基于安全对抗与安全体系框架西电捷通结合研究.docxVIP

基于西电捷通安全对抗与安全体系框架的结合研究西电捷通网络安全可视化研究引言：很难想象，即使在目前发展正如日中天的网络安全行业，安全对抗的落地实施也有些举步维艰的意味。我们时常听到有人抱怨：企业的安全对抗很难开展，总是遇到各种问题，分工不明，权责不清，配合变成对抗，最后导致虎头蛇尾，甚至是执行难产，流于形式，实际作用甚微。安全对抗似乎成了一个不可触及的“天花板”。面对上述各种疑问和困境，作为一家成长型企业，西电捷通亦在思考：到底成长型企业内部整体安全体系工作该怎样开展，怎样做才能使其既有效执行，又事半功倍呢？只有弄明白这个问题，才能清楚地根据公司的实际需求，让安全工作为公司提供真正有效的帮助。本文将结合西电捷通的实践探索和认识，站在安全部门的角度来分享西电捷通公司开展安全对抗工作的一些思路。让安全对抗行走在安全体系框架中大量研究表明，企业面临安全风险和威胁可以归纳为两个原因：一方面源于安全意识淡薄，危机意识不强；另一方面则是安全技术能力欠佳，安全合规意识缺失。看起来，这两个原因都与企业日常经营管理的各个环节密不可分。的确，安全是一个在治理、管理、运营和技术等环节都必须发力的工作，需要兼顾公司内外、大小部门、不同级别干系人的立场，最终引导一致性的目标和行动。正因如此，如何形成持续地、一致地安全实践至关重要。以西电捷通为例，我们设计出一个适合目前公司情况的“企业安全体系框架”，尝试进一步梳理、分析安全实践深层次的问题。图1企业安全体系框架参考图如图1所见，该安全体系框架分为四个层次，分别是安全管理制度/流程/规范层、安全工作渠道层、安全目标层、安全干系人层，体系框架层次分明，具备了横向扩展性，更有利于日后的体系框架调整与发展。“首席安全官”们明白，光有安全体系框架远远不够，关键是框架落地时的“控制要求”。在安全实践中，“控制要求”能够有机地运转才是有效推动工作的关键。“控制要求”是安全体系框架落地的关键举措毋庸置疑的是，考虑安全势必会导致企业整体成本增加，如何平衡各种因素，以及各个利益主体。这里牵涉到“局部效率?VS整体效果“的问题。具体来说，在企业内部，即使一件再小的安全事情都会“一石激起千层浪”，牵涉到多个环节，各个层面。倘若每个环节都很重视安全并可以及时地发现安全问题，这样的做法，尽管会导致局部效率低，但是穿串在一起，整体上却能极大地降低风险，减少修复成本。为此，西电捷通将四个相互独立的层次进行贯穿，相互牵动，形成一个上通下达的有效的整体。1、用最务实的方式解决认知偏差，打造影响力用最务实的方式解决认知偏差，打造影响力。简而言之，即不要试图通过制定大而全的安全管理制度解决所有问题。安全管理体系的价值实现，不是因为无关紧要，而是在于开销太大。对于绝大多数成长型企业来说，首先最应该关注的是安全管理体系所能产生的直接价值，安全人员不能完全依赖于“制度”行使“管理”职能，应该用最务实的方式解决认知偏差，打造影响力，让企业内部大小部门、不同级别干系人都沿着既定的安全管理思维行动，这才是王道。图2安全体系框架之安全管理制度/流程/规范 思维导图知易行难。现实中，战略制度很容易规划出来关键还是战略执行。国内的企业的短板通常是欠缺保障制度执行的治理机制，这涉及到公司治理层面的问题，同时与各个领域的行业特点有关，这里不做过多讨论。2、以“安全工作开展的目标“为中心以“安全工作开展的目标“为中心，西电捷通希望达成的安全工作目标很容易理解。图3安全体系框架之工作目标 思维导图（1）安全工作目标一：提高安全意识很多业内人士把“人”戏称为TCP/IP协议的“第八层”，大意是安全工程师必须受到良好的安全意识教育，才能降低系统、产品、企业的潜在攻击面，对于网络安全企业尤其如此。有一句老生常谈的话就是，任何安全问题的本质最终都被归责于人，人一旦丧失安全意识，不管是多么优秀的安全制度，也会因为人的懈怠变得形同虚设。所以，安全工作的首要目标，即通过系统成熟的安全实践持续改变企业人员的积极安全意识和行为。（2）安全工作目标二：输出安全能力透过以往发生的安全事件，我们发现当企业人员知道需要做（need to do），但是不知道应该怎么做（how to do）时，安全隐患犹如一颗定时炸弹，时刻存在被引爆的风险。通过增加安全实操训练进而加强安全能力，让员工自己面对和解决安全问题，都是可行的选择，这也是西电捷通希望达到的第二个目标。（3）安全工作目标三：强化安全性审计“审计”顾名思义实施独立性的监督。强化安全审计，意味着强化产品安全性测试，驱动并建立有效的反馈渠道，使产品安全对抗真正具有持续改进和闭环的运转机制。同时，也避免开发人员既作“运动员”又作“裁判员”的情况，真正引导安全团队在产品安全审计方面发挥作用。3、安全对抗工作开展的三个重点作好安全工作不能单纯依靠安全部门