企业网络安全体系建设(2): 安全组织

2022-06-02 15:21:25 浏览数 (1)

企业网络安全体系建设之安全组织

在国家的安全体系中,主要设立有如下机构:

  • 国安局:即国家安全部的民间称呼,主要职责是情报收集、维护国家主权和利益(此职责描述引用自百度百科);
  • 公安局:即公安部的主要市级机构,主要职责是维护社会治安(预防、制止危害治安秩序的行为、违法犯罪或恐怖活动;管理交通、消防、危险物品;管理户口、证件、出入境、居留等有关事务;守卫重要场所和设施等(此职责描述根据百度百科裁剪);
  • 派出所:公安局的派出机构,负责基层的治安、户籍等基础工作。

在企业的网络安全组织中,也可效仿国家的安全机构,设立:

  • 网络安全部(类似于“公安局”)
  • 业务安全机构(类似于“派出所”)
  • 威胁情报小组(类似于“国安局”)
  • 决策委员会(类似于“人大” “法院”)

分述如下:

设立由网络安全相关的专业人员组成的网络安全部,相当于国家安全体系中的“公安局”,主要职责是维持企业的基本安全环境,预防、阻止危害公司网络安全的行为,检测网络流量以识别恶意行为,管理重要信息资产,建设、管理和运维重要的网络安全基础设施等。

在各业务部门设立跟网络安全部门接口的网络安全办公室(大型企业)或安全责任人机制(针对中小企业,为每一个主要产品设立安全责任人,为运维设立运维安全责任人),相当于国家安全体系中的“派出所”,“派出所”的人员,长期跟业务一线打交道,熟悉业务,跟网络安全部门接口,落实相关安全策略、管理规定、标准与规范,反馈落地与执行情况。

一般对于中小型企业来说,有上面的两种机构即可基本保障网络安全工作的正常开展。但对于竞争激烈的大型企业来说,还是不够的。这些企业,面临着竞争对手无孔不入的情报收集、APT(高级持续性威胁)渗透、0day攻击等风险,导致重要的信息泄密,进而可能导致公司在市场竞争中处于被动挨打的局面。威胁情报小组应运而生,与一般的安全防御“基于已知的规则进行防御”不同,威胁情报更像是国家安全体系中的“国安局”,从纷繁复杂的线索中找到潜在的入侵路径,部署防御措施,提前切断竞争对手针对己方的情报收集通道。

威胁情报的主要来源有网络安全厂商或网络安全媒体的安全公告、最新的漏洞披露、安全预警、业界安全事件、安全态势等,以及专业的威胁情报公司为企业提供的量身定制的特定情报数据。

实力雄厚的企业,可以建立自己的威胁情报分析系统,从日常业务的各种数据和日志中寻找可能的线索。比如:

  • 基于公开的漏洞批量,定制检测引擎,检测己方是否存在此类风险;
  • 从海量的电子邮件中寻找可能属于APT攻击的钓鱼邮件;
  • 从海量的网络流量中发现未公开的0day漏洞及利用;
  • 从病毒感染日志中寻找是否有针对己方的木马攻击线索;
  • 已截获的木马样本的分析

等等。

基于这些数据,挖掘未被发现的APT攻击行为,并对攻击路径进行还原,在各关键路径上执行相应的切断措施。

网络安全相关工作的开展,还需要对网络安全相关的事宜进行立法,对网络安全人员依法行政的过程或结果进行复议或裁决(司法)。这些可以在网络安全团队内部设立独立的小组,或者在网络安全部门之外设立决策委员会,负责网络安全立法审核(相当于“人大”)与司法(相当于“法院”,对网络安全部依法行政进行复议或裁决)。

0 人点赞