文│ 启明星辰集团首席战略官 潘柱廷

首席信息安全官(CISO)不一定专指一个人、一个职位,而是指在较大机构中必须拥有的一个角色群落、一个岗位组合、一个责任执行系统。这个职责可能是由一个人承担、也可能是由一组人承担,也可能被首席信息官或首席风险官兼任,甚至因为“一把手负责制”而被“一号位”所兼任。当然,有一个专职的 CISO 来承担则最好,而且 CISO 最好能够位于组织的常务决策群体中,也就是所谓的高管。

从责任和能力角度看,CISO 是一个非常综合性的角色,并不是一个仅仅负责某方面工作的高管,更像是首席执行官(CEO)(一号位)和首席运营官(COO)在安全维度上的投影和对偶拮抗。CISO就好像为机构中所有业务领域都增加了一个安全维度,希望 CEO 和 COO 能够用照镜子和组织拮抗的态度来看待 CISO。正因为对 CISO 要求的这种综合性和对偶拮抗性,迫使 CISO 必须具有很强的结构性思维能力和系统性执行能力,即所谓“文治武功”。

CISO 必须是一个刚柔并济、南北通吃、左右正反两手都强的人才,方可成就其“文治武功”。

一、CISO 哲思之“不二”

CISO 的哲学素养,在一个机构里应当排在前五位。

CISO 所在的岗位,所担的责任,常常表现为矛盾之焦点、角力之落点。为了能兼顾短期安全和长期安宁,迫使 CISO 必须具有“刚柔相济,安全不二”哲思式思维。不管 CISO 自己是否意识到、是否愿意,这种思维方式都会自然或不自然地形成。

1. 安全与发展的不二关系

安全与发展的关系是根本性的关系,也是 CISO必须处理好的关系。作为安全从业者,当听到别人讲到“安全与发展”的关系时,会自然有一种听到“老生常谈”的感觉,可又回避不了这个关系。因为其既浅显,又艰深。

“发展”带给一个国家、一个机构巨大的潜力和能力。习近平总书记多次指出,“安全是发展的前提 , 发展是安全的保障”。发展和安全完全是交织在一起,在数字时代更是不可或缺的关系。独立的安全没有直接价值,必须依附于发展而产生价值。但是,如果安全彻底融入发展,又会失去其独立性从而失去应有的价值。那么,从哲思上说,独立(Independent)和融合集成(Integrated)是相互对立统一的,或者说是“不二的”。

2. 安全跟随发展的跨越脚步

随着“数字时代”的到来,数字经济、数字社会、数字政府、数字文化、数字文明等构成了数字中国的发展,安全也自然跟随着发展的这些脚步。

以前,网络安全所处的领域相对比较狭窄。在过去 20 年的中国网络安全产业发展过程中,绝大部分力量主要集中在网络和系统层。而在数字时代,安全的空间一下子被打开,新的安全要解决数据和业务安全的难题。现在,数据安全和业务安全的有效举措还非常匮乏,拖了数字化的后腿,安全工作必须跟上。

3. 安全领域有很多既矛盾又统一的“不二”

在安全领域,有很多“不二”的矛盾统一体。

例如,攻击与防御。没有攻击就没有防御,有了攻击会自然激发防御。CISO 基本上完全处于防守的位置。在法律法规的限制下,CISO 所在的机构常常不能直接采用攻击的手法来加强对抗,“攻击是最好的防御”这样的军事对抗思想就难以践行。但“未知攻焉知防”,一个 CISO 对攻与防及其关系的理解不同,决定了机构所采取的防御风格和安全策略也会不同。

再例如,漏洞攻防派与密码管控派。这两个安全派别并不像武侠小说里的正教邪教、剑宗气宗那么泾渭分明,但两者侧重的差异非常明显。防病毒、入侵检测、漏洞扫描等常被归为漏洞攻防派,加密机、身份认证等常被归为密码管控派,两派的核心技术和基本方法确实是殊途而行的。可是,随着安全问题的逐渐深入和复杂化,两个派别也开始协同融合。就像当前非常热门的“零信任”理念,以身份认证为核心,又结合攻防派所提供的风险度量,可以看成是为两派的融合。

习近平总书记在“4·19”讲话中深刻地论述了整体与割裂、动态与静态、开放与封闭、相对与绝对、共同与孤立等这五方面的辩证关系。

在安全领域,这些多种多样的矛盾统一体,都是本领域所原生的。面对这些矛盾,CISO 必须要做到游刃有余。

4. 思行合一

作为一个机构的 CISO,最矛盾的也许就是安全在“客观成效上的相对性”与“主观期望的绝对性”之间难以弥合的裂隙。所以,CISO 仅仅埋头努力是不够的,还要抬头观察,凝神哲思,平和沟通。

