企業安全建設實踐路程思考

在信息安全管理體系方面，有適用比較廣的ISO27001標準簇，也有國標的網絡安全等級保護制度，實踐落地不是照搬，不與之作比較，側重對實際繁瑣工作實踐進行提煉，備忘出具有普遍意義的方法論，參考行業標準化的信息安全建設框架，結合特定場景下的實踐落地過程，雜糅個人思考，力求避免過于強調技術語言，也盡量淺顯易懂，謀求與同業之間引起共鳴和思考。

企業組織在進行信息安全建設規劃時，“縱深防御”體系成為多數企業適用的架構參考，在其思想指導下，為了構建完善的安全防護體系和不斷提升安全防護能力，對信息安全工作進行頂層架構設計和全面的規劃布局屬于第一要務。

需求分析 

不僅僅是安全負責人，任一個員工都應該對企業本身所處行業、業務盈利模式、服務或產品、組織行事風格等具有一定程度的了解，這有助于信息安全人員從各方面對企業信息安全工作的目標進行理解，因此能夠從中發現所處行業的信息安全趨勢、主要風險來源、業務對抗模式、落地的困難與阻力等等，同業交流、會議論壇、研究報告、產業白皮書等還有內部會議，都應該是本企業安全人員及時關注的信息安全發展來源。

→行業研究

假如建設初期我們對2019年的金融行業網絡安全報告進行研究，可以發現當年其內容指出，預計2020年中國金融整體IT信息支出將超過215億美元，針對金融領域的成功攻擊可以迅速獲得大量信息數據，讓攻擊者獲得大量金錢收益，對于攻擊者而言，金融服務行業是最大且最受歡迎的目標之一，等等諸多內容，行業研究報告是分析行業網絡信息安全趨勢的最佳來源。

而在咨詢的2020-2021年對金融行業網絡安全的研究報告中，通過行業調研和專家分享報告了新的理解和專業觀察：

行業監管新動向，數據安全備受關注,數據安全與隱私保護成為金融監管的重點。金融行業作為數據密集型行業，多樣化的數據源、海量的數據存儲量、復雜的數據格式和血緣關系，受到多項法律法規的合規要求（以數據安全法、個人信息保護法為主）；且數據泄露事件頻發，在《數據泄露典型判例分析報告》中，針對所有與數據泄露相關的典型判例的150份裁判文書樣本數據分析，發現內部人員泄露占數據泄露分布的80%，個人用戶數據是數據泄露的主要類型。在嚴格且監管紅線下，75%的企業最關注數據安全。

實戰與合規并重，攻防演練常態化，實戰是檢驗安全的有效標準。從國家部委到各省，甚至各行業，均開始以專項或全盤對抗方式進行周期性、常態化的進行攻防演練活動，通過演練來檢驗企業安全防護能力、安全保障能力和應急處置水平。

發現同行業的安全建設現狀，成為建設目標的最有利參考。網絡安全成為金融行業信息技術體系的重要職能部門，86.3%的企業具備安全團隊或設置了具有安全職能的崗位，91%的企業由信息科技領導直接負責安全部門，且在持續增加網絡安全方面的投入，有47%的企業安全投入占據IT總預算的3%-10%，24%的企業達到10%-15%。

金融行業風險變得聚焦，內控風險、外包風險、新型漏洞攻擊、數據安全威脅、員工行為安全問題等。大部分企業在安全建設中存在的主要困難點突出有安全預算有限、安全人員較少且缺乏專業度、市場廠商產品及服務有待提高、安全建設在企業內不受領導重視等。

→企業剖析

除了研究機構對行業的研究分析、同業的研究報告外，我們仍可以自觀企業經營的營銷重點、業務方向、服務及產品方式，有的放矢去理解企業信息安全的治理方面仍未明了的需求。例如某互聯網大數據企業，業務經營以公共市場數據挖掘和科學分析為主，因此需要使用社會公共數據資源目錄，在對接主管部門、大數據局等政務部門進行數據開放的數據處理使用，需滿足政務數據主管和監管對數據保護的安全能力需求。

