前言
习近平总书记在 419 讲话中提到「从社会发展史看,人类经历了农业革命、工业革命,正在经历信息革命」。安全的发展史也是如此,从农业社会的人身安全,工业社会的生产安全到信息化社会的网络安全,逐步演进。
以网络安全为例,在信息革命过程中已经历通讯安全、操作系统安全、系统安全、网络安全四阶段,网络和信息安全(以下简称信息安全)的内涵和外延不断扩展,从自我保护逐渐演进至对抗和赋能。
依据职责和防护重点不同,我国信息安全从组织概念可分国家、社会、企业三层。就像军队保卫国家、公安保障社会、保安守护企业一样,国家有国家力量保障网际空间安全、社会有公安网信保障社会网络安全,企业则有安全团队为主保障企业信息安全。要做好工作,就要理论联系实践,理顺治理体系、高效坚定执行。在信息安全治理中,国家和社会层面有相应的立法做制度保障(宪法,刑法、网络安全法),有相应机构设置进行执行落地,网信办、公安部各司其职,其治理结构服务于我国国家安全战略。认知所限,此处我们尝试探讨企业层面信息安全治理和战略落地。
一、治理和战略
1.1 治理的内涵和作用
治理一词源远流长,2000 多年前我国「明分职,序事业,材技官能,莫不治理」中的治理偏向于规则制定(《荀子·君道》),而国外「治理」(Governance)的来源一说是从古希腊语「引领导航」(steering)中来,意为方向指引。
自 20 世纪 90 年代开始,国内学术界对治理概念及应用展开了大讨论,目前共识普遍趋向 1995 年全球治理委员会的定义,即治理是在相互冲突或不同的利益中进行调和并且采取联合行动的持续的过程,其关键词有二,一是利益协调,二是持续行动。照此理论,可将治理特征分解为四是四非:是过程而非程序,是协调而非控制,是公私兼顾而非仅公共服务,是持续互动而非制度强制。
一般而言,探讨 IT 治理时会同时提到 GRC,即治理(Governance)、风险(Rsik management)、合规(Comppliance)。三者的关系描述虽各有说法, 但普遍认为治理是一种过程和方法,而不是一种结果,其是对风险和合规行为的均衡以期达到利益相关方的共同目标。
麻省理工斯隆管理学院信息系统研究中心(MIT Sloan School of Management Center for Information Systems Research)彼得·维尔(Peter Weill)在其《IT 治理》(人大信息学院杨波教授译著)一书中认为 IT 治理最关心的问题就是三个,谁来决策,决策什么,怎么执行,IT 治理的边界就是顶层设计而非管理执行。
与此同时,国际信息系统审计协会 (ISACA) 则将治理和管理以及控制项进行了对应尝试,强调治理就是对管理的管理,目标是通过 IT 治理创造价值,从而将治理的范围部分扩大到管理。ISACA 推出的信息及相关技术的控制目标(COBIT5)则从信息系统战略、战术、运营层面给出了对 IT 的评测、量度和审计方法。
国内信息安全治理理论跟随 IT 治理理论发展,早期以咨询公司为主,目前先进的安全治理理念则主要是来自头部用户的最佳实践。
平安科技陈建先生在 2018ISC 大会上曾谈到信息安全工作中 GRC(治理、风险、控制)的关系,提出了风险管理模型。该模型以风险为核心,通过合规、安全技术实现内控目标。三部分的逻辑关系中:风险是治理的基础(此处风险指企业面临的内外部风险并非特指 IT 风险),在整体工作中以风险为指引。具体工作中,合规是基础,金融企业最重要的资源就是声誉和牌照,面临的内外部监管要求是合规的基线,也是硬性要求。一方面,以合规为把手,合规是安全的输入,是强制选项,将监管要求和业务合规需求转换为安全技术 IT 语言和工具来实现,合规是安全建设刚需,也是信息安全开展的起点,安全做好了也会增强企业内控能力。另一方面,以合规为基础,不断提高内控能力,内控是在风险思维指导下的整体风险控制,其包括整体信誉、企业盈利等方面。
