“百家”,对安在来说不算是新栏目,比如早前我们曾开设过的专家专栏,但算是又一次的开始,这意味着我们将以更开放和更包容的方式让网络安全“诸子百家”们“百花齐放”,他们是各个行业代表性企业的CSO、安全骨干,是业界大咖、专家,是思想者、实践者和分享者。为此,安在将会持续呈现来自“百家”们的最佳实践和真知灼见。
本期“百家”分享者,长期奋战在网络安全实践一线,现任某芯片设计公司信息安全总监。他的CSO系列文章最初发表在“安全村”(www.sec-un.org/)。
truebasic,经历复杂,当过开发、项目经理、创业者,“误入”信息安全行业12年,科技研发型企业甲方经历为主。希望成熟的甲方一起来带动乙方市场的健康成长,故有此CSO系列。期待与甲乙方同行多交流、共成长。联系邮箱[email protected]。
整整1年前,想写一系列文章,把CSO这个岗位的工作套路总结一下,不止包括自己掌握的,也包括听到的、看到的、从别人那里学来的。核心目的很简单:总结共享、共同提升。结果后来工作上的事情一忙起来,然后也有点懒,就耽搁了。今年决定要完成这个目标,于是,提起精神来、认真做下去。
因为比较擅长写制度、写策略,所以想保持一点严谨性,先定义几个名词概念,避免读者对后续的内容产生误解。说的不严谨之处,请大家指正。
国家安全
根据“国家安全委员会”的相关公告和百度查询,定义为:集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。
注意,这里用词是“信息安全”,我其实有点疑惑,按照现在的用词风格,用“网络空间安全”似乎更加合适,为什么呢?我为之找到的理由是:
(1)网络空间安全其实是其他层面的安全在网络空间的投射,可以被其他层面的安全概括;
(2)信息安全可能更加强调对各类信息资产、关键信息基础设施、个人信息中的“信息”保护。
网络空间安全 CyberSecurity
按照《国家网络空间安全战略》的描述,“网络空间安全”指“国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益”(不过文中并没有这么定义,是我自己总结的)。
在网络空间里面,维护国家主权和国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪等工作都归于网络空间安全工作的范畴,国家层面由中央网络安全和信息化领导小组、中国国家互联网信息办公室具体负责。
网络空间安全有时候也会被称为“网络安全”,因此在内涵、解释上往往容易造成误会。狭义的网络安全通常指保护关键信息基础设施、及其他有重大社会影响的信息系统,防止被攻击、入侵、破坏、利用和窃取数据,更大比例上用技术手段来实现。
企业信息安全 Information Security
指企业(包括政府、各类企事业单位、社会团体)为了自身利益和所承担的社会责任,保护所管辖范围下信息的机密性、完整性、可用性(有时候还包括抗抵赖性、可追溯性)。企业信息安全的内涵分为信息资产安全、业务安全。
信息资产安全指企业内部流转的信息资产(如各类电子文档、纸件、邮件、代码、有智力成果的固件、各种数据库里的数据、系统日志、办公研发区域、核心人员等)的机密性、完整性、可用性。
业务安全指企业内部核心业务的业务目标不被内外部威胁所破坏。这里的业务目标不止包括机密性、完整性和可用性,还包括收入、利润、真实用户量和访问量等各类业务指标。在不同行业和企业,业务安全的内涵有差别。
数据安全 Data Security
指各类电子数据的机密性、完整性、可用性。电子数据的典型形式包括但不限于各类电子文档、邮件、代码、有智力成果的固件、各种数据库里的数据、系统日志。我认为数据安全属于企业信息安全的一个子集,之所以会有这个子集,是因为电子数据的安全主要会通过技术手段来实现,由此就会派生出不同种类的安全工具和解决方案。
CSO
这里定义的CSO,应该是企业内部信息安全团队的实际负责人,是信息安全业务的一线、实际负责人。至于是行政正职还是副职、副总裁还是一级部门负责人还是二级部门负责人并不重要。
理解了几个基本概念,对CSO来讲,也许最重要的起步之一,就是要先搞清楚信息安全工作的驱动方式。
什么叫信息安全工作的驱动方式?