作為數據開放的使用方，需要梳理國家法規要求，如網絡安全等級保護要求、數據安全法、個人信息保護法、各省公共數據開放與共享的安全管理相關辦法及行業監管要求。如果以數據為業務服務，經營數據、用戶數據的安全管控是業務發展內生的安全需求，也是最重要的需求；且業務服務以SaaS及APP為主，為保障業務的連續性、安全可用，以及防止數據泄露、網絡攻擊，業務安全、云安全、APP合規等也是保障業務發展的直接需求，同樣需要重點考慮。

→方向分析

經過對科技公司通過行業趨勢、同業實踐現狀和企業自身經營特點等其他各方面進行分析，快速發現企業安全建設的初步需求重點。因此初步可以將其簡單歸納并梳理以下幾條，在安全建設中需特別注意的方向（特定場景示例不與對照）：

合規建設要求加強，2019年8月中國人行印發的《金融科技(FinTech)發展規劃(2019-2021)》中指出，金融科技將成為防范化解金融風險的新利器，因此對相關行業進行合規、技查雙管齊下。同時需要結合公安部主導新制定的網絡安全等級保護標準（即等保2.0），全方位關注網絡、數據、人員等多個維度，構建“一個中心、三重防護、全面管理”的一體化安全架構。

數據安全成為信息安全的重點，2019年CNCERT漏洞統計中涉及信息泄露的漏洞占76%，上升為最熱門漏洞，不斷發生的數據泄露事件和處罰案例，數據作為一種新型生產要素寫入中央文件，數據安全相關法規頒布（數據安全法和個人信息保護法），都進一步督促企業需要完善數據安全治理工作。

信息安全風險呈現多樣化，APT、系統0day漏洞、惡意勒索、內部人員數據泄漏等仍是信息安全所面臨主要風險，網絡釣魚、拖庫撞庫、勒索/挖礦、數據泄露、擼羊毛等惡意行為仍是重災區，新的攻擊技術的應用，不斷涌現的0day，使安全風險更難以識別難以預測。

人員安全是繞不開的話題，日常安全運營的安全事故中只有20％～30％是由于系統漏洞或其他外部原因造成，70％～80％是由于內部員工的疏忽或有意泄密造成的，因此，安全建設中人的因素比信息安全技術和平臺系統的因素更重要。同時安全人才的缺乏和安全意識不足，仍是導致密碼問題、網絡釣魚、誤操作或無意識泄密的重要原因。

建設規劃 

→樹立正確的認知

信息安全管理作為公司級治理任務，不單是信息安全部門的工作，也不僅僅視為技術建設項目，是在公司信息科技戰略指導下，為確保業務連續性和風險安全可控狀態，多個部門協作實施的一系列活動。信息安全建設需要協調管理層、執行層、監督層等相關方，破解不同部門之間的溝通障礙，統一內部共識，實現安全管理建設一盤棋。因此需要跨部門協同，在公司層面、部門之間建立共識，樹立正確的信息安全價值觀。在行業實踐中具有通用的安全共識方法論，可以指導我們樹立正確的信息安全價值觀。

→建立明確的藍圖

企業安全建設必須要有明確的未來藍圖，指示出未來建設的總體框架。圍繞在企業章程和經營業務目標下，著手搭建總體信息安全方針政策，明確信息安全的人員組織、工作思路、任務和重點，以及優化提升的建設原則，才能最終建立科學、合理、有效的信息安全管控體系。依照同業參考標準和實踐經驗，同樣可以參考國際標準框架，制定屬于本企業的信息安全藍圖，如下通過提煉出的信息安全體系全景圖，總覽信息安全管理體系。

信息安全體系的建設，必須以經營業務為導向，以合規監管為底線，以治理管控為策略，基于企業能力現狀因素，充分參考行業實踐，建立符合企業最大收益化的安全建設路線。

良好的信息安全體系的指導思想是，信息安全不僅僅為公司經營業務服務，更應該成為企業提供的服務（或產品）的最重要屬性，成為賦能業務或者企業服務（或產品）價值體現的重要指標之一。

