企事业单位网络安全问题的三点思考
即将开播:5月14日,Jenkins在K8S下的三种部署流程和实战演示
“大量的网络安全检查伴随着问题的发现,问题发现了就要分析原因。所有的网络安全问题,最后都归到人的问题上,就事论事都只能起到短期的改进作用,长期的改进都需要加强网络安全队伍建设,加强管理层的网络安全意识,才有可能提高单位整体网络安全管理能力。”
本期牛人访谈安全牛有幸邀请到军工保密资格认证中心研究员黄次辉,站在单位的视角而不是国家的视角、行业的视角或者网络的视角,为我们谈谈单位网络安全管理能力、管理层网络安全意识和网络安全队伍建设这三点的思考与分析。
一、网络安全管理能力
一个单位的网络安全管理能力体现在以下几个方面:
1. 结合业务分析网络安全风险的能力
每个单位的业务模式决定了其对信息化环境的依赖程度,业务的信息化流程决定了其网络安全的风险点。梳理业务流程,深入分析网络安全风险点,确定在多大程度上接受网络安全风险,通过传统的手段控制经营风险,在多大程度上通过加强网络安全管理来控制网络安全风险。这是一个明确网络安全管理目标的过程。网络安全没有百分之百,没有万无一失,同时,网络安全的成本相当可观,应该有所取舍,有一个可以努力的目标,有突破网络安全风险底线的应对措施。
这个过程可以参考国家等级保护管理的方法,按系统重要程度投入相关资源。首先要划分保护对象重要性级别,可以按网络区域和应用系统来划分保护单元,然后从保护单元受到破坏时受损害的业务及其受损害的程度两个角度考虑每个保护单元的重要性级别。第二,每个保护单元从规划阶段就要考虑其重要程度和具体的安全需求,有针对性地部署安全措施,并且要随着业务和信息化的发展对每个保护单元的安全级别和安全需求做必要的调整。第三,单位根据信息系统重要性级别确保网络安全的投入,特别是人力资源的投入,确保网络安全需要的人力和财力资源。
对于难以避免的网络安全风险,必须考虑网络安全防护措施之外的经营管理风险控制措施。比如依赖互联网上电子商务平台开展业务的公司,要考虑数据备份等可实施的安全措施,也要考虑到公司对电子商务平台的安全风险没有控制能力,不仅要用合同约束平台供应商提供稳定可靠的服务,还要考虑电子商务平台出现影响业务的网络安全事件时的业务风险控制措施。
2. 合理规划信息化基础设施的能力
信息系统的结构清晰、层次分明、接口简洁、功能定位明确,信息化规划过程中充分考虑网络安全需求,是做好网络安全管理的良好基础。
比如,涉密信息系统、非涉密信息系统、互联网全风险有很大区别,国家对这三种网络的监管政策不一样,单位必须明确这三网的功能定位,涉密的应用毫无疑问放在涉密网络,非涉密的应用放在涉密网、非涉密或互联网都可以,应该考虑非涉密应用的用户范围、工作流程、所存储处理信息的来源和用途、和其他应用系统的关系等因素,合理部署该应用,才能使涉密信息系统、非涉密信息系统、互联网之间的边界清晰,信息交换接口少而且好用可控,既便利信息资源合理利用,又便于网络安全管理。
再比如,大部分的网络安全控制目标既可以通过网络层实现,也可以通过应用层实现,网络基础设施建设的时候就要考虑网络层和应用层的安全分工,考虑后续应用系统对安全的需求。
3. 以网络安全法规为抓手开展网络安全管理的能力
网络安全管理的一大难点是网络安全投入的绩效评价困难,而绩效评价难的原因是建立网络安全管理的指标体系非常困难,合规性给单位提供了一套可操作的绩效评价指标,以网络安全法规标准政策为抓手,开展单位网络安全管理,是一种很好的工作方法。我说的是以此为抓手来推动单位的网络安全管理,而不是机械地对标。不同的信息化对象适用不同的法规标准政策,搞清楚每个信息化对象需要遵循的要求,这些要求中有的是刚性的,必须严格执行,但大部分要求在落地时有很多可以选择的解决方案,有的标准是一个可选择的安全措施全集,落地时需要结合实际做裁剪,这个过程中的沟通体现管理水平和专业能力。
如标准在单位落地时可以有不适用项,不需要实现,只需要做不适用原因的分析。
如等级保护和分级保护标准都对应用系统的安全审计有要求,单位可以结合业务流程确定具体审计哪些行为,记录哪些日志,这对业务流程起到很好的监管作用。
二、管理层网络安全意识
意识来源于知识。管理层的网络安全知识匮乏是普遍现象。后果是对网络安全管理口头上重视,行动上忽视,投入上无视。
