“大量的網絡安全檢查伴隨著問題的發現,問題發現了就要分析原因。所有的網絡安全問題,最后都歸到人的問題上,就事論事都只能起到短期的改進作用,長期的改進都需要加強網絡安全隊伍建設,加強管理層的網絡安全意識,才有可能提高單位整體網絡安全管理能力?!?br />

本期牛人訪談安全牛有幸邀請到軍工保密資格認證中心研究員黃次輝,站在單位的視角而不是國家的視角、行業的視角或者網絡的視角,為我們談談單位網絡安全管理能力、管理層網絡安全意識和網絡安全隊伍建設這三點的思考與分析。

一、網絡安全管理能力

一個單位的網絡安全管理能力體現在以下幾個方面:

1. 結合業務分析網絡安全風險的能力

每個單位的業務模式決定了其對信息化環境的依賴程度,業務的信息化流程決定了其網絡安全的風險點。梳理業務流程,深入分析網絡安全風險點,確定在多大程度上接受網絡安全風險,通過傳統的手段控制經營風險,在多大程度上通過加強網絡安全管理來控制網絡安全風險。這是一個明確網絡安全管理目標的過程。網絡安全沒有百分之百,沒有萬無一失,同時,網絡安全的成本相當可觀,應該有所取舍,有一個可以努力的目標,有突破網絡安全風險底線的應對措施。

這個過程可以參考國家等級保護管理的方法,按系統重要程度投入相關資源。首先要劃分保護對象重要性級別,可以按網絡區域和應用系統來劃分保護單元,然后從保護單元受到破壞時受損害的業務及其受損害的程度兩個角度考慮每個保護單元的重要性級別。第二,每個保護單元從規劃階段就要考慮其重要程度和具體的安全需求,有針對性地部署安全措施,并且要隨著業務和信息化的發展對每個保護單元的安全級別和安全需求做必要的調整。第三,單位根據信息系統重要性級別確保網絡安全的投入,特別是人力資源的投入,確保網絡安全需要的人力和財力資源。

對于難以避免的網絡安全風險,必須考慮網絡安全防護措施之外的經營管理風險控制措施。比如依賴互聯網上電子商務平臺開展業務的公司,要考慮數據備份等可實施的安全措施,也要考慮到公司對電子商務平臺的安全風險沒有控制能力,不僅要用合同約束平臺供應商提供穩定可靠的服務,還要考慮電子商務平臺出現影響業務的網絡安全事件時的業務風險控制措施。

2. 合理規劃信息化基礎設施的能力

信息系統的結構清晰、層次分明、接口簡潔、功能定位明確,信息化規劃過程中充分考慮網絡安全需求,是做好網絡安全管理的良好基礎。

比如,涉密信息系統、非涉密信息系統、互聯網全風險有很大區別,國家對這三種網絡的監管政策不一樣,單位必須明確這三網的功能定位,涉密的應用毫無疑問放在涉密網絡,非涉密的應用放在涉密網、非涉密或互聯網都可以,應該考慮非涉密應用的用戶范圍、工作流程、所存儲處理信息的來源和用途、和其他應用系統的關系等因素,合理部署該應用,才能使涉密信息系統、非涉密信息系統、互聯網之間的邊界清晰,信息交換接口少而且好用可控,既便利信息資源合理利用,又便于網絡安全管理。

再比如,大部分的網絡安全控制目標既可以通過網絡層實現,也可以通過應用層實現,網絡基礎設施建設的時候就要考慮網絡層和應用層的安全分工,考慮后續應用系統對安全的需求。

3. 以網絡安全法規為抓手開展網絡安全管理的能力

網絡安全管理的一大難點是網絡安全投入的績效評價困難,而績效評價難的原因是建立網絡安全管理的指標體系非常困難,合規性給單位提供了一套可操作的績效評價指標,以網絡安全法規標準政策為抓手,開展單位網絡安全管理,是一種很好的工作方法。我說的是以此為抓手來推動單位的網絡安全管理,而不是機械地對標。不同的信息化對象適用不同的法規標準政策,搞清楚每個信息化對象需要遵循的要求,這些要求中有的是剛性的,必須嚴格執行,但大部分要求在落地時有很多可以選擇的解決方案,有的標準是一個可選擇的安全措施全集,落地時需要結合實際做裁剪,這個過程中的溝通體現管理水平和專業能力。

如標準在單位落地時可以有不適用項,不需要實現,只需要做不適用原因的分析。

如等級保護和分級保護標準都對應用系統的安全審計有要求,單位可以結合業務流程確定具體審計哪些行為,記錄哪些日志,這對業務流程起到很好的監管作用。

二、管理層網絡安全意識

意識來源于知識。管理層的網絡安全知識匱乏是普遍現象。后果是對網絡安全管理口頭上重視,行動上忽視,投入上無視。

網絡安全的投入是實打實的真金白銀,但回報是隱性的,不存在利潤指標,無法用利潤高低來衡量工作效益,使管理人員難以就各種目標的相對重要性達成共識,造成網絡安全在需要投入時爭取不到應有的資源。

