九游平台_网络信息如何帮助企业进行风险评估

发布日期:2024-09-26 16:16浏览次数:

  

本文转载至广州市CIO协会

  CIO需要网络信息如何帮助企业进行风险评估了解网络信息如何帮助企业进行风险评估的信息安全OPQ,“O”就是Objective;“P”就是Planning,“Q”就是Question,就是CIO需要关注企业信息安全的目标、规划以及可能疑惑的问题。

  一、企业信息安全目标(Objective)

  以四个故事为例,第一个故事是2010年伊朗离心机事件,让“震网病毒”名声大噪。第二个故事是伊朗击落美国“无人机”事件。第三个故事是雅虎30亿用户数据泄露事件,这个事件说明网络信息如何帮助企业进行风险评估了只要有安全漏洞存在,数据泄露就会一直发生,数据被泄露只是时间问题,目前没被泄露或者没被恶意利用,只是运气好。第四个故事是今年5月12日发生的Wana Decrypt事件。这个事件到目前为止已经过去差不多半年的时间,但在这半年的时间里,仍会出现PC或者服务器被病毒感染的现象。从整个整改情况来看,虽然有技术措施和成熟经验,但仍避免不了这些问题的发生。

网络信息如何帮助企业进行风险评估

  从这四个事件的发生可以知道,无论是针对故事一、二、三中的进攻(制作病毒或干扰系统),还是防御,都不是大部分企业IT部门所能完成的工作。作为普通用户,可以关注故事三中的防御。作为企业CIO,需要关注和解决的是故事四中的事件。由于目前的法律法规不支持受攻击单位进行反击,因此“及时获得并快速处理已知的重要计算机病毒、安全攻击和安全漏洞,实现企业级防御”,是企业的信息安全目标,这也是CIO们对信息安全的真正关注点。

  造成CEO、CIO对信息安全不关注的原因主要有网络信息如何帮助企业进行风险评估:非互联网行业,安全事件最多伤及“面子”,不伤“里子”;信息安全投入无明显产生,不产生业绩,无辅助升迁;觉得没有敏感数据,侥幸心理,如发生,只作偶发事件处理。

  从技术本身来讲,常见的攻击种类,不管是拒绝服务类,数据泄露类,还是ABT攻击类,目前市面上都有比较成熟的产品可以去应对或解决。有些处理,比如CCDOS、流水性攻击、网浏览攻击,这些除了安置一些设备外,还可以在防火墙上做一些控制,甚至在应用上做一些定制开发。

  企业信息安全现状

  从2010年到2016年整个企业市场信息化投入和安全事件的关系分析图来看,整个信息化投入呈现几何增长现象,全球范围内恶性安全事件虽然数量在不断增多,但呈现直线增长,增长速度并没有信息化投入大。

  企业信息安全成熟度

  对企业而言,国家级以及用户级的进攻防御并不是企业应该关心的问题,企业应该关心的是企业级的进攻防御,要做到抓大放小,将主要的安全事件、病毒、漏洞进行整改。如果能做这些,企业信息安全成熟度基本上可以达到第二级和第三级,即可重复级和已定义级。

  从全球1000强企业信息安全成熟度来看,大部分企业的信息安全成熟度还处于第二级或第三级别,这主要与企业业态有关。由于企业的业态并不需要安全级别有多高,一般二级即可,或者是二级到三级之间,高技术企业可能会达到四级和五级。不管是从成熟度还是从安全事件的数量来看,以安全的成熟度和级别来说,并不是越高越好,一定要和企业的业态和特点相匹配。

  以国内有代表性企业的信息安全管理成熟度现状来看,对于设置目标是四级或者五级的企业而言,其信息安全建成的时间会比较长,一般在十年或者十年以上。自从《网络安全法》发布以后,有些企业会认为随着企业安全程度的提高,如果能在三至五年的时间内完成信息安全的建设会比较好,这个时间段基本可以完成从初始级到可重复级和已定义级,就是从一级到三级,如果再往上一级,那就会有压力。

