吕毅,目前任中国人民银行金融信息中心信息安全部副主任,分别在人行科技司、香港金管局交流工作,高工,CISSP、CISP、信息系统项目管理师(高级),三次获得银行科技发展进步奖,在读博士。16年信息系统管理及安全建设运维实践经验,长期开展安全管理及一线运维,目前从事信息安全运营、应急响应及互联网攻防。撰写《从信息安全运维向信息安全运营进化的探讨》(北大核心期刊)、《基于攻击视角完善信息安全弹性防御体系的思考》(《金融电子化》)等多篇文章。

唯人安,才有网安,人是安全的尺度。如何树立人才意识,通过对人才的选拔(选)、使用(用)、培训(育)、持续激励(留),打造一支方向正确、能打硬仗的网络安全队伍,成为网络对抗成功与否的关键。

金融是关键信息基础设施,没有金融安全就没有国家安全。保障金融市场安全高效运行和整体稳定是国家要求,也是时代赋予的使命。在Gartner的IT成熟度模型(如下图)中,由人,流程和技术三足鼎立支撑业务。如果人是1,是方向,则流程和技术就是后面几何倍数增长的0,而方向错了,努力只会离目标更远。此次以银行业为例,对现有网安人员现状进行分析并就当下环境中网络安全人才的选用育留进行探讨。

一、银行业网络安全人员挑战

银行业涉及资金及用户信息,属于典型风险厌恶行业,合规要求高,服务范围广,外部攻击频,风险敞口大。其对网络安全人员属刚需,银行业也加大力量自培和外招,但仍在人员方面遇到以下挑战:

一是人员选育周期长。从银行业人员选用来说,报编制批职位走流程时间长,同时学历是硬合规,易出现两类问题。首先,国内现有网络安全学科仍属于新兴学科,科班出身知识体系搭建完成,但偏理论、缺实践。其次,校招人员培育周期长,就像优秀的狙击手是用子弹堆积起来一样,合格的网安人员是从众多的安全事件中成长起来的,踩过的坑是一笔不可多得的财富,银行对于风险的低容忍度决定了采用成熟技术为主,自主创新动力不足。

二是对人员综合水平要求高。攻防方法差异造成攻强守弱。攻击是点,如矛,一门深入可以实现单点突破;而防守是面,似盾,应建立系统的防御思路和方法。爱尔兰共和军成员曾在刺杀撒切尔夫人未遂之后发出警告:“今天我们是不幸的,但请记住,我们仅需要一次幸运,而你们必须要总是如此幸运”。正如攻方十次进攻中,一次成功就可以达成目标判定成功;而守方刚好相反,十次防守中,一次被攻陷即视为失败。由于攻守双发背负不同业绩压力,守方需要扩大知识体系和单点的技术纵深,对综合能力要求较强。

三是人员用留体系出问题。从用的角度看,安全人员偏攻防,但大量处理各类事务性工作,各种“重要事项”的大量偏重形式主义的“痕迹管理”,检查考核名目繁多,频率过高,多头重复,长此以往,存在能力不足和精神懈怠的危险。从留的角度,安全人员培养不易,在实战环境中经过三到五年的培养成为骨干后,需要有更多获得感和持续的兴趣培养,如果没有市场化薪酬和晋升体系以及合理的企业文化,重视技术的互联网公司和企业会形成人才虹吸效应。

二、培养和使用网络安全人员

培养网络安全人才观要抓住网络安全的本质,即对抗。对于网络安全人员,要从攻击者视角分析问题,以防御者视角解决问题,守正出奇,用实战演练检验效果。想达到这样的效果,要从以下几个方面进行完善:

一是从攻防角度开展人员培养。银行业和互联网企业的显著区别在于,互联网是以攻击技术入道,技术获得感强;银行业是从防守技术入门,以防研攻,安全自研比例低,多采用成熟技术,技术获得感低,需自我激励。

对于银行业人员,要从管理角度逐步下沉到技术层面。看似在目前攻防中防守方处于弱势,实际上可通过系统化架构,纵深防御,缩小攻击面,混淆等方法有效提高攻击方成本,切断攻击方路径,在合理架构情况下实现信息安全的主场优势。