概念太抽象,此处尝试借用信息系统项目管理师马军老师关于团队管理和团队建设区别的比喻来类比一下治理和管理,如果说团队管理(对应管理)的目标是实现绩效从 80% 到 95% 的提高,那么团队建设 (对应治理) 就是实现绩效从 100% 向 150% 的提高。
管理是设计方法低头拉车,盯的是执行的效率颗粒度,目标是活着;而治理则抬头看路,考虑的是明天该怎么走,目标是活好。
虽然治理概念比较高大上,是协调、框架、协调利益,但真正让各方达成相对一致,实非易事。如同南怀瑾先生引用的民谣「作天难作四月天,蚕要温和麦要寒。行人望晴农望雨,采桑娘子望阴天」。其本质源于不同利益主体期待目标差异,用什么将团队凝聚组织起来,就需要有愿景、目标和线路图于是就出现了战略。
1.2 战略说什么
谈到治理,无法避开战略,下面探讨一下战略和治理的差异。
典型的治理三问包括谁决策、决策什么、怎么执行,其内容类似于我们工作中的三定,定编、定职、定岗。战略就是三定后要开展工作时依据的规划、纲要、路线。
《易经·系辞》中「形而上者谓之道,形而下者谓之器」,道对应的就是战略。没有明确的因果关系,可大体将战略规划看成治理结构的产出,而战略方向又会影响治理结构。
企业架构中战略、战术、执行三个阶段可以模糊对应为治理、管理、运营,又可理解为传统文化中的道、术、器,对应关系在部分语义环境下可通用。但一般来说,治理关注组织架构,战略则更偏重规划。
如同哲学三问(你是谁,从哪儿来,到哪儿去)和治理三问(谁决策、决策什么、怎么执行),战略也有三要素,分别是愿景、使命、目标,从而形成战略规划。
「不谋万世者,不足谋一时;不谋全局者,不足谋一域。」战略是一种整体规划而非头疼医头。19 世纪《战争论》作者克劳塞维茨对战略的定义为:「为了达到战争的目的,对战斗的运用就是战略。」其将战略要素分为精神要素、物质要素、数学要素、地理要素和统计要素五类。其中精神要素并定义为最重要的因素之一,这就是战略中的愿景。
引用网络公开资料,以某电商为例,愿景是描绘组织遵循使命并成功场景目标,譬如「一个工作、生活连接起来的生态系统」;使命是组织做事情的理由,定义为什么这么做,譬如说「让天下没有难做的生意」;价值观是完成使命和实现愿景过程中的指导原则,譬如「诚实」。简单说,使命是理由,愿景是目标,战略是方法,价值观是行动的原则,而战略就是组织采取怎样的方法来完成其使命和达成愿景。(图片及部分内容来自「晓谈岩说」公众号,引用自 BMGovernace 公司)。
以房屋装修来对治理和战略做一个不太恰当但容易理解的例子。治理关心决策主体(谁参与意见,谁出钱,重点是谁说了算),决策内容(自装还是外包、地板还是瓷砖、争执解决靠嗓门还是力量),如何执行(工期、验收标准),重在确定责权利。开工前要有个战略规划,愿景是什么(PS 效果图),目标是什么(老婆孩子都要兼顾),原则是什么(实用、美观、经济),重在统一思想。听谁的和怎么干说不好,房屋装修中超预算、吵架乃至夫妻反目难以避免。一般来说,为了顺利过渡,治理相对虚一些,主体决策需要让渡给家里掌权者(女士),战略规划相对明确(男士),考虑持续性和适用性。如若不然,一次装修就是一次人性的拷问,那种感觉,经过都懂。
二、战略怎么做
信息安全是 IT 工作的保障和底线,考虑信息安全战略,首先要考虑 IT 战略,而 IT 战略又和企业战略(业务目标)密不可分,关于企业战略和 IT 战略的关系,已经有比较深入的研究,大体的关系是企业战略决定 IT 战略,安全战略服务于 IT 和企业战略。
但是我们在做信息安全战略时,遇到的最大问题是做的业务不理解,IT 不理会。虽然公认信息安全有必要,但信息安全在单位被定义为成本中心,放弃安全治理和战略,缺乏管理支持,缺乏资源,报告层次低,安全被视为故意阻挠工作完成的因素和障碍。
那么,问题在哪里呢?
