编者按:大型机构安全建设系列文章,将围绕大型机构在安全规划、安全运营、攻击面管理、威胁情报体系建设方面的挑战,邀请奇安信集团安全专家进行深入分享。

随着对网络安全防护认识的日益全面和深入,从全局进行网络安全规划的作用和价值被逐步认可,越来越多的大型机构积极推进网络安全规划工作。安全规划如何提升机构网络安全能力?安全规划应该怎么开展?《26号院》邀请到奇安信集团战略咨询规划部(以下简称:奇安信战规)总经理邬怡,就大型机构的网络安全规划进行深入探讨。

图:奇安信集团战略咨询规划部总经理邬怡

邬怡认为,随着安全成熟度的提升,安全规划的需求正在逐步释放。大型机构的安全规划,应该以常态化可持续方式开展,提升安全成熟度,持续输出安全价值。

现状:安全成熟度提升,网络安全规划需求正逐渐释放

《26号院》:当前国内大型机构的网络安全规划现状是什么?哪些行业领域较为成熟靠前,哪些行业领域仍有待提升?

邬怡:过去几年,奇安信帮助超过100多家央企和部委开展网络安全规划。从整体网络安全规划的形势上看,主要有三个特点:

首先,目前的网安咨询规划需求主要集中在政府部委,以及能源、金融等头部行业。相对来说,这几个行业的政策敏感度、业务相关度最大,对网络安全咨询规划的需求提出最早;一些相对传统的行业存在较大提升空间。

其次,网络安全咨询规划越来越呈现 “中国特色”。以往的网络安全规划一般会纳入信息化规划中一并完成。在服务商选择上,一般会选取国外知名咨询机构。这些国外咨询机构的安全规划经常导致“水土不服”、难以适配国内需求。近几年,随着国内咨询机构能力的不断提升和政策要求的变化,越来越多的大型机构选择国内的安全咨询机构开展网络安全咨询规划。

最后,网络安全咨询规划的需求正在逐渐释放。目前网络安全咨询规划的主要案例还集中在信息化发展较快的一些行业领域,但随着传统行业数字化转型的深入,我们已经收到了越来越多的规划需求,这也是国家推进“网络强国”战略带来的必然现象。

另外,从国内政企机构网络安全成熟度来看:

· 网络安全成熟高的大型企业会积极推进咨询规划工作。网络安全成熟高的大型企业,能正确理解业务需求,认识到网络安全的价值和作用。其中,少部分企业内部有小型规划团队或网络安全规划专岗,能在借助外部专业团队的帮助下,定期合理地开展网络安全咨询规划与技术演进路线设计,频率可达每年都进行(滚动)规划,将安全建设融入业务发展,以科学化、体系化的方式开展网络安全体系建设。

· 大部分网络安全成熟度较高的企业都有开展体系化规划,以规划作为安全建设的指引。但由于安全组织、安全管理建设方面不足,完全依靠外部专业咨询团队,以企业发展规划的重大契机(如“十三五”规划、“十四五”规划)为网络安全工作的推动力,以安全能力为导向开展网络安全专项规划建设,提升网络安全建设的整体水平。

· 网络安全成熟度较低的政企网络安全工作处于完全被动状态。缺少专业的网络安全规划内容,网络安全规划可能仅作为信息化规划的少部分内容呈现,存在于“十三五”、“十四五”的信息化(数字化)规划中。安全工作以合规为导向,安全缺少体系化。近年来,随着国家监管部门的要求、法规的强制性与国内安全环境的影响,此类企业都已经慢慢改善,网络安全规划工作都逐渐提到了新的高度。

难点:大型机构安全规划需满足三项核心需求、解决四大难点

《26号院》:目前大型机构网络安全规划的需求和难点是什么?

邬怡:总结一些大型机构的安全规划案例,我们发现一个很有意思的现象:业务数字化程度越高的企业对安全咨询规划的理解越深入、要求越高。这种理解和要求主要体现在:

1. 逐步认识到安全工作复杂性,要求用工程化、体系化的规划方法论来指导安全建设。数字化转型再造了业务流程、汇集了大量数据、使边界越来越模糊,安全呈现出“复杂巨系统”的特性,需要工程化、体系化的规划方法论来指导建设。

2. 安全规划需要能够全面识别安全能力的管控点、进一步设计管控流程。安全能力需要与业务更加深入的融合,数据和信息系统已经融入业务流程,成为了新的生产要素,安全能力也需要进一步与业务和信息化流程相融合,需要咨询规划工作能够全面识别安全能力的管控点、进一步设计管控流程。

