内部机密 信息,我们创建 了保密管理制度,安装了几套加密体系 ,同时,对网络举行 了监控,对职员 也举行 了教诲 培训。刚开始结果 很好,时间久了,结果 会没有开始实行 时那么好。在实行 信息安全这一块,除了创建 制度,设置安全步伐 等管理本领 ,有什么方法可以让员工具有潜移默化的实行 信息安全步伐 ?
牛志军:加密或别的 安全体系 上线久了,感觉结果 没开始时好,这是正常的。重要 有两个因素:全部 安全体系 都有它的功能范围 ,如今 还没有“包治百病”的体系 。时间久了,不打扫 员工对体系 的功能有所相识 ,乃至 把握 了绕过的方法。对于终端而言,最好的方案是VDI,便是 VDI,也可以照相 泄密。另一方面,要在体系 上不绝 美满 和加强 安全战略 ,很多 时间 是上了体系 后,不再优化战略 。要配套实行 奖罚本领 (柔性还是 硬性,视企业文化确定),让员工渐渐 变得不肯 粉碎 安全,到不想粉碎 安全。
CIO:相干 骨干职员 因相干 缘故起因 离职 后,内部一些信息很轻易 泄漏 ,特别 是新产物 开辟 等紧张 信息被泄漏 了,怎样 调停 ?
牛志军:有离职 苗头的员工,在工作安排上要有所表现 ,不要让他再打仗 核心 的信息。这类员工本身 就会故意 的网络 信息,纯技能 上本领 作用不大。
CIO:怎样 让业务团队对业务数据安全负责?
牛志军:辨认 数据的OWNER,谁是OWNER谁负责。假如 找到OWNER,OWNER也不认帐,还是 把任务 推到IT部分 ,那发起 找1至2个核心 数据,按数据生命周期,从数据产生、传输、处理 惩罚 、加工、生存 、废弃团体 环节,涉及到的工作流程、职员 、载体(体系 /纸质文档),都列出来,再逐一分析,哪些环节大概 存在数据泄漏 ,如许 很轻易 让业务部分 也参加 进来,有究竟 有原形 ,至少能做到两个部分 一起负责,不至于都推到IT部分 。
CIO:假如 从业务数据安全方面去考量,评估业务数据安全风险有没有什么方法论可分享下?
牛志军:刚才讲的评估方法,着实 就是方法论。步调 :辨认 核心 业务→核心 业务相干 数据、流程、载体的辨认 、分析→重要 风险分析→输出风险处理 发起 。
CIO:在企业用户利用 桌面端,怎样机动 摆设 防病毒软件,从正版与免费,从逼迫 安装与机动 自由等方面,有什么好的发起 ?
牛志军:防病毒,假如 PC数据不多,只要及时 更新病毒库,利用 收费的、免费的题目 都不大;假如 数量 多,发起 还是 利用 收费的企业版防病毒。别的 ,安全本身 就是加强 控制,纵然 有机动 度,也比力 小。不发起 留机动 度,有机动 度,就是留了空子,就轻易 出题目 ,平常 大概 没感觉,等失事 时,发现缘故起因 空子有很多 多少 个。
CIO:一样平常 企业的体系会有专门的体系构造 来开展定期的内审和外审。像信息安全内审外审应该由什么部分 大概 构造 来开展?
牛志军:内审由内部的审计团队牵头,一样平常 具体 审计职员 是IT职员 ,由于 审计团队不相识 IT,更不相识 安全,审不了。外部的审计团队,重要 是四大的或认证机构的。
CIO:如今 企业除了办公网络尚有 MES体系 的工业网络,很多 对长途 装备 厂家要求可以或许 长途 监控和优化升级,企业的ERP体系 生产筹划 数据也要与MES体系 对接,在办公网络和工业网络之间如那边 理 惩罚 边界 和信息安全题目 ?
牛志军:MES和办公网,肯定 要网络隔离(发起 通过网闸,实现数据单向传输)。别的 ,终端接入这2张网,也发起 终端分开,终端间不要互换 数据。实行 相对严格 的两网隔离战略 ,只答应 背景 间单向互换 数据(着实 不可 ,对双向互换 的数据举行 严格 限定 ,限定 好哪些表单或接口,才华 互换 数据)。
高朋 简介
牛志军,前华为信息安全资深顾问、前华润团体 信息安全负责人,现任安恒南边 咨询规划总监,是国内最早一批ISO 27001 LA、CISA、ITIL Expert、Cobit Expert资质得到 者、ISO 9001 国家注册考核 员;具有20年信息安全一线实战履历 ,是华南首批信息安全从业者,服务过的企业包罗 万科、华润、深圳地铁、中国南边 电网、中国广东核电等。善于 范畴 :信息安全、云盘算 、大数据、IT规划、IT架构、IT审计;兼攻:财经、文史、阳明心学。
我要评论