文│ 中国电科太极股份首席安全官、PCSA 安全能力者联盟首席专家 郭峰
20年前,企业负责安全的基本上是一套防病毒软件;15 年前,企业负责安全的基本上是一个兼职的系统管理员;10 年前,企业负责安全的基本上是一个专职的网络安全员;8年前,企业负责安全的基本上有了专职的信息安全部门负责人;5 年前,企业负责安全的基本上有了专职的网络安全小团队;3 年前,企业基本上建立了管理、技术两级架构的安全团队。当下,大型央企都在落实党委(党组)网络安全工作责任制。
近些年,在监管单位推动的网络安全实战化攻防演练和重大安保的持续“淬炼”下,验证了很多关键信息基础设施单位网络安全保障体系的好与坏。几场攻防战下来,但凡在优秀行列的单位无不体现了核心三要素,强有力的网络安全组织,领导重视和优秀的安全负责人(如安全处长、安全总监或者首席安全官)。
一、数字化企业需要强有力的网络安全组织
世界正在走向数字化,中国正在快速开展大规模数字化转型与建设,每个组织(行业、单位、企业、城市)在数字世界已经可以按照物理(Physical)空间和赛博(Cyber) 空间来划分。黑客组织、敌对势力网络攻击已经成为数字世界的主要威胁,网络超限战已经是霸权国家整体政治战略的重要组成部分,成为重要的军事工具,直接服务于对外政策,不断触动大国之间的神经。
数字化时代每个数字化组织(行业、单位、企业、城市)的关键信息基础设施、重要公共服务网络、重要信息系统规模越来越大,这些大系统、大数据、大平台成为数字中国经济社会运行的神经中枢,也成为敌对势力网络攻击的首选标靶。实战演练工作切实推动了数字化背景下企业各层面安全意识的有效提升 , 也让企业深刻认识到,数字化发展带来的安全问题已经成为实实在在的挑战,如何在数字化建设发展过程中做好网络安全防御体系是每个数字化转型中的企业都要面临的重大议题。
2020 年 5 月,PCSA 安全能力者联盟发布《年度大型攻防实战全景:红蓝深度思考及多方联合推演》系列框架图,展示网络攻防事前、事中、事后红蓝双方所需要开展的大量基础工作的全貌。
这个系列的大量基础素材来源于关键信息基础设施(CII)课题团队和 PCSA 安全能力者联盟,以及对国家关键信息基础设施领域上百家数字化企业安全负责人的调研结果。
从调研过程中,可以感受到,网络安全工作横贯涉及多机构、多部门、多角色,涉及业务、数据、平台、运营等多环节。网络安全部门的负责人,要说服决策层理解并支持工作,要提升整体组织安全意识,要解决历史积累的安全风险,要服务数字化转型需求。网络安全涉及全局全域,件件都需要落实,确实需要一个强有力的网络安全团队。
二、数字化企业需要有效的安全管理“三人”体系
网络安全团队要跑得快,全凭车头带。数字化组织网络安全管理机构需要建立从上至下有效的安全管理“三人”体系。具体包括,第一人是决策层,是组织中网络安全的第一责任人,例如党组负责制的领导层,负责定调、定方向。第二人是具体的安全管理者,具体可以是组织中首席安全官、安全总监、安全处长等,负责总体安全策略和综合计划制定。第三人是一线网络安全防御团队,是组织中的安全技术、运营负责团队,负责执行安全策略落地和日常运营。
在上述被调研的上百家单位中,很多单位的安全管理机构都在逐渐完善中。“三人”体系中缺任何一人就会有问题,缺得多问题就多,遇到网络攻击早晚失守,只是事件严重程度的高低。不重视安全工作肯定不行,重视但不落实具体措施也不行,有了具体措施但方向跑偏也不行。
目前,国内具备网络安全防御体系经验和实战的人才非常稀缺,所以,问题多也是自然的。网络安全防御体系庞大而复杂,能洞悉全貌需要极高的格局、眼界、层次,尽管也有独当一面的专家,但数字化组织更多需要的是“三人”综合体系。
在实际工作中,很多企业的高层决策者不是业务出身,也没有好的人才吸引和激励手段,导致无法留住专业人才,只能将安全工作外包。有些企业的领导者重视网络安全工作,但中层管理人员执行力不够,在攻防实战演练中往往一击即溃。随着数字化组织越来越大,网络安全的重要性越来越高,高效的网络安全“三人”体系在企业的安全管理中将逐渐发展成熟。
三、数字化企业需要一个成熟务实的首席安全官
关于首席安全官,国内外有不同理解。国外首席安全官有专业的职责、定义和能力要求,此处不再赘述。以下重点分析现阶段国内的情况。
