信息通訊技術(shù)的廣泛應(yīng)用,使得網(wǎng)絡(luò)空間成為繼陸、海、空、天之后人類活動(dòng)的第五空間。人們的日常生活的大部分活動(dòng)已經(jīng)融入到網(wǎng)絡(luò)空間。物理空間存在的安全問(wèn)題在網(wǎng)絡(luò)空間中同樣存在,而且危害更加隱蔽,后果更加嚴(yán)重。法律法規(guī)和標(biāo)準(zhǔn)規(guī)范對(duì)組織機(jī)構(gòu)在網(wǎng)絡(luò)安全方面的要求也達(dá)到前所未有的高度。接近實(shí)戰(zhàn)場(chǎng)景的攻防演練給很多組織機(jī)構(gòu)造成了空前的壓力。越來(lái)越多的組織機(jī)構(gòu)認(rèn)識(shí)到,現(xiàn)有的安全團(tuán)隊(duì)無(wú)法應(yīng)對(duì)新的網(wǎng)絡(luò)安全形勢(shì),需要重新考慮如何建設(shè)一支架構(gòu)合理,人才齊備的網(wǎng)絡(luò)安全團(tuán)隊(duì)。 安全團(tuán)隊(duì)建設(shè)應(yīng)遵循因事設(shè)崗的原則,因此應(yīng)先詳細(xì)梳理組織機(jī)構(gòu)中網(wǎng)絡(luò)安全管理的工作職責(zé)和任務(wù)內(nèi)容,然后將性質(zhì)類似的任務(wù)合并,設(shè)置相應(yīng)的部門,承擔(dān)該組任務(wù)。 按照PPT(Process、People、Technology)模型對(duì)網(wǎng)絡(luò)安全工作進(jìn)行分類,大致可以分為統(tǒng)籌規(guī)劃、人員管理、技術(shù)支撐三大類。 規(guī)劃治理是組織機(jī)構(gòu)中具有全局性和權(quán)威性的工作,主要包括以下四個(gè)方面的工作: l 總體規(guī)劃編寫負(fù)責(zé)制定組織機(jī)構(gòu)未來(lái)一定時(shí)期的網(wǎng)絡(luò)安全發(fā)展總體規(guī)劃,這個(gè)規(guī)劃必須與組織機(jī)構(gòu)的整體業(yè)務(wù)和信息化目標(biāo)一致,同時(shí)還要考慮當(dāng)前網(wǎng)絡(luò)安全建設(shè)的成熟度,分階段循序漸進(jìn)的進(jìn)行相關(guān)建設(shè)。 在數(shù)字化轉(zhuǎn)型過(guò)程中,很多行業(yè)都提出了“智慧+”的概念,如智慧醫(yī)院,智慧司法等等。這些智慧化改造過(guò)程中,采用了很多新的信息通訊技術(shù),這時(shí)候安全建設(shè)的規(guī)劃就需要與“智慧+”的業(yè)務(wù)和信息化目標(biāo)相一致。例如在智慧醫(yī)院中,接入網(wǎng)絡(luò)通常采用WIFI協(xié)議,同時(shí)很多儀器設(shè)備成為物聯(lián)網(wǎng)的傳感終端,因此安全規(guī)劃中必須包含無(wú)線網(wǎng)絡(luò)安全和物聯(lián)網(wǎng)安全的內(nèi)容。 總體規(guī)劃中不僅要包括一些硬的建設(shè)項(xiàng)目,還應(yīng)包括一些軟的研究課題,即將組織機(jī)構(gòu)內(nèi)部需要解決的問(wèn)題最為科研立項(xiàng)的方式列入規(guī)劃。這是一些大型企業(yè)普遍采用的方式。 l 規(guī)章制訂發(fā)布網(wǎng)絡(luò)安全流程和規(guī)章制度,是組織機(jī)構(gòu)網(wǎng)絡(luò)安全管理體系的重要組成部分,隨著網(wǎng)絡(luò)安全建設(shè)不斷走向成熟,相關(guān)規(guī)章制度也需要進(jìn)行及時(shí)的建立和修訂并向全體人員正式發(fā)布。 l 活動(dòng)組織協(xié)調(diào)根據(jù)合規(guī)要求,組織機(jī)構(gòu)須定期進(jìn)行涉及全體部門和人員的網(wǎng)絡(luò)安全活動(dòng),如定期的績(jī)效考核、風(fēng)險(xiǎn)評(píng)估、應(yīng)急演練、外部審核等。