  简而言之,对企业来说,信息安全工作就是能够做到企业级的安全防御,对已知的病毒、攻击和安全漏洞做及时处理。对于未知的漏洞,很多时候是没办法去关注或者是整改的。

  二、企业信息安全规划(Planning)

网络信息如何帮助企业进行风险评估

  如何实现信息安全目标,简单而言就是要有安全框架或者安全蓝图,更广的范围还包括实施路径和项目群。从整体来看,就是要有一个安全目标、一个信息安全的框架和蓝图、一个实施路径和一个项目群四个部分。

  企业信息安全架构(1):通用型

  通用型的企业信息安全框架,正面图是2013年版的ISO27001标准,顶层是信息安全的PDCA,还包括其网络信息如何帮助企业进行风险评估他安全因素,如人员、设备、信息、流程、环境等。通用型模型对于很多企业都适用,但又不适用,因为它无法突出一些企业和行业的特点。这个模型适用于刚刚接触信息安全的企业,领导比较关注标准本身。假如领导对于标准并不在意,或者领导对信息安全有自己的原则和看法,那就不太适合使用通用型模型。

  企业信息安全架构(2):核心技术型

  核心技术型模型适用于高科技的行业,或者有自己的核心技术和商业数据的大型企业。核心技术型模型将业务需求、法律法规要求置于顶层,往下是信息系统,更多关注的是整个信息系统的风险。根据信息系统风险的驱动,然后要有人员、资产以及组织按照政策、信息技术和安全操作去不断地进行风险的处理和规避,不断降低风险,最终达成企业业务目标或者保证业务目标的实现。

  企业信息安全架构(3):金融、国企或集团企业

  对于集团企业或者技术要求比较多的金融、电力这类型的企业,企业信息安全架构更强调三大防线,即事前控制、事中控制、事后控制,以及强调多级融合,即将信息安全体系以及风险管理体系,包括业务风险和安全风险融合在一起,或者将运维ISO20000、ISO27000融合在一起,将外部的检查和内部的审计融合在一起,从而形成一个多合一的架构。这个模型对于刚接触信息安全的企业来说,很容易帮助IT经理或CIO说服CEO。因为有些领导很想知道哪些属于事前控制、哪些属于事中控制、哪些属于事后控制,这个模型能很好地说明这些问题。比如制定安全制度、建立安全组织以及采用安全技术,这些都是属于事前控制;事中控制就是做一些安全运维、设备操作、定期的做风险评估、风险处置、寻找漏洞等;事后控制就是应急与灾备。

  企业信息安全架构(4):风险驱动型

  第四种企业信息安全框架就是风险驱动型,实现这一框架的前提是企业已经实现全面融合管理。就是在企业内部,已经将安全的风险和业务的风险融合在一起,或者在整个风险管理的过程中已经清楚识别各个领域的风险,比如安全风险、操作风险、IT风险等,通过风险的驱动来进行安全控制,这种框架在外资企业比较常见。

  实施路径/优先级

  项目群(示例)

  以项目群为例,在规划时通常会规划很多项目,但项目之间存在一些逻辑关系,这些逻辑关系一定要表述清楚。网络边界可能存在一堆项目,数据中心、终端也有可能存在一堆项目,要将这三大区域做出分类,然后找出每类项目的关注点。比如,网络边界主要是防攻击、防数据泄露;数据中心更多是加固的,如数据隔离、数据库审计等。终端的项目很多,信息安全最难开展,因为终端的软硬件配置都不标准化。要将终端安全做好,首先需要解决终端软件标准化的问题,如果标准化做不好,终端的很多安全都不能开展,会出现很多问题,如安装的软件不兼容,或者软件兼容但是运行速度慢,硬件配置不够等等。