3. 能够与信息化规划对齐的安全规划方法成为新的需求。“查字典”式的咨询规划方法已不能满足大型企业的需要,基于合规要求的安全体系建设成为了大型企业的基础工作,金融、能源等先进行业正在寻求一种能够与信息化规划对齐的安全规划方法。

要满足大型机构的安全规划要求,并不是一件容易的事。主要有四大难点:

难点1: 业务、信息化和安全有着不同的沟通界面和沟通语言,要保障安全规划不是技术型“自嗨”的设计,就需要安全规划使用与业务和信息化相同的沟通界面,这对于不同知识背景的人来说是一件很难的事情。

难点2: 组织内部管理层缺少对网络安全专业的了解,对网络安全工作认知有限,也没有合理的网络安全治理架构。造成部分企业的决策层将主要关注点放在业务发展,忽视网络安全,对规划工作的价值没有认同。导致企业的网络安全管理层,对于网络安全工作不敢请求更多的资源,更不敢启动专门的网络安全咨询规划项目。从而形成恶性循环,决策层更加看不清网络安全工作的全局,不清楚网络安全工作的价值与作用。

难点3: 从安全战略到安全措施的落地,涉及到决策层、管理层、实施层等不同层级的人员,要保障安全工作成效不打折扣,需要通过咨询规划工作拉齐各个层级人员对安全的认知。设计出从战略到落地的“一张蓝图”,指导安全工作在统一的步调下开展。

难点4:对咨询规划方法论的评判需要对安全体系有深刻的认知,需要大量的人力、物力和财力投入,这对一些企业来说是一个挑战。其工作成效的展现所需的周期较长,很难在项目招标周期中进行准确的衡量,很多企业仅仅基于成本考量,反而浪费了资金、错过了节点。

破题:战略意识、匹配业务、培育人才是安全规划的三要素。

《26号院》:有哪些网络安全规划经验可供大型机构借鉴?重点需要把握哪些环节?

邬怡:在长期服务大型机构的过程中,我们的确总结了一些企业安全战略规划的成熟经验,可以供大型机构来参考和借鉴。这主要包括三个方面:要具备网络安全战略意识、要做到与企业自身业务相匹配,以及培育自己的安全人才。

一是企业的决策和管理层需要具备网络安全战略的意识,企业必须不失时机地定期制定或更新网络安全战略规划,才能成功适应企业业务和IT的发展变化。

二是企业不要盲目模仿其他企业的网络安全战略。网络安全战略需要匹配本企业自身业务和IT发展规划,每个企业的业务和IT发展规划是基于特定的企业战略,它因时、因地、因公司而变化。

三是培育自己的网络安全人才,企业在实施网络安全战略时必须清醒地认识到,有了正确的工作思路,还要具有相应能力的管理者及员工才能实现公司的网络安全战略意图,否则在执行过程中会偏离方向,不仅无法实现网络安全战略目标,反而很可能会给企业造成重大损失。

因此,我们认为,要正确的开展网络安全规划工作,重点需要把握两点:理清认识观念与规划工作工程化。

一是需要厘清网络安全规划工作的实际意义。错误的观点认为网络安全的规划就是网络安全部门自己的事,造成规划工作的闭门造车情况,规划项目执行团队在不清楚业务发展、不清楚业务保障需求的情况下完成的规划内容。这个问题需要项目的团队具有成熟的咨询规划方法与工具流程,在项目过程中需要保证业务部门积极参与、重度参与。以科学的方法开展项目,加强网络安全与业务的聚合。可以与有能力开展网络安全专项咨询规划项目的安全厂商多交流,借助有实力、有经验的网络安全厂商的帮助,将开展项目的过程、成果、作用、价值等内容探索清楚。在获得决策层支持的情况下,通过实际项目进行实践。将实践所获得经验,形成常态化的任务项。确定好常态化开展咨询规划项目的机制、流程、任务。

二是将网络安全规划工作工程化,保障网络安全从战略到执行的过程能够顺利开展。需要咨询规划团队具备工程化的方法论,对网络安全技术发展、国内网络安全市场、网络安全工程建设都有深入的理解,能通过战略任务的设计和架构管控保证网络安全战略的落地。同时也可以在项目执行过程中,要求项目执行团队,需要针对网络安全特定的大型建设,开展解决方案到实施的咨询设计。

实践:以安全规划引导安全建设,推动行业转变。

《26号院》:奇安信在安全规划方面和客户做了哪些探索,有哪些收获?