2.1 业务目标、IT 目标和安全目标冲突
安全战略是安全治理的产出,也是具体实施的指引,如何确定有效的安全战略是个技术活儿。大型组织多目标差异、社会分工细化后语言体系专业性和价值认知差异导致业务目标和 IT 目标,就像女人和男人一样难以沟通。
业务部门搞不懂 IT 在做什么,要个宝马給个夏利,业务谈需求,IT 谈代码,鸡同鸭讲。IT 觉得业务部门那些需求脑路清奇,不能不满足又没法全满足,搞一堆零七八碎的小萝卜头,脑路清奇的觉得自己的系统是唯一的,特殊的,不能整合的,搞了好多烟囱,但由于其业务盈利属性屡屡能成功说服高层。时间长了,科技部门失去了 IT 主导权,不主动,不拒绝,不负责,实际上是一种不担当。
实际上,业务和 IT 价值观不一样,如同谈钱伤感情,谈感情伤钱。谁都没有错,谁都以为明白对方并从自己角度认为是为对方好,就效果差点劲,就这样嫌弃而又苟且的搭帮过日子;其实更尴尬的是安全,帮着业务找逻辑漏洞,配合 IT 运维做安全合规,在业务和 IT 同学眼中成为阻挡者和多事儿的,他们的共同乐趣是吃饭睡觉怼安全。这种情况就像业主交物业费一样,因为物业不好,业主不交物业费并羡慕邻居高端物业,而物业因为没有保护费和信任也失去了改进服务的动力,如此循环。电影《星际穿越》中再次提到了墨菲定律,如果事情有变坏的可能,不管这种可能性有多小,它总会发生。也如同《时间简史》中间提到的热力学熵增定律,在不增加持续改进的力量,事物发展必然是一个自发的由有序向无序发展的过程。
2014 年 4 月 25 日,微软宣布对诺基亚的收购正式完成。次日一早,诺基亚位于芬兰的总部大楼就正式换上了「Microsoft」的标志。时任 CEO 约玛奥利拉说「我们并没有做错什么,但不知为什么我们输了」。彼得格鲁克谈到「比起正确的做事,做正确的事情更重要」,实际上,如果方向错了,努力只会离梦想越来越远。
2.2 战略路线选择
战略经常涉及三个问题,分别是愿景、使命、目标。战略是实现全局目标的规划(道),而战术是实现战略的管理手段(术),执行是战术的运营和反馈(器)。在多方博弈、共赢、冲突、共存中,靠单一发展带来的红利已基本消失殆尽,改革进入深水区,实现战略目标,往往要牺牲部分利益,去获得战略胜利,唯有壮士断腕的勇气,刮骨疗毒,才有可能不断前行。如同《集结号》中的牺牲换来的战略撤退,就像 BAT 基于成本和业务压力去 IOE,业务中台化。
常立志不如立长志。战略的规划、制定和实现需要在一段比较长的时间保持稳定,期间会微调,但不会有方向性改变(经常调整的叫做「空调」),治大国如烹小鲜,多搅易烂,一般要坚持 3-5 年甚至更长时间。
管理大师迈克尔·波特认为,战略的本质 是抉择、权衡和各适其位。基辛格《论中国》一书中对抗战时期到 21 世纪初我国外交策略进行描述,随着战略方向调整,利益协调和牺牲本也是应有之意,在上世纪 60 年代,全国人勒紧裤腰带投入 28 亿研发原子弹,从而解决当时的国际地缘政治困局,这就是战略。
举例来说,企业战略是合规履职,实现核心业务盈利,或达到社会效益;那信息化的战略是通过科技技术和手段支撑单位合规履职,保障某某盈利目标;而信息安全的战略则更具体,譬如通过安全保障做到数据中心(开发中心)网络、系统、数据平稳运营,实现 CIA 三性,保障信息化战略,从而逐步细化,逐步分解。平安科技陈建先生在 2018ISC 大会对三层战略进行了梳理,逐步细化,层层依存(如图)。
企业、IT、安全战略形成一致的重点在于,要用三方都听得懂的语言进行沟通,保障各利益相关方利益一致(注意,利益一致不代表绝对正确),利益一致代表着互相的谅解和支持。
是做一个理论正确的战略还是质朴正确的战略,考验的是管理层水平,在资源有限的情况下,战略的难点不在于要做什么,而是先做什么和不做什么,只有把后面两个问题回答清楚了,认清自我,实话实说,战略才能有针对性。
信息安全治理就是这样一个过程,定战略,搞管理,做监控,技术落地,反馈改进。
三、信息安全战略制定误区
在战略制定中,经常会遇到无法落地或者定位不准,举例来说:有人说战略就要入脑入心、如影随形,像《流浪地球》中「道路千万条,安全第一条,司机一滴酒,亲人两行泪」一样,或者乡村标语中「要想富,早修路,少生孩子多种树」,以情动人,简洁优雅。但,这是战术口号,不是战略。就像 ISO27000 中的文档标准一样,战略属于一级文档,标准政策属于二级文档,守则规则属于三级文档,表格记录为四级文档。口号是三级文档。
