作者:中国电科太极股份首席安全官、PCSA 安全能力者联盟首席专家 郭峰
前 言
1999年-2021年从事了20多年网络安全工作,持续服务了上百家国家监管单位、中央企业和中央政府等单位,经历过很多网络安全领域的重大工程和科研创新,同时也看到过很多成功的“标杆”和失败的“豆腐渣”案例,直到近些年才感觉网络安全工作走向了正规化。越来越多的人觉得网络安全是需要重视的事儿了,原来不问的开始问了,不干的开始干了,虚干的开始实干了,切身感受网络安全意识的转变确实需要很长一段时间,也看到很多重要行业和企业的网络安全组织一直持续变得强大。
20年前,每个企业负责安全的基本就是一套防病毒软件
15年前,每个企业负责安全的基本就是一个兼职的系统管理员
10年前,每个企业负责安全的基本就是一个专职的网络安全员
8年前, 每个企业负责安全的基本有了专职的信息安全处处长
5年前, 每个企业负责安全的基本有了专职的网络安全小团队
3年前, 每个企业基本建立了管理、技术两级架构的安全团队
当下, 每个企业都在落实党委(党组)网络安全工作责任制
……
近些年在监管单位推动的网络安全实战化攻防演练和重大安保的持续“淬炼”下,确实验证了很多关键信息基础设施单位网络安全保障体系的好与坏,几场攻防战下来,但凡走到优秀行列的无不体现了核心三要素,一个强有力的网络安全组织,领导重视和优秀的安全负责人(安全处长、安全总监或者首席安全官)。
为什么数字化企业需要强有力的网络安全组织
世界走向数字化,中国正在快速开展大规模数字化转型与建设,每个组织(行业、单位、企业、城市)在数字世界已经可以按照物理(Physical)和非物理的(cyber) 来划分了,黑客组织、敌对势力网络攻击已经成为数字世界的主要威胁,网络超限战已经成为霸权国家整体政治战略的重要组成部分,成为重要军事工具直接服务于对外政策,不断触动大国之间的神经。
图1 物理与网络空间 引自踏实实验室
数字化时代每个数字化组织(行业、单位、企业、城市)的关键信息基础设施、重要公共服务网络、重要信息系统规模越来越大,这些大系统、大数据、大平台成为数字中国经济社会运行的神经中枢,也成为敌对势力网络攻击的首选标靶。实战演练工作切实推动了数字化背景下企业各层面安全意识的有效提升 , 也让企业深刻认识到,数字化发展带来的安全问题已经成为实实在在的挑战,如何在数字化建设发展过程中做好网络安全防御体系是每个数字化转型中的企业都要面临的重大议题。
2020 年 5 月,PCSA 安全能力者联盟发布《年度大型攻防实战全景:红蓝深度思考及多方联合推演》系列框架图,展示网络攻防事前、事中、事后红蓝双方所需要开展的大量基础工作的全貌。
图2 年度红蓝攻防全景推演 引自PCSA安全能力者联盟
这个系列图制作过程中大量基础素材来源是来源CII课题团队和PCSA安全能力者联盟成员,在近1年的时间通过问卷、会议和访谈的形势调研了国家关键信息基础设施领域上百家的数字化企业负责安全的同志,涉及到方方面面,总体是五个维度、二十个核心事项、一百多个子项,调研过程中回答上来的网络安全工作确实做的很到位,回答不上来的基本也知道问题所在了,调研举例如下:
一、关于贵司安全保护对象和保护边界;(详细调研示例)
您单位的互联网整体暴露面多大(多少暴露业务、多少链路接入、多少互联网交互协议、多少暴露端口、多少暴露组件、多少协议链接、多少公有云资产……);
您单位的安全保护对象有多少业务系统、多少数据资产、多少主机、多少中间件、多少操作系统、部署在哪里,多少在有哪些公有云平台、多少在传统计算环境、多少业务正在上线、多少主机正在下线、哪些资产支撑哪些业务,关联情况如何、动态边界如何确定,被攻击后发现问题责任人和责任链如何第一时间知晓和处置。
二、关于关于贵司IT基础安全架构与业务发展平衡;(略)
是否弹性架构满足业务、是否同步设计、实施、运营…