邬怡:奇安信战规作为网络安全咨询规划服务的提供方,充分吸收国内外先进的方法及框架(如:TOGAF、DODAF、SABAS、CTF、IPDR2、C2M2等),结合大型企业的实际情况,利用内生安全—新一代网络安全框架成果,提供“十三五”、“十四五”在内的3-5年期网络安全体系规划设计。

奇安信战规先后服务多个政府部委、央企、大型民企,覆盖金融、能源、交通、制造业、及智慧城市、数字政务等方向,包含但不限于:南方电网、中石化、中海油、三峡能源、中国铁塔、大唐电信、国电投、邮储行、北京银行、兴业银行、一汽丰田、中车集团、HTKJ、奇瑞集团等数十家单位,在满足大型企业网络安全规划的同时,自身的方法论更加丰满,更具逻辑性、推理性更强。2023年,奇安信凭借实战导向的安全咨询服务,在国际权威咨询机构Forrester发布的 《2023年Q3亚太网络安全咨询服务市场格局报告》中被提名,并被评为知名供应商。

奇安信以系统工程方法论结合内生安全理念,推行以咨询规划引导网络安全建设,推动整个行业,主动改变传统网络安全思维,变“事后补救”为“事前防控”型建设思路,用“十大工程五大任务”建动态综合的网络安全防御体系,让网络安全从局部整改外挂式建设模式,转向安全与数字化业务的深度融合体系化建设模式。

通过与客户的深入合作和交流,我们采用业内先进的方法论和安全理念,进行体系化、系统化的安全规划,解决碎片化、两张皮的问题,实现网络安全与信息化深度融合,全面覆盖。通过专家团队的深入调研分析,定制化设计,体系化规划,帮助客户掌握自身时间和空间范畴的网络安全全景,帮助企业充分了解网络安全现状并识别安全风险,明确安全建设工程,指明网络安全建设资源(人、钱、物)投入依据,明确网络安全建设项目实施路径和优先级,指导项目立项。

建议:把握五年网安规划与三年网安规划滚动更新的要点

《26号院》:对于大型企业的网络安全规划,奇安信有哪些具体建议?

邬怡:从全球范围看,数字化已成为推动经济社会转型、实现可持续发展、提升国家竞争力的关键动力引擎。信息化、网络化、数字化在带来巨大红利的同时,也随之带来新的安全风险。同时,大型企业网络安全建设也面临严峻挑战,面向这样的变革机遇期,针对五年网络安全咨询规划、三年网络安全规划滚动更新等性质的咨询规划,奇安信建议如下:

1. 以“三同步”原则,推进安全和信息化的“全面覆盖、深度融合”,建设网络安全基础设施和实战化运行体系。

2. 安全规划应致力于提高网络安全成熟度。大型企业需要通过咨询规划,将网络安全工作条例化、显性化,以常态化、可持续方式开展网络安全规划,实现网络安全体系的自我驱动、循环提升,从而提高网络安全成熟度,面向实战化对抗,持续输出安全价值。

3. 采用科学的规划方法论指导安全规划全周期的工作。网络安全咨询规划具有专业性强、复杂度高和涉及面广等特点,规划出的项目(工程和任务)的目标展望、资源要求、关键里程碑、可落地性、检验标准等要素,对于确保规划项目的科学性、经济性、可控性与结果的可达成起到关键作用。将网络安全、系统工程、项目管理、服务管理等理论融入网络安全规划方法中,合理使用安全规划工具,确保能以完整、严谨、科学的方式将安全专业知识应用于规划建设全周期,使规划出的项目(工程和任务)适合企业。

(奇安信战规安全专家舒适、张泰宁、王维超、莫非对本文亦有贡献)

关 于 作 者

邬怡,奇安信集团合伙人,集团战略咨询规划部总经理。曾在国内知名云计算公司和网络安全公司工作,负责安全产品以及解决方案的技术规划,长期从事安全技术应用创新探索和前沿技术预研。多年从事信息安全规划工作,擅长安全架构设计。多次参与国家部委、大型央企信息安全规划和建设工作,对企业安全架构、数据安全、云安全有非常丰富的经验。

本文选自奇安信《网安26号院》大型机构安全建设专题。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。