  如果整个信息安全没有什么可做的项目,建议优先实施网络边界类项目,因为效果明显,其次实施数据中心项目或终端项目。数据中心内部的安全实施是个慢功夫,最基本要做的是数据隔离,要将不同重要区域与不重要的区域分开,比如互联网与互联网系统,不能将其他的系统放在同一个区域里。

  三、CIO们常困惑的问题(Question)

  Q1:信息安全管什么

  信息安全,除了IT系统的安全外,还包括业务数据安全、人力资源安全、信息系统安全、物理环境安全等,甚至还包括法律法规的合规问题。法律法规由法务部门管理,业务数据由业务部门管理,保密由保密部门管理。从这个角度来看,整个信息技术部门需要管理的事项并不是很多。但是,很多企业高层一提到信息安全,往往会将它和信息系统融合在一起,信息安全就是信息系统要做的事情。这个时候,CIO或者IT经理就必须要明确一件事情,就是信息安全对企业而言到底要管理哪些东西。

  关于业务数据的安全,首先,业务数据是由业务部门产生,业务部门对业务数据有保密责任,要对数据的质量、真实性负责。信息部门要做好业务数据在信息系统内部的存储、交换,这个界限要划分清楚。再如人身安全,不管是职前、职中、职后,还是对外部人员的雇佣前、雇佣中、雇佣后,都需要把界限梳理清楚。很多时候,企业对内部员工的管理通常由人力资源部门负责。但对于外包人员,则是项目由谁开展,谁就应该负责外包人员的安全。至于安全原则,需要由人力资源部门,或者是信息技术部门和业务部门制定清晰,然后由大家去执行。

  Q2:安全性和可用性的边界

  关于安全性和可用性的边界问题,对于大部分CIO来说,他们只负责管理信息技术部门,或者包括财务和内控部门。在这种背景下,如果CIO不够强势,最好只做信息系统的安全,其他安全暂时不做。如果足够强势,可以将安全范围扩大。即使只做信息系统的安全,在信息技术部门内部,安全还是有广义和狭义之分。广义的安全包括系统可用性。按国际标准化组织(ISO)的定义,信息安全管理体系(ISMS:对应ISO27001系列标准)关注信息系统的安全性(Security),IT服务管理体系(ITSM:对应ISO20000系列标准)关注信息系统的可用性(Available),两个体系间的重叠部分为应急与灾备,即业务连续性管理体系(BCMS:对应ISO38500系列标准)。

  整个可能性的东西,包括应急与灾备,有时会作为一个单独的领域或课题去建设,由一个专门的团队负责。不管有没有专门的团队负责,整个可能性的灾备都不能放在安全里面,这与加密、攻击、病毒等常见的安全问题不属于同一个范畴,做法也不相同。除此之外的安全,最好由安全团队负责开展,将信息安全管理体系与IT服务管理体系分开,如果再细分,可将业务连续性管理体系与应急灾备分开。

  Q3:信息安全职责划分

  安全从国内企业的角度来说,其实就是一个职责的划分和归属的问题。信息安全管理职责的划分有三个原则,一是谁所有,谁负责。划分上级单位与下属单位间的管理边界;划分信息管理部门与业务部门间的职责边界。二是谁管理,谁负责。可再细化为“建设期:谁建设,谁负责;运维期:谁运维,谁负责”;划分信息管理部门内部各团队间的职责边界。三是谁使用,谁负责。划分信息管理部门与用户间的职责边界。

  Q4:安全团队放在哪

  安全团队放在哪?主要有三种方式。一是隶属数据中心。这种方式的优点是安全建设和事件处理时,容易调动基础设施团队资源;缺点是与客户(开发团队、下属单位)距离太远,管控职责发挥不足,会导致后续整改成本提升,工作被动状态持续。二是隶属架构、PMO团队。这种方式的优点是补充PMO对信息安全知识的短板,利于形成“管控合力”,利于对安全要求落实的监督,能够较早获得关于开发团队和下属单位的持续信息,利于IT系统大集中时,开展“健康检查和整改”工作;缺点是仍不是“业务安全专家”,功能发挥仍在技术领域。三是隶属管理层。这种方式的优点是安全建设和安全事件处理时,调动其他团队速度会加快;缺点是可能造成过分强调信息安全,影响效率,与项目组、各技术团队距离太远,不利于安全事件和漏洞发现和整改跟进工作。

