引言:
结合多年的安全服务工作体会,也学习了很多行业(比如电信运营商)的先进经验,梳理梳理信息安全能力建设的一些点。个人的一些看法如下。
信息安全涉及的层面可以分为国家安全、关键基础设施安全、互联网安全、公民个人信息安全。就“关键基础设施安全”而言主要还是指各部委、央企的信息系统或运营网络的安全。这些也是目前信息安全市场容量最大的一部分。
随着对信息安全本质的不断思考,越来越发现信息安全的实质是安全保障能力的建设。保障能力的两个关键点:“以人为本, 服务为魂”。这两个关键点又是相辅相成的。
(一)、“两个关键点”阐述
1.1“以人为本”:安全工作面非常大,这个大体系如何来切入呢,以人的意识和技能提升为抓手为切入点,
人是信息安全的最核心要素,再好的技术手段再完美的流程再严密的制度,没有人的安全意识和技能保障下都无法确保系统安全,同时从人入手,提升人的意识和技
能,这项工作在信息安全保障体系中一定能达到事半功倍的效果,人是信息安全的催化剂,人的安全意识和技能提升,对安全产品、安全技术的作用发挥会呈几何级
或指数级的提升。
个人接触电信运营商比较多,中国移动集团及各省公司从2008年奥运会开始,出现一个明显的特点,就是从原来重视安全设备的采购转变到对“人”的安全投资加强,安全大赛、安全比武、安全培训、应急演练、安全实验室建设等等开展一系列的围绕人的意识和技能提升的活动,近2年更是推出“高阶专项长期脱产”的安全培训,打造中国移动自己的安全人才体系。
1.2“服务为魂”:安全的本质还是服务,安全能力的体现以安全服务(SecaaS)为安全的着眼点或目标点,安全最终交付给用户或者保障对象的是能力,安全能力的表现形态是服务。随着对现代社会的认知,其实一些皆服务,只有服务才能无缝的满足用户的需求。而人和技术手段又是服务的前提和基础。
“以人为本, 服务为魂”。这两个关键点是相辅相成的
(二)、总体思路:
以人的意识和技能提升为切入点,以“安全能力平台”建设为基础,以安全能力提升为主线,最终实现SecaaS(security as a service)的行业化的安全服务,交付安全能力,即“人才体系建设”、“能力平台搭建”、 “安全服务保障”,满足实际需求。如下图所示。
(三)、建设过程:
以下描述的三个阶段可以并行,并不是严格的顺序关系。
切入点:安全大赛,纲举目张
通过行业的安全竞赛,统一行业的整体安全认识和安全能力提升方向,纲举目张,以大赛驱动整个安全能力的建设。参赛人员肯定会积极备战,借助安全实训、安全演练,提升安全能力,应对安全大赛。
3.1:建立人才体系队伍
大赛是引子,具体工作中如何开战安全工作才是关键。通过大赛的驱动,大家的认识自然会过渡安全知识在实际工作的效果和应用,持续通过安全培训、应急演练、安全实验室建设、安全靶场建设等等开展一系列的围绕人的意识和技能提升的活动, 逐步建设细分不同安全技能,面向全网服务的安全技术团队,结合安全组织架构,构成完整的安全人才体系。行业用户构建自己的安全人才队伍至关重要。
人才队伍的建设可以参考中国人民解放军的发展阶段。从零散人员、全面技术力量、人才体系的建设。
3.2 安全能力平台建设
在人员能力和意识提升的前提下,安全能力平台建设一定会提上日程或快速完善。安全能力平台建设包含了常见安全风险管理、安全策略管理、安全合规等技术平台的建设。(这个可以根据实际情况,进行能力平台的设计和建设)
借用某非著名信息安全咨询专家NUKE同学ppt的一张图,一切安全产品皆可“云化为服务”。
在安全能力平台建设期间,注重云计算、大数据、移动互联网等符合用户业务需求的安全平台建设。
3.3 开展SECAAS服务,深入安全本质
不管对内还是对外,SecaaS的服务一定是最终的安全形态,可以依托平台开展安全评测、云安全服务、云形态的安全机制提供(存储、加密、认证等服务)。通过云形态的服务来无缝满足用户的安全需求。
(四)、小结:
自我评价、量化优化、持续改进是信息安全能力不断提升的精髓。唯其难所以坚持。用一张小图表达这个含义。(行文结束)