以信息安全为例,安全做不好,无外乎战略不清,架构不明,执行不细,语言不通,首当其冲,还是战略不清。
3.1 安全战略定位判断不清
虽有各类战略规划方法,但形成战略规划一定是定制的,各不相同,方法是舟,过河弃舟,但无舟也过不了河。具体情况下,IT 技术虽有共性,但单位业务千差万别。举例来说,当单位 IT 是数据中心时,安全要关心的更应该是数据泄露,加密,访问控制。当定位开发中心时,安全关心的是开发生命周期(SDL),三同步,安全编码,安全测试。当单位定位是运营中心时,安全关心更多的是安全事件,态势,攻防对抗。同时,也和单位 IT 发展成熟度相关,安全也需要根据成熟度进行规划,忽视单位业务重点,一上来就用一套大而全并且看似理论正确的体系,在基础设施都没有建全的时候,态势感知、APT、差分计算、AI 防御等看似高大上的东西可能并不适合自己的定位。
道德经云,天之道,损有余而补不足;人之道,损不足而补有余。《圣经》马太福音第二十五章:「凡有的, 还要加给他叫他多余。没有的, 连他所有的也要夺过来」。好多事情到了这里,就成了哲学问题,是因为战略不清导致安全不行,还是安全投入不足导致安全战略不清,企业战略选择中是应该加大安全基础设施投入(补安全短板),还是投入更多资源到优势业务(拓业务长板),确实是一个问题。
简单来说,单位业务目标决定了 IT 目标,IT 和业务目标决定了安全目标,自上而下找好定位,自下而上做好汇报。
3.2 顶层安全架构不明
顶层设计概念源于系统工程学的自顶向下设计,信息安全治理也是同样,需要在高级管理层形成共识。
MIT 斯隆管理学院对前 500 强企业 IT 建设中谁来决策分为 6 类,分别是业务君主制(业务高层说了算)、IT 君主制(IT 高层说了算)、封建制(每个业务部门独立决策)、联邦制(所有部门共同参与决策)、IT 双寡头(IT 团队和业务团队)、无政府制(业务部门和 IT 部门各干各的)。将 IT 治理关键决策内容分为五种,分别是IT 原则、IT 架构、IT 基础设施、业务需求、IT 投资,通过对决策机制和决策内容的对比,路径 1 是效率最高的。(出自彼得·维尔《IT 治理》)
《礼记·中庸》:「凡事豫则立,不豫则废。言前定则不跲,事前定则不困,行前定则不疚,道前定则不穷。」华为在二十年前(1996-1998)确立了《华为基本方法》并耗资数亿请外部专业咨询团队开展战略目标和顶层设计。
顶层架构会在后期进行详细描述,从最佳实践来看,IT 原则和 IT 投资规模可以 IT 和业务共同确定以保持共同目标,IT 架构及基础设施战略由 IT 保持相对独立性,业务需求需要广泛的共同参与。
3.3 实施路径执行不细
无法衡量的,亦无法管理。战略实施过程中,慢就是快,把大目标分解为易于消化,可以衡量,循序渐进的小目标。天下难事必作于易, 天下大事必作于细,PMP 项目管理中 WBS 概念既是如此,WBS 是任务分解表,将目标从大到小分解为任务、工作、活动。他有两个特点,一是分解的足够细,遵循 100% 原则,意即二三级目标一定会对应父目标,不会出现需求蔓延。二是给每个管理单元配备相应的资源。当组织用具体的目标进行定义后,成功的可能性会大大增加。
就像烟民戒烟,一下子戒掉会有戒断反应。但衡量为一星期,一月,一季度逐步减少,并加以绩效考核和奖惩,会容易实现的多。魔鬼藏在细节中,战略实施路径一开始可能不会想那么细,但必须要尽量细致,否则非常容易变成空谈。
再举个不太恰当的例子,譬如大多数人嘴上说不要,心里很诚实想拼个虎娃,但虎娃需要虎妈养。有的妈制定了具体的目标,时间目标、行动目标,以日、周、月、年划定。目标的分解也是需求的确定过程,通过分解细化也会舍弃掉不必要内容,这样也避免需求蔓延和需求镀金。这样做的妈有机会成为虎妈,没做到的妈则主要是唬娃。
知易行难指的就是如此,画完大饼只喊口号,不做分解和绩效衡量,会极大消耗组织成员的信心。这是对管理层的考验,我们常常看到创业型企业有一个大的梦想,具体落地实施有的成就梦想,有的成就噩梦。
3.4 汇报宣讲语言不通