三、关于贵司总体安全策略和网络安全防御框架;(略)
是否制定、是否从上到下一体化,是全面还是局部落实…
四、关于贵司第三方供应链管控和开发流程安全管控;(略)
第三方供应链(链路、云平台供应商、软件供应商、设备供应商、开发商、开发团队、开发人员、代码管控、实时检测…
五、关于贵司的安全管理、组织制度、安全KPI考核;(略)
六、关于贵司的安全技术基础、强化、协同体系建设;(略)
七、关于贵司的第三方优秀安全能力验证和选择机制;(略)
八、关于贵司的安全运营中心可否抵御实战化对抗;(略)
九、关于贵司如何向决策层说明安全工作刚需和合规核心要素、持续投入必要性和平衡点;(略)
十、关于贵司安全投入后价值体现在哪些主要方面;(略)
十一、……
一年多的调研整理过程中,确实感受网络安全工作横贯涉及多机构、多部门、多角色,涉及多环节(业务、数据、平台、运营……),要说服决策层理解、要提升整体组织安全意识,要解决历史欠账太多,要服务数字化动态变化,网络安全涉及全局全域,件件都需要落实,所以确实需要一个强有力的网络安全团队。
数字化企业需要有效的安全管理三人体系
强有力的网络安全团队要跑的快,全凭车头带,数字化组织网络安全管理机构需要建立从上到下有效的安全管理三人体系,三人其实是个概念,第一人是决策层(组织中网络安全第一责任人,就是党组负责制的领导层负责定调、定方向),第二人是具体的安全管理者(组织中首席安全官、安全总监、安全处长等,负责总体安全策略和综合计划制定者),第三人是一线网络安全防御团队(组织中的安全技术、运营负责团队;PDCA执行安全策略落地和运行)。
调研的100多家单位很多安全管理机构逐渐都在完善中,三者缺一就会有坑,缺的多坑就多,被攻击后就一定会出问题,只是快慢和大小的问题。不重视肯定不行,重视且有文件没执行也不行,有执行方向跑偏也不行。安全就是不断的填坑,完善这个其实就是很难的过程。
国内具备网络安全防御体系经验和实战的人才本来就很稀缺,所以坑多也是自然的,网络安全防御体系庞大而复杂,能洞悉全貌者也很少,格局,眼界,层次。单枪匹马独挡一面的大侠也不少,但数字化组织更多需要的是三人综合体系,这些年见到的有些高层决策者确实稀里糊涂,不是业务出身,也没有出台没有好的人才吸引和激励手段,很多人才都陆续跳槽,导致只能找些外包的民兵对外进行实战演练,有些单位领导者看问题水平也确实很好,中层执行力差距大,出现不少攻防实战演练9点开始,9点05退出,一击即溃。大部分一线干活的安服技术人员其实还是挺好的,朴实踏实兢兢业业,但也怕好经歪和尚,形形色色都有,确实很难见到很高效的三人体系,随着数字化组织越来越大,网络安全的重要性越来越高,安全管理三人体系也将磨合的越来越成熟。
数字化企业需要一个成熟务实的首席安全官
关于首席安全官(CSO)国内外确实有不同理解,国外首席安全官(CSO)有专业的职责、定义和能力要求,网络上很多不再赘述,重点还是看看现阶段国内情况。
政府机构基本设置是单位网信领导小组和网信办,党组成员有一名领导同志分管网络安全工作,负责落实《党委(党组)网络安全工作责任制实施办法》,单位网信办主任(或信息中心主任、副主任)承担综合网络安全管理工作,实际日常执行负责人都是信息中心网络(信息)安全处处长。
国资企业基本设置部分采用与政府相同的方式,部分设置了首席安全官,是由国企集团副总裁级别兼任,集团管理信息部/科技部有分管的总、副总经理负责综合网络安全管理,具体执行负责人都是网络(信息)安全处处长。
国内互联网和数字化程度较高的民营企业都设置了首席安全官的职位,具体负责网络安全的工作与国外CSO的职责相类似。
综合这些年看下来,贴近首席安全官专业定义更多是网络(信息)安全工作的实际执行负责人,不管是政府、国企还是互联网、民营企业,大家需要的是一名成熟务实的网络安全工作负责人。