  Q5:安全人员的工作职责

  安全人员的工作大部分为“求人型”、九游APP“推而不动型”,这部分工作的开展方式,需要CIO在架构设计时先考虑清楚,否则无法开展。整个安全工作可分为PDCA。“P”是决策、规划;“D”是具体工作执行;“C”是落实情况,监督检查;“A”是采取措施,持续改进。因为安全涉及范围广,安全人员需要处理攻击事件、处理数据库的安全、加固、整改等等,这其中有些工作是安全人员做不了的事情,只能由网络管理员或者应用管理员去做。因此,“D”和“A”的工作大部分由其他团队负责,安全团队只能做一小部分。

  Q6:如何避免安全制度“两张皮”

  如何避免安全制度“两张皮”?这需要将安全控制融入“信息系统开发生命周期”。从整个生命周期来看,分为立项阶段、定义阶段、设计阶段、实现阶段、运维阶段、废弃阶段。其中,安全需求调研和定义、安全方案设计主要由开发团队或建设团队去完成,如果没有能力开展,可以找供应商或者安全团队负责;如果企业内部有安全团队,最好尽早介入项目中,甚至可以在立项阶段或安全需求调研时介入,尽早将安全需求提出,避免后期被动。对于大部分企业来说,在整个项目的开发和设计阶段,让安全团队介入是一件比较困难的事情。但是,安全团队可以做好以下三方面的事情:一是设计方案出来后,可以让安全团队负责方案评审;二是在项目上线时,让安全团队负责上线安全检查;三是做好项目上线后的定期安全检查。

  Q7:互联网公司安全:代码即安全

  传统企业与互联网公司在安全方面的做法,首先在整个物理层面上基本是相同的,但是在集成和网络层面上有很多不同。互联网公司有很多开源技术和个性化的开发,这是最大的不同。从整个概念来说,互联网公司安全就是代码即安全,很多传统企业更多是安全设备和商业软件的安全,比如购买一些设备,这些很难做到个性化定制和个性化设置。

  Q8:《网络安全法》的执法情况信息

  从目前来看,《网络安全法》在国内的执行情况超乎想象。像腾讯微信、百度贴吧、淘宝、证券公司等都有处罚案例。从目前的执行情况来看,一些大企业,比如能源、金融、运营商、交通、大型互联网公司等,这些企业需要切实落实网络安全法的具体措施,包括系统的等级保护、信息的保护等等,网络安全法对这方面的处罚比较严厉。

  v 问答篇

  CIO:如何开展7分管理3分技术的信息安全建设?有哪些策略?500人规模的公司,信息安全团队该如何构建?

  牛志军:看企业所处阶段,如果安全才开始做,我觉得应该是7分技术3分管理。等到技术手段基本具备,再把7分管理和3分技术倒过来。在策略上,建议重要关注:核心数据防泄露、核心系统防攻击(包括权限控制)、严重病毒事件。配多少人,要看企业业态,如果是制造业,建议每300台配一名安全人员,如果有核心技术,建议人数要增加。

  CIO:企业信息安全涉及到内部环境和外部环境等多方面的问题。针对“内部方面”企业内部机密信息,我们建立了保密管理制度,安装了几套加密系统,同时,对网络进行了监控,对人员也进行了教育培训。刚开始效果很好,时间久了,效果会没有开始实施时那么好。在执行信息安全这一块,除了建立制度,设置安全措施等管理手段,有什么方法可以让员工具有潜移默化的执行信息安全措施?

