AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
公司
安全運營管理,3年嘔心瀝血的經驗和教訓都在這里了!
網絡安全話題已經不是新鮮事兒。伴隨著《網絡安全法》《數據安全法》《關鍵信息基礎設施保護條例》等法律法規的推出,網絡安全產業進一步健康發展。此外,國內網絡安全攻防演練以及網絡安全建設效果的提升,也不斷推動網絡安全行業向更高的層次演進。
本篇小編嘗試著從馬斯洛理論來解讀安全運營需求,希望能給各位讀著一些啟發。
Part.1
網絡安全建設的第一層需求“生理需要”是基于法律法規、等保2.0的要求,目的是不被監管單位通報,業內人士也稱之為“政策導向”需求。通過對國內的觀察,發現安全的需求參差不齊,但大部分地區已經率先完成了基礎的網絡安全建設,開始向更高層次的安全需求闊步,仍然有一部分地區,才開始計劃如何落地和建設法律法規要求下的安全體系。
Part.2
量變引起質變,當網絡安全產品堆積到一定程度,部分管理者就開始實現第二層需求“安全需要”。無論是被動還是主動的,至少開始考慮如何將已經購買的安全產品用起來、管理起來,發揮已付資金和安全產品應有的價值,于是開始招聘人才、建立制度、梳理流程。由于有切實的市場需求,網絡安全運營的解決方案應運而生。
網絡安全運營需要解決的三大核心問題:缺少專業的運營人員、沒有標準化的響應處置流程、需要更加智能化的安全產品。
可能有人會覺得,不就是人、流程、產品嘛。缺人就招人,沒有流程那就制定流程,用制度驅動人員的工作流程化,安全產品我已經很多了,讓專業的人士用起來就行。然而安全運營不是1+1>2這么簡單,需要有計劃、有思辨、有目的地進行體系化設計。
首先,我們需要思考,企業/單位是哪些部門承載安全工作的。相信大部分會答案是IT部門兼職或者IT部門下的子級部門來負責。但也不乏一部分政府和企業有專職專業的團隊專門負責網絡安全工作。
大多數IT部門預算投入的理想狀態是5%~10%,但實際情況下是3%,甚至更低。來拆解下這3%的預算都包含哪些費用:IT基礎設施維護、更換、擴容、IT人員的薪資、企業的信息化&數字化投入。其中信息化&數字化這是企業良性發展的重要戰略,也是體現IT負責人最有價值的事情。
安全,一出事就是大事情。如果你做為IT負責人,你會優先投入哪項?想必許多人更容易傾向于產生成績的信息化&數字化建設。因為數字化這番大事業干成了,獲得老板認可,那么升職漲薪走向人生巔峰還會遠嗎。
雖然不愿承認,但這也直接導致安全的投入很微薄,在僅有的預算下,每年采購一個新的產品就會囊中羞澀了,人員、流程、平臺只不是年初時的一個美好愿景罷了。
分析完是不是覺得安全運營這個事情就是扯犢子?生存問題都還沒解決,網絡安全又這么虛無縹緲。但網絡安全發展的滾輪在快速追趕,信息化建設的初級過程已經過去,在政府和企業已經積累大量核心數據,這些數據如果管理不當,會直接對本體造成經濟損失或惡劣的社會影響。于是,我們又要把IT負責人拉起來鞭策,“為什么核心數據會泄漏?是怎么被泄漏的?這對我們造成了極其嚴重的影響。”IT負責人還沒享受好成功的喜悅,又開始戰戰兢兢重新預算,心中的天平開始傾斜網絡安全建設。
于是乎,馬斯洛第二層需求“安全需要”可以往前推進和落實了,在做事之前,先了解方法論。這次我們討論的,主要來自NIST的IPDRR網絡框架和ITU-T創建和運營網絡防御中心的框架,以及GB_T-信息安全技術相關指導文件。
NIST-IPDRR這個網絡框架是行業內最火的、也是公認的安全運營技術指導框架。框架從識別、防護、監測、響應、恢復全體系的方法論進行了描述。分別講解了各個模塊是做什么的,怎么做的。配套講解組織決策層級:第一級基礎執行、第二級研究狩獵、第三級管理決策。更詳細的內容可以直接看原文。
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
NIST-IPDRR網絡框架雖然看似非常高端大氣上檔次,實則是個實際干活的方法論。
NIST-IPDRR技術框架
另一個是國際先進的 ITU-T 創建和運營網絡防御中心的框架,但整體更務虛一點。該框架包括三個過程:建造、管理和評估。
它指出,“為確保組織的安全穩固,應建立和適當管理CDC,也應該以一種及時和規則的方式來對之進行評估,并持續予以改進。”
其中心思想大概是,想要做好安全運營中心,我們首先要制定戰略管理、由戰略引導安全運營的建設,由細小的安全運營工作的持續價值輸出印證戰略正確性,往復便形成一個正向發展的循環。
ITU-T創建和運營網絡防御中心的框架
IT負責人看完,表示似懂非懂,難道哥的未來之路可以晉升到CSO、CIO了?有錢途,擼起袖加油子干。
從開始被摩擦到分不清東南西北,一狠心在這個事情硬磕了3年,于是總結出來更這套解決方案與大家分享。
首先,要解決戰略問題。如果沒有戰略高度,網絡安全就會面臨兩大難題:
1、IT自身無法推動落實;
2、網絡安全建設的預算不足以應對現代的網絡安全形勢。
其次,是人員問題。政府和企業需要自己招募培養安全人才還是借助廠商的專家?
建議初期通過與技術提供商合作獲取專家人員的支持,先把安全運營價值點呈現出來,正所謂留得青山在不愁沒柴燒;過度到后期,配合政府和企業的而發展不同階段,可以招人&合作共營,通過廠商的專家把團隊培養起來,逐步替換為核心業務自主運營配合購買技術提供商所提供的的定期培訓,形成一個完善的人才管理體系。
第三,產品和技術。人員問題解決后產品和技術的利用率自然而然就解決掉了,同時向上管理,在安全運營的戰略下將之前花的錢體現出價值來,這樣就可以獲得領導的瘋狂點贊。
解決了以上三個問題的基礎上,最后一步,流程制度。配合法律法規要求的合規性等與業務部門拉通制定合理、高效的流程制度,也會水到渠成。
網絡安全建設任重道遠,小米步槍已經發展到海陸空三棲作戰,網絡安全運營也需要持續不斷的優化完善,向著下一個目標出發。
沒有網絡安全就沒有國家安全,作為網絡安全從業人員同樣有著保家衛國的理想和抱負,也呼吁更多志同道合的“戰友”加入其中,共同并肩作戰。