用一个数据来说一下,信息安全的预算和人力占到科技部门的比例能做到多少直接体现出安全是否和科技以及单位业务形成一致。国外银行业平均比例在 5%-8% 之间,国内银行业平均水平在 3-7% 左右。国外信息安全投入 IT 占比在欧美 20%,日本 10-15%,国内官方要求一般在 5% 或以上。但实际上,好多单位安全年度投入在 3% 甚至更低。
实际上,投入不足是因为单位没钱吗?目前来看,并不全是。在网安法和等保等一系列合规要求意即网信办的要求下,以预算制单位为例,信息安全资金比例是要有保证甚至做考核要求,而安全投入不足根本原因在于没有进行合理有效的向上汇报沟通。
譬如,在向高级管理层汇报信息安全情况时,只谈今年挖了几个洞,挡了多少次攻击,估计管理层关心不过来细节,没时间听,也真没必要听,财务、统计、市场、监管还有那么多重要的事儿要做。
管理层是车辆驾驶员,企业是车。安全带和刹车不可少,但开车过程中更要关注环境,路况,保持对油量、车况的适当警惕,而不是随时看着安全带和刹车是否失灵(尽管事故中刹车不灵是主因、而安全带能救命)。向管理层汇报安全技术细节是典型的汇报语言不一致,没有通过业务的视角对安全内容进行汇报。正确的汇报方式是通过监控刹车磨损计算出多少事故率,通过安全带检查可以避免多少伤亡,更高级一点是通过对胎压、发动机监控可以提前开展车辆保养避免抛锚,安全的汇报要基于安全投入前和安全投入后收益的增加,这也是 ROSI(安全投入收益率,等于安全投入前损失估 ALE1 减去投入后损失估算 ALE2)概念, 如果评估后安全投入大于损失估算,可以通过购买保险方式转移或者干脆接受风险。
3.5 战略制定过程中的误区
失败像是成功的影子,人不会没有影子,但知道影子的位置就该往有光的方向走。在做战略前,我们虽不知怎么能接近成功,至少能规避一些前人踩过的坑,和失败较量。
ISACA 在战略制定中指出了几种常见的隐患,譬如贪大求全、执行不善等(类同于意识中的贪嗔痴慢疑)。一些失败决策行为可通过行为经济学进行解释,包括但不限于以下几种:
过度自信和乐观:人们往往对自己可能做出的准确估计的能力过度自信,习惯于路径依赖(现状偏见),缺乏广泛的环境分析,宁愿模糊的得出结论而忽略逻辑关系。
锚定效应:基于已知判断未知,用目前所看到的对未来进行规划,这一点在查理芒格的《穷查理宝典》中也有所提及,一旦自我设限确定,未来的结果会锚定在过去的经历上。
群居本能:「蓬生麻中,不扶则直;白沙在涅,与之俱黑」。顺应环境并寻求群体验证是性格本能。但错的内容,重复一百遍也是错误,需要进行独立思考,而不是顺从大众。信息系统咨询师方乐老师讲有一张图,非常形象,一只鸭子在火烈鸟中忘记了自己是鸭子,也开始了单腿独立。
四、战略制定的参考方法
2016 年 5 月 17 日,习近平总书记在哲学社会科学工作座谈会上的讲话中指出,我国要坚持古为今用、洋为中用,融通各种资源,不断推进知识创新、理论创新、方法创新。我们要坚持不忘本来、吸收外来、面向未来。既向内看、深入研究关系国计民生的重大课题,又向外看、积极探索关系人类前途命运的重大问题;既向前看、准确判断中国特色社会主义发展趋势,又向后看、善于继承和弘扬中华优秀传统文化精华。
实际工作中,我们首先要看看别人是怎么做的,「不师古法不成我法,不变古法终非我法」(清代画家石涛),这也是知方法但不执著于方法的境界。
战略制定的过程中,企业架构 (Enterprise Architecture,EA) 是基础,以下对企业架构和战略制定方法进行探讨(图片来源于网络):
4.1 主流企业架构方法 (EA)
根据维基百科,企业架构于 20 世纪末期源于美国,一般理解是将业务架构和 IT 架构进行整合,虽各方对架构理解有所差异,但都包括了愿景(口号)、目标(做成什么样)、组织架构、角色等。主要的 EA 框架有 TOGAF、Zachman,EAP,FEA,DoDAF。目前主流的企业架构发展规划遵循两条路径,Zachman 和 TOGFA。由于 TOGAF 同时提供了一套架构方法,目前应用较为广泛,EA 中有 50% 以上占有率。(TOGAF2009 年调研报告)
几个企业架构定义如下:
TOGAF
就像医生办公室有骨骼图、血管图、神经图、器官图一样,他们整体构成了人。TOGAF(The Open Group Architecture Framework)将企业架构分两大类共四小类,企业架构中通过对两大类(四小类)进行映射以体现企业面貌。两大类指业务架构和 IT 架构,四小类指业 务和 IT 中的数据、应用、技术三小类。