由于這樣的特性,網絡安全工作一般依靠三種力量相結合來推動。第一種力量來源于領導。網絡安全是一把手工程,一把手重視了,從上到下各級管理層就重視了,這要依賴于單位領導強烈的網絡安全意識。第二種力量來源于制度。網絡安全成為硬性要求,融入操作規程,成為考核各級管理層和員工的指標。第三種力量來源于全體人員的安全意識。將網絡安全要求內化于心,外化于行。其中,制度的力量取決于第一和第三種力量的大小。如果安全意識不足,制度很容易淪落為形式,雷聲大雨點小,高投入低效能。

員工的網絡安全意識教育相對比較好做,現在的網絡安全意識教育基本上都是針對員工的,不是針對管理層的。管理層的安全意識難抓,但管理層的意識比員工的意識更重要。管理層并不熱衷于學習網絡安全知識,領導認為網絡安全是個專業的事,自已不用學,另一個原因,當前的網絡安全意識教育未列入管理層學習培訓的視野中,培訓機構及人事部門沒有充分培育領導干部網絡安全意識培訓的市場。管理層的網絡安全意識和員工應該有不同的視角,這一塊的培訓應該怎么做,是一個值得深入挖掘的問題。培訓者需要結合企業經營管理來分析網絡安全的問題,這樣的課程才對高級管理人員有吸引力,有價值。

2017年習近平總書記在國家安全工作座談會上指出,要筑牢網絡安全防線,提高網絡安全保障水平,強化關鍵信息基礎設施防護,加大核心技術研發力度和市場化引導,加強網絡安全預警監測,確保大數據安全,實現全天候全方位感知和有效防護。國家在對機關和事業單位的審計工作中,已經將網絡安全工作的開展情況列入審計內容,國家機關和事業單位領導的網絡安全意識培訓將越來越受到重視。

將網絡安全意識教育融入到管理層的學習培訓將是一個發展趨勢。

三、網絡安全隊伍建設

當我們講網絡安全隊伍建設的時候,我們先得說說網絡安全隊伍的結構。

一個單位可以投入到網絡安全的力量大致有以下幾類,其中前兩類肯定是單位內部人員,第3類可能是內部人員,也可能是委托的外部團隊,第4、5兩類是外部力量,通過合約關系來為單位提供服務:

1. 網絡安全管理。規劃管理單位網絡安全,將網絡安全與單位經營管理活動相結合。

2. 信息化管理。規劃管理單位信息化工作,將信息化與單位經營管理活動相結合。

3. 信息系統運行維護。運行維護信息系統,重點在信息系統投入使用后的管理。

4. 信息系統集成商或網絡安全廠家的技術支持。單位在系統集成或購買產品后,可以獲得后續服務,也可以長期購買,一般會局限在與所購買產品相關的服務領域。

5. 網絡安全咨詢服務與技術服務。根據單位需要購買網絡安全專業服務。

以上的五類人員,2、3、4類人員是當前網絡安全依賴的主要力量,但他們的工作重點和關注焦點是信息化,網絡安全不是他們關注的焦點問題。1和5類人員才是單位網絡安全的專業力量,但當前這兩支隊伍都比較弱。

先說網絡安全管理隊伍。兩種薄弱表現,一種是崗位設得太低,與職責不匹配,這是普遍現象。這里的隊伍建設,首先指的是崗位設置、崗位職責和權限的分配。業務對信息化依賴程度高的單位需要一個高級崗位,規劃管理和監督單位網絡安全,將網絡安全與單位經營管理活動相結合,不僅需要有專業背景和管理能力,也需要相應的權限和溝通渠道,才能做好工作。但好多這樣的單位只設了一個低級的網絡安全管理崗位,很難履行相應職責,有的甚至沒有設專崗。這方面普遍不足,也意味著網絡安全管理人員沒有向上發展的通道,這是整個社會網絡安全管理人員隊伍儲備嚴重不足原因之一。第二種薄弱的表現,是網絡安全管理人員的素質與職責不配匹。這是一個綜合素質和專業素質要求很高的崗位,當前市場人才非常缺,學習成長的周期也長。

我們經??吹降那闆r,信息化是單位二級部門的一項職責,有兩個人負責信息化管理,其中一人兼管網絡安全,信息系統運維委托外部機構。信息化或網絡安全的規劃也由運維機構提供支持。二級部門負責人及上一級部門負責人都沒有網絡安全專業基礎。這樣的網絡安全管理隊伍,很難應對信息化高度發展情況下的網絡安全管理需求。

網絡安全管理人員隊伍薄弱,直接導致單位網絡安全需求不明確,網絡安全目標感缺失。而這一問題,又使網絡安全咨詢服務與技術服務的市場不能獲得良好的培育。

聲明:本文來自安全牛,版權歸作者所有。