网络安全的投入是实打实的真金白银,但回报是隐性的,不存在利润指标,无法用利润高低来衡量工作效益,使管理人员难以就各种目标的相对重要性达成共识,造成网络安全在需要投入时争取不到应有的资源。
由于这样的特性,网络安全工作一般依靠三种力量相结合来推动。第一种力量来源于领导。网络安全是一把手工程,一把手重视了,从上到下各级管理层就重视了,这要依赖于单位领导强烈的网络安全意识。第二种力量来源于制度。网络安全成为硬性要求,融入操作规程,成为考核各级管理层和员工的指标。第三种力量来源于全体人员的安全意识。将网络安全要求内化于心,外化于行。其中,制度的力量取决于第一和第三种力量的大小。如果安全意识不足,制度很容易沦落为形式,雷声大雨点小,高投入低效能。
员工的网络安全意识教育相对比较好做,现在的网络安全意识教育基本上都是针对员工的,不是针对管理层的。管理层的安全意识难抓,但管理层的意识比员工的意识更重要。管理层并不热衷于学习网络安全知识,领导认为网络安全是个专业的事,自已不用学,另一个原因,当前的网络安全意识教育未列入管理层学习培训的视野中,培训机构及人事部门没有充分培育领导干部网络安全意识培训的市场。管理层的网络安全意识和员工应该有不同的视角,这一块的培训应该怎么做,是一个值得深入挖掘的问题。培训者需要结合企业经营管理来分析网络安全的问题,这样的课程才对高级管理人员有吸引力,有价值。
2017年习近平总书记在国家安全工作座谈会上指出,要筑牢网络安全防线,提高网络安全保障水平,强化关键信息基础设施防护,加大核心技术研发力度和市场化引导,加强网络安全预警监测,确保大数据安全,实现全天候全方位感知和有效防护。国家在对机关和事业单位的审计工作中,已经将网络安全工作的开展情况列入审计内容,国家机关和事业单位领导的网络安全意识培训将越来越受到重视。
将网络安全意识教育融入到管理层的学习培训将是一个发展趋势。
三、网络安全队伍建设
当我们讲网络安全队伍建设的时候,我们先得说说网络安全队伍的结构。
一个单位可以投入到网络安全的力量大致有以下几类,其中前两类肯定是单位内部人员,第3类可能是内部人员,也可能是委托的外部团队,第4、5两类是外部力量,通过合约关系来为单位提供服务:
- 网络安全管理。规划管理单位网络安全,将网络安全与单位经营管理活动相结合。
- 信息化管理。规划管理单位信息化工作,将信息化与单位经营管理活动相结合。
- 信息系统运行维护。运行维护信息系统,重点在信息系统投入使用后的管理。
- 信息系统集成商或网络安全厂家的技术支持。单位在系统集成或购买产品后,可以获得后续服务,也可以长期购买,一般会局限在与所购买产品相关的服务领域。
- 网络安全咨询服务与技术服务。根据单位需要购买网络安全专业服务。
以上的五类人员,2、3、4类人员是当前网络安全依赖的主要力量,但他们的工作重点和关注焦点是信息化,网络安全不是他们关注的焦点问题。1和5类人员才是单位网络安全的专业力量,但当前这两支队伍都比较弱。
先说网络安全管理队伍。两种薄弱表现,一种是岗位设得太低,与职责不匹配,这是普遍现象。这里的队伍建设,首先指的是岗位设置、岗位职责和权限的分配。业务对信息化依赖程度高的单位需要一个高级岗位,规划管理和监督单位网络安全,将网络安全与单位经营管理活动相结合,不仅需要有专业背景和管理能力,也需要相应的权限和沟通渠道,才能做好工作。但好多这样的单位只设了一个低级的网络安全管理岗位,很难履行相应职责,有的甚至没有设专岗。这方面普遍不足,也意味着网络安全管理人员没有向上发展的通道,这是整个社会网络安全管理人员队伍储备严重不足原因之一。第二种薄弱的表现,是网络安全管理人员的素质与职责不配匹。这是一个综合素质和专业素质要求很高的岗位,当前市场人才非常缺,学习成长的周期也长。
我们经常看到的情况,信息化是单位二级部门的一项职责,有两个人负责信息化管理,其中一人兼管网络安全,信息系统运维委托外部机构。信息化或网络安全的规划也由运维机构提供支持。二级部门负责人及上一级部门负责人都没有网络安全专业基础。这样的网络安全管理队伍,很难应对信息化高度发展情况下的网络安全管理需求。
网络安全管理人员队伍薄弱,直接导致单位网络安全需求不明确,网络安全目标感缺失。而这一问题,又使网络安全咨询服务与技术服务的市场不能获得良好的培育。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