  牛志军:加密或其它安全系统上线久了,感觉效果没开始时好,这是正常的。主要有两个因素:所有安全系统都有它的功能局限,目前还没有“包治百病”的系统。时间久了,不排除员工对系统的功能有所了解,甚至掌握了绕过的方法。对于终端而言,最好的方案是VDI,即是VDI,也可以拍照泄密。另一方面,要在系统上不断完善和加强安全策略,很多时候是上了系统后,不再优化策略。要配套实施奖罚手段(柔性还是硬性,视企业文化确定),让员工逐渐变得不愿破坏安全,到不想破坏安全。

  CIO:相关骨干人员因相关原因离职后,内部一些信息很容易泄露,特别是新产品开发等重要信息被泄露了,如何补救?

  牛志军:有离职苗头的员工,在工作安排上要有所体现,不要让他再接触核心的信息。这类员工本身就会有意的收集信息,纯技术上手段作用不大。

  CIO:如何让业务团队对业务数据安全负责?

  牛志军:识别数据的OWNER,谁是OWNER谁负责。如果找到OWNER,OWNER也不认帐,还是把任务推到IT部门,那建议找1至2个核心数据,按数据生命周期,从数据产生、传输、处理、加工、保存、废弃整体环节,涉及到的工作流程、人员、载体(系统/纸质文档),都列出来,再逐一分析,哪些环节可能存在数据泄露,这样很容易让业务部门也参与进来,有事实有真相,至少能做到两个部门一起负责,不至于都推到IT部门。

  CIO:如果从业务数据安全方面去考量,评估业务数据安全风险有没有什么方法论可分享下?

  牛志军:刚才讲的评估方法,其实就是方法论。步骤:识别核心业务→核心业务相关数据、流程、载体的识别、分析→主要风险分析→输出风险处置建议。

  CIO:在企业用户使用桌面端,怎样灵活部署防病毒软件,从正版与免费,从强制安装与灵活自由等方面,有什么好的建议?

  牛志军:防病毒,如果PC数据不多,只要及时更新病毒库,使用收费的、免费的问题都不大;如果数量多,建议还是使用收费的企业版防病毒。另外,安全本身就是加强控制,即使有灵活度,也比较小。不建议留灵活度,有灵活度,就是留了空子,就容易出问题,平时可能没感觉,等出事时,发现原因空子有好多个。

  CIO:一般企业的体系会有专门的体系组织来开展定期的内审和外审。像信息安全内审外审应该由什么部门或者组织来开展?

  牛志军:内审由内部的审计团队牵头,一般具体审计人员是IT人员,因为审计团队不了解IT,更不了解安全,审不了。外部的审计团队,主要是四大的或认证机构的。

  CIO:目前企业除了办公网络还有MES系统的工业网络,很多对远程设备厂家要求能够远程监控和优化升级,企业的ERP系统生产计划数据也要与MES系统对接,在办公网络和工业网络之间如何处理边界和信息安全问题?

  牛志军:MES和办公网,一定要网络隔离(建议通过网闸,实现数据单向传输)。另外,终端接入这2张网,也建议终端分开,终端间不要交换数据。实施相对严格的两网隔离策略,只允许后台间单向交换数据(实在不行,对双向交换的数据进行严格限制,限制好哪些表单或接口,才能交换数据)。

  

  嘉宾简介

  牛志军,前华为信息安全资深顾问、前华润集团信息安全负责人,现任安恒南方咨询规划总监,是国内最早一批ISO 27001 LA、CISA九游官网、ITIL Expert、Cobit Expert资质获得者、ISO 9001 国家注册审核员;具有20年信息安全一线实战经验,是华南首批信息安全从业者,服务过的企业包括万科、华润、深圳地铁、中国南方电网、中国广东核电等。擅长领域:信息安全、云计算、大数据、IT规划、IT架构、IT审计;兼攻:财经、文史、阳明心学。

  

  

如果您有什么问题,欢迎咨询技术员 点击QQ咨询