摘要

目前,大多数企业并没有制定明确的网络安全战略。过去十多年,这些企业将主要精力用于保护网络边界,并认为通过边界隔离就能够抵御入侵:比如部署防火墙和入侵检测与防御系统。随着我国数字化转型战略推进,以边界为核心的网络安全保护已经难以应对复杂多变的网络安全形式,企业当下更加紧要的目标是保护有价值的核心数据和关键业务。

网络信息安全越来越受到企业的重视,越来越多的企业设立了首席信息安全官(CISO)职位。但在复杂的网络安全态势下,CISO面临着企业网络安全战略不清、技术防护措施欠缺、人才不足、安全预算过低等多方面的挑战。以往“创可贴”式的安全将难以达到新形势下的网络安全要求。处理好网络安全与信息化关系,使安全工作能在各层次快速达成共识,形成体系化、实战化、常态化安全能力,是CISO的重要职责所在。由CISO主导的、以能力为导向的安全体系规划工作势在必行。

一、数字化转型期的安全变革

当前,全球已进入数字化转型时期,其实质是:利用新技术帮助企业提升决策水平、促进生产效率、创新与优化业务模式、提升数字化营销能力。数字化转型将引领各行业的未来,它是各领域实现产业升级的必由之路。

数字化转型是业务转型、领导力转型、决策方式转型、运营模式转型、服务方式与用户体验转型,数据将以“生产要素”的形式直接参与企业生产过程并创造收益。在此过程中,现实世界与网络空间的边界消弭,网络空间的安全问题会直接投射现实世界中,网络安全威胁将直接危害企业生产安全与运行安全、甚至人生安全。具体表现为:一是企业业务向社会面延伸,数据从原来的隔离内网开放到外网、互联网,暴露面增大;二是云计算使得业务系统更加集中,对攻击者的吸引力更大;三是物联网设备广泛应用导致攻击面增多,攻击会从外网、互联网延伸到内网,造成非常多的影响。企业所面临的的风险不仅仅是网站被篡改,数据被窃取。攻击者甚至能直接攻击交通、能源、医疗系统等关键基础设施,威胁国家安全、社会稳定和经济运行。

在数字化转型大背景下,网络安全应被放在所有数字化转型举措的最前列。作为首席安全负责人,CISO须能识别数字化转型面临的风险,并针对性提出应对措施,才能有力保障数字化建设和转型成功。

二、企业CISO将面临网络安全的新挑战

1. 网络安全进入新阶段

我国自1994年国务院发布147号令至今, IT发展可以划分为2个大的阶段。第一阶段是1994年至2015年,这个阶段以传统IT为主,其主要表现为信息化快速覆盖业务各领域,企业通过信息化建设,大幅提升了效率。由于此阶段网络安全威胁相对较少,攻击形式单一,企业网络安全需求以合规为主,产品级的安全方案基本满足了企业的业务保障需求,我们称之为《等保1.0》时期。

第二阶段是2016年至2019年,这个阶段传统IT开始向以数据和业务为核心的新一代IT转变,其典型特征是以“云大物移智工”等技术为支撑,通过数字化转型战略,构建新型业务模式,极大的提升企业效能。在此期间国家出台了一系列以“数字化”为核心主题的战略举措:李克强总理在《2016年政府工作报告》提出,要大力推行“互联网+政务服务”;2017年3月5日召开的十二届全国人大五次会议上“数字经济”首次被写入政府工作报告; 2019年 “智能+”第一次出现在总理报告中,将对人们的生产和生活方式产生深远的影响。在网络安全方面,《网络安全法》、《等保2.0》、《关基保护条例》等一系列法律法规陆续发布,对推进网络安全产业发展,强化企业安全能力起到极大的作用,这一时期我们称之为《等保2.0》时期。在此阶段的网络安全呈现出复杂、多样趋势,企业仅以合规导向进行安全建设,难以满足实际安全需求。企业安全更加注重实战和效果,呈现出实战化、体系化、常态化的特点。在此背景下,新安全体系建设对安全理念、技术、管理、人才都提出了更高的要求。CISO作为企业网络安全的首要责任人,也面临着前所未有的挑战。

2. 网络安全面临的“四化”挑战

对手组织化:对手从普通的网络犯罪变成了组织化的攻击,攻击方式从通用攻击转向了专门定向攻击,边界防御思想已经被完全打破,难以应对,体系化防御势在必行。

环境“云化”:新一代信息技术的全面应用,带来了信息化和信息系统的“云化”,典型特征是终端智能、应用系统、IT设施的全面云化,集中化的IT系统对攻击者具有更大的吸引力。