二、CISO 文治之“正构”

面向商业(To B)与面向消费(To C)之间的差别,无外乎“结构”一词。

设立 CISO 岗位的机构,往往规模不小。也就是说,CISO 所承担的基本是 To B 的网络安全责任。ToB 领域由多种多样的“结构”构建起来,同时,安全又带来了许多特殊的“结构”。CISO 必须是一个结构性思维高手,具有结构性战略洞察力,CISO 必须也是一个大战略官。

1. 安全三要素、产业四顶点

CISO 作为一个防守方总指挥,不能只看攻防关系;CISO 作为甲方的重要决策者,也不能仅仅看产业中的甲乙方关系。具体的安全问题总是符合安全三要素的结构关系——被保护的业务、要危害业务的威胁、要保护业务对抗威胁的防卫措施等三方面。而具体到产业结构中,则必然离不开第三方监管的结构性介入。CISO 要面对的产业结构就是一个四顶点结构:甲方(CISO 所在的需求方、防御方),乙方(供给方、服务方),丙方(监管方),丁方(威胁方、攻击方)。CISO 要策划和推进一个事情,如果缺乏对四顶点中任何一方的考量,最终都会遇到问题。

图 网络安全产业四顶点结构

2. 模型即结构,结构决定了断代

网络安全新产品新技术常常以下一代(NextGeneration,NG)的名目出现。抛开概念,什么才是真正的 NG ?只有基于对安全的创新的结构性认识,基于新的模型,才能称为 NG。

例如,现在常说的传统网络安全产品防火墙、入侵检测、防病毒等,归根结底是为了解决“网络和系统层”的安全问题,基于网络安全域划分,主要部署在安全域边界位置。而很多新的安全技术和方法,其实是基于一些新的安全层次结构认识,将保护对象分为网络系统层、软件定义网络(Software Defined Network, SD)层、身份访问层、数据层。各个层次对应了不同的安全措施,分别对应传统的网络安全域措施、以安全访问服务边缘模型(SASE)为代表的 SD 层网络安全重构措施、以零信任为代表的身份访问措施、以隐私保护和数据安全监管等为代表的新数据安全问题等。

在 SD 层网络,所对应的图论问题是“网”,而在身份访问层所对应的图论问题是“二分图”问题。不同的模型,不同的结构性认识,会带来不同的适应性算法和解决方案。

CISO 就是要不断反省现有的结构性认识,洞察新的结构性视角,发掘新的结构性通路。不管是层次结构、内外结构、链式结构、网状结构,总的来说,维度越高,对事物的认识就越深刻。当然,维度越高,也就越难理解,也越难实用。

3. 时间维度,一直是一个结构性难题

升维,是对 CISO 的要求。而时间维度,可能是最难的一个维度,而且是一个躲不掉省不掉的维度。

CISO 必须主导机构的网络安全规划。而网络安全规划必然会与机构的数字化规划(或信息化规划)紧密相关,又会与机构的风险管控规划、安全生产规划等规划交织在一起。时间维度,对于每个规划都是难题。

时间维度,在 To C 领域,常常与统计学密切相关。而在 To B 领域,更多的是来自更具结构性而难于从统计学出发的因果分析、行为推演。

对此,CISO 倒也不用畏惧。这方面也许能零星地用到贝叶斯算法,但更多的是需要“解平面几何题的素质”,需要博弈论的训练。如果能有一个圈子进行交流,再加上实践中的锤炼,CISO 们会很快成为博弈高手。

4. 高阶意向性与高级博弈

罗宾·邓巴的几本著作深刻地提到了人类所具有的“高阶意向性”。一个人感受一个事物,是零阶意向性;一个人想自己或另一个人怎么想,就是一阶意向性;一个人能想另一个人在想另一个人的感受,这就是二阶意向性,依次类推。成人一般都能达到五阶意向性。更高阶的意向性往往意味着更高的智商和情商,也意味着更强大的感染力和影响力。这既体现在博弈对抗中,也能反应在领导管理中,以及各种政治、经济、社会关系场景中。