二是形成合理的人员技能提升机制。现有知识迭代速度过快,知识和经验的贬值也遵循摩尔定律,电话诈骗已经采用AI技术了,安全还守着老三样搞合规应付检查就会缘木求鱼。因此,要不断开展能力培训和提升,支持员工持证上岗,对于培训、考试费用进行支持。同时,充分理解人的疲劳期,设定轮岗,首先在终端、网络、主机、应用等安全岗位进行轮换,初期先接触运维,从运维中累积项目经验后逐步开展安全研究、安全项目建设等工作;其次在有条件情况下,将安全人员派驻开发团队和业务部门进行短期轮训,以开发、业务的角度理解安全,从“站在安全话安全”到“跳出安全做安全”,培养DevSecOps(2012年Gartner提出的安全理念,意思是让安全融入开发和交付,在其中起到枢纽和同步保障的作用)复合型人才,持续提升安全技能天花板和人员获得感。

三是开展团队建设。环境好,则人才聚,事业兴。网络安全领域有不少奇才、怪才,往往不遵循常规讨论,思维开放,也因此能守正出奇解决问题,但这给团队管理带来挑战。为此,要形成积极包容的团队氛围,德贤兼备,以德为先,在底线思维(远离黑产,不作恶)原则下尽量灵活变通。管理上遵循奥卡姆剃刀原则(如非必要,勿增实体),松绑减负;技术上遵循纵深冗余原则,急用先行,鼓励尝试,让团队保持自我创新和进化,有获得感和集体荣誉感。同时,团队管理人员应主动作为和担当,掌握度和量,避免平均主义和不作为。另外,用动态和发展的视角看待人员的持续上升,避免心理学中锚定效应造成的认知偏差,即用人员刚来团队时候的能力对其发展后的能力进行评估,及时主动调配适当资源。

三、几点注意事项

网络安全,不光要低头拉车,更要抬头看路,掌握全局观,经常换位思考网络安全人员选育留体系。

一是形成知识传承体系。定期开展人才盘点,做好团队的知识管理,有充分的忧患意识,进行资源推演,梳理网络安全人才的价值链,对于关键人员进行备份或将安全知识固化,规避单点故障。

二是正确认识所处网络安全阶段。根据SANS安全滑动象限模型(如下图),随着单位IT能力成熟度的提升,安全的水平也随之提升,不同安全阶段对于人的要求可以有侧重。在架构和被动安全阶段需要偏重实施和管理的人才,偏知识的广度,而在主动和后面的象限,对于专业能力要求提高,除了安全运营作为基础要加强外,安全人才能力主要向分析和编程能力靠拢,看中的是知识的深度(此处会大量涉及造轮子和SDL进程)。安全人员选择要对标好企业IT能力阶段,在自有人员和外包人员,自研和外购之间进行权衡和选择,但外包中应注意,工作外包责任不会外包。

三是培养懂银行业务的复合型安全人才。网络安全在银行业属于后台支撑部门,随着技术发展,现在银行业已经统一和弱化前后台,在中台业务层开展大量创新。安全面临说起来重要,做起来次要,忙起来不要的窘境。为此,网络安全人员不光要顾及物理层、网络层、系统层(以实现对业务的保值),更要想办法在应用层寻找业务逻辑漏洞开展保护避免损失(以实现对业务的增值)。应用层逻辑判断就是从外部安全视角理解银行业务流程、数据的逻辑关系,只有懂银行业务(资金流,信息流,业务流),明白行业创新方向的安全人才不会被“代维”而失业。

以人为本,不能说一套,做一套,人是资源也是成本,把人的产值提升上来是资源,提升不了就是成本。信息安全要做好人才库储备、人才梯队培养、人才评估和人才激励,选人用人不唯学历、不唯身份、不唯资历,让人成为网络安全的第一道防线,以应对变革时代的黑天鹅与灰犀牛。

(本文刊登于《中国信息安全》杂志2018年第12期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。