大部分企业架构的方法都从 IT 架构发展而来,而同时战略规划辅助企业完成业务及 IT 战略规划。
①企业架构,又称业务架构。定义了组织的业务战略、治理、组织和关键业务流程。其把企业的业务战略转化为日常运作的渠道,业务战略决定业务架构,包括业务的运营模式、流程体系、组织结构、地域分布等内容;
②IT 架构指导 IT 投资和设计决策的 IT 框架,是建立企业信息系统的综合蓝图,包括数据架构、应用架构和技术架构三部分。数据架构描述企业数据流向与物理数据资产位置;应用架构阐明各类系统和核心业务系统的关联关系;技术架构描述底层所需的软硬件能力,包括 IT 基础设施、中间件、网络、通信、处理和标准等。
TOGAF 不光给出了企业架构理念,同时提出了架构开发方法 ADM(Architecture Development Method)。在业务战略上,通过 ADM 来定义企业的愿景/使命、目标/目的/驱动力、组织架构、职能和角色。在 IT 战略上,ADM 详细描述了如何定义业务架构、数据架构、应用架构和技术架构,是 IT 战略规划的指引。通过企业架构承接企业业务战略与 IT 战略,是企业信息化规划的核心。
以上部分内容引用自 CSDN 博客:「从企业架构,看 TOGAF 为什么越来越重要?」
Zachman 架构
Zachman 和 TOGAF 相比,Zachman 更偏向于概念层,用 5W1H 的方式对场景进行定义,为架构编写提供基础。
而 Zachman 架构在信息安全中的落地,就形成了 SABSA 架构:
无论采用哪种架构,必须从企业业务架构开始。后续的应用程序、安全和数据架构等设计都是业务架构的子集,以确保与业务战略和目标一致并支持业务战略目标。
4.2 战略制定参考因素
亨利·明茨伯格在《战略历程》一书中对战略进行了说明,战略是要管 3-5 年的,将战略定位在四个方面,分别是愿景和使命(Perspective),策略和差异性(Positions),方法和执行(Plans),行动和调整(Patterns),简称 4P。其定位可以考虑为向上看,向下看,向前看,向后看。
向上看指愿景和使命(Perspective),勾画出企业未来的方向,愿景不是现在的样子,要具备前瞻性并且把团队聚合起来,而钱不是聚拢团队的唯一方法。埃隆·马斯克(Elon Musk)说过,他给再多钱也挖不来 NASA 的工程师,因为他们在做更有意义的事儿。
向下看指定位(Positions),企业战略必须考虑现实情况,没有千篇一律的战略,都是根据自己情况的最佳实践。信息安全有成熟度模型,不同成熟度,战略必定有区别。俄罗斯革命是采用城市辐射农村,我国是采用农村包围城市,情况不一样,方法不一样。
向前看指计划(Plans),定好了方向,需要蓝图,定好里程碑节点,无法衡量的事儿也无法管理。
向后看指行动和调整(Patterns), 战略的执行是要根据执行过程进行调整,大方向不变,但不能一成不变。搞战略,不法于古,也不能定于一尊。
4P 模型是一个方法论,和戴明环的 PDCA(计划 Plan、执行 Do、检查 Check、改进 Action)模型有模糊的对应关系,同时和包以德的 OODA 的调整模型有相关性。
总结一下,战略(Strategy)=愿景 使命 目标;规划(Plan),战略规划确定后,制定一系列实施计划并形成实施方案。
五、安全治理现状
前面探讨治理过程中,我们始终强调信息安全需要高层重视,技术引领,但实际工作中是否能做到未可知。举几个现状:
现状 1、无法向高层提供重视依据
在 03 非典以前,应急处突制度还不完善,但现在我国应急管理制度从央省地县各级都有完备的应急预案和处突机制,一把手负责,人命大于天,出了恶性事件要和考核挂钩。某世界第一强国飓风过后还有哄抢,而我们发展中国家人民子弟兵用自己的血肉之躯挡住了长江的洪流。毋容置疑:高层重视,一把手负责,就算用最土的方法,安全也一定能实现,真是技术顶不上的时候,为了停攻击把网断了的事儿也发生过,唯一的区别是效率和效益。但咱们搞技术的同学们,您要学会分辨高层是真重视还是口头上重视,同时认真细致思考其中的原因,还是那句话,为什么感觉有力使不上,务必反思自己沟通方式,这个很重要,很重要,很重要。