CISO 要能够在更高阶的意向性水平上经略自己的工作,包括组织安排与威胁方的复杂对抗;协调与业务部门的融洽关系;平衡多个乙方的供应商关系管理(VRM);适度地达成监管方的合规要求。在这些关系中,更高阶的意向性,能让 CISO 更加智慧地、更妥当地处置。

如果从结构的角度描述“意向性的递进”,这已经超越了维度上的提升,而是类似递归和嵌套那样的迭代式复杂结构。

CISO 要想锤炼自己的高阶意向性博弈能力,业界刚刚兴起的“挂图作战”推演是不错的模式。

5. 理解力与情报体系

高阶意向性的情商、对抗中精彩的博弈,都要以尽量正确的理解力为前提。说得直白些,就是CISO 必须建立支撑工作职责的情报体系。

有些情报体系是有关攻防的,例如业界常说的威胁情报体系。在网络安全的平台化系统中,有很多情报类系统,例如,威胁情报体系是为了获得“非地利”的敌方情报,态势感知系统是为了获得我方“地利”环境的综合情报,网络空间测绘是建立情报体系的“底图”资源等。

有些情报体系是关于产业的,例如业界厂商调研、国家和主管机构的法律法规整理与研究等。有些情报体系是关于技术发展趋势的跟踪,有些是 IT大趋势、经济大趋势、国际大形势的观察。

在企业管理领域,有“五看三定”等多种方法论,可以学习和借鉴。数据搜集、情报提炼分析、态势会商等工作,既可以帮助 CISO 把握大势,还可以为机构“一号位”提供有力的战略支撑,将个人理解力,变成“To B 的机构理解力”。

6. 结构性设计

CISO 必须是一个架构师。

CISO 不能把自己定位于一个江湖侠客。很多企业的高管喜欢自称“技术架构师”,称自己是“产品经理”,觉得“自降身份”是一个很酷的事情。这是不合适的。

CISO 必须是一个组织架构师、一个机构架构师,要配合 CEO、COO 等其他组织架构师一起,让 To B的组织行动起来,而不是全部自己亲力亲为,仅仅让自己动起来。

CISO 要学会设计,要通过制度设计、组织结构设计、流程规范设计、关键技术引进和推进、行为动力动机安排、合规限制审查等,构建或改变一个机构的结构,让机构动起来。冲锋陷阵有时也是必须的,在一些关键战役和行动中,也缺不了 CISO 的利刃和重锤。不过,短暂的过瘾,应当仅仅是在运筹帷幄谋划下的偶尔为之。

总之,CISO 应当是一个“北向”高人。

三、CISO 武功之“奇动”

就像在军事、搏击对抗、证券交易等领域一样,在网络安全领域,要的是赢家,而不是专家。

这里的武功并不是指要像一个侠客一样上阵动刀动枪,而是指谋划推进取得大范围的、甚至全局性的功绩。

直白地说,一个 CISO 必须要有政绩,而且最好是“战功”。

1. 这是最好的时代,也是最难的时代

现在的网络安全领域,早已跨越了仅仅关注合规的阶段,比对等级保护条文的简单合规已成过去。等级保护 2.0 已经出台,合规要求愈发提高,而且具有了更强的适应性和针对性。2021 年,“十四五”规划发布,“两法一条例”(《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》)和《网络产品安全漏洞管理规定》陆续发布,再加上前几年出台的《网络安全法》《密码法》等,网络安全工作已经在一个多维多级的综合性合规体系的强管控之下,也处在多方面的政策推动中。

另外,除了各种合规要求,对安全成效也有了越来越多的具体考验举措。国家级、省部级等各级别的网络安全演习、安全测试、各类竞赛等举措,已经能够对网络安全的真实能力和外在效果进行逼真的检验。国际格局日趋复杂和环境日益紧张,再加上国内涉网有组织犯罪等真实威胁,让网络安全从业者每时每刻都接受着真实的考验。

这个时代,为真有能力、真有谋略、真有组织执行力的 CISO 提供了最好的发挥空间。当然,想要做好 CISO,也确实越来越难。

2. 选择、推进和验证

现在摆在 CISO 面前的可做事情可谓林林总总。现在,并不需要 CISO 挖空心思去想什么奇思妙计,去找什么“暗度陈仓”“空城计”之类的冒险通路和取巧之道。现在需要 CISO 做的,是扩大一定范围的沟通,听取丙方的要求、听取乙方的各种方案、观察丁方的威胁,广纳善言。然后,在众多的方案中,归类分析,加以选择,排列优先级,将方案落实为一个一个的工程和项目、落实为一个一个日常运维执行的流程和制度。

