本文转载至广州市CIO协会
CIO需要了解的信息安全OPQ,“O”就是Objective;“P”就是Planning,“Q”就是Question,就是CIO需要关注企业信息安全的目标、规划以及可能疑惑的问题。
一、企业信息安全目标(Objective)
以四个故事为例,第一个故事是2010年伊朗离心机事件,让“震网病毒”名声大噪。第二个故事是伊朗击落美国“无人机”事件。第三个故事是雅虎30亿用户数据泄露事件,这个事件说明了只要有安全漏洞存在,数据泄露就会一直发生,数据被泄露只是时间问题,目前没被泄露或者没被恶意利用,只是运气好。第四个故事是今年5月12日发生的Wana Decrypt事件。这个事件到目前为止已经过去差不多半年的时间,但在这半年的时间里,仍会出现PC或者服务器被病毒感染的现象。从整个整改情况来看,虽然有技术措施和成熟经验,但仍避免不了这些问题的发生。
从这四个事件的发生可以知道,无论是针对故事一、二、三中的进攻(制作病毒或干扰系统),还是防御,都不是大部分企业IT部门所能完成的工作。作为普通用户,可以关注故事三中的防御。作为企业CIO,需要关注和解决的是故事四中的事件。由于目前的法律法规不支持受攻击单位进行反击,因此“及时获得并快速处理已知的重要计算机病毒、安全攻击和安全漏洞,实现企业级防御”,是企业的信息安全目标,这也是CIO们对信息安全的真正关注点。
造成CEO、CIO对信息安全不关注的原因主要有:非互联网行业,安全事件最多伤及“面子”,不伤“里子”;信息安全投入无明显产生,不产生业绩,无辅助升迁;觉得没有敏感数据,侥幸心理,如发生,只作偶发事件处理。
从技术本身来讲,常见的攻击种类,不管是拒绝服务类,数据泄露类,还是ABT攻击类,目前市面上都有比较成熟的产品可以去应对或解决。有些处理,比如CCDOS、流水性攻击、网浏览攻击,这些除了安置一些设备外,还可以在防火墙上做一些控制,甚至在应用上做一些定制开发。
企业信息安全现状
从2010年到2016年整个企业市场信息化投入和安全事件的关系分析图来看,整个信息化投入呈现几何增长现象,全球范围内恶性安全事件虽然数量在不断增多,但呈现直线增长,增长速度并没有信息化投入大。
企业信息安全成熟度
对企业而言,国家级以及用户级的进攻防御并不是企业应该关心的问题,企业应该关心的是企业级的进攻防御,要做到抓大放小,将主要的安全事件、病毒、漏洞进行整改。如果能做这些,企业信息安全成熟度基本上可以达到第二级和第三级,即可重复级和已定义级。
从全球1000强企业信息安全成熟度来看,大部分企业的信息安全成熟度还处于第二级或第三级别,这主要与企业业态有关。由于企业的业态并不需要安全级别有多高,一般二级即可,或者是二级到三级之间,高技术企业可能会达到四级和五级。不管是从成熟度还是从安全事件的数量来看,以安全的成熟度和级别来说,并不是越高越好,一定要和企业的业态和特点相匹配。
以国内有代表性企业的信息安全管理成熟度现状来看,对于设置目标是四级或者五级的企业而言,其信息安全建成的时间会比较长,一般在十年或者十年以上。自从《网络安全法》发布以后,有些企业会认为随着企业安全程度的提高,如果能在三至五年的时间内完成信息安全的建设会比较好,这个时间段基本可以完成从初始级到可重复级和已定义级,就是从一级到三级,如果再往上一级,那就会有压力。
简而言之,对企业来说,信息安全工作就是能够做到企业级的安全防御,对已知的病毒、攻击和安全漏洞做及时处理。对于未知的漏洞,很多时候是没办法去关注或者是整改的。
二、企业信息安全规划(Planning)
如何实现信息安全目标,简单而言就是要有安全框架或者安全蓝图,更广的范围还包括实施路径和项目群。从整体来看,就是要有一个安全目标、一个信息安全的框架和蓝图、一个实施路径和一个项目群四个部分。
企业信息安全架构(1):通用型
通用型的企业信息安全框架,正面图是2013年版的ISO27001标准,顶层是信息安全的PDCA,还包括其他安全因素,如人员、设备、信息、流程、环境等。通用型模型对于很多企业都适用,但又不适用,因为它无法突出一些企业和行业的特点。这个模型适用于刚刚接触信息安全的企业,领导比较关注标准本身。假如领导对于标准并不在意,或者领导对信息安全有自己的原则和看法,那就不太适合使用通用型模型。
企业信息安全架构(2):核心技术型