如何做一名优秀首席安全官(网络安全负责人)是我们经常讨论的话题,具备丰富的网络安全专业能力是可以做一名及格的网络安全负责人,如果要成为一名优秀的网络安全负责人还应该具备其他三个方面的能力。
首先,具备识别业务发展、信息化建设和网络安全同步调的能力
数字化业务发展、信息化建设和网络安全应同步发展,安全和业务是伴随的,也永远是动态平衡的,看过太多的无奈案例,无论是超前或者滞后,步调不匹配,节奏不对就会出现好多问题。
10年前,安全是明显滞后业务发展和信息化建设的,等级保护工作开展持续推动了基础合规保护,确实有了长足的进步;5年前,网络安全实战演练开始,“李鬼式”伪安全保护系统现原型也很多,统计下来网络安全投入不匹配业务发展趋势占比不在少数。
图3:意识不统一导致的防御体系的降维防护
今年十四五开始启动,数字化转型和网络安全规划越來越多的要求匹配,与业务愿景匹配、与信息化规划匹配、与行业特点匹配、与建设节奏匹配、与发展步调匹配,业务发展到哪里,安全同步到哪里,业务规划到哪里,安全规划到哪里,很多单位需要的网络安全负责人能力要求越来越强,要求能够把握数字化业务发展、信息化建设和网络安全同步平衡发展。
其次,具备三个常态化核心能力(汇报、横向协同、一体化落地)
1、汇报能力:向上级决策层清晰说明数字化组织面临的挑战和网络安全对数字化组织的核心价值、投入平衡度以及体现出预期效益。举个预算决策的例子,上级决策层听网络安全工作汇报机会本身就不多,所以首席安全官的汇报能力非常关键,网络安全技术专业出身的负责人汇报时往往会太技术化,在短时间内,决策层听不太明白就会忽略,尤其是在预算制的体制内,年度错过基本就下一年了,整个进度就慢一年。
2、横向协同能力:与业务部门和其他部门协调划分好安全边界和职责是考验网络安全负责人的能力,很多工作冲突是因为在职责权利、义务的划分上有很有多交叉和价值。办好网络安全工作,不仅逻辑要对,事情要顺,规矩要立,又不能产生大量的矛盾和冲突。如图所示安全工作边界的确定,可以通过三员方法论(安全管理员,系统管理员,安全审计员)这个基本办法进行延展。核心就是把交叉变成融合,方向一致了,事情清晰了,边界清楚了,流程捋顺了,就可以将很多推不动的事情落实了。
图4:安全管理三员方法论
3、一体化落地能力:数字化组织总体安全策略制定是必须的,这是一个组织的安全总纲宪法,安全管理、技术、运营体系是需要层层落实的,很多单位这三个体系还是流于形式是独立的。如图
图5:某央企集团网络安全一体化融合示意图
如果想要将安全策略踏实落地,一定需要进行一体化的融合,就像我们日常接触的银行业务一样,安全风险控制要求很多,最终落实再终端用户的就是银行柜台和APP的每个流程表单的控制。安全工作的核心就是将总体安全策略拆解到安全管理要求,并通过安全技术能力实现技术要求,最终都融合对应到安全运营工作中去,如果没有落地到日常的安全运营工作中,往往会出管理目标落地难,纸上谈兵等,技术能力解决局部问题而不是全局,安全运营脱节不完整,导致安全策略落地变形,无法形成PDCA稽核的动态循环,总体安全策略目标实现大打折扣。
第三,具备一体化弹性可扩展的网络安全业务管理和技术平台
近些年,国家网络安全政策法律标准和监管单位(行业主管单位)文件要求频发,网络安全工作已经走向业务化,需要协同组织当中很多不同部门和人共同参与,单靠OA、Excle、Word、安全基础管理平台和防火墙、防病毒、安全技术基础平台等简单工具方法已经不能长久支撑。
首席安全官(网络安全负责人)的业务范围已经包含战时和平时的两方面工作,每天都在随时接收和落实监管单位各种文件要求、安全通报和监管检查,年度多轮次的实战攻防演练和重大节点的安全重保,开展备战、迎战、决战、复盘等工作。平时主要的工作动态PDCA的开展安全管理、安全技术、安全运营等不同层面工作。