在政府机构,基本设置是单位网信领导小组和网信办,党组成员有一名领导同志分管网络安全工作,负责落实《党委(党组)网络安全工作责任制实施办法》,单位网信办主任(或信息中心主任、副主任)承担综合网络安全管理工作,实际日常执行负责人都是信息中心网络(信息)安全处处长。
在国资企业,基本设置部分采用与政府相同的方式,部分设置了首席安全官,由国企集团副总裁级别人员兼任,集团管理信息部/科技部有分管的总、副总经理负责综合网络安全管理,具体执行负责人是网络(信息)安全处处长。
在国内互联网和数字化程度较高的民营企业,基本都设置了首席安全官的职位,具体负责的网络安全工作与国外首席安全官的职责相类似。
综合来看,在实际工作中,贴近首席安全官专业定义的更多是网络(信息)安全工作的实际执行负责人,不管是政府、国企还是互联网、民营企业,需要的是一名成熟务实的网络安全工作负责人。
就如何做一名优秀的首席安全官(网络安全负责人)而言,具备丰富的网络安全专业能力或许可以成为一名及格的网络安全负责人,如果要成为一名优秀的网络安全负责人,还应该具备三个方面的能力。
第一,具备识别业务发展、信息化建设和网络安全同步调的能力。
数字化业务发展、信息化建设和网络安全应同步发展,安全和业务是伴随的,也永远是动态平衡的,无论是超前或者滞后,步调不匹配或节奏不对就会出现问题。
10 年前,安全工作是明显滞后于业务发展和信息化建设的。随后,等级保护工作的开展持续推动了基础合规保护,让安全工作有了长足的进步。5 年前,网络安全实战演练开始,“李鬼式”的伪安全保护系在实战中纷纷现出原形。据统计,网络安全投入不匹配业务发展趋势的占比不在少数。
随着“十四五”规划开始启动,网络安全规划越来越多地要求与业务愿景匹配、与信息化规划匹配、与行业特点匹配、与建设节奏匹配、与发展步调匹配。业务发展到哪里,安全同步到哪里,业务规划到哪里,安全规划到哪里。很多单位对网络安全负责人能力要求越来越强,要求能够把握数字化业务发展、信息化建设和网络安全同步平衡发展。
第二,具备三个常态化核心能力,即汇报、横向协同、一体化落地。
汇报能力。向上级决策层清晰说明数字化组织面临的挑战和网络安全对数字化组织的核心价值、投入平衡度以及体现出预期效益。以预算决策为例,上级决策层听取网络安全工作汇报机会较少,所以首席安全官的汇报能力非常关键。网络安全技术专业出身的负责人汇报时往往会过于技术化,在短时间内,如果决策层理解不了就会忽略,尤其是在执行预算制度的单位,错过一个时机可能再开展相关工作就得等到下一年,整个安全工作的进度就会慢一年。
横向协同能力。与业务部门和其他部门协调划分好安全边界和职责是考验网络安全负责人的能力所在,很多工作冲突是因为在职责权利、义务的划分上有交叉。做好网络安全工作,逻辑要对,事情要顺,规矩要立,又不能产生大量的矛盾和冲突。安全工作边界的确定,可以通过三员方法论(安全管理员、系统管理员、安全审计员)这个基本办法进行延展。这个方法的核心就是把各个岗位的职能从交叉变成融合,当方向一致了,事情清晰了,边界清楚了,流程捋顺了,就可以将很多难以推动的事情加以落实。
一体化落地能力。数字化组织必须制定总体安全策略,这是一个组织的安全总纲宪法,以此来层层落实安全管理、技术、运营体系。很多单位的三个体系还流于形式、彼此独立。如果要将安全策略充分落地,一定需要进行一体化的融合,就像银行业务一样,有很多安全风险控制要求,最终落实在终端用户的就是银行柜台和银行 App 每个流程表单的控制。安全工作的核心是将总体安全策略拆解到安全管理要求,并通过安全技术能力实现技术要求,最终都融合对应到安全运营工作中去。如果这些要求没有落地到日常的安全运营工作中,往往会出管理目标落地难,纸上谈兵等问题。安全运营脱节不完整,就会导致安全策略落地变形,总体安全策略目标实现大打折扣。
第三,具备一体化弹性可扩展的网络安全业务管理和技术平台能力。
近年来,国家网络安全政策、法律、标准和监管单位(行业主管单位)文件不断发布,网络安全工作已经走向业务化,需要协同组织中不同部门和人共同参与,单靠安全基础管理平台和防火墙、防病毒、安全技术基础平台等简单工具和方法已经无法长久支撑。