就是回答一个企业为什么要做信息安全。正确理解一个企业为什么做信息安全,可以:
(1)知道这个企业的信息安全目标、重点是什么,“知道为什么而战”比“怎么战”更重要;
(2)找到一个最合理、最有效的方式来推动信息安全工作,同时也能够更好地达到信息安全工作目标、展现价值;
(3)对CSO、信息安全从业人员的职业发展也是很重要的参考,知道这家企业是否适合自己、自己是否可以找到价值最大化的平台。
根据个人经验,我将企业信息安全工作驱动的方式归纳为4类:
1.事件驱动型
顾名思义,就是以被动响应为主的工作方式,通常指由于内部信息安全事件(诸如数据丢失或损坏、文档失窃、商业秘密被窃取、知识产权被侵犯、竞争对手的恶意破坏)、外部信息安全事件(诸如WiFi万能钥匙、勒索病毒爆发、斯诺登事件被披露),从而开展一系列安全建设动作。
2.合规驱动型
这个也很好理解,就是以满足外部规范、要求为主的工作方式,通常是根据外部规范、要求建立自身的信息安全管理体系,以达到规范要求为主要目的。
3.消费驱动型
没错,你没看错!就是以花预算为主的工作方式。通常是根据内外部规范、最佳实践和供应商推荐,制订年度规划和预算,开展信息安全建设。其主要目的是把今年的预算花完,明年才能够有足够的预算花,剩下的只要不出事就万事大吉。
4.业务驱动型
我原先把这种工作方式命名为“规划驱动型”,但是仔细研究后发现,“合规驱动型”和“消费驱动型”也可能形成明确的规划、并按照规划推进落实。斟酌之后,我调整为“业务驱动型”。
常见的状态通常是这样的:
(1)老板或业务部门重视;
(2)通常以业务部门发起、提出安全改进需求,或以信息安全部门发起、调研业务部门并形成安全改进需求,且业务部门的安全改进需求是信息安全部门工作的主要内容,其改进效果也应该是信息安全部门绩效的主要输入源;
(3)由于自身能力的问题,也可能会基于业务需求开展一些局部的、不系统的安全建设,甚至可能效果不好;
(4)业务驱动型做得好,往往也会有合规驱动的工作形式和内容。
业务驱动下的信息安全目标,大致归纳为几种:
(1)保护商业秘密和自主知识产权不被窃取和破坏;
(2)保护用户个人信息、数据和身份安全;
(3)保护系统和应用的安全;
(4)保护营销推广、交易、支付、营收等业务目标的达成,保护企业和个人的钱款,不被破坏、窃取、恶意利用。
其中(4)被很多金融企业、互联网企业称为“业务安全”、“风控”,而我对“业务安全”的理解会更广,这个话题另文描述。
以下根据个人经验所知,不免有些偏颇,仅略做总结:
金融行业首先以合规驱动型为主,近些年随着金融监管的加强、攻击窃取事件的发生、对数据安全和个人信息保护的重视,正逐步迈向业务驱动型,优秀的金融单位已经显然是业务驱动型。其中,银行业成熟度最高,证券业其次,保险业最后。
互联网金融近年来蓬勃发展,但由于面临监管合规和持续盈利的压力,总体局面上处于合规驱动型+业务驱动型结合,不同企业根据投入、自身能力各有偏重。
国内的电商、社交、游戏行业,由于业务开展充分依托互联网,无论是要对抗入侵和攻击,还是要防范内部操作风险都是生死存亡的关口,因此以业务驱动型为主。
科技行业(包括了传统的生产制造企业,新经济形态下的生产制造+研发企业,非互联网的纯研发类企业)中分化显著。营收和利润已经达到一定规模、具备一定市场影响力的科技企业,如果在保护自主知识产权、商业秘密方面有原发的动力,会很快地进入业务驱动型。而如果缺乏足够的科研实力,也就缺少保护知识产权和商业秘密的动力,往往会以事件驱动型或合规驱动型为主,并且合规驱动的动力大多来自于大客户。
对于政府、事业单位、关键基础设施(水、电、气等)管理运营单位,即使在强力推进《网络安全法》和等保测评标准的今天,我也认为是消费驱动型为主,合规驱动+事件驱动为辅。说的不客气点,其实主要目标就是花钱、堆项目,顺带解决部分信息安全问题。个人经历所限,我所见的这些单位都在华南,本观点不针对全国。
运营商的信息安全,总体上我认为属于合规驱动型。
地产、商业集团,我也见过3-4个,比较难以理解他们的信息安全工作驱动力是啥,就不瞎说了。
你所在的企业,信息安全处于那种驱动方式?来聊一聊?
在安在的分享第一期就先到这里了,关于CSO工作实践和心得,后续还有一系列的话题,不一定完全是我来写,也可能我会撺掇几个朋友一起来写,这里先预告一下:
l CSO应该如何开展工作?
l 如何评价一个企业的信息安全工作的好坏?
l 如何设计一个企业的信息安全架构和规划?
l 如何运行一个企业的信息安全管理体系?
l 企业信息安全团队人员的知识体系结构
l 数据防泄漏的体系应该如何建立、选择和运营?
l 信息安全审计体系应该如何建立、选择和运营?
l 如何满足信息安全合规要求?
l 一些靠谱的信息工具、平台推荐?踩过的坑和经验
有任何意见、建议和想法,随时可以联系本人,记得我的邮箱:
[email protected],欢迎交流!
閱讀更多 安在信息安全新媒體 的文章