作為企業保持業務連續性和風險可控的主要風險管理工作，信息安全建設應以企業全面風險管理為指導框架，以風險管理的思維，堅持合法依規的紅線和底線，在業務擴張轉向成熟過程中，逐漸調整安全治理管控的側重點，建立充分的指導方針和原則，助推信息安全的建設有效落地，只因安全與風險密不可分。

信息安全建設的平穩推進，依賴企業信息科技的投入資源、對風險的接受偏好，以及對管理體系的借鑒參考，特別是專業的信息安全管理人員的架構能力。作為專業的信息安全架構師，意味著需要了解主流的信息安全建設“最佳實踐”，同時具有打破和知道何時打破“最佳實踐”的能力，避免信息安全建設過程的踩坑，在行業標準化實踐經驗的指導下，平衡投入與收益，建立符合企業利益最大化的良好實踐。

→開展信息安全規劃

信息安全規劃是企業信息化發展戰略的基礎性工作，非可有可無的。由于各企業處于不同階段，信息化的任務與目標不同，所以信息安全建設規劃包括的內容不同，建設規模就有很大差異，因此，信息安全規劃的落地推進無法從專業書籍或研究資料中找到有針對性的幫助，也不可能給出一個標準化的信息安全規劃模版。在這里提出的信息安全規劃框架與方法，給出了信息安全規劃工作的一種建設原則、建設內容、建設思路，具體規劃落地還需要深入細致地進行企業本地化的調查與研究，結合實際情況落到實處。

信息安全建設規劃的最終效果應是體現在保障業務連續和信息系統及資源的安全可控層面，應該是明確安全建設的規劃目標、框架、任務和行動路線等內容，防止盲目建設，因此建設規劃應圍繞著信息安全工作的明確路線進行開展。如下為例可以有以下幾方面工作：

1、戰略規劃

對信息安全建設的規劃需要從信息化（信息科技建設）的戰略入手，深入理解企業信息化發展的總體目標和各階段實施目標，以此來制定信息安全的規劃目標，保持與信息化的同步，來保障未來信息安全戰略的有效落地執行。

• 了解企業發展戰略
• 了解信息化發展方向和戰略構想
• 了解信息化建設的挑戰
• 理解信息化建設規劃
• 理解經營業務需求
• 理解信息安全價值和意義
• 研究技術趨勢
• 確定信息安全戰略

2、提出建設目標

對信息科技的工作現狀進行整體的、綜合的、全面的現狀分析，找出以往工作中優勢與不足，開展信息安全需求分析，根據信息化的建設目標進行分解，提出未來幾年的信息安全需求，制定信息安全框架體系，明確信息安全建設的遠景目標和重點方向。

• 開展信息安全需求分析
• 理解運維管理體系
• 制定建設規劃框架
• 制定重要計劃方向、重點任務
• 梳理內外部合規需求清單：法律法規、主管監管、隱私保護
• 理解內外部信息安全需要：

數據安全保護（如防泄漏、用戶個人敏感信息保護）

外部攻擊防護（如業務風控）

內部管理控制

…

確定未來3年信息安全建設目標和核心重點工作

如下為例的信息安全建設指導方針：

以數據安全為導向

以整體安全為目標

以領先實踐為標準

旨在強調信息安全體系建設與企業經營業務類型、以及業務發展階段同步，盡可能整體、全面的建設安全防護手段（不推薦，可能導致過度投入），且滿足與行業良好實踐同步。

3、制定行動路線

以信息安全目標為中心，結合企業偏好、業務場景和風險威脅情況，構建可持續運轉的閉環安全防護體系，實現組織安全能力建設。將信息安全目標分解成若干小的建設項，以便于今后的落實與實施。

