驱动安全建设的三架马车

2021-03-25 10:28:01 浏览数 (1)

点击图片查看指南

企业为什么要做安全建设,为什么要雇佣安全从业者,为什么要在安全上投入资源去做大量的事情,大家都知道做安全在企业内部是成本中心,只是在花钱,消耗资源,并不能给企业带着直接的收益,那么为什么还要做安全呢?

这里总结一下做安全的几个驱动力,主要包含:事件驱动、合规驱动和技术驱动,下面一一来谈谈。

事件驱动

什么是事件驱动?就是你出事儿了,被大家伙都知道了,然后自己心里害怕再出事儿,所以就要出点钱来做做安全,这是企业做安全的第一驱动力,也是最容易获得上层支持的理由。

业界有很多鲜活的例子,比如:

1、2018 年 11 月 30 日万豪国际集团旗下喜达屋酒店客房预订数据库遭黑客入侵,最多约 5 亿名客人的信息可能被泄露 , 万豪国际的股价在发布消息当天盘前下跌 5.6%。

2、2018 年 9 月 Facebook 爆出,因安全系统漏洞而遭受黑客攻击,导致3000万用户信息泄露。其中,有1400万人用户的敏感信息被黑客获取。这些敏感信息包括:姓名、联系方式、搜索记录、登陆位置等。因各类安全事件导致 Facebook CEO 道歉,并多次出席听证会,并且 Facebook 股价已较年初跌了 29.70%(12 月 25 日)。而 12 月份的这次泄露,欧洲隐私管制机构爱尔兰数据保护委员会已着手调查,Facebook 或因此被罚款超过 16 亿美元。

案例还挺多的,作为一个公司老板,发生安全事件导致公司利益受损,一定不会坐视不管,多多少少会采取一些措施,雇佣安全从业者,针对自己的核心系统和数据进行一定的保护,防止类似的事情再次发生,也是从上到下都想要解决的问题。

所以在进行安全建设的初期,发现企业安全风险,并将其充分暴露,才好跟上层汇报,获得资源上的支持,做更多的事儿,拿更好的绩效。

合规驱动

当你所在的企业从未发生安全事件时,在自己工作的几年内也未发生过任何事件,怎么办?从上到下对安全都是无感知的,即使有感知,也都只会认为安全人员是多余的,只会没事儿找事儿,很烦,那么还怎么要资源,做安全呢?

随着 2017 年 6 月网络安全法的发布,国家对于网络安全的重视程度在逐步提升,对于金融证券行业、国企事业单位,合规要求更严,所以满足一定要求的公司都要进行等级保护的评定,如果你想满足等级保护的要求,那么就需要有信息安全相关人员,并满足安全上的基本要求。

定级方式

根据等级保护相关管理文件,等级保护对象的安全保护等级分为以下五级,详情请看《 网络安全等级保护定级指南 》

a) 第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损 害国家安全、社会秩序和公共利益;

b) 第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或 者对社会秩序和公共利益造成损害,但不损害国家安全;

c) 第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害, 或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;

d) 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家 安全造成严重损害;

e) 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。

技术要求

通常互联网公司满足三级等保就可以了,对于不同等级的保护在技术上的要求如下,详情情况《 信息安全技术 网络安全等级保护基本要求 》

第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的 自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。

第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、 一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安 全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。

第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的 威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够 及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。

第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资 源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害,能够及 时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。

第五级安全保护能力:略

网络安全法

在网络安全法中,第二十一条要求:

国家实行网络安全等级保护制度。网络运营者应当按照网络 安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或 者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络 安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技 术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规 定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

(五)法律、行政法规规定的其他义务。

有想要了解更多关于网络安全的法律法规,大家自行寻找资料查看,这里就不再赘述。

合规驱动比较好用的还是强监管的行业,比如金融、证券、政企等,对于互联网来说,合规可能就是一个满足要求的证书,各种合规要求能实际落地的公司少之又少。

技术驱动

对于企业来说解决问题是最重要的,无论你使用何种技术,何种方案,只要能解决问题并且预算在可控范围之内,那么就可以实施,所以技术驱动的安全建设是最难得到高层认可的方式,这种方式只是做技术人对于技术的热爱而选择的方式,并不能在企业得到很好的支持。

假如你是一家企业的老板,一个技术大佬,跟你说,你可能被 xxx 攻击,以 xxx 种方式攻击,需要花 xxx 的钱来购买商业产品,并且高价招 xxx 个人来进行安全防御,对于价值这块,无法用实际的事件和合规性来说明,只是在技术层面诉说价值,你会认吗?你会投入资源去满足一个技术人的梦想吗?

你一定不会的,花了钱,也不知道解决了什么问题,有什么价值,只要是往好的方向走,做任何事儿都是有价值的,只是这个 ROI(投入产出比)是否值得,是否必要,不是任何风险都要解决,任何技术都要落地,一定是有优先级和必要性的。

所以追求技术不是不可以,要建立在有合理的理由和价值的情况下,追求技术的完美,在解决企业核心问题的同时,提升自身或者企业的技术实力,相互成就,才可长久。

总结

说了这么多,主要想告诉大家的是,在做安全建设的时候,前期技术方案不是最重要的,最重要的是发现企业的痛点,痛到老板都觉得一定要解决,这个时候,师出有名,在进行解决方案的调研测试,投入必要资源,完成方案;落地,解决问题,这样即得到了老板的认可,又实现了个人价值。

不要做一个只知埋头干活,到头来,最重要的问题没有解决,搞了一堆边边角角,既没得到老板的认可,还成为了公司其他部门的眼中钉,肉中刺,成了业务发展的拖油瓶,方向比努力更重要,尤其干安全,更重要的是信任,一旦失去别人对你的信任,工作将愈发难做,共勉。

点击图片查看训练营详情

0 人点赞