本博客地址:https://security.blog.csdn.net/article/details/116723826
前述
在过去的工作中,我和我的团队基本完成了公司信息安全体系的初步建设,我设计的安全体系架构分为六大块:应用安全体系、安全防御体系、数据安全体系、隐私合规体系、资产管理体系、安全管理体系,六大体系共同构成了完整的信息安全体系。
完整的信息安全体系架构图:
六大体系建设总结:
企业应用安全体系建设总结
企业安全防御体系建设总结
企业数据安全体系建设总结
企业隐私合规体系建设总结
企业资产管理体系建设总结
企业安全管理体系建设总结
一、安全管理体系介绍
安全管理体系是信息安全体系架构中的基础模块。从安全工程实施的角度来说,安全管理理论上是一个大概念,其涵盖的范围非常多,重要性与所产生的价值也远超技术安全,俗话说三分技术七分管理就是指这个。但单从安全体系架构的不同模块来讲,我这里的安全管理体系并没有那么高端,它在整个信息安全体系架构中扮演辅助角色,主要承担一些非技术的内容。
在实践中,这里的安全管理体系根据实际情况已被狭义化和裁剪化,狭义化和裁减化之后,我将安全管理体系分为安全培训、安全运营、安全制度、人员安全、知识沉淀等五大块,接下来我将逐一展开论述。
这里的安全管理体系属性偏辅助,优先级也不算高,不过其重要性却不可忽视,因此属于慢建设的部分。
二、安全培训
安全培训的目的一般是为了提高公司人员的安全素质,避免因人员自身的问题而带来安全风险。此前有机构调研得出,在信息安全的各个分支领域中,安全培训属于产出投入比(比重=产出/投入)最高的一个分支,在安全培训开展得当的情况下,简单的安全培训就能提高人员的安全意识,而人员的安全意识提升上来之后,很多安全风险就大大降低了。
从某种程度讲,人员的安全意识是一个大概念,除了指例如设置复杂密码、离开座位要锁屏之类的琐事外,开发人员的安全编码意识也是一个方面,如果开发人员的安全编码意识强,代码逻辑中的各个环节就会添加校验,业务中的技术漏洞也会大大减少。
在实践中,根据安全培训内容的不同,将安全培训分为安全意识培训和安全技术培训两方面。
2.1、安全意识
安全意识培训的目的是提高公司员工的信息安全认知与防范意识,其面向的群体一般是公司所有员工。要开展安全意识培训,首先要做的是和培训的相关负责人搭上关系,了解清楚目前培训体系的具体情况,然后再视具体情况制定对应的培训计划。需要了解的情况如:
1、是否有新员工培训,培训的周期是怎样的,能不能加课?
2、新员工培训是否有考试,考试的形式是怎样的,是否可以加入安全意识考试?
3、安全宣传的准备流程是怎样的,要不要审批,海报谁来设计,谁来负责落地?
4、讲公开课的前期准备流程是怎样的,要不要审批,怎么做前期宣传?
5、公司是否有考试系统,权限由谁管理,该系统是怎么使用的?