- 理解基礎網絡和信息系統架構、主要技術選型

- 了解市場解決方案、前沿開源技術

- 借鑒行業良好實踐

- 資源評估（成本預算、人力、配合環境）

- 風險評估：（發展階段、重點目標、）現狀分析和需求適配

- 確定建設路線：可研方案論證、PPT（人+流程+技術平臺）、治理運營（風險防御、監控預警、應急處置、溯源分析、對抗）、持續改進（衡量體系、第三方評估）

- 確定年度實施計劃（明確年度建設內容、投入方式、人力與資源、價值標準）

以下方法論示例供參考：

人的評估，高管層屬于經濟利益型還是專業背景型？風險管理屬于保守型還是激進型？沒有紅頭文件、沒有監管通報、沒有罰款，一概不做？既要馬兒跑又要馬兒不吃草，利用開源項目、免費白嫖？

→建設指導原則

明確業務導向，保障信息安全與業務目標的一致性

聚焦核心基礎安全能力，有重點分階段低成本的分步走

把控投入節奏，追求投入與收益的平衡，不過度保護，有差別的對待安全風險

追求安全的收益，安全成為對業務和企業有益的價值體現，做的好也要講得好

以領先實踐為標準，向同業看齊，努力超越競對

信息安全規劃作為企業戰略在信息安全方面的落實和擴展，是以企業整體發展戰略、信息化規劃為基礎，考慮外部合規、內部管控需要，診斷、分析、評估企業信息安全差距和需求，并結合信息安全最佳實踐以及發展趨勢，總結和提出企業信息安全建設的遠景、目標、框架、任務和行動路線的過程（續建設規劃與需求實踐思考）。

建設模型 

→漏斗Y模型

信息安全建設的這個漏斗“V模型”方法本身很直觀，自上而下規劃、分析，自上而下推動，自下而上設計、實施、完善（參考首篇建設規劃與需求實踐思考，時間倉促，也算是承諾的續吧）。

→方針

一個目標、兩個方向、三個維度

建設目標：

按照特定意義場景下的信息安全體系發展階段，打造“可防、可見、可控、可審、可信”的信息安全管理體系。

兩個方向：

對外保障邊界安全和業務安全

對內提升全員安全意識

三個維度：

管理建設維度，打造特色的業務與數據安全體系管理建設閉環體系

管控能力維度：建設全面的信息安全管控能力

安全運營維度：建立一套完善的安全運營管理流程

→改進思維

動態糾偏思維：動態糾偏來自于PDCA不斷迭代的思想，由某廠商市場總監提出，信息安全規劃不是一成不變的，需要根據企業發展現狀、信息化投入重點、建設周期、技術成熟度等進行合理調整，如某些子項的重要程度和順序，使建設方案按照建設目標以最優的平衡實現最大化收益，“一以貫之、動態糾偏”。但應該堅持短期規劃的一貫性原則，除非重大變故不建議進行推倒重建，避免因規劃思想的不同而導致的重復建設和資源浪費。

差異化原則（反木桶原理）：“木桶原理”，信息安全防護水平由最短的那塊木板決定，是信息安全體系中最重要的一種建設思維，從防御維度來看的確如此。但從安全建設角度，按照最高規格的安全方案來建設，意味著安全強烈的主導性、大量的成本投入、復雜的管理程序、高難度的阻力，甚至阻礙業務的發展。建設方案應該充分考慮業務特性、適用場景、平衡風險與收益，有區別的針對性建設，打破實踐重新塑造最優方案。

建設內容 

管理建設維度

業務與安全體系建設，可以按照標準“規劃、建設、監督檢查、持續改進”的方式開展信息安全建設工作，形成PDCA閉環，持續提升信息安全管理能力。

“戴明環”PDCA（計劃Plan、執行Do、檢查Check、處理Action）是一個持續改進模型，把各項工作按照作出計劃、計劃實施、檢查實施效果，然后將具有成效的措施納入標準流程，不匹配的方法去掉或者留待下一個循環去解決，形成一套螺旋上升不斷改進的工作方法。

假設一家初創企業，業務與安全體系建設都屬于起步階段，這意味著可以避免很多業務發展與安全建設的不平衡問題，可以嚴格按照標準流程從頭建設屬于自己的管理體系；如果業務成熟的企業，新增安全建設，便需要在一個特定陣痛期內，不斷打破原有的管理流程，不斷完善安全管理措施，斧正不規范的管理行為。