這些大型活動(dòng)涉及人力物力的等資源的調(diào)配,因此需要由總部的權(quán)威部門統(tǒng)一組織協(xié)調(diào)。 l 績(jī)效考核檢查保障網(wǎng)絡(luò)安全不僅僅是相關(guān)部門的專責(zé),還需要全員的重視與配合。網(wǎng)絡(luò)安全績(jī)效應(yīng)作為全員績(jī)效考核的內(nèi)容之一。應(yīng)定期根據(jù)績(jī)效考核指標(biāo),對(duì)網(wǎng)絡(luò)安全部門自身的工作以及組織機(jī)構(gòu)內(nèi)部所有部門及人員進(jìn)行網(wǎng)絡(luò)安全績(jī)效考核。 l 公共關(guān)系處理當(dāng)發(fā)生重大安全事件后,商業(yè)機(jī)構(gòu)需要立即啟動(dòng)危機(jī)應(yīng)對(duì)的流程,其中包括:向監(jiān)管部門報(bào)告、通知受影響的用戶采取措施、應(yīng)對(duì)媒體的采訪并發(fā)布官方消息等。 絕大部分信息系統(tǒng)都是人機(jī)交互系統(tǒng),因此人員是重要的信息資產(chǎn)。人員管理包括針對(duì)全員的安全意識(shí)培訓(xùn)以及針對(duì)相關(guān)崗位人員的技能培訓(xùn)和背景審查。很多組織機(jī)構(gòu)習(xí)慣采用技能競(jìng)賽的方式提升相關(guān)人員的專業(yè)技能。例如舉辦內(nèi)部攻防競(jìng)賽或組隊(duì)參加公開(kāi)競(jìng)賽。此外機(jī)構(gòu)內(nèi)訓(xùn)、社團(tuán)沙龍、行業(yè)研討也是可以考慮采用的培訓(xùn)方式。 背景調(diào)查的主要目的是發(fā)現(xiàn)重要崗位人員是否存在可能被利用的弱點(diǎn)。比較詳細(xì)的背景調(diào)查除了學(xué)歷、工作經(jīng)歷、犯罪記錄之外,通常還會(huì)包括:投資損失、家庭矛盾、輕微違法、成癮嗜好等內(nèi)容。 根據(jù)崗位對(duì)人員的知識(shí)技能要求的差異,可以將技術(shù)支撐工作劃分為安全開(kāi)發(fā)、安全運(yùn)維、安全研究等三個(gè)方面。 l 安全開(kāi)發(fā)安全開(kāi)發(fā)工作主要包含:1)在設(shè)計(jì)階段對(duì)信息系統(tǒng)的安全需求進(jìn)行分析,并提出安全特性要求。2)從安全要求的角度對(duì)程序代碼進(jìn)行審核。3)對(duì)信息系統(tǒng)的安全特性進(jìn)行測(cè)試。此外還包括根據(jù)需要對(duì)系統(tǒng)開(kāi)發(fā)人員進(jìn)行安全編碼技術(shù)和規(guī)范的相關(guān)培訓(xùn)。 安全開(kāi)發(fā)工作類似建筑工程中的監(jiān)理工作,從安全要求的角度對(duì)信息系統(tǒng)開(kāi)發(fā)人員進(jìn)行指導(dǎo),給出安全需求,核查系統(tǒng)開(kāi)發(fā)是否滿足了這些需求。 l 安全運(yùn)維安全運(yùn)維工作主要包含:1)對(duì)設(shè)備的運(yùn)行的物理狀態(tài)和環(huán)境進(jìn)行定期巡檢。2)對(duì)信息系統(tǒng)的響應(yīng)時(shí)間、域名解析情況、頁(yè)面完整性等進(jìn)行遠(yuǎn)程自動(dòng)監(jiān)控。3)按照工單要求,隨時(shí)維護(hù)信息系統(tǒng)的賬號(hào),備份/恢復(fù)數(shù)據(jù)。4)對(duì)發(fā)生的安全事件進(jìn)行響應(yīng)處置。遇到處置不了的復(fù)雜事件,可以請(qǐng)求技術(shù)層級(jí)更高的部門給與協(xié)助。 l 安全研究安全研究工作是全部技術(shù)支撐工作中技術(shù)復(fù)雜程度最高的部分,主要包括:1)設(shè)計(jì)組織機(jī)構(gòu)內(nèi)部總體攻防演練的內(nèi)容和方式,編寫相關(guān)的演練劇本。