在选择之后,就是驱动机构内部的执行体系(不仅仅是 CISO 自己下属的体系,而是所有相关体系),推进这些工程和项目 , 落实这些流程和制度。

在推进的各个阶段,还要安排相应的机制进行成果验收和效果验证。成果常常是项目计划中定义的目标度量,而效果则是在机构整体防御体系中的真实作用。

3. 以正合,以奇胜

CISO 必须要胸怀总体,眼前时刻要有一个大蓝图,而且还要用体系和组织来执行。组织保障、人才保障、预算和财务保障、环境资源保障、技术和装备保障等都非常必要,CISO 应当是一个“八爪鱼”一样的韧性推手。

不过,在照顾整体体系化的同时,要想上新台阶,一定要有特别的推进动力,也要选择一个不平庸的突破点作为抓手。这个抓手当然要抓向“战功”。合规自然是最趁手最常见的抓手,最容易将外部压力转变为内部动力。

4. 不平庸的抓手:闭环验证

在前面说到的选择、推进、验证这三环节中,最难的是验证。特别是网络安全领域,常说的一句话是没有百分之百的安全,不负责任者会用不容置疑的相对安全性,来回避绝对的目标达成。虽然大家认同没有百分之百的安全,但是能否说清楚是到99.9%,还是 66.6% ?即使难于准确地定量评估,那么能否做到尽量清晰地定性表达?

建立多维度、高覆盖度的闭环验证体系,对CISO 的工作能够获得机构的长期认可,得到持续的支持,至关重要。

叔本华说,幸福是虚幻的 , 但痛苦是真实的。换句话说,幸福很难用正向的描述做确定性的表达,只有负向的描述具有确定性。

安全也类似。很难用正向的描述来确定地表达安全程度,但是可以用“抵御了什么样的攻击”“补了什么漏洞”“处置了什么危机事件”等负向的描述来雕琢出安全的轮廓。这就要靠网络安全的闭环验证。而且,不同的验证可以由不同的责任人负责。

在现有的条件下,有很多闭环验证体系都值得考虑,优先建立。例如,将渗透测试改变为攻击路径的覆盖度验证、网络区域性闭环验证、关键业务系统闭环验证、诸如病毒蠕虫木马类威胁类型的闭环验证、高对抗意识下的闭环验证(如重要演习)、常态安全意识和告警的闭环验证(如进行非告知性外部测试)、极限环境下安全效能验证(一般在网络靶场中进行)等。

根据前文提到的网络安全产业的四顶点模型,因为丁方是我们的对手,不会在产业中配合我们。所以,我们要为敌对的丁方找一个替身,就是建立一个体系化的测试者,构建多维度的闭环验证体系。

据估算,CISO 至少应当拿出整体安全预算的10% 以上来逐步构建和完善闭环验证体系。

5. 抓手:底线工程

CISO 不是要找到最优解,而是要找最不坏的解。

CISO 必须能够理性面对最坏情况,承认没有百分之百的安全,不回避那百分之零点零几的概率。在常规安全视野之外,确实有超低概率的黑天鹅、有藏得很深的缺陷和失误等。用常规安全手段,往往会得不偿失。这就要求 CISO 必须有底线思维。

习近平总书记十分重视底线思维。坚持底线思维,要求我们凡事从坏处准备,努力争取最好的结果;坚持底线思维是我们党治国理政的重要思想方法、工作方法、领导方法;坚持底线思维,不仅是面对当前波诡云谲的国际形势的工作需要,而且是有效应对各种风险挑战的根本方法。

在 CISO 的安全工作中,必须要有一定比例的工作,是在底线思维指导下的“底线工程”。例如,一个最典型的工程形式,就是数据安全领域的防勒索数据备份工程。现在的勒索攻击者已经学会了先攻击受害者的备份系统,然后再破坏和锁定生产系统来实施勒索,那么防勒索备份工程就要考虑到这种高阶攻击。

据估算,CISO 至少应当拿出整体安全预算的10% 以上来尽快夯实基本的底线工程。

总之,CISO 应当是一个信息安全全局指挥的帅。

以上对 CISO 的描述和要求,只是一家之言,也是我对 CISO 的理想标准,希望可以为 CISO 们提供参考。但 CISO 们也不用执着于此,要结合组织的实际情况和自身能力,做自己心中那个真正的 CISO,最终达到 CISO 的文治武功之“大成”境界。

(本文刊登于《中国信息安全》杂志2021年第11期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。