企业内部信息安全管理——（一）风险识别和管控

导语：

笔者曾经参加ISG 比赛时有位导师的经典语录：信息安全管的是什么？ 其实质管理的就是输入和输出。  （如果你已经踏上管理岗位，其实会发现这句话在企业管理中也是适用的）

所以管住你的输入和输出，就能管住你的信息安全。

（信息安全是一项即使你投入了大量人力、物力、财力可能依然出现纰漏的领域）

注意：本文的经验主要适用于一般研发企业，及对相关领域有研究的人员，并不适用于特保单位。

 

一般企业中，防范主要应对2类风险

1. 物理威胁：通常可能出现的情况，包括私拆主机、携带USB存储设备访问主机等

2. 网络威胁：这块大家都比较熟悉了，病毒、非法上传、偷跑流量等

       （笔者在面对威胁1 的情况非常复杂多样，其风险度并不低于威胁2）

 

一、制度和流程

作为企业来讲，为应对上述的主要风险，首先需要有完善的制度和流程，以下几个制度和流程推荐完成：

        1. 企业的设备管理制度（注意这一制度应当区别财务的固定资产管理制度）

        2. 网络管理制度

        3. 网络权限申请流程

        4. 设备申请流程

        5. 人员入职流程

        6.内网的安全管理策略

        7.运维管理记录（建议）

二、人员配备和知识积累

（1）人员配备

         在笔者遇到的绝大多数中小企业中，信息安全基本处于无人关心的状态（最多也就只是配备1名网管的状态...），很多创业者也好、企业管理人员也好虽然重视，但是实际落地时又多是无人管理又或者管理人员水平无法达到。而聘请所谓的专业人员或者团队的成本可能根本不是这些企业所能接受的。

         关于人员配置，我的建议如下：不论企业规模的大小，安全管理负责人必须由企业的核心管理层担任或者兼任，并配备一名执行人员。

         这样的好处在于：

         首先：负责人有足够的权威，当出现可能的安全风险/事故时有足够的介入能力。

         其次：负责人非常清楚整个企业的运作流程，便于风险/事故的及时处理和流程的改进。

         负责人的主要责任在于制定/调整相关安全策略，并监督和检查策略的执行情况。

         执行人员是负责人有利的助手，并直接向负责人汇报相关情况。人员应当由负责人亲自挑选，人的性格应当以稳重为主（可以由网管兼任，但需要清楚的明确责任边界）。一般100名员工至少配置1名安全管理的执行人员。

（2）知识积累

         俗话说铁打的营盘流水的兵。做好知识的传承是非常重要的，鉴于目前国内对安全管理的重视情况及相关岗位的薪资水平，人员会发生流动是可以预期的所以做好传承至关重要。

三、风险防范

（1）物理威胁

         面对物理威胁的多样性，重点管控的对象主要为办公主机和服务器。具体可以采取如下措施：

         1.可靠的电子门禁系统（这个就不多介绍了~配合视频监控可以准确管理出入人员）

         2. 在办公室区域、服务器机房安装视频监控设备

         3. 禁止任何USB 设备的接入（尤其是USB存储设备和USB WIFI），包括一般PC和服务器（尤其是服务器，很容易被忽略）

       （建议的做法是通过WINDOWS 的组合策略来实现。笔者也见过很多任性大厂，锁死PC焊死USB接口的做法...在成本需要严格控制的中小企业...建议还是别了...而且那样只是制造了一种感觉安全的环境...从实际的案例来看...并非完全无破绽）

         4. 采用易碎贴等方式封闭PC主机（成本低廉，可快速判断是否被拆卸）

         5. 定期巡视和检查（建议至少1个月1次，由执行人员负责日常检查，负责人抽查工作情况）

（2）网络威胁

         网络威胁的品类很多，但治理起来需要的是艺术（管理艺术），而非高深的技术

         1.部署一个行为管控设备，一切的基础。（如深信服、海蜘蛛、PANABIT 等等，读者可以自行了解各产品间的差异）

         2.一个可靠的网络结构，能够将服务器网络、办公网络严格分开。

         3. IP MAC 地址绑定。

         4.将网络行为分组，根据不同组别的特性设置不同的行为规则。（如：服务器组、行政组、研发组等）。

         5.限制不必要的软件和通信协议（限制QQ、微信的通讯，限制FTP P2P协议等）。

         6.定期审核行为日志，（这点非常的重要）。

（3）其他威胁

         威胁最大的问题在于人的行为所导致的结果：

         一般分为2种：

         1. 被动的，比如说安装了某个视频播放器，导致在后台偷跑流量之类，这类情况下会进行劝解、小惩大诫即可。

         2. 主动的，这类情况风险高，且在前期不宜被察觉。但这类情况的行为模式也比较容易判断，具体会有如下表征

             1）对于外部侵入人员来说：入职6个月内（甚至是处于试用期）

                   对于内部人员来说：因为工作不顺即将离职人员（内部矛盾，分配不均等）

             2）想方设法绕过管控机制或提升自身的权限（如：打听安全管理的策略，或者向直属主管施加压力，申请更高的网络权限等）

             3）想方设法获得文件传输的能力（即：突破上行限制）

             4）得手后迅速离职（多见于：短期内获得网络权限，然后迅速以奇葩理由离职的人员）

四、总结

内部安全管理是一项需要耐心，并持续改进的工作。这项工作只有开始没有结束，而涉及的面非常的广泛（知识、业务、职业道德、思维逻辑能力等）。所有这一切只有一个目的：为企业/公司 的安全运营保驾护航