互联网企业安全高级指南1.2 企业安全包括哪些事情
1.2 企业安全包括哪些事情
企业安全涵盖7大领域,如下所示:
1)网络安全:基础、狭义但核心的部分,以计算机(PC、服务器、小型机、BYOD……)和网络为主体的网络安全,主要聚焦在纯技术层面
2)平台和业务安全:跟所在行业和主营业务相关的安全管理,例如反欺诈,不是纯技术层面的内容,是对基础安全的拓展,目的性比较强,属于特定领域的安全,不算广义安全。
3)广义的信息安全:以IT为核心,包括广义上的“Information”载体:除了计算机数据库以外,还有包括纸质文档、机要,市场战略规划等经营管理信息、客户隐私、内部邮件、会议内容、运营数据、第三方的权益信息等,但凡你想得到的都在其中,加上泛“Technology”的大安全体系。
4)IT风险管理、IT审计&内控:对于中大规模的海外上市公司而言,有诸如SOX-404这样的合规性需求,财务之外就是IT,其中所要求的在流程和技术方面的约束性条款跟信息安全管理重叠,属于外围和相关领域,而信息安全管理本身从属于IT风险管理,是CIO视角下的一个子领域。
5)业务持续性管理:BCM(Business Continuity Management)不属于以上任何范畴,但又跟每一块都有交集,如果你觉得3)和4)有点虚,那么BCM绝对是面向实操的领域。最近,有网易、中有支付宝、后有携程,因为各种各样的原因业务中断,损失巨大都属于BCM的范畴。有人会问:这跟安全有什么关系?安全是影响业务中断的很大一部分可能因素,例如DDoS,入侵导致必须关闭服务自检,数据丢失,用户隐私泄露等。又会有人问:这些归入安全管理即可,为什么要跟BCM扯上关系,做安全的人可以不管这些吗?答案自然是可以不管,就好像说:“我是个Java程序员,JVM、dalvik(ART)运行原理不知道又有什么关系,完全不影响我写代码!” 事实上,BCM提供了另一种更高维度、更完整的视角来看待业务中断的问题。对于安全事件,它的方法论也比单纯的ISMS更具有可操作性,对业务团队更有亲和力,因为你知道任何以安全团队自我为中心的安全建设都难以落地,最终都不会做得很好。
6)安全品牌营销、渠道维护:CSO有时候要做一些务虚的事情,例如为品牌的安全形象出席一些市场宣介,presentation。笼统一点讲,现在SRC的活动基本也属于这一类。
7)CXO们的其他需求:俗称打杂。这里你不要理解为让安全团队去攻击一下竞争对手的企业这样负面向的事情,而是有很多公司需要做,但运维开发都不干,干不了或者不适合干的事情,安全团队能力强大时可以承包下来的部分,事实上我的职业生涯里就做了不少这样的事情。
基础的网络安全是在甲方的绝大多数安全团队能覆盖的事情,不管你的安全团队能力如何,在公司里有无影响力,这个是必须要做的,因为这是把你招过来的初衷。再往后的发展,是否止于此则看个人的想法。对于沉醉攻防技术的人,其实不需要往后发展了,这些足够了。但如果你的安全团队富有活力和想法,即便你想止于此他们也不干,把部门做大做强是这些人的愿望,只有这样才能给安全团队更大的空间。这点跟乙方是不一样的,对于乙方而言,你可以在某个单点领域上无限深挖,而不会遇到天花板,因为你始终是在满足主营业务的需求,即使你成为骨灰级的专家,公司也会对你在某方面创新有所期待而给你持续发展的可能性。但是在甲方,安全不是主营业务,归根结底,安全是一个保值型的后台职能,不是一个明显能创造收益的前台职能,是一个成本中心而非盈利中心。安全成本的大小跟业务规模以及公司盈利能力相关,公司发展时预算和人员编制都会增加,业务停滞时安全做得再好也不会追加投入,因为无此必要。反面的例子也有:做得不好反而追加投入的,那是一种政治技巧而非现实需要。在乙方,无论你的漏洞挖掘技能多厉害,公司都不会跳出来说“你已经超出我们需求了,你还是去更强大的公司吧”(通常情况下)。但是在甲方,假设是在一个国内排名大约TOP5以后的互联网企业,养一个漏洞挖掘的大牛也会令人很奇怪,他是在给企业创造价值还是在自娱自乐是会受到质疑的,CSO也会被质疑是否花了大价钱挖来的人不是出于业务需要而是用于扩大自己团队在业内影响力这种务虚的事。假如公司到了Google这种级别,有一大堆产品,储备大牛则是顺利成章的,业务上显然是有这种需求的。不过还要看产出是否对主营业务有帮助,工作成果不能转化为主营业务竞争力的尝试性活动在公司有钱的时候无所谓,在公司收紧腰带时则其存在价值就有争议。
