如何做好大企业的安全管理

本文涉及的产品
云防火墙,500元 1000GB
简介: 这篇文章里很多观点,是从企业整体管理的角度看待问题的。毕竟安全是公司的一个部门,是为公司整体业务的发展而存在。不论安全如何出色,最终的结果是要帮助公司存活、盈利,只有公司发展起来,安全才能获得更大的发展。所以,希望各位仅仅搞信息安全和风险合规的读者,要跳出本位主义,跳出你框框来看问题。

观点1:安全除了关注恶意破坏等这类常规信息安全事件,更要注重连续性,安全是生产的基本保障。

什么是安全的?定义是这么说的,安全就是让公司资产(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,服务不中断,最终实现业务连续性。

定义里明确提到,业务连续性是安全的最终目标。黑客入侵、信息泄漏等问题都很严重,但是电力中断,光缆被挖断,对于业务的连续性也很致命。所以,安全管理第一步,就是关注物理安全,电力、空调、消防,出口的冗余和双路由,楼板承重,恶劣天气的应对措施,是所有安全的基础。

观点2:安全是为业务服务的,业务安全是所有安全中最重要的。

这个观点我也是近几年才理解的。很多年轻的安全从业者,都有着本位主义思想。尤其是信息化部门下属的安全部门,总觉得信息系统是公司最重要的资产。殊不知,在老板眼里,那只是公司的一小部分。如果是生产制造企业,工控设备才是命脉。就像华数集团是一家广电企业,老板最为关心的是播出的内容要安全。至于说到办公网中存在勒索病毒,办公邮件信息泄露等问题,直接处理好就可以。不是说那些问题不重要,而是安全最终需要为业务服务,这才是安全的重中之重。

既然业务安全是第一位的,那么安全就要始终围绕为业务服务这条主线,要为业务设计 合理的解决方案,保证业务稳定运行。安全部门制定出恰当的防护措施,但不要因为安全而大幅增加成本。因为当安全投入接近主系统投入时,最终的结果就是该安全项目被砍掉,或者安全措施被砍掉,这对于业务是不利的。

观点3:老生常谈,安全真的遵守木桶原理。

安全能避免木桶原理的只有一种情况,那就是你所在的公司较小。比如华数集团,拥有着众多下属子公司,你要把每一个小兄弟都照顾好,下属公司一个都不能少。一块短板发生事故,就会让你前功尽弃。这和业务部门不同,业务部门讲的是亮点,一半分公司业绩好就行,剩下另一半分公司做不好,集团整体也可以完成全年业绩。我们搞安全,一个出事,其他公司做得再好也没用了。

简而言之,做安全必须有条理,有条理才能无死角、无遗漏,才能无短板,因为短板会拉低整体水平,一次事故前功尽弃。

观点4:安全工作需内外兼修。

除了做好内部安全管理和技术防范,和外部监管部门甚至厂商搞好关系也是安全大管家的必修课。安全没有绝对,也就是人们常说的“只要是系统就会存在漏洞”,安全工作中总有些风吹草动。若是因为一件小事而传到监管部门,小事变成大事,万一被通报批评,对于安全而言也是不利的。

此外,如果安全工作中真的存在一些问题,还是要在第一时间请厂商来解决。如果和厂商关系不好,在处理问题方面难免会存在各种形式化的问题,不利于问题快速解决。问题解决后,报监管部门,大事化小,小事化无,如何迅速将平息舆论,也是十分有讲究的。除了考察临场反应,平时的积累很重要,一到出现问题时,能第一时间找人解决,对公司整体而言有利无弊。

观点5:网络安全的根源是网络设计

想要做好网络安全,基础是做好网络设计,不懂网络设计的人,是做不好网络安全的。安全市场上,懂系统安全的人多,懂网站安全的人也不少,唯独合格的网络安全工程师最是稀缺。普通的网络工程师只负责流程贯通,只顾着将业务调通,但是其他不该通的网络区域也一并做通,这对公司安全是存在隐患的。比如说防火墙部署在哪个位置最合理?卖防火墙的厂商也不会帮你仔细斟酌,他们就负责帮你调试配置上线。

上面是一张我根据公司实际情况,自己设计的网络分区图。如果能做好分区间的访问控制策略,其实你已经解决了大部分的安全问题了。一般而言,黑客是很难穿越正确配置的路由器和防火墙。一个CSO的电脑里如果没有自己公司的网络拓扑,那一定时做不好的。