从监管要求来看工作内容:首席安全官(网络安全负责人)需要在本组织负责持续落实国家网络安全法律法规条例办法、安全标准系列、监管单位(行业主管单位)网信办、公安部、工信部、保密局、国安委、发改委、国资委、人民银行等不同阶段的文件要求,建设网络安全法律法规文件知识库。例如《网络安全法》、《数据安全法》、《党委(党组)网络安全工作责任制实施办法》、《关键信息基础设施安全保护条例》、《中华人民共和国密码法》、《网络安全审查办法》和等级保护、F级保护、商用密码、工业控制等系列标准等……
从通报预警来看工作内容:首席安全官(网络安全负责人)需要在本组织负责关注、接收和及时处置来在国家各级预警通报中心的威胁情报、漏洞弱点、数据泄露、安全态势等情况,本行业、本单位的重点被攻击情况,建设本单位,本行业的网络安全风险情报和通报预警平台。及时开展信息共享、方案制定、协同处置、预警通报、应急响应、指挥协同等工作。
从安全管理来看工作内容:首席安全官(网络安全负责人)需要在本组织负责制定总体安全策略并年度进行动态调整,十四五规划和行动计划,年度安全工作计划和安全重点任务、制定安全管理制度、规划落实安全组织岗位、制定安全考核KPI,建设网络安全日常管理工作平台,制定落实计划、开展监督、检查、指导、考核、协同不同领域的安全工作开展,例如:和决策层明确安全管控目标、安全资源投入,和规划部门确定总体安全规划,和业务部门协同开发安全全生命周期工作,和数据部门协同数据安全流动管控、和IT基础设施部门协同IT安全架构和安全域规划,和IT运维部门协同安全监测、响应和防御处置,和资产管理部门协同数字化资产的安全管理,和采购部门协同第三方供应链的安全管理,和人力部门协同安全意识和教育培训体系等等。
从安全技术来看工作内容:首席安全官(网络安全负责人)需要在本组织负责供应链网络安全审查监控技术体系,开展合规基础安全保护、强化重点保护和指挥协同保护三个层面、在大系统(应用层)层面建设应用层、代码层、系统层的安全监测防护技术手段、在大数据(数据层)层面建设数据层、组件层、API层的安全监测防护备份恢复技术手段、在大平台(云平台、工业控制平台、物联网平台)层面建设平台及安全管控技术手段等等。
图6:网络安全走向业务化 引自PCSA安全能力者联盟
这些年网络安全工作趋势已经清晰,已经从合规体系走向态势感知体系、挂图作战体系、智能安全体系。数字化业务信息化建设持续发展,网络安全工作特点是涉及面广、暴露面广、监管要求多、,最后落地工作需要将很多事情要合成不能孤立,所以网络安全工作最重要的一关就是体系合成和运转,不能再靠人工、手工,临时应对,需要具备敏捷迭代弹性可扩展一体化管理和技术IT信息化支撑平台。
20年来持续走在网络安全防御的路上,确实体会到网络安全不同阶段的境界,数字时代需要更多的首席安全官(网络安全负责人)为数字化组织构建有效落地的网络安全一体化防御体系,实现数字化组织 “看管监控”安全中枢。
看,看得清数字化资产(被保护对象)的分布与边界,看得清实时攻击与防御,看得清风险隐患与应急处置,看得清组织管控与协同,看得清安全运行宏观全貌,做到心中有数。
管,理得清数字化资产(被保护对象)的主责与主权,理得清重要资产、核心资产、一般资产,理得清谁在用、谁在管、谁在监、谁在控,理得清主责方、同责方、守责方,理得清组织管控与一体化协同执行机制,做到未雨绸缪。
监,测得清数字化资产(被保护对象)的攻击方攻击源头,快速实现意图推理、态势研判、威胁预警、攻防评估,信息共享、体系对抗、能力调用、指挥协同、持续响应的反制方向,在多个关键场景和领域事前、事中、事后,全程持续动态的监控与识别,做到把握关键。
控,守得住数字化组织智能中枢,守得住关键信息基础设施,守得住重要信息系统,做到阵地管控。
持续打造数字化组织的安全中枢,在实现“资产清晰化、风险动态化、能力生态化”的基础上,满足“监测实时化、防御体系化、威胁预警化、响应迅速化、信息共享化、指挥精确化”的安全监管一体化。