现状 2、安全技术和管理不协调
再探讨一个问题,安全技术现在真的做的足够好了吗?实际上,网络安全一直处于不断的变更过程中,都说技术变化快,但谁变化不快呢,从 02 年到现在,除了股市没变,各种风口轮流变了一次,银行业数据中心都走完了分散、集中、分布式一个轮回了,还没有什么是技术解决不了的问题,如果有,那就是管理。网络安全做好不光是技术流,还包括组织架构、人员意识、政策符合度、能力水平。实际上,尽管我们防护的内容从传统 PC 和服务器扩展到了大物移云,但技术的种类和专注度比以往好了很多,安全技术虽仍有瑕疵,但不断变好,逐渐靠技术将人解放出来。另外,一些传统部委,人员编制不足,安全技术紧缺,但安全协调和管理水平很高,策略执行力强,安全一样非常出色。
那么问题来了 (敲黑板):天天说安全难做,到底难在那里呢?实际上,下真工夫做安全技术不难,高层思想和口头都重视安全也不难,难就难在组织战略、企业战略、安全战略一致性,安全不光是管理和技术,需要的是安全治理和战略落地,从治理到战略到管理的规则设计,落地在执行的效率。
高层时间真的有限,不能幻想高层知晓一切技术细节,不合理也不现实,无论什么情况下,单位业务是第一要务。安全需要的是达成共识,各司其职。达成共识的底层基础在于做安全的人必须能够说清楚安全到底是什么,怎么样做才安全,这就要求安全人员从技术细节中跳出来,在一个相对高的层面进行汇报。安全做的好不好,往往是是否和高层达成真正共识,达成共识的前提是是否理解业务战略。
知行合一,认知到了而不行动,是伪认知;行动了却没有认知基础,为盲行。安全发展就像 IT 成熟度一样,在组织自身不断进化过程中不断和高层达成真正的一致,需要动态调整。
那么,理想的 IT 相关治理应该是什么样子呢,在《IT 治理-一流绩效企业的 IT 治理之道》P144-149 进行了描述,应该有以下特征:
更多领导层的管理者们可以描述 IT 治理。企业中高层能够准确描述 IT 治理的比例是 IT 治理是否成功的首要标志。 使用,使用,再使用。通过不停的使用。治理需要仪式感,通常采用相对正式的会议与成员进行沟通。沟通方式包括但不限于高级管理层声明、正式委员会、首席信息官办公室、沟通例外、发布规范并执行。 高层领导者更直接的参与 IT 治理。 IT 投资具有更加清晰的业务目标。通常包括但不限于降低成本,改进客户服务,增强沟通,提升质量。 更多差异化的业务战略。遵循共同的价值观(成本约束、复用),鼓励支撑业务战略。 例外都走正式批准流程。大禹治水,堵不如疏。不鼓励例外,但例外必须有正式批准流程,否则对遵循规则的人是伤害。 治理变更的次数逐年减少。意味着和企业契合度的上升。
六、安全战略线路图
理清了企业战略、IT 战略、安全战略的关系,下面探讨一下如何做安全战略。从已有战略制定方法,可以将企业战略和 IT 战略映射到安全战略中,梳理如下:
6.1 安全战略开发方法
安全战略需要做的是将业务战略、IT 战略和安全战略结合落地,有几种成熟分方法可以用来做参考。
一是 ISACA 对信息安全战略开发过程进行了描述(来源:ISACA,Information Security Governance,2008)
二是从 Zachman 发展来的 SABSA 对信息安全战略概念进行描述如下:
6.2 信息安全整体框架体系
综上,依据治理、管理、运营三个层级,从战略、战术、执行三个层面,对应到各层级所需方法和框架,笔者试着进行了方法论的梳理,同时增加了安全控制内容,以期通过测量进行控制项落地。
企业治理:方法以 TOGAF,ZACHMAN 为主,TOGAF 相对来说提供了架构开发方法 ADM,而 ZACHMAN 则在理念层面提供一种思路。
IT 治理:IT 治理中方法比较多,典型的参照 COBIT,将 IT 治理和 IT 管理结合起来。其中治理 EDM 包括(评价、指导、监控),管理 PDRM(计划、构建、运行、监控)。同时,在流程管理中需要采用 ITIL 的方法进行。
安全治理:从 ZACHMAN 模型对应出来的 SABASA 模型对信息安全治理进行说明,此处对应信息安全一级文档,战略、总纲方针。