2)開(kāi)發(fā)自用的安全工具,解決安全管理工作中的定制性需求。3)應(yīng)安全運(yùn)維部門的請(qǐng)求,協(xié)助分析復(fù)雜的安全事件。4)追蹤前沿攻防技術(shù)發(fā)展,提升攻防技術(shù)水平。5)信息系統(tǒng)開(kāi)發(fā)完成之后,除了要做安全特性測(cè)試之外,還需要做滲透測(cè)試。滲透測(cè)試人員需要具備具備較深厚的研究探索能力,故此將滲透測(cè)試歸為安全研究類的工作。 需要特別說(shuō)明的是,技術(shù)本身是中立的,屬性上沒(méi)有絕對(duì)攻和防的區(qū)別。攻防的區(qū)別只在于被哪一方所掌握和利用。即同一項(xiàng)技術(shù),掌握在攻擊者手中,就是攻擊技術(shù)。 網(wǎng)安領(lǐng)導(dǎo)小組在很多組織機(jī)構(gòu)中是一個(gè)虛擬機(jī)構(gòu),導(dǎo)致大部分情況是形同虛設(shè)。為了更好的落實(shí)網(wǎng)絡(luò)安全各項(xiàng)工作,做為組織機(jī)構(gòu)中最高層級(jí)的網(wǎng)絡(luò)安全部門,網(wǎng)安領(lǐng)導(dǎo)小組應(yīng)獲得更多的實(shí)際授權(quán),承擔(dān)更多的實(shí)際職能。例如以網(wǎng)安小組的名義推動(dòng)內(nèi)部監(jiān)督檢查、績(jī)效考核等各項(xiàng)管理工作,在安全工作規(guī)劃中,鼓勵(lì)各部門提出與網(wǎng)絡(luò)安全相關(guān)各種建議,如研究立項(xiàng)、跨部門協(xié)作等等。 首先,網(wǎng)安小組的成員應(yīng)包括各二級(jí)部門的負(fù)責(zé)人或分管信息化工作的領(lǐng)導(dǎo)組成,具有足夠的代表性。其次,網(wǎng)安小組是一個(gè)議事決策機(jī)構(gòu),應(yīng)該定期召開(kāi)會(huì)議,討論網(wǎng)絡(luò)安全總體工作規(guī)劃,組織編寫內(nèi)部網(wǎng)絡(luò)安全管理規(guī)定,并審議發(fā)布。 不同的組織機(jī)構(gòu)對(duì)安全管理部門的命名不一樣,但基本職責(zé)定位都應(yīng)該是網(wǎng)絡(luò)領(lǐng)導(dǎo)小組下的具體執(zhí)行部門。管理部門負(fù)責(zé)執(zhí)行與網(wǎng)絡(luò)安全相關(guān)的發(fā)展規(guī)劃、規(guī)章制度等各種文檔的起草、組織協(xié)調(diào)監(jiān)督檢查、績(jī)效考核、風(fēng)險(xiǎn)評(píng)估、合格測(cè)評(píng)、應(yīng)急演練、技術(shù)培訓(xùn)等網(wǎng)絡(luò)管理活動(dòng)??煽紤]設(shè)置“文檔編寫組”和“組織協(xié)調(diào)組”兩個(gè)工作小組分別負(fù)責(zé)上述兩方面的工作。 前面將安全技術(shù)涉及的工作主要分為安全開(kāi)發(fā)、安全運(yùn)維、安全研究三個(gè)部分,可以成立“開(kāi)發(fā)測(cè)試組”、“運(yùn)維監(jiān)控組”、“紅藍(lán)對(duì)抗組”等三個(gè)小組分別承擔(dān)上述三類工作任務(wù)。如果安全事件分析的工作量比較大,可以考慮單獨(dú)成立“威脅分析組”,將安全事件深入分析的工作剝離出來(lái)專門由威脅分析組完成。 由于網(wǎng)絡(luò)安全管理工作具有極大的彈性,人力資源又無(wú)法參照信息技術(shù)資源那樣采用虛擬化和服務(wù)化方式適應(yīng)工作負(fù)載的彈性。而各行業(yè),各組織機(jī)構(gòu)自身業(yè)務(wù)的獨(dú)特性,使得很難找到網(wǎng)絡(luò)安全團(tuán)隊(duì)規(guī)模設(shè)置普適建議。