了解完以上的具体情况后,接下来就可以制定计划并开展工作了,工作分为三块
第一块:新员工安全意识培训
1、第一步,确定新员工安全培训范围。这一步需要安全部门确定培训范围并撰写培训课件,培训课件内容要事先和培训相关负责人同步,双方确认无问题即可;
2、第二步,确定新员工安全考试范围。这一步需要安全部门确定考试范围并编写考试试题,考试试题建议以选择题和判断题为主,不要出其他类型的题,以方便批阅;
3、第三步,执行新员工安全培训。这一步需要安全部门参与到实际的现场培训中,讲解安全培训内容;
4、第四步,执行新员工安全考试。按新员工培训结业考试的方式,将安全意识考试搭车进去,考核方式与新员工培训结业考试的考核方式一致,例如考试不通过不能毕业等;
5、第五步,持久化该项目。安全部门应参与每一届的新员工培训,通过安全培训与考试,提高新员工的安全意识。
第二块:安全意识宣传
1、第一步,确定安全宣传的准备流程。一般情况下,安全部门只负责出内容,其他专业的事情需要让专业的人去做,例如宣传执行、海报设计、原料采购、摆放展位等等,因此,要做安全宣传,第一步应该是确定安全宣传的准备流程;
2、第二步,启动流程。例如提海报设计需求给UED、提海报采购需求给行政、确定宣传海报摆放位置如大厅等;
3、第三步,摆放宣传。海报设计完成并制作成实物后,由宣传执行部门摆放在预定的位置进行宣传。
第三块:全员安全意识培训
1、第一步,确定培训周期与考试周期。培训周期可以一季度一次,考试周期一般一年一次即可;
2、第二步,确定安全培训范围。这一步需要安全部门撰写培训课件,培训课件内容要事先和培训相关负责人同步,双方确认无问题即可;
3、第三步,培训前准备。这一步需要安全部门提请公开课审批,以及开展相关的宣传工作等;
4、第四步,执行全员安全培训。这一步需要安全部门参与到实际的现场培训中,讲解安全培训内容;
5、第五步,全员考试调研。这一步需要安全部门确定公司是否有考试系统,如果公司没有考试系统,则全员考试不开展。如果公司有考试系统,则申请相关权限,并与培训相关负责人沟通好考试事宜;
6、第六步,确定全员安全考试范围。这一步需要安全部门编写安全意识考试题,建议以选择题和判断题为主,不要出其他类型的题,否则不好自动化批阅;
7、第七步,执行全员安全意识考试。安全部门通过通过考试平台,向全员推送安全意识考试,并以固定时间间隔对未考试人员重新推送安全意识考试;
8、第八步,安全培训后续工作。后续工作例如对于未参加考试的员工如何处置、对于考试不及格的员工如何处置等等。
以上操作执行下来,员工安全意识这块的工作就算完成了。
2.2、安全技术
上一节所说的安全意识培训属于普惠式的安全培训,即适用群体是所有员工,并不会涉及专业知识。除了开展普惠式的安全培训外,还需要对技术人员进行安全培训,而对技术人员的安全培训则是需要涉及到专业知识的。
安全技术培训实际上是SDL的第一部分,属于应用安全体系的内容,但在实践中,出于安全整体的考量,我将其划分到了安全管理体系下的安全培训里面。
从培训周期来讲,安全技术培训由于受众群体较少,培训周期可以根据实际情况自行决定。从培训内容来讲,安全技术培训分为两块,一块是对技术人员的安全培训,另一块是安全部门内部的安全分享。
对技术人员的安全培训一般包括:
1、对产品部门的安全培训。对产品设计人员进行安全培训可以提高他们的安全素质,从而在设计产品时无需安全部门介入就能规避掉一部分安全风险,同时让产品设计人员知道哪些功能需要安全部门审计,哪些功能不需要安全部门审计,这样可以大大节约安全部门在产品需求上所耗费的时间和精力。
2、对研发部门的安全培训。对研发部门的安全培训主要是安全编码培训,通过培训提高产品开发人员的安全编码能力,从而在编码时知道怎样规避常见的安全漏洞,进而提升产品的技术安全性,降低产品的技术安全风险。
除对技术人员进行安全培训外,还有安全部门的内部安全分享,这里的内容就很多样化了,例如各自负责业务的详细说明、新安全技术的研究、新安全政策的研究、安全漏洞分享等等,组内分享比较随意,分享内容也可以根据实际情况自行决定。
三、安全运营
这里的安全运营也是一个小概念,它并没有通常所说的大安全运营那么高端(大安全运营是指:除了开发部署,一切皆运营),在实践中,我将这里的安全运营分为应急响应中心SRC和安全影响力提升两大块。
应急响应中心SRC
实际上,我司是没有SRC的,我仅在这里谈谈我对SRC的一些想法。
众所周知,随着公司的不断壮大,公司的影响力不断提升,肯定会有越来越多的白帽子关注到公司,如果这些白帽子发现的安全漏洞没有地方安放,这些漏洞就会流入未知的地方,对公司造成的威胁也将大大增加。因此,SRC应用而生,用来收集社会上白帽子提交的安全漏洞。
建设SRC是需要一定时机的,首先公司影响力要足够大,大到有安全白帽子关注到,否则建设完SRC又让它常年在那里吃灰,是没有意义的;同时再加上有外部安全事件推动,在外部安全事件引起老板们的重视后,建设SRC的时机就成熟了。
在SRC的建设历程中,我认为最难完成的一点应该是漏洞奖励的落地,因为这对于公司来说是一笔额外开支,老板们能否认可这笔开支的价值,就看缘分了。如果对白帽子提交漏洞不设奖励或奖励度低于公共漏洞平台,那白帽子为什么要将漏洞提到你的平台上呢?
