企业网络安全规划建设实践
规划是指较全面或长远的计划。凡事预则立,不预则废!
在企业战略规划方面,随着市场环境变化速度的不断加快,人们越来越意识到企业战略规划对企业生存和发展的重要性,战略规划能帮助企业解决影响组织未来发展最重要、最基本的问题,同时也能帮助企业确定组织使命和目标,保障企业发展方向是正确的,确保企业能够发挥出“力出一孔”的威力。何为“力出一孔”,比如火箭燃烧后的高速气体,通过一个叫拉法尔喷管的小孔,扩散出来气流,产生巨大的推力,可以把人类推向宇宙;水一旦在高压下从一个小孔中喷出来,就可以用于切割钢板,这就是“力出一孔”的威力。
网络安全规划,一定是自上而下的,是在充分继承企业战略规划、IT战略规划的基础上,建立的全面、明确、有前瞻性的安全计划。网络安全规划可为企业提前制定符合业务发展战略的网络安全建设路径,使得网络安全建设能够有策略、有计划地推进业务发展,明确投资假设的预期效果,最终提升战略执行力,保障投资价值。
安全工作最大的痛点可能是到处充当“救火队员”,工作处于“事件驱动”的状态,发生安全事件后开始“零星的”、“针对性的”做一些补充完善工作。又或者是盲目的启动项目建设,最终买了很多的“盒子”,堆积了很多安全产品,但实际安全效果不尽人意。这些现状可能是因为缺乏以风险为导向的主动式安全体系、缺乏全局性的安全观,缺乏对业务的支撑,导致安全价值无法体现。网络安全规划也许可以适当扭转这些不利局面。
以下将从规划启动、现状与差异分析、明确诉求与需求、建立规划蓝图、输出实施路线、汇报与宣贯、回顾改进与更新七个阶段介绍网络安全规划的具体过程。
一、 规划启动
企业在刚成立网络安全团队时应启动网络安全规划,明确方向和目标。
每年的11月份-1月份(农历春节前)应在完成年度工作回顾的基础上,开展来年的安全规划,明确下一年的方向和目标,并更新安全团队的中长期规划。
结合外部网络安全形势与背景可以择机启动安全规划工作,如“十四五”国家信息化规划发布后,可开展网络安全中长期整体规划;“数据安全法”、“个保法”相继发布后,可开展数据安全与隐私保护领域的中长期规划;史诗级漏洞Log4j的爆发,可开展开源安全领域规划。
二、 现状与差异分析
安全规划不是安全负责人几天不睡觉拍出来的,也绝非仅仅是为了设定几个中长期目标。安全规划启动后应该首先开展现状与差异分析,识别当前安全的痛点和差距,一份全面的安全规划应从以下三个方面开展。
(一)内部分析
回头看一看企业网络安全建设的历程,评估目前的现状、分析存在的不足。具备一定规模的网络安全团队,可以按团队组织架构的维度开展,规模稍小的网络安全团队,可以按工作领域的维度开展,目的是要确保现状与差异分析的全面性,确保覆盖安全团队当前涉及的所有工作。现状与差异分析的结果不是拿来向领导汇报的,所以不用担心分析结果的“惨不忍睹”导致领导认为安全工作做得不好,可以在安全团队内部关起门来“自我批评、自我否定”。
(二)行业分析
内部分析过程中的“自我感觉良好”最可怕,一方面可能是因为主观原因,思想上没有认清现状与差异分析的价值,团队内部未能深入讨论。另一方面可能是因为客观原因,受限于我们当前的认知,感觉这方面的工作应该就是这样,只能这样。想不到原来别人还可以那样,不知道业界已经有更好的解决方案和技术。所以安全团队应该要能把握行业现状,了解行业的发展情况,同时了解国际国内的安全标准框架,了解行业最佳实践框架,日常多向安全厂商、同业、互联网大厂学习,多参与一些业界的会议沙龙。目的是了解优秀的人正在做哪些优秀的事,打开思路、开阔眼界,以便切实发现自身不足,明确下一步应该走向哪里。
(三)业务分析
站在业务部门的角度,结合公司整体战略的发展,安全团队可以尝试着分析业务部门在安全方面存在的不足,也是安全在业务支撑方面存在的不足,为下面章节的“明确业务部门需求”做些准备。
三、 明确诉求与需求
诉求是安全团队根据现状与差异分析结果,自己提出来的安全期望和目标。比如安全团队的诉求可能是,如何打破当前被动、孤立、片面的安全局面;如何让安全工作能够以业务为驱动、以风险为导向;如何建立自上而下、强健有力的网络安全组织架构;如何更好的对标业界最佳实践;如何更好的解决远程办公的安全风险;如何进一步降低应用安全漏洞等等。
需求是安全团队之外的组织和人员提出来的。安全的价值是为了支撑企业经营目标的达成。明确“他人”对安全的需求是安全规划中很重要的一部分,安全团队需要了解企业高层、业务部门、CTO、运维部门、开发部门、法律合规部等所有关联部门和关联干系人对安全的需求是什么。企业高层提出的安全需求是为了确保企业战略目标的达成,业务部门领导提出的安全需求是为了确保具体业务目标的达成,技术部门提出的安全需求是技术与安全的融合与促进。所以,挖掘需求、筛选合理需求,这些安全需求实现了,安全的价值自然也就体现了。