当前,首席安全官(网络安全负责人)的业务范围已经包含战时和平时的两方面工作,每天随时接收和落实监管单位各种文件要求、安全通报和监管检查,还有年度多轮次的实战攻防演练和重大节点的安全重保,开展备战、迎战、决战、复盘等工作。平时则主要开展安全管理、安全技术、安全运营等不同层面工作。
从监管要求看首席安全官的工作内容,首席安全官(网络安全负责人)需要在本组织负责持续落实国家网络安全法律法规条例办法、安全标准系列、监管单位(行业主管单位)等不同阶段的文件要求,建设网络安全法律法规文件知识库。
从通报预警看首席安全官的工作内容,首席安全官(网络安全负责人)需要在本组织负责关注、接收和及时处置来自国家各级预警通报中心的威胁情报、漏洞弱点、数据泄露、安全态势等情况,本行业、本单位的重点被攻击情况,建设本单位的网络安全风险情报和通报预警平台,及时开展信息共享、方案制定、协同处置、预警通报、应急响应、指挥协同等工作。
从安全管理看首席安全官的工作内容,首席安全官(网络安全负责人)需要在本组织负责制定总体安全策略并年度进行动态调整,包括“十四五”规划和行动计划,年度安全工作计划和安全重点任务,制定安全管理制度、规划落实安全组织岗位、制定安全考核指标。建设网络安全日常管理工作平台,制定落实计划,开展监督、检查、指导、考核等工作,协同不同领域的安全工作开展。例如,和决策层明确安全管控目标、安全资源投入,和规划部门确定总体安全规划,和业务部门协同进行业务安全全生命周期工作,和数据部门协同数据安全流动管控,和 IT 基础设施部门协同 IT 安全架构和安全域规划,和 IT 运维部门协同安全监测、响应和防御处置,和资产管理部门协同数字化资产的安全管理,和采购部门协同第三方供应链的安全管理,和人力部门协同安全意识和教育培训体系等。
从安全技术看首席安全官的工作内容,首席安全官(网络安全负责人)需要在本组织负责供应链网络安全审查监控技术体系,开展合规基础安全保护、强化重点保护和指挥协同保护三个层面的工作。在大系统(应用层)层面建设应用层、代码层、系统层的安全监测防护技术手段,在大数据(数据层)层面建设数据层、组件层、API 层的安全监测防护备份恢复技术手段,在大平台(云平台、工业控制平台、物联网平台)层面建设平台及安全管控技术手段等。
从安全运营看首席安全官的工作内容,首席安全官(网络安全负责人)需要在本组织负责建设保护对象的资产基础库、安全能力基础库、风险情报基础库、统一认证体系、安全策略强管控体系、安全日志数据基础体系、溯源反制体系、实时监测体系、多层快速响应体系、智能化分析研判体系、动态风险评估体系、自动化防御体系、一体化攻防对抗体系、演练体系等。
经过这些年的发展,网络安全工作趋势日渐清晰,已经从合规体系走向态势感知体系、挂图作战体系、智能安全体系。数字化业务、信息化建设持续发展,网络安全工作涉及面广、暴露面广、监管要求多,最重要的一关就是体系合成和运转,不能再靠人工、手工临时应对,需要具备敏捷、迭代、弹性、可扩展、一体化的管理和技术 IT 信息化支撑平台。
数字时代需要更多的首席安全官(网络安全负责人)为数字化组织构建有效落地的网络安全一体化防御体系,实现数字化组织“看管监控”的安全中枢。
看,看得清数字化资产(被保护对象)的分布与边界,看得清实时攻击与防御,看得清风险隐患与应急处置,看得清组织管控与协同,看得清安全运行宏观全貌,做到心中有数。
管,理得清数字化资产(被保护对象)的主责与主权,理得清重要资产、核心资产、一般资产,理得清谁在用、谁在管、谁在监、谁在控,理得清主责方、同责方、守责方,理得清组织管控与一体化协同执行机制,做到未雨绸缪。
监,测得清数字化资产(被保护对象)的攻击方攻击源头,快速实现意图推理、态势研判、威胁预警、攻防评估,信息共享、体系对抗、能力调用、指挥协同、持续响应的反制方向,在多个关键场景和领域事前、事中、事后,全程持续动态的监控与识别,做到把握关键。
控,守得住数字化组织智能中枢,守得住关键信息基础设施,守得住重要信息系统,做到阵地管控。
首席安全官(网络安全负责人)需要持续打造数字化组织的安全中枢,在实现“资产清晰化、风险动态化、能力生态化”的基础上,满足“监测实时化、防御体系化、威胁预警化、响应迅速化、信息共享化、指挥精确化”的安全监管一体化。
(本文刊登于《中国信息安全》杂志2021年第11期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