安全管理:管理是战略的落地,典型的参考架构是信息安全管理体系标准(ISMS)(ISO27000 标准族),同时参考质量管理的六西格玛和成熟度模型,国内对应的是等保的管理要求,对应信息安全二级文档,标准、策略。管理三要素可大体用 PPT 三个字母代替,分别表示人员管理,流程管理和技术管理,通过管理要素最终实现业务价值。关于管理三要素和价值可参见以下链接:
人员:谈银行业网络安全人才观 管理:从运维到运营,信息安全进化论 技术:从攻击视角构建弹性信息安全防御体系 价值:信息安全价值及落地
安全控制:无论技术、物理或者程序控制,其本质是监管流程。安全控制是安全运营的内容,关注控制项和运营指标设定,对应手册、规范、流程、基线等。
基于以上四层,个人理解图示如上(原创):
在各层均有相应可参照的标准和框架方法,值得一提的是 TOGAF 和 COBIT 均具备了一定的框架开发能力,可以沿用方法对企业架构,IT 架构进行对应管理,27002 中 14 个方面的 114 个控制项, 等保中的控制项均可以按照适应性进行选取。具体方法和对应请参照相关框架方法或后期专题进行说明。
导论结语:
治理是个系统工程,自上而下是改革,事半功倍;自下而上是变革,事倍功半。改变是有风险的,历史上商鞅和王安石就是例子,但若不改变,诺基亚就是明证。
资源总是紧缺的,如何发挥安全的效率成为重点。高效改革和演进的根源就在于如何和管理层处于同一沟通频道上,用共同的语言探讨共同的目标,从单位战略角度看安全的定位,获取对安全的信任和对风险的管控,从而保证安全可以有效支撑单位业务。简单来说,就是将网络安全战略和单位战略形成一致,做到这点,安全就已经成功一大半了,剩下将框架落地就是考验基本功的时刻。
另外,知道方法不等于生搬硬套方法,参考方法但不执着于方法,过河弃舟。买了一辆赛车,并不代表你就成了赛车手,明白了企业架构治理,也要找到一个能够让架构真正发挥价值的环境,而非架构本身,需要根据自身企业环境进行定制改良。马云先生 2018 年在湖畔大学中谈到愿景、使命、价值观,每个单位的战略都是不一样的,不可复制,也是同样的道理。譬如复杂地形更需要的是越野车而非跑车,崎岖山路运载低价值生活物资五菱宏光可能更适合,等整体环境成熟了再上 AE86。对于企业,贴合自己的就是最好的,需要从自己的实际环境出发考虑业务架构和 IT 架构的融合。
最后,企业架构驱动往往代表着打破部门壁垒,企业架构是通过 IT 治理进行落地的,而 IT 治理过程代表势必会导致组织架构流程调整,还是那个问题,业务不断演进,红利逐渐使用殆尽,要么改变,要么被改变。
参考资料:
1.《IT 治理》(彼得·维尔著,杨波译) 2.《互联网 时代的 IT 战略、架构与治理》(刘继承编著) 3.《IT 架构思维》(Peter Beijer 著,程志刚等译) 4.ISO 27000 系列标准 5.TOGAF 标准 9.1 版(The Open Group 著,张新国等译) 6.CISM(Certified Information Security Manager)手册 7.谈银行业网络安全人才观(吕毅,中国信息安全 2018 年第 12 期) 8.从信息安全运维向信息安全运营进化的探讨(吕毅,计算机工程与应用 2018 年) 9.基于攻击视角完善信息安全弹性防御体系的思考(吕毅,金融电子化 2018 年第 6 期)
致谢:编写过程中,得到了平安科技陈建先生的指导,关于安全治理和战略方面多有收获。建信金融科技公司付晓岩先生关于 IT 治理和中台的思路对本文启发很大,还有安全咨询师方乐老师凭借十多年咨询经验答疑解惑,一并致谢。另外,在和聂君先生长期沟通中,获取了相当多实践知识,他和李燕、何杨军共同编写的《企业安全建设指南》对安全架构思路特别是具体落地进行了详尽描述,推荐参阅。
致歉:资料梳理中有诸多不足,最直观的感觉是框架太大,太虚,就像盲人摸象,很难抓住重点,脉络不好把握。尽管如此,IT 治理和信息安全战略思路再难也要去试着啃一下,虽比较抽象,但尝试对已有框架进行整理,作为以后继续探索的靶子,抛砖引玉。如有不足和理解偏差,皆因自我理解不深,一并致歉,欢迎互相探讨。另,文中引用内容及图片均进行标注,如有遗漏或版权问题请及时联系本人更改。
*本文作者:仙人掌情报局,转载请注明来自FreeBuf.COM