以狭义的安全垂直拓展去发展甲方安全团队的思路本质上是个不可控的想法,筹码不在CSO手中,甚至不在CTO手中,而是看主营业务的晴雨表,甲方安全是要看“脸”的,这个脸还不是指跨部门沟通合作,而是在最原始的需求出发点上受限于他们。因此有想法的安全团队在网络安全方面做得比较成熟时会转向平台和业务安全,平台和业务安全是一个很大的领域,发展得好,安全团队的规模会扩大2倍,3倍,并且在企业价值链中的地位会逐渐前移,成为运营性质的职能,结合BCM真正成为一个和运维、开发并驾齐驱的大职能。
BCM在很多人眼里就是DR(Disaster Recovery,灾难恢复),DR其实只是BCM中的一个点,属于下层分支。不过这对技术领域的人而言是最直观的部分,DR在互联网企业里由基础架构部门或运维主导。不过强势的甲方安全团队其实也是能参与其中的,而BCP(Business Continuity Plan,业务持续性计划)中的很大一部分跟安全相关,我之前也主导过BCP&DRP(Disaster Recovery Plan,灾难恢复计划),受益于绿盟那个年代的教育不只是攻防,而是完整的信息安全和风险管理。有兴趣的读者可以看一下BS25999(BCM的一个标准)。
广义的信息安全,比较直观的映射就是ISO2700x系列,行业里的绝大多数人都知道ISO27001和BS7799,这里就不展开了,对真正有安全基础的人而言,都是很简单的东西。在企业里能否做到广义的安全,主要看安全负责人和安全团队在公司里的影响力,对上没有影响力,没有诠释利害关系和游说的能力,自然也就做不到这些。另一方面,狭义安全主要对接运维开发等技术面公司同僚,但是广义安全会对接整个公司的各个部门,对于沟通面的挑战来说,又上了一个新的台阶,在我看来这主要取决于安全的领队人物自己拥有什么样的知识结构以及他的推动能力如何。
在企业完全涉及的7大领域中,对于第4)条,如果你所在的组织有这方面的需求,安全职能自然也会参与其中,是否刻意去发展他则看自己需求,对我朋友中某些做过IT治理和风险咨询的人,相信是有能力一并吃下的,如果是技术派,不建议去尝试。
第6)条属于水到渠成的事情,到了那一步你自然需要考虑,就算你不想,公司也会让你去,就像我现在明明做技术活,却也不知道为什么会跟这一类事情挂上钩。
第7)条有人看时自动过滤了,不过安全负责人自身是否有瓶颈,能否在企业里发展起来跟这条有很大关系,甚至有很多从1)发展到2)、3)的人都需要借助7)这个渠道,点到为止,不多说了。
对于互联网公司,我建议做1)、2)、5);对于传统行业,我建议做1)、3)、4)、5)。
在互联网行业,我觉得安全工作可以概括为以下几个方面:
信息安全管理(设计流程、整体策略等),这部分工作约占总量的10%,比较整体,跨度大,但工作量不多。
基础架构与网络安全:IDC、生产网络的各种链路和设备、服务器、大量的服务端程序和中间件,数据库等,偏运维侧,跟漏洞扫描、打补丁、ACL、安全配置、网络和主机入侵检测等这些事情相关性比较大,约占不到30%的工作量。
应用与交付安全:对各BG、事业部、业务线自研的产品进行应用层面的安全评估,代码审计,渗透测试,代码框架的安全功能,应用层的防火墙,应用层的入侵检测等,属于有点“繁琐”的工程,“撇不掉、理还乱”,大部分甲方团队都没有足够的人力去应付产品线交付的数量庞大的代码,没有能力去实践完整的SDL,这部分是当下比较有挑战的安全业务,整体比重大于30%,还在持续增长中。
业务安全:上面提到的2),包括账号安全、交易风控、征信、反价格爬虫、反作弊、反bot程序、反欺诈、反钓鱼、反垃圾信息、舆情监控(内容信息安全)、防游戏外挂、打击黑色产业链、安全情报等,是在“吃饱饭”之后“思淫欲”的进阶需求,在基础安全问题解决之后,越来越受到重视的领域。整体约占30%左右的工作量,有的甚至大过50%。这里也已经纷纷出现乙方的创业型公司试图解决这些痛点。
对整体介绍的部分在前面的篇幅讲得比较多,主要目的是希望“视野”部分不缩水,这些概念在后面篇幅都不打算再展开了。