|
信息通讯技术的广泛应用,使得网络空间成为继陆、海、空、天之后人类活动的第五空间。人们的日常生活的大部分活动已经融入到网络空间。物理空间存在的安全问题在网络空间中同样存在,而且危害更加隐蔽,后果更加严重。法律法规和标准规范对组织机构在网络安全方面的要求也达到前所未有的高度。接近实战场景的攻防演练给很多组织机构造成了空前的压力。越来越多的组织机构认识到,现有的安全团队无法应对新的网络安全形势,需要重新考虑如何建设一支架构合理,人才齐备的网络安全团队。 安全团队建设应遵循因事设岗的原则,因此应先详细梳理组织机构中网络安全管理的工作职责和任务内容,然后将性质类似的任务合并,设置相应的部门,承担该组任务。 按照PPT(Process、People、Technology)模型对网络安全工作进行分类,大致可以分为统筹规划、人员管理、技术支撑三大类。 规划治理是组织机构中具有全局性和权威性的工作,主要包括以下四个方面的工作: l 总体规划编写负责制定组织机构未来一定时期的网络安全发展总体规划,这个规划必须与组织机构的整体业务和信息化目标一致,同时还要考虑当前网络安全建设的成熟度,分阶段循序渐进的进行相关建设。 在数字化转型过程中,很多行业都提出了“智慧+”的概念,如智慧医院,智慧司法等等。这些智慧化改造过程中,采用了很多新的信息通讯技术,这时候安全建设的规划就需要与“智慧+”的业务和信息化目标相一致。例如在智慧医院中,接入网络通常采用WIFI协议,同时很多仪器设备成为物联网的传感终端,因此安全规划中必须包含无线网络安全和物联网安全的内容。 总体规划中不仅要包括一些硬的建设项目,还应包括一些软的研究课题,即将组织机构内部需要解决的问题最为科研立项的方式列入规划。这是一些大型企业普遍采用的方式。 l 规章制订发布网络安全流程和规章制度,是组织机构网络安全管理体系的重要组成部分,随着网络安全建设不断走向成熟,相关规章制度也需要进行及时的建立和修订并向全体人员正式发布。 l 活动组织协调根据合规要求,组织机构须定期进行涉及全体部门和人员的网络安全活动,如定期的绩效考核、风险评估、应急演练、外部审核等。这些大型活动涉及人力物力的等资源的调配,因此需要由总部的权威部门统一组织协调。 l 绩效考核检查保障网络安全不仅仅是相关部门的专责,还需要全员的重视与配合。网络安全绩效应作为全员绩效考核的内容之一。应定期根据绩效考核指标,对网络安全部门自身的工作以及组织机构内部所有部门及人员进行网络安全绩效考核。 l 公共关系处理当发生重大安全事件后,商业机构需要立即启动危机应对的流程,其中包括:向监管部门报告、通知受影响的用户采取措施、应对媒体的采访并发布官方消息等。 绝大部分信息系统都是人机交互系统,因此人员是重要的信息资产。人员管理包括针对全员的安全意识培训以及针对相关岗位人员的技能培训和背景审查。很多组织机构习惯采用技能竞赛的方式提升相关人员的专业技能。例如举办内部攻防竞赛或组队参加公开竞赛。此外机构内训、社团沙龙、行业研讨也是可以考虑采用的培训方式。 背景调查的主要目的是发现重要岗位人员是否存在可能被利用的弱点。比较详细的背景调查除了学历、工作经历、犯罪记录之外,通常还会包括:投资损失、家庭矛盾、轻微违法、成瘾嗜好等内容。 根据岗位对人员的知识技能要求的差异,可以将技术支撑工作划分为安全开发、安全运维、安全研究等三个方面。 l 安全开发安全开发工作主要包含:1)在设计阶段对信息系统的安全需求进行分析,并提出安全特性要求。2)从安全要求的角度对程序代码进行审核。3)对信息系统的安全特性进行测试。此外还包括根据需要对系统开发人员进行安全编码技术和规范的相关培训。 安全开发工作类似建筑工程中的监理工作,从安全要求的角度对信息系统开发人员进行指导,给出安全需求,核查系统开发是否满足了这些需求。 l 安全运维安全运维工作主要包含:1)对设备的运行的物理状态和环境进行定期巡检。2)对信息系统的响应时间、域名解析情况、页面完整性等进行远程自动监控。3)按照工单要求,随时维护信息系统的账号,备份/恢复数据。4)对发生的安全事件进行响应处置。遇到处置不了的复杂事件,可以请求技术层级更高的部门给与协助。 l 安全研究安全研究工作是全部技术支撑工作中技术复杂程度最高的部分,主要包括:1)设计组织机构内部总体攻防演练的内容和方式,编写相关的演练剧本。