观点6:联网好还是隔离好,要权衡利弊

这里说说我对隔离的理解。物理隔离很好理解,反正就是不通,交换机也分开,除非最后进传输时,设备复用进了同一对光纤。除此之外,设备和线路都是分开的。

逻辑隔离稍微复杂一点,我认为最起码是两个区域绝对不能互相访问,这是基础。除此之外,也绝不能使用同一台路由器(这里是指狭义的路由器,广义来说MPLS VPN也是路由器组网的),必须从交换层面就隔开。在光域网应该使用不同的MPLS VPN ,在局域网使用不同的VLAN。如果仅仅是不同的网段,接入到同一台路由器,虽然路由器没有配置转发路由,但也达不到“逻辑隔离”的要求。

那么安全管家该如何选择呢?还是从业务出发,如果业务需要接入互联网被人民群众访问,那么最好没有隔离。如果业务可以完全孤立,那么可以考虑在物理隔离和逻辑隔离中做选择。一般而言,如果监管部门没有明文规定,通常选逻辑隔离。

隔离其实很简单。从安全的“最小化”原则来说,业务上没有必要互联互通的网络区域,尽量隔离。难就难在业务总是在发展,业务系统隔离后没法独立工作。尤其是现在云计算大数据,业务部门都希望最好都连起来,安全隔离成了业务发展绊脚石。

随着业务发展,原本隔离的两个网络区域需要互通,那么一定在两个区域之间放一个防火墙。按照最小化原则,仅允许IP+端口来互通,还要控制好方向,明确是单向发起还是要双向互访。

说到底,难度不在隔离,而是如何有效的做好访问控制,而做好访问控制的基础,正是我们前面一个观点谈到的,如何做好网络设计。

观点7:辩证的去看待安全工作。

其实辩证点很多,下面举两个例子简单说明。

1.安全工作是不是一切按监管部门的要求做?

首先,我认为合规是下限,等保达标不代表安全,安全要有自己的判断。其次,凡事都需要因地制宜,标准动作并不见得适合所有企业,根据实际情况制订具体的技术防护手段,是甲方安全从业人员的职责。安全人员是对企业最熟悉的人,如果不能做到根据实际情况制定方案,那就失去了价值,咨询公司就把你的工作给做掉。

但是,达标还是有很多保障的。毕竟标准动作到位,等保也达标,该符合的法规都执行,日志都存好,制度规范都齐全的话你也就不用天天杞人忧天。没事别瞎担心,晚上踏实睡,真要出事一则你也拦不住,二则你也没多少责任了。搞安全的,心态要好。

2.安全投入是不是越多越好?

老板跟我讲,你的任务是搞好安全,要多少钱自己说,我都给你批,但是搞不好就拿你是问。这种情况下压力反而很大,老板把球踢给你,而你深知安全又不是砸钱就能搞好的。所以,你一定要提出,安全是人防+技防,人是关键,安全投入要适度,关键时人的安全意识提升,辅之以安全产品防护,才能做好安全工作。

如果说我制定严格的安全要求并分发到各个分公司。有可能分公司会说要求太高完不成;也有可能把安全要求当做完不成业务的借口或者是盲目采购大幅度的安全设备等等,然而这些都不是我想要的。

安全是人防+技防,人是关键。安全投入要适度,就比如时下流行的安全态势感知、安全大数据分析、高级可持续威胁检测,东西是好东西,但是温饱线人民群众不需要三文鱼,首先要把精力投放在基本的安全防护上。

观点8:甲方安全没有那么简单,乙方工程师真干不了。

毕竟,安全设备的堆砌不等于安全。安全产品是砖,乙方销售是卖砖的,乙方工程师是砌墙的,但他们可能不知道怎么造房子。甲方安全负

责人是建筑设计师,也是总工程师,大楼造不造得起来,你负全责,因为你是最终为安全负责的人。

甲方安全需要广泛的基础知识,包括通晓监管部门的法律法规,网络规划能力,安全攻防知识。也需要很强的沟通能力和文字功底,能将监管的文件编写成内部制度,能和运维部门、业务部门处理好关系,能摆平那些给你找事的分公司。当然,管理能力也必须有,管好自己直属的团队,管好外包商,管好各分公司的安全人员。