满足前置条件之后,剩余的工作应该是没有太大难度的,首先搭建一个SRC平台,之后就是运营的工作了,例如等待白帽提交漏洞,在漏洞提交上来之后,安全部门对漏洞做评估定级,之后安排奖励发放,并对漏洞做修复推进等等。当然,实际上可能会更复杂一些。
安全影响力提升
安全部门的影响力可以分为外部影响力和内部影响力,内部影响力是指在公司范围内的影响力,外部影响力是指在公司范围外的影响力。
提升影响力的方式有很多,对于内部影响力来说,如安全培训、安全宣传、安全周或安全月活动等等,都是提升内部影响力的方式。对于外部影响力来说,开设公开的安全博客、定期更新安全文章、参加一些大会的演讲、赞助CTF比赛……等等,也都是提升外部影响力的方式。
提升影响力对于安全部门来说是很有益处的,对外影响力高了,能汇集各路大牛加盟,大牛加盟能让影响力更高,从此走向正循环;对内影响力高了,则能更轻松的开展一些安全工作,少一些妨碍。
四、安全制度
安全制度即需要目标群体去遵守的信息安全相关的规章规范,该工作在实施时主要分为两步,第一步是安全部门编写安全制度或安全规范,第二步是推动这些安全制度落地,这里主要谈谈我对安全制度的一些看法。
众所周知,制度是需要人来遵守的,但人是灵活的,会不会遵守这个制度,每个人有每个人的想法。那么一个制度如果要落地实施,就必须要有相对应的惩罚规则,并且惩罚规则必须要先落地实施。如果一个制度没有惩罚规则,或者惩罚规则没有实施落地,那这份制度基本就会成为纸上谈兵的空中楼阁,没有人会去遵守。
再说到惩罚规则实施,实施惩罚需要有一个强有力的执行部门,在实践中,这个部门一般是人事部,如果人事部强势,违反规则就实名通报批评或进行更进一步的惩罚,那自然会形成一定的威慑力,大家就会开始关注这些规则的具体要求了。如果人事部不够强势,总是担心通报会动摇军心或影响犯错员工的形象等等,从而进行匿名通报或不通报,如此一来,不遵守这些制度的成本变得非常低了,长期以往会导致更多人不遵守公司的规章制度,公司的规章制度就会成为一纸空文。
一般情况下,对于全公司的安全制度,如果有较为苛刻的条款的话,落地起来都有一定的困难,比如设置电脑密码复杂度这种,该类型的制度只能配合安全培训和安全宣传来贯彻,就实际情况来看,效果非常一般,目前也没有什么好的解决办法。但是对于面向小众群体的安全制度,落地情况就很可观了,比如敏感数据提取规范这种,对要提取敏感数据的需求,一律按照敏感数据提取规范来进行,制度落地相当于100%。
总而言之,制度编写很简单,但制度落地,还是需要安全部门的长期努力。
五、人员安全
人员安全是指人本身的安全,它所涵盖的范围就非常广了,从公司的业务发展角度讲,其包括内鬼安全、公司外部人员安全、人员入职离职安全等等。
内鬼安全
内鬼动机一般包括系统破坏、数据窃取、内部欺诈、商业间谍、偶然间失常等。内部人员作案一般是一个持续过程,在这个过程中逐渐变化,一开始可能是“小偷小摸”,多次得手后,胆子越来越大,最后导致灾难性安全事件发生。内部人员并非指“纯粹”的内部人员,也包括生态上下游合作伙伴、外包、访客等任何具有内部访问权限的人。若要给内部人员下一个清晰定义,可从知识、访问、信任几方面来描述。