管理建設維度有兩項重要的工作，即制度建設和評估審計。管理建設必須有完善的制度體系作為指導，形成制度、規范、方法等有層級的規范文件，在管理過程中才能“有依據、有目標、有方法”；而制度規范的落地執行，必須要依靠風險評估和管理審計，有理有據有效執行，達到目標效果。

管控能力維度

在內部管控方面建立一套完整的信息安全管控體系，包括基礎網絡安全、辦公終端安全、數據安全、應用安全、管理安全等，按照PPT（人+流程+技術）系統工程，投入人員配置，設置過程和方法，建設技術平臺工具，形成縱深的安全管控體系（技術體系不在此詳述，實例為不完全參考）。

安全運營維度

根據信息安全事件防護、監測、預警、響應、恢復的機制，建立一套完整的安全運營管理流程，按照“事前、事中、事后”進行防護要求建設，達到及時響應恢復的目的，應對未來可能出現的各類信息安全事件。

分階段實施，進入持續運營不斷優化階段，通過安全運營積累，實現標準化、可量化。

實踐挑戰 

體系架構設計缺乏，對新技術的追捧，以及技術建設往平臺化發展，常常認為以態勢感知、XDR、綜合管控平臺等基礎安全設備的采購、運維，作為主要信息安全體系建設目標。在安全管理體系方面沒有概念，無法將業務風控、審計、法務合規、行政管理、物理安全、隱私保護等范圍與信息安全的關系進行充分明確。建設了很多平臺系統，依然沒有成熟的管理體系，工作機制仍舊一團糟。未能掌握對公司戰略目標和發展的分析，沒有體系化的建設目標。

合規管理認知不準確，對合規的認知，僅僅停留在無監管通報即為安全的層面，根本未理解信息安全合規的初衷，以至于將等保、ISO27001等認為即是沒用的一堆文檔，形同虛設，常常有“合規都是虛的”觀念。

人員短缺，在現階段信息安全領域，有經驗的頂層架構設計架構師過于缺乏，跟信息安全行業的發展以及人才的培養時間有關，市場還未歷練出大批優秀的安全人才（歷經業務生產和信息安全的雙重歷練）。國家戰略的高度重視，資本的引入，未來的信息安全需求加強，都會推動行業的發展。企業對信息安全人才需求強烈，高級人才的短缺，但市場評價體系未有標準，無法支付安全行業的標準高薪，要么通過運維人員自行培養，或全部依賴外部服務商公司，但服務商的方法論體系并不一定適合實際落地執行。

預算不足，雖然在某些行業“十四五”規劃中提到關鍵行業信息安全投入不得低于IT的10%，但大多數企業信息安全方面的投入仍不足5%，甚至沒有基礎的規劃建設內容。

對新技術投入艱難，新技術的細分賽道，魚龍混雜，想要根據行業技術發展趨勢，利用好現有行業內成熟方案，‘不吃新螃蟹’，但又要對未來技術發展具有前瞻性，何其艱難。

成本投入管理難以體現，信息安全從未有與信息系統“同步規劃、同步建設”的地位，信息安全作為企業內的后來者，無疑要搶占整體信息化建設的投入，且收益比量化沒有較好的標準，導致多數企業在信息安全方面的成本投入整體偏保守。

向上管理任務艱巨，企業安全建設或者運營作為一項長期性工作，不能忽視與領導層之間的溝通，包括合理的預算投入、建設的必要性、安全運營價值體現等，同時不能無視跨部門帶來的價值，比如對風險合規的有效支撐、對企業數字營銷價值的體現、對日常經營管理的支持。在標準的組織架構內，治理領導層向管理執行層下達的目標是清晰的，而由下向上推動的建設活動，常常困難與阻力重重，無法得到應有的資源和協調。因此，以非專業的語言，向領導層展示和匯報信息安全管理的價值收益至關重要。

人員安全意識的提升，難上加難。在所有的信息安全建設，以及安全運營過程中，眾所周知，人的因素的重要性，但如何開展員工安全意識的提升，有各種方式方法，但苦于收效甚微，頻繁的人員變動、復雜的外包及供應鏈環境，安全意識提升的腳步無法停下。