大道至简,知易行难!企业高层、业务部门领导有可能压根就没考虑过安全方面的问题,对安全提不出什么需求。那就更应该借着规划项目的机会,让中高层领导想一想他们眼中的安全应该是什么样子,避免安全做了几年后不被认可。可以尝试通过访谈的方式开展需求调研,访谈前应根据不同的访谈对象制定访谈大纲,明确要访谈的目标以及访谈问题,访谈问题可提前发给被访谈人以便提前思考、充分准备。通过问题引导的方式期望能够挖掘出对安全的真正合理需求。
访谈纲要示例
四、 建立规划蓝图
完成上述“现状与差异分析”、“明确诉求与需求”两项工作后,安全团队的痛点、存在的不足、与他人的差距、企业领导期望、相关人员的需求都已经基本清晰了,未来1-3年的目标也已经基本明确。接下来应该从整体上做一些梳理,输出安全规划蓝图,包含企业安全体系模型、企业安全体系架构两部分。
(一)企业安全体系模型
图:企业安全体系模型
1、安全战略层面
基于企业战略解读的基础上,明确安全愿景、战略目标、方针。
安全愿景是要描绘安全要去哪里,到达目的地后企业安全是什么样子。安全愿景对外可以体现安全团队的专业性,对内是一种具有引导与激励团队成员的未来情景的意象描绘,可以影响团队及其成员的行动和行为。
战略目标,可以更清晰的明确安全价值。企业设立每个团队都有其存在价值,每个团队的目标都应是支撑企业的经营发展,支撑业务目标的达成。安全团队绝非例外,安全团队在建立目标时,不能在自己的小格局里“自嗨”,结合上述的诉求与需求,务必要把安全目标与企业业务目标相贴合,时刻以支撑企业业务目标达成为己任。比如企业安全团队的目标可能是“承接和满足业务需要,与业务流程有效融合,支撑业务创新,保障企业经营目标的达成”。产品安全团队的目标可能是“规划实施产品的安全特性,不断提升产品的网络安全与隐私保护能力,确保客户对产品安全能力的信任,从而保障并提升产品的市场占有率”。
2、安全组织层面
结合安全战略,参考网络安全领域相关的法律要求,建立由董事会、CEO统一领导的,包含关键部门的,覆盖决策层、管理层、执行层的网络安全组织体系。组织体系建立后应该通过一系列的措施确保组织体系的有效运转,避免仅仅是发布了红头文件,组织体系中的相关人员实际未能履行职责。
3、安全领域建设
结合现状评估结果,明确接下来安全需要在哪些领域开展建设。重要领域应该制定必要的实施思路,比如基于人员职业生命周期的人员安全管理、基于研发生命周期的应用安全管理、基于数据生命周期的数据安全管理等等。
4、安全技术支撑
安全各领域的建设离不开安全技术的支撑。同时,安全技术日新月异,新型威胁层出不穷,安全团队需要持续的开展新技术研究。
5、安全团队
网络安全建设的核心要素是网络安全人才!网络安全的竞争,归根结底是人才竞争!网络安全的对抗,最终是人与人之间的对抗!安全规划以及安全工作能够有效开展的基础条件,就是具备一支“进的来、出的去、专业、自信、特别能战斗”的网络安全团队。
团队建设包含上述的愿景、目标,也包含团队行为准则、团队氛围、基于团队人员的“选、用、育、留”。
团队行为包括:坚持为业务创造价值、坚持勇于担责、坚持风险“零容忍”、坚持工作闭环、坚持度量优化。关于安全团队建设的实践可参见诸子笔会9月份文章,诸子笔会|刘顺:网络安全团队建设“大全”。
(二)企业安全体系架构
基于上述企业安全体系模型,参考安全领域的权威标准,以及业界优秀案例,企业网络安全规划时应制定企业安全体系架构图,如下图示例所示。每个企业的业务模式不同,安全所处的阶段不同,所面临的安全风险不同,安全关注点自然也不一样。所以,在做规划时务必要结合企业实际现状,所谓的权威标准、优秀案例也不能照搬,仅作为参考。
图:企业安全体系架构图
五、 输出实施路线
(一)实施举措
基于企业安全体系架构,结合企业安全当前风险、存在的不足等现状,可以确定企业未来安全体系建设应该要实施的举措。
图:企业网络安全建设举措
(二)重要举措建设思路
针对重要举措需要制定建设思路或实施框架,上述这些安全领域基本上都有比较成熟的实践思路可供参考。重要举措建设思路或框架举例如下:
数据安全体系框架
应用安全DevSecOps框架
(三)实施路线
对于识别出来的各项实施举措,综合考虑风险优先级、实施后的预期效果、实施难度等,确定举措落地的优先级,输出实施路线,明确大致计划,样例如下图:
六、 汇报与宣贯
企业网络安全规划完成后,应做好向上汇报以及相关人员的宣贯。向上汇报的目的是让领导知悉、理解当前的安全风险与挑战,在安全目标与实施路线方面与领导达成一致意见。最重要的还有要获取领导的承诺,包括人力资源、预算等承诺。向相关人员宣贯,包括要在安全团队内部做好宣贯,确保所有成员统一思想、统一目标。同时也应向开发、业务等相关部门做好宣贯,让大家了解安全的目标与大致计划。
七、 回顾、改进与更新
每年11月份前安全团队应对本年度网络安全规划建设情况开展一次系统评估与回顾。对照规划中安全举措实施路线图,总结年度网络安全建设情况,如下图所示,对比原计划与已实施情况,识别规划中实施路线存在的偏差,梳理安全建设过程中存在的问题,针对问题制定下一步改进建议。
同时,结合本年度内外部的网络安全形势,新型威胁,新增的安全诉求与需求,也需对现有的安全规划进行更新,包括新增一些规划内容、调整安全举措的实施路线等等。