观点1:安全除了关注恶意破坏等这类常规信息安全事件,更要注重连续性,安全是生产的基本保障。
什么是安全的?定义是这么说的,安全就是让公司资产(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,服务不中断,最终实现业务连续性。
定义里明确提到,业务连续性是安全的最终目标。黑客入侵、信息泄漏等问题都很严重,但是电力中断,光缆被挖断,对于业务的连续性也很致命。所以,安全管理第一步,就是关注物理安全,电力、空调、消防,出口的冗余和双路由,楼板承重,恶劣天气的应对措施,是所有安全的基础。
观点2:安全是为业务服务的,业务安全是所有安全中最重要的。
这个观点我也是近几年才理解的。很多年轻的安全从业者,都有着本位主义思想。尤其是信息化部门下属的安全部门,总觉得信息系统是公司最重要的资产。殊不知,在老板眼里,那只是公司的一小部分。如果是生产制造企业,工控设备才是命脉。就像华数集团是一家广电企业,老板最为关心的是播出的内容要安全。至于说到办公网中存在勒索病毒,办公邮件信息泄露等问题,直接处理好就可以。不是说那些问题不重要,而是安全最终需要为业务服务,这才是安全的重中之重。
既然业务安全是第一位的,那么安全就要始终围绕为业务服务这条主线,要为业务设计 合理的解决方案,保证业务稳定运行。安全部门制定出恰当的防护措施,但不要因为安全而大幅增加成本。因为当安全投入接近主系统投入时,最终的结果就是该安全项目被砍掉,或者安全措施被砍掉,这对于业务是不利的。
观点3:老生常谈,安全真的遵守木桶原理。
安全能避免木桶原理的只有一种情况,那就是你所在的公司较小。比如华数集团,拥有着众多下属子公司,你要把每一个小兄弟都照顾好,下属公司一个都不能少。一块短板发生事故,就会让你前功尽弃。这和业务部门不同,业务部门讲的是亮点,一半分公司业绩好就行,剩下另一半分公司做不好,集团整体也可以完成全年业绩。我们搞安全,一个出事,其他公司做得再好也没用了。
简而言之,做安全必须有条理,有条理才能无死角、无遗漏,才能无短板,因为短板会拉低整体水平,一次事故前功尽弃。
观点4:安全工作需内外兼修。
除了做好内部安全管理和技术防范,和外部监管部门甚至厂商搞好关系也是安全大管家的必修课。安全没有绝对,也就是人们常说的“只要是系统就会存在漏洞”,安全工作中总有些风吹草动。若是因为一件小事而传到监管部门,小事变成大事,万一被通报批评,对于安全而言也是不利的。
此外,如果安全工作中真的存在一些问题,还是要在第一时间请厂商来解决。如果和厂商关系不好,在处理问题方面难免会存在各种形式化的问题,不利于问题快速解决。问题解决后,报监管部门,大事化小,小事化无,如何迅速将平息舆论,也是十分有讲究的。除了考察临场反应,平时的积累很重要,一到出现问题时,能第一时间找人解决,对公司整体而言有利无弊。
观点5:网络安全的根源是网络设计
想要做好网络安全,基础是做好网络设计,不懂网络设计的人,是做不好网络安全的。安全市场上,懂系统安全的人多,懂网站安全的人也不少,唯独合格的网络安全工程师最是稀缺。普通的网络工程师只负责流程贯通,只顾着将业务调通,但是其他不该通的网络区域也一并做通,这对公司安全是存在隐患的。比如说防火墙部署在哪个位置最合理?卖防火墙的厂商也不会帮你仔细斟酌,他们就负责帮你调试配置上线。
上面是一张我根据公司实际情况,自己设计的网络分区图。如果能做好分区间的访问控制策略,其实你已经解决了大部分的安全问题了。一般而言,黑客是很难穿越正确配置的路由器和防火墙。一个CSO的电脑里如果没有自己公司的网络拓扑,那一定时做不好的。
观点6:联网好还是隔离好,要权衡利弊
这里说说我对隔离的理解。物理隔离很好理解,反正就是不通,交换机也分开,除非最后进传输时,设备复用进了同一对光纤。除此之外,设备和线路都是分开的。