目标数据化:新一代信息化建设以数据共享为基础,“数据”在经济社会中的价值越来越高,数据和业务应用成为网络攻击的重要目标。

战法实战化:面对新的安全形势和安全环境,安全防护体系建设从合规导向转向能力导向,网络安全防护和监管都转向关注实战化,实网攻防演习成为常态化手段。

3. 碎片化防御难以应对新威胁

勒索攻击呈现出多样化、复杂化。勒索软件的质量和数量不断攀升,免杀技术使用越来越多,自我传播能力将越来越强,攻击的操作系统类型将越来越多,定向攻击能力也更加突出。

APT攻击愈演愈烈。APT攻击使用的技术更加复杂、利用多种攻击技术、攻击手段,同时结合社会工程学的知识实施的复杂的、持续的、目标明确的网络攻击。

数据集中成为核心目标。云计算与大数据的应用使企业的应用系统和数据高度集中,数据巨大的价值吸引了更多的攻击者以数据为核心目标发起攻击。

内部威胁防不胜防。在以往传统安全观念下,内部被认为是安全的,内部威胁往往容易被忽略,但事实上内部人员恶意或无意导致的安全事故的比例在众多攻击类型当中高居榜首。

4. 资源不足是CISO开展工作的最大制约

在当前网络安全形势下,企业CISO开展安全安全工作的最大制约是:安全技术缺乏体系化、安全预算偏低、安全岗位编制不足。首先,网络安全体系建设缺乏顶层设计,无全景作战图,看不清网络安全全貌。其次,网络安全预算比例相比美国等国家较低,工程建设资源保障严重不足,安全技术防护体系严重缺失却无法修复。再次,网络安全专业人员不足,只能在有限的人力资源下选择性开展工作,长期处于救火状态。而解决这些关键制约的途径就是加强网络安全顶层设计,重构企业级安全架构,开展网络安全体系规划,明确网络安全演进路线,加大安全资源投入,真正落实网络安全与信息化的“一体两翼”战略定位。

三、以安全规划助力新安全体系的落地

云计算、大数据和移动互联网等技术的飞速发展和广泛应用,带来了商业模式和业务流程的革命性变化,新型威胁层出不穷,体系化防御势在必行。企业要使其业务和数据获得更好的安全保护,必须使用科学的方法,通过安全规划给网络安全工作画出蓝图、指明方向,促进安全体系向合规、统一、科学、先进、高效的方向发展。解决数字化转型期新技术、新业态引发的新安全问题,积极应对内、外部网络安全形势变化,有效支撑企业战略目标。与此同时,让企业中的每个成员知晓网络信息安全对于业务发展的重要性,让管理者和员工们知道自己和部门所担当的网络安全职责,让他们接受必要的信息安全意识教育培训,是CISO工作的重中之重。想要在网络安全攻防战中胜过敌方,CISO也需要与时俱进,处理好网络安全与信息化关系,使安全工作能在各层次快速达成共识,顺利推进安全计划,既能满足合规监管要求,又能有效保障企业业务安全,所有这些都离不开安全规划的指引。

1. 坚持“关口前移”思想,构建企业级内生安全体系

在《国家网络空间安全战略》提到“没有网络安全就没有国家安全,没有信息化就没有现代化”。网络安全和信息化是“一体之两翼、驱动之双轮”,这是国家战略层面对安全和信息化的定位给出了明确的诠释,这要求安全不应以“创可贴”方式开展,要避免碎片化的产品堆砌,安全应该与信息化相互融合、相互影响,形成“DNA双链”,使安全成为信息系统的一种内在属性而非外挂。

 “内生安全”强调安全与信息化的融合。“关口前移”也并不是把防护措施前移,而是安全与信息化做同步规划。以往很多的安全措施失效、安全设备没有发挥作用都是因为没有在信息化建设早期的规划阶段跟安全结合。因此,要解决这个问题就需要通过安全与信息化的同步规划实现安全与信息化的深度结合和全面覆盖,在信息化架构设计时,充分考虑了安全能力的融入层次和集成点,使安全能力得以通过内生方式实现。