核心技术型模型适用于高科技的行业,或者有自己的核心技术和商业数据的大型企业。核心技术型模型将业务需求、法律法规要求置于顶层,往下是信息系统,更多关注的是整个信息系统的风险。根据信息系统风险的驱动,然后要有人员、资产以及组织按照政策、信息技术和安全操作去不断地进行风险的处理和规避,不断降低风险,最终达成企业业务目标或者保证业务目标的实现。
企业信息安全架构(3):金融、国企或集团企业
对于集团企业或者技术要求比较多的金融、电力这类型的企业,企业信息安全架构更强调三大防线,即事前控制、事中控制、事后控制,以及强调多级融合,即将信息安全体系以及风险管理体系,包括业务风险和安全风险融合在一起,或者将运维ISO20000、ISO27000融合在一起,将外部的检查和内部的审计融合在一起,从而形成一个多合一的架构。这个模型对于刚接触信息安全的企业来说,很容易帮助IT经理或CIO说服CEO。因为有些领导很想知道哪些属于事前控制、哪些属于事中控制、哪些属于事后控制,这个模型能很好地说明这些问题。比如制定安全制度、建立安全组织以及采用安全技术,这些都是属于事前控制;事中控制就是做一些安全运维、设备操作、定期的做风险评估、风险处置、寻找漏洞等;事后控制就是应急与灾备。
企业信息安全架构(4):风险驱动型
第四种企业信息安全框架就是风险驱动型,实现这一框架的前提是企业已经实现全面融合管理。就是在企业内部,已经将安全的风险和业务的风险融合在一起,或者在整个风险管理的过程中已经清楚识别各个领域的风险,比如安全风险、操作风险、IT风险等,通过风险的驱动来进行安全控制,这种框架在外资企业比较常见。
实施路径/优先级
项目群(示例)
以项目群为例,在规划时通常会规划很多项目,但项目之间存在一些逻辑关系,这些逻辑关系一定要表述清楚。网络边界可能存在一堆项目,数据中心、终端也有可能存在一堆项目,要将这三大区域做出分类,然后找出每类项目的关注点。比如,网络边界主要是防攻击、防数据泄露;数据中心更多是加固的,如数据隔离、数据库审计等。终端的项目很多,信息安全最难开展,因为终端的软硬件配置都不标准化。要将终端安全做好,首先需要解决终端软件标准化的问题,如果标准化做不好,终端的很多安全都不能开展,会出现很多问题,如安装的软件不兼容,或者软件兼容但是运行速度慢,硬件配置不够等等。
如果整个信息安全没有什么可做的项目,建议优先实施网络边界类项目,因为效果明显,其次实施数据中心项目或终端项目。数据中心内部的安全实施是个慢功夫,最基本要做的是数据隔离,要将不同重要区域与不重要的区域分开,比如互联网与互联网系统,不能将其他的系统放在同一个区域里。
三、CIO们常困惑的问题(Question)
Q1:信息安全管什么
信息安全,除了IT系统的安全外,还包括业务数据安全、人力资源安全、信息系统安全、物理环境安全等,甚至还包括法律法规的合规问题。法律法规由法务部门管理,业务数据由业务部门管理,保密由保密部门管理。从这个角度来看,整个信息技术部门需要管理的事项并不是很多。但是,很多企业高层一提到信息安全,往往会将它和信息系统融合在一起,信息安全就是信息系统要做的事情。这个时候,CIO或者IT经理就必须要明确一件事情,就是信息安全对企业而言到底要管理哪些东西。
关于业务数据的安全,首先,业务数据是由业务部门产生,业务部门对业务数据有保密责任,要对数据的质量、真实性负责。信息部门要做好业务数据在信息系统内部的存储、交换,这个界限要划分清楚。再如人身安全,不管是职前、职中、职后,还是对外部人员的雇佣前、雇佣中、雇佣后,都需要把界限梳理清楚。很多时候,企业对内部员工的管理通常由人力资源部门负责。但对于外包人员,则是项目由谁开展,谁就应该负责外包人员的安全。至于安全原则,需要由人力资源部门,或者是信息技术部门和业务部门制定清晰,然后由大家去执行。
Q2:安全性和可用性的边界
关于安全性和可用性的边界问题,对于大部分CIO来说,他们只负责管理信息技术部门,或者包括财务和内控部门。在这种背景下,如果CIO不够强势,最好只做信息系统的安全,其他安全暂时不做。如果足够强势,可以将安全范围扩大。即使只做信息系统的安全,在信息技术部门内部,安全还是有广义和狭义之分。广义的安全包括系统可用性。按国际标准化组织(ISO)的定义,信息安全管理体系(ISMS:对应ISO27001系列标准)关注信息系统的安全性(Security),IT服务管理体系(ITSM:对应ISO20000系列标准)关注信息系统的可用性(Available),两个体系间的重叠部分为应急与灾备,即业务连续性管理体系(BCMS:对应ISO38500系列标准)。