甲方安全管理是一个比较新型的职位,目前来看市场还是比较稀缺的,因为学校没有这样的专业,但现在很多企业增设了这个部门或职位。这个职位一部分人来自甲方自己的网络运维人员,一部分人来自安全厂商的工程师或者咨询师,但我觉得都需要好几年的历练和经验,才能有机会成长为合格的甲方安全管理人员。

总结

讲了很多观点,最后说说安全管理的方法。老板给你的是目标,比如华数集团的目标是安全播出,而安全管理者是把目标细化为具体的动作。比如以下这个模型是可以作为我们甲方安全管理人员做好工作的基本方法。毕竟完全防护不出纰漏是不现实的,安全能力最终还是靠应急响应速度和善后能力来体现。

目录
相关文章
|
1月前
|
监控 数据库
一线公排系统开发技术规则
一线公排系统开发是一个涉及多个技术领域的综合性工程,旨在通过优化资源分配和激励机制,提升销售团队的工作效率和成员之间的合作动力。以下是对一线公排系统开发的详细解析:
|
存储 安全 数据可视化
PMP备考之路 - 敏捷实践第六讲(关于项目敏捷性的组织考虑因素)
PMP备考之路 - 敏捷实践第六讲(关于项目敏捷性的组织考虑因素)
128 0
《云上大型赛事保障白皮书》——第七章 保障阵型与流程管理——7.1 云上大型赛事保障阵型——7.1.1 基于前中后台的服务分层
《云上大型赛事保障白皮书》——第七章 保障阵型与流程管理——7.1 云上大型赛事保障阵型——7.1.1 基于前中后台的服务分层
827 0
|
运维 数据挖掘
《云上大型赛事保障白皮书》——第七章 保障阵型与流程管理——7.2 云上大型赛事流程管理——7.2.1 基于业务影响的流程分级(下)
《云上大型赛事保障白皮书》——第七章 保障阵型与流程管理——7.2 云上大型赛事流程管理——7.2.1 基于业务影响的流程分级(下)
134 0
《云上大型赛事保障白皮书》——第七章 保障阵型与流程管理——7.2 云上大型赛事流程管理——7.2.1 基于业务影响的流程分级(上)
《云上大型赛事保障白皮书》——第七章 保障阵型与流程管理——7.2 云上大型赛事流程管理——7.2.1 基于业务影响的流程分级(上)
107 0
|
数据采集 存储 供应链
【系列连载1】治理项目启动前的必答三问
近年来,越来越多的企业在考虑或正在启动数据治理的项目。作为在该领域从业多年的人士,也常会被咨询:数据治理不是很多年前就有的概念么?为什么忽然很多企业都在提及?是不是新瓶装旧酒?和数据中台之间是什么关系?本文中,小编将通过三个核心问题,帮助大家清晰上述疑问,更重要的是,这三个问题,也是一家企业启动数据治理项目前必须要想清楚的三个问题。
【系列连载1】治理项目启动前的必答三问
|
数据采集 存储 安全
阿里云数据治理系列(一):治理项目启动前的必答三问
近一年以来,越来越多的企业在考虑或正在启动数据治理的项目。作为在该领域从业多年的人士,也常会被咨询:数据治理不是很多年前就有的概念么?为什么忽然很多企业都在提及?是不是新瓶装旧酒?和数据中台之间是什么关系?本文中,小编将通过三个核心问题,帮助大家清晰上述疑问,更重要的是,这三个问题,也是一家企业启动数据治理项目前必须要想清楚的三个问题。
阿里云数据治理系列(一):治理项目启动前的必答三问
|
监控
CMMI落地中PQA实施的苦恼
CMMI一直强调组织愿景,组织战略,一切目标的制定,活动的裁剪都是围绕着“战略”二字展开。因此不同角色的定位和工作内容也由高层的战略指导方向而定,那么QA能做到什么样,老大的理解、定位、投入是很关键的。
CMMI落地中PQA实施的苦恼
|
运维 分布式计算 资源调度
走近华佗,解析自动化故障处理系统背后的秘密
集群医生华佗是集群自动化故障监测和处理系统,是平台和运维对接的关键系统,它承担了飞天平台自动化故障处理系统的任务。如何能又快又好地发现和解决线上故障呢?本文为您解析自动化故障处理系统背后的秘密。一起来了解华佗是如何提升集群的故障发现、处理的效率和准确性,解放运维人员,提高飞天稳定性和可靠性的 。
5670 0