2. 重构企业安全架构,促进安全工作在各层次快速达成共识

非网络安全岗位的人员对于安全的理解程度有限,通常只能按照自己的背景知识和经验去理解网络安全,由于安全和信息化融合过程中缺乏专业性、系统性、一致性的语言,这就使得“管业务必须管安全”这句话难以真正落实;也会导致安全防护措施难以形成标准化,有效性不足。

企业通过网络安全规划,将重构企业级网络安全架构,有利于公司网络安全与国家网络安全战略保持一致,有利于公司网络安全战略的落地执行,有利于在企业的各层级、各业务口对网络安全达成一致的理解,这为安全能力的集成与工程落地提供了意识上的广泛共识。

3. 绘制安全体系建设蓝图,勾勒网络安全演进路线

大多数情况,业务人员和安全技术人员因为其关注点不同,对同一安全问题存在不同角度的理解,这对网络安全管控的范围和职责界定有大量的模糊地带,对安全工作造成了很大的障碍。

企业通过网络安全规划,将重构企业级网络安全架构,为企业的CISO、业务人员和安全技术人员建立共同的蓝图,呈现出未来安全工作全景,使安全技术人员能正确地理解业务需求的同时,又使业务人员能够了解未来信息系统安全实施的全貌,明确了安全和业务之间的工作边界和相辅相成关系。通过安全规划,在体系蓝图之上勾勒出作安全战演进路线,确保安全工作的落地性。

4. 采用能力导向的网络安全规划方法构建新体系

以往,安全规划大多采用了对标、合规等思想,基本满足了企业的规划需求。但随着威胁类型和强度的增加,传统的规划思想已经暴露出众多的不足,无法用“可确认、可度量”的方式进行威胁控制,即使做了大量安全建设,CISO们仍然感到心中“无底”,“向上”汇报很难以阐述输出价值,导致安全工作陷入被动。

企业应开展能力导向的网络安全体系规划,重点在于用安全能力框架适配企业安全现状,从而找到深层次的、细颗粒度的安全程度差距,而不仅限于某功能“有没有、做没做”,为实战化的安全体系建设识别需求,使安全能力的有效性达到“可确认、可度量”级别。知道自己能防什么,不能防什么,安全能力底线在哪里。

5. 应对网络安全动态风险,实现实战化闭环运行

网络安全是动态的,企业需要应对技术演进、产品迭代、多源威胁、和监管加强所带来的各类风险。网络安全没有绝对,单纯的人力、物力投入与设备堆砌已经不能适应新时代的网络安全的需求,企业的网络安全体系建设必须面向实战化。

通过安全规划,将运行流程、技术、人和管理规范整合形成一个完整体系,才将能力有效输出。安全运行跟随变化做不同的行动和响应,解决漏洞问题和补丁问题、产品和策略部署调整、威胁的猎杀、事件的监测与响应、情报数据的收集分析和溯源研判,以及安全众测和攻防演习等,使安全与信息化的全面覆盖、深度结合、有效检测、协同响应,最终实现实战化闭环运行。

6. 建立协作、制衡的安全组织,发挥人的关键作用

人是安全的尺度,也是安全运行的关键。如果没有相应的组织机构与人才体系,技术平台无法高效持续运行,安全能力也就无法持续出输。

通过安全规划,将梳理企业在安全机构岗位设置方面存在的不足,有力支撑企业安全工作开展。首先,应健全安全机构设置。在企业中要建立协作、制衡的安组织,避免权力过度集中导致的“一点失效,全网贯通”,也要做到“互相监督,群防群治”,通过合理的安全运行流程设计控制错误率,提升运行质量。其次,应加强人才梯队培养。要明确企业级网络安全人员培养策略,要让具备不同技能的人员参与。要从人的层面入手考虑运行,可以分为安全运营人员、分析响应人员和攻防渗透人员三类,不同人员需要不同的培养体系和培养方式。

四、总结

在数字化转型期,企业想要在网络安全攻防战中胜过敌方,作为关键责任人的CISO需要与时俱进,处理好网络安全与信息化关系,使安全工作的价值能在各层次、各业务线条快速达成共识。因此,优先解决安全预算、人才编制的问题显得尤为重要,而所有这些都离不开安全体系规划。通过采用安全能力导向的方法进行安全规划,有效达成面向实战、体系致胜的目标,是CISO的重要职责所在。

作者:杨波 奇安信战略咨询规划部

声明:本文来自奇安信战略咨询规划,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。