2)开发自用的安全工具,解决安全管理工作中的定制性需求。3)应安全运维部门的请求,协助分析复杂的安全事件。4)追踪前沿攻防技术发展,提升攻防技术水平。5)信息系统开发完成之后,除了要做安全特性测试之外,还需要做渗透测试。渗透测试人员需要具备具备较深厚的研究探索能力,故此将渗透测试归为安全研究类的工作。 需要特别说明的是,技术本身是中立的,属性上没有绝对攻和防的区别。攻防的区别只在于被哪一方所掌握和利用。即同一项技术,掌握在攻击者手中,就是攻击技术。 网安领导小组在很多组织机构中是一个虚拟机构,导致大部分情况是形同虚设。为了更好的落实网络安全各项工作,做为组织机构中最高层级的网络安全部门,网安领导小组应获得更多的实际授权,承担更多的实际职能。例如以网安小组的名义推动内部监督检查、绩效考核等各项管理工作,在安全工作规划中,鼓励各部门提出与网络安全相关各种建议,如研究立项、跨部门协作等等。 首先,网安小组的成员应包括各二级部门的负责人或分管信息化工作的领导组成,具有足够的代表性。其次,网安小组是一个议事决策机构,应该定期召开会议,讨论网络安全总体工作规划,组织编写内部网络安全管理规定,并审议发布。 不同的组织机构对安全管理部门的命名不一样,但基本职责定位都应该是网络领导小组下的具体执行部门。管理部门负责执行与网络安全相关的发展规划、规章制度等各种文档的起草、组织协调监督检查、绩效考核、风险评估、合格测评、应急演练、技术培训等网络管理活动。可考虑设置“文档编写组”和“组织协调组”两个工作小组分别负责上述两方面的工作。 前面将安全技术涉及的工作主要分为安全开发、安全运维、安全研究三个部分,可以成立“开发测试组”、“运维监控组”、“红蓝对抗组”等三个小组分别承担上述三类工作任务。如果安全事件分析的工作量比较大,可以考虑单独成立“威胁分析组”,将安全事件深入分析的工作剥离出来专门由威胁分析组完成。 由于网络安全管理工作具有极大的弹性,人力资源又无法参照信息技术资源那样采用虚拟化和服务化方式适应工作负载的弹性。而各行业,各组织机构自身业务的独特性,使得很难找到网络安全团队规模设置普适建议。网络安全团队的规模,可以考虑以下一些因素:1)自身是否拥有数百人乃至数千人的软件研发部门?2)运行着数千台乃至数万的信息化端点设备(含服务器、桌面终端、打印机等)?3)组织机构中的需要使用信息系统的总员工数量 4)组织机构信息系统用户对信息技术掌握的熟练程度。 安全开发小组人员的数量,建议按照软件开发人员总数的1-2%来规划。例如一些大型企业,软件研发中心的开发人员可以达到4000人的规模,安全开发小组人员数量大致在40-80人是比较合理的安排。 安全运维人员可以按照设备总数对人数的比例为300:1的数量来规划,即如果各种信息化终端设备总数为30000个,运维小组的人员数量在100人左右是相对合理的安排。安全运维工作中弹性较大的有明确标准规范的部分,可以考虑采用服务外包的方式降低固定人力资源的需求。 红蓝小组的工作通常不会有特别大的波动,但为了维持内部技术学习环境,人员数量也需要保证一定规模,建议至少保持在10人以上的规模。或者蓝队角色由内部员工充当,红队由外部专家组成。 一些大型企业经常有项目评审、规划编写等工作需要咨询外部专家的意见。有些企业遇到上述情况就是临时向安全厂商发出邀请,但各厂商派出的专家水平参差不齐,难以达到预期的目的。 建立一个经过内部评估,人员相对固定的外部专家团,是解决上述问题的有效办法。在需要外部专家协助的时候,优先邀请专家团成员提供相关咨询,可以有效的保证相关工作的质量,减少工作中的盲目性。 网络安全属于技术密集型工作,专业人员需要在实践中不断的互相学习(Peer Learning),并通过案例增长经验。如果接触到的安全事件数量很少,安全团队人员达不到一定规模,无法形成有效的学习气氛和环境,高手大牛也会逐渐失去技术领先优势。一些优秀的技术人才选择留在安全厂商工作,很大程度上因为长期在非安全行业的组织机构,有可能失去很多继续增长技能的学习机会。因此,企业如果没有达到一定规模,缺少足够的资金支撑一个初具规模、架构完整的网络安全团队,可以考虑外包服务来补充部门岗位的空缺。例如如果短期很难组建红蓝小组,可以考虑将相关工作外包给安全厂商。甚至一些常规的运维监控工作,都可以外包给训练有素的厂商技术人员。 本文作者:王卫东 |
|
|