整个可能性的东西,包括应急与灾备,有时会作为一个单独的领域或课题去建设,由一个专门的团队负责。不管有没有专门的团队负责,整个可能性的灾备都不能放在安全里面,这与加密、攻击、病毒等常见的安全问题不属于同一个范畴,做法也不相同。除此之外的安全,最好由安全团队负责开展,将信息安全管理体系与IT服务管理体系分开,如果再细分,可将业务连续性管理体系与应急灾备分开。
Q3:信息安全职责划分
安全从国内企业的角度来说,其实就是一个职责的划分和归属的问题。信息安全管理职责的划分有三个原则,一是谁所有,谁负责。划分上级单位与下属单位间的管理边界;划分信息管理部门与业务部门间的职责边界。二是谁管理,谁负责。可再细化为“建设期:谁建设,谁负责;运维期:谁运维,谁负责”;划分信息管理部门内部各团队间的职责边界。三是谁使用,谁负责。划分信息管理部门与用户间的职责边界。
Q4:安全团队放在哪
安全团队放在哪?主要有三种方式。一是隶属数据中心。这种方式的优点是安全建设和事件处理时,容易调动基础设施团队资源;缺点是与客户(开发团队、下属单位)距离太远,管控职责发挥不足,会导致后续整改成本提升,工作被动状态持续。二是隶属架构、PMO团队。这种方式的优点是补充PMO对信息安全知识的短板,利于形成“管控合力”,利于对安全要求落实的监督,能够较早获得关于开发团队和下属单位的持续信息,利于IT系统大集中时,开展“健康检查和整改”工作;缺点是仍不是“业务安全专家”,功能发挥仍在技术领域。三是隶属管理层。这种方式的优点是安全建设和安全事件处理时,调动其他团队速度会加快;缺点是可能造成过分强调信息安全,影响效率,与项目组、各技术团队距离太远,不利于安全事件和漏洞发现和整改跟进工作。
Q5:安全人员的工作职责
安全人员的工作大部分为“求人型”、“推而不动型”,这部分工作的开展方式,需要CIO在架构设计时先考虑清楚,否则无法开展。整个安全工作可分为PDCA。“P”是决策、规划;“D”是具体工作执行;“C”是落实情况,监督检查;“A”是采取措施,持续改进。因为安全涉及范围广,安全人员需要处理攻击事件、处理数据库的安全、加固、整改等等,这其中有些工作是安全人员做不了的事情,只能由网络管理员或者应用管理员去做。因此,“D”和“A”的工作大部分由其他团队负责,安全团队只能做一小部分。
Q6:如何避免安全制度“两张皮”
如何避免安全制度“两张皮”?这需要将安全控制融入“信息系统开发生命周期”。从整个生命周期来看,分为立项阶段、定义阶段、设计阶段、实现阶段、运维阶段、废弃阶段。其中,安全需求调研和定义、安全方案设计主要由开发团队或建设团队去完成,如果没有能力开展,可以找供应商或者安全团队负责;如果企业内部有安全团队,最好尽早介入项目中,甚至可以在立项阶段或安全需求调研时介入,尽早将安全需求提出,避免后期被动。对于大部分企业来说,在整个项目的开发和设计阶段,让安全团队介入是一件比较困难的事情。但是,安全团队可以做好以下三方面的事情:一是设计方案出来后,可以让安全团队负责方案评审;二是在项目上线时,让安全团队负责上线安全检查;三是做好项目上线后的定期安全检查。
Q7:互联网公司安全:代码即安全
传统企业与互联网公司在安全方面的做法,首先在整个物理层面上基本是相同的,但是在集成和网络层面上有很多不同。互联网公司有很多开源技术和个性化的开发,这是最大的不同。从整个概念来说,互联网公司安全就是代码即安全,很多传统企业更多是安全设备和商业软件的安全,比如购买一些设备,这些很难做到个性化定制和个性化设置。
Q8:《网络安全法》的执法情况信息
从目前来看,《网络安全法》在国内的执行情况超乎想象。像腾讯微信、百度贴吧、淘宝、证券公司等都有处罚案例。从目前的执行情况来看,一些大企业,比如能源、金融、运营商、交通、大型互联网公司等,这些企业需要切实落实网络安全法的具体措施,包括系统的等级保护、信息的保护等等,网络安全法对这方面的处罚比较严厉。
v 问答篇
CIO:如何开展7分管理3分技术的信息安全建设?有哪些策略?500人规模的公司,信息安全团队该如何构建?