抓内鬼,不是由单一的安全技术部门负责这么简单,而是由跨部门工作组负责,需要有组织保障。可能涉及信息安全、内部监察、内控、廉政、HR等部门,具体落在哪个部门取决于内部博弈,但一般企业内不会先设立这么一个组织再来开展活动,而是谁能干这件事,责任就落在谁头上。
另外,这个团队需要高层授权,解决“谁来监视监视者”的问题。这个组的工作是保密的,因此需要做好信任管理,确保监视者会受到监视,因为这个组掌握的信息太多且太敏感。
内鬼安全在实践中非常难以防范,目前来看对于内鬼安全除了加强思想教育以及发生事件后溯源追责,并没有好的解决方案,这个就不具体说了。
公司外部人员安全
公司外部人员有很多,例如外包人员、第三方驻场人员、外卖员、快递员等等,对于这些人员的管理主要涉及物理安全与权限安全。在实践中,对于像外包人员、第三方驻场人员这种和公司业务沾边的外部人员,除了限制其物理活动范围外,还应当做好业务权限管控,仅赋予相应的最小权限,防止公司业务信息泄露。而对于像外卖员、快递员这种不和公司业务沾边的外部人员,只需做好物理范围隔离即可,比如设置单独的快递收发室或外卖存放区等。
人员入职离职安全
对于人员入职这块,主要有以下三块:
1、背景调查。这块主要由人事部进行执行;
2、保密协议与竞业协议。协议的起草主要由法务部开展,协议的签署工作主要由人事部进行执行,在签署保密协议或竞业协议时,要注意协议的有效性问题;
3、入职培训。入职培训中,应设置网络安全培训,这块主要由安全部门执行。
对于人员离职这块,安全部门需要关注的就是防止离职人员造成公司业务信息泄露。从实际实施上来讲,主要是两块的内容,一块是在提出离职后,通过数据防泄露系统重点审查其办公终端历史数据,确保在整个工作期间内没有过信息泄露记录,若有信息泄露记录,则要进行面谈及信息确认,并重申保密协议的法律效力。另一块是离职员工的各个账号权限的回收清除,确保在离职后没有任何与业务有关的账号及权限。而对于人员离职产生的其他工作,则是其他部门的事情。
六、知识沉淀
公司是铁打的营盘流水的兵,安全部门也是,除了部门内的员工入职离职要做好知识传承外,部门内的同事之间协作也要做好知识传承,例如部署一个系统,具体是怎么部署的?运营一个系统,每期运营解决了哪些问题?测试一个系统,测试账号是什么?等等……
实际上,不光是安全部门,任何一个团队若要长远发展下去,都离不开知识沉淀,知识沉淀是每一个团队都需要好好去做的事情。在实践中,知识沉淀即文档体系,将安全部门所有工作的记录和结果都以文档的形式记录下来,让每一个接手该工作的人都能够快速的熟悉原先的工作内容,从而在原工作基础上高效的向下开展新的部分,让安全团队始终保持较快的前进速度。
七、总结
安全管理体系是整个安全体系架构中的基础模块,属于重要但不紧急象限的部分。出于公司的实际情况考虑,这部分工作内容并没有设定很多,但基本能满足一个小团队的需求。实际中安全管理的方式也有很多,不同的团队有不同的管理方式,本文在此谨以抛砖引玉供大家参考。
扫一扫
3850
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