網(wǎng)絡(luò)安全團(tuán)隊(duì)的規(guī)模,可以考慮以下一些因素:1)自身是否擁有數(shù)百人乃至數(shù)千人的軟件研發(fā)部門?2)運(yùn)行著數(shù)千臺(tái)乃至數(shù)萬(wàn)的信息化端點(diǎn)設(shè)備(含服務(wù)器、桌面終端、打印機(jī)等)?3)組織機(jī)構(gòu)中的需要使用信息系統(tǒng)的總員工數(shù)量 4)組織機(jī)構(gòu)信息系統(tǒng)用戶對(duì)信息技術(shù)掌握的熟練程度。 安全開(kāi)發(fā)小組人員的數(shù)量,建議按照軟件開(kāi)發(fā)人員總數(shù)的1-2%來(lái)規(guī)劃。例如一些大型企業(yè),軟件研發(fā)中心的開(kāi)發(fā)人員可以達(dá)到4000人的規(guī)模,安全開(kāi)發(fā)小組人員數(shù)量大致在40-80人是比較合理的安排。 安全運(yùn)維人員可以按照設(shè)備總數(shù)對(duì)人數(shù)的比例為300:1的數(shù)量來(lái)規(guī)劃,即如果各種信息化終端設(shè)備總數(shù)為30000個(gè),運(yùn)維小組的人員數(shù)量在100人左右是相對(duì)合理的安排。安全運(yùn)維工作中彈性較大的有明確標(biāo)準(zhǔn)規(guī)范的部分,可以考慮采用服務(wù)外包的方式降低固定人力資源的需求。 紅藍(lán)小組的工作通常不會(huì)有特別大的波動(dòng),但為了維持內(nèi)部技術(shù)學(xué)習(xí)環(huán)境,人員數(shù)量也需要保證一定規(guī)模,建議至少保持在10人以上的規(guī)模。或者藍(lán)隊(duì)角色由內(nèi)部員工充當(dāng),紅隊(duì)由外部專家組成。 一些大型企業(yè)經(jīng)常有項(xiàng)目評(píng)審、規(guī)劃編寫等工作需要咨詢外部專家的意見(jiàn)。有些企業(yè)遇到上述情況就是臨時(shí)向安全廠商發(fā)出邀請(qǐng),但各廠商派出的專家水平參差不齊,難以達(dá)到預(yù)期的目的。 建立一個(gè)經(jīng)過(guò)內(nèi)部評(píng)估,人員相對(duì)固定的外部專家團(tuán),是解決上述問(wèn)題的有效辦法。在需要外部專家協(xié)助的時(shí)候,優(yōu)先邀請(qǐng)專家團(tuán)成員提供相關(guān)咨詢,可以有效的保證相關(guān)工作的質(zhì)量,減少工作中的盲目性。 網(wǎng)絡(luò)安全屬于技術(shù)密集型工作,專業(yè)人員需要在實(shí)踐中不斷的互相學(xué)習(xí)(Peer Learning),并通過(guò)案例增長(zhǎng)經(jīng)驗(yàn)。如果接觸到的安全事件數(shù)量很少,安全團(tuán)隊(duì)人員達(dá)不到一定規(guī)模,無(wú)法形成有效的學(xué)習(xí)氣氛和環(huán)境,高手大牛也會(huì)逐漸失去技術(shù)領(lǐng)先優(yōu)勢(shì)。一些優(yōu)秀的技術(shù)人才選擇留在安全廠商工作,很大程度上因?yàn)殚L(zhǎng)期在非安全行業(yè)的組織機(jī)構(gòu),有可能失去很多繼續(xù)增長(zhǎng)技能的學(xué)習(xí)機(jī)會(huì)。因此,企業(yè)如果沒(méi)有達(dá)到一定規(guī)模,缺少足夠的資金支撐一個(gè)初具規(guī)模、架構(gòu)完整的網(wǎng)絡(luò)安全團(tuán)隊(duì),可以考慮外包服務(wù)來(lái)補(bǔ)充部門崗位的空缺。例如如果短期很難組建紅藍(lán)小組,可以考慮將相關(guān)工作外包給安全廠商。甚至一些常規(guī)的運(yùn)維監(jiān)控工作,都可以外包給訓(xùn)練有素的廠商技術(shù)人員。 本文作者:王衛(wèi)東 |
|