牛志军:看企业所处阶段,如果安全才开始做,我觉得应该是7分技术3分管理。等到技术手段基本具备,再把7分管理和3分技术倒过来。在策略上,建议重要关注:核心数据防泄露、核心系统防攻击(包括权限控制)、严重病毒事件。配多少人,要看企业业态,如果是制造业,建议每300台配一名安全人员,如果有核心技术,建议人数要增加。
CIO:企业信息安全涉及到内部环境和外部环境等多方面的问题。针对“内部方面”企业内部机密信息,我们建立了保密管理制度,安装了几套加密系统,同时,对网络进行了监控,对人员也进行了教育培训。刚开始效果很好,时间久了,效果会没有开始实施时那么好。在执行信息安全这一块,除了建立制度,设置安全措施等管理手段,有什么方法可以让员工具有潜移默化的执行信息安全措施?
牛志军:加密或其它安全系统上线久了,感觉效果没开始时好,这是正常的。主要有两个因素:所有安全系统都有它的功能局限,目前还没有“包治百病”的系统。时间久了,不排除员工对系统的功能有所了解,甚至掌握了绕过的方法。对于终端而言,最好的方案是VDI,即是VDI,也可以拍照泄密。另一方面,要在系统上不断完善和加强安全策略,很多时候是上了系统后,不再优化策略。要配套实施奖罚手段(柔性还是硬性,视企业文化确定),让员工逐渐变得不愿破坏安全,到不想破坏安全。
CIO:相关骨干人员因相关原因离职后,内部一些信息很容易泄露,特别是新产品开发等重要信息被泄露了,如何补救?
牛志军:有离职苗头的员工,在工作安排上要有所体现,不要让他再接触核心的信息。这类员工本身就会有意的收集信息,纯技术上手段作用不大。
CIO:如何让业务团队对业务数据安全负责?
牛志军:识别数据的OWNER,谁是OWNER谁负责。如果找到OWNER,OWNER也不认帐,还是把任务推到IT部门,那建议找1至2个核心数据,按数据生命周期,从数据产生、传输、处理、加工、保存、废弃整体环节,涉及到的工作流程、人员、载体(系统/纸质文档),都列出来,再逐一分析,哪些环节可能存在数据泄露,这样很容易让业务部门也参与进来,有事实有真相,至少能做到两个部门一起负责,不至于都推到IT部门。
CIO:如果从业务数据安全方面去考量,评估业务数据安全风险有没有什么方法论可分享下?
牛志军:刚才讲的评估方法,其实就是方法论。步骤:识别核心业务→核心业务相关数据、流程、载体的识别、分析→主要风险分析→输出风险处置建议。
CIO:在企业用户使用桌面端,怎样灵活部署防病毒软件,从正版与免费,从强制安装与灵活自由等方面,有什么好的建议?
牛志军:防病毒,如果PC数据不多,只要及时更新病毒库,使用收费的、免费的问题都不大;如果数量多,建议还是使用收费的企业版防病毒。另外,安全本身就是加强控制,即使有灵活度,也比较小。不建议留灵活度,有灵活度,就是留了空子,就容易出问题,平时可能没感觉,等出事时,发现原因空子有好多个。
CIO:一般企业的体系会有专门的体系组织来开展定期的内审和外审。像信息安全内审外审应该由什么部门或者组织来开展?
牛志军:内审由内部的审计团队牵头,一般具体审计人员是IT人员,因为审计团队不了解IT,更不了解安全,审不了。外部的审计团队,主要是四大的或认证机构的。
CIO:目前企业除了办公网络还有MES系统的工业网络,很多对远程设备厂家要求能够远程监控和优化升级,企业的ERP系统生产计划数据也要与MES系统对接,在办公网络和工业网络之间如何处理边界和信息安全问题?
牛志军:MES和办公网,一定要网络隔离(建议通过网闸,实现数据单向传输)。另外,终端接入这2张网,也建议终端分开,终端间不要交换数据。实施相对严格的两网隔离策略,只允许后台间单向交换数据(实在不行,对双向交换的数据进行严格限制,限制好哪些表单或接口,才能交换数据)。
嘉宾简介
牛志军,前华为信息安全资深顾问、前华润集团信息安全负责人,现任安恒南方咨询规划总监,是国内最早一批ISO 27001 LA、CISA、ITIL Expert、Cobit Expert资质获得者、ISO 9001 国家注册审核员;具有20年信息安全一线实战经验,是华南首批信息安全从业者,服务过的企业包括万科、华润、深圳地铁、中国南方电网、中国广东核电等。擅长领域:信息安全、云计算、大数据、IT规划、IT架构、IT审计;兼攻:财经、文史、阳明心学。