逻辑隔离稍微复杂一点,我认为最起码是两个区域绝对不能互相访问,这是基础。除此之外,也绝不能使用同一台路由器(这里是指狭义的路由器,广义来说MPLS VPN也是路由器组网的),必须从交换层面就隔开。在光域网应该使用不同的MPLS VPN ,在局域网使用不同的VLAN。如果仅仅是不同的网段,接入到同一台路由器,虽然路由器没有配置转发路由,但也达不到“逻辑隔离”的要求。
那么安全管家该如何选择呢?还是从业务出发,如果业务需要接入互联网被人民群众访问,那么最好没有隔离。如果业务可以完全孤立,那么可以考虑在物理隔离和逻辑隔离中做选择。一般而言,如果监管部门没有明文规定,通常选逻辑隔离。
隔离其实很简单。从安全的“最小化”原则来说,业务上没有必要互联互通的网络区域,尽量隔离。难就难在业务总是在发展,业务系统隔离后没法独立工作。尤其是现在云计算大数据,业务部门都希望最好都连起来,安全隔离成了业务发展绊脚石。
随着业务发展,原本隔离的两个网络区域需要互通,那么一定在两个区域之间放一个防火墙。按照最小化原则,仅允许IP+端口来互通,还要控制好方向,明确是单向发起还是要双向互访。
说到底,难度不在隔离,而是如何有效的做好访问控制,而做好访问控制的基础,正是我们前面一个观点谈到的,如何做好网络设计。
观点7:辩证的去看待安全工作。
其实辩证点很多,下面举两个例子简单说明。
1.安全工作是不是一切按监管部门的要求做?
首先,我认为合规是下限,等保达标不代表安全,安全要有自己的判断。其次,凡事都需要因地制宜,标准动作并不见得适合所有企业,根据实际情况制订具体的技术防护手段,是甲方安全从业人员的职责。安全人员是对企业最熟悉的人,如果不能做到根据实际情况制定方案,那就失去了价值,咨询公司就把你的工作给做掉。
但是,达标还是有很多保障的。毕竟标准动作到位,等保也达标,该符合的法规都执行,日志都存好,制度规范都齐全的话你也就不用天天杞人忧天。没事别瞎担心,晚上踏实睡,真要出事一则你也拦不住,二则你也没多少责任了。搞安全的,心态要好。
2.安全投入是不是越多越好?
老板跟我讲,你的任务是搞好安全,要多少钱自己说,我都给你批,但是搞不好就拿你是问。这种情况下压力反而很大,老板把球踢给你,而你深知安全又不是砸钱就能搞好的。所以,你一定要提出,安全是人防+技防,人是关键,安全投入要适度,关键时人的安全意识提升,辅之以安全产品防护,才能做好安全工作。
如果说我制定严格的安全要求并分发到各个分公司。有可能分公司会说要求太高完不成;也有可能把安全要求当做完不成业务的借口或者是盲目采购大幅度的安全设备等等,然而这些都不是我想要的。
安全是人防+技防,人是关键。安全投入要适度,就比如时下流行的安全态势感知、安全大数据分析、高级可持续威胁检测,东西是好东西,但是温饱线人民群众不需要三文鱼,首先要把精力投放在基本的安全防护上。
观点8:甲方安全没有那么简单,乙方工程师真干不了。
毕竟,安全设备的堆砌不等于安全。安全产品是砖,乙方销售是卖砖的,乙方工程师是砌墙的,但他们可能不知道怎么造房子。甲方安全负
责人是建筑设计师,也是总工程师,大楼造不造得起来,你负全责,因为你是最终为安全负责的人。
甲方安全需要广泛的基础知识,包括通晓监管部门的法律法规,网络规划能力,安全攻防知识。也需要很强的沟通能力和文字功底,能将监管的文件编写成内部制度,能和运维部门、业务部门处理好关系,能摆平那些给你找事的分公司。当然,管理能力也必须有,管好自己直属的团队,管好外包商,管好各分公司的安全人员。
甲方安全管理是一个比较新型的职位,目前来看市场还是比较稀缺的,因为学校没有这样的专业,但现在很多企业增设了这个部门或职位。这个职位一部分人来自甲方自己的网络运维人员,一部分人来自安全厂商的工程师或者咨询师,但我觉得都需要好几年的历练和经验,才能有机会成长为合格的甲方安全管理人员。
总结
讲了很多观点,最后说说安全管理的方法。老板给你的是目标,比如华数集团的目标是安全播出,而安全管理者是把目标细化为具体的动作。比如以下这个模型是可以作为我们甲方安全管理人员做好工作的基本方法。毕竟完全防护不出纰漏是不现实的,安全能力最终还是靠应急响应速度和善后能力来体现。
