CSO说安全 | 张永刚：信息安全规划之我见

由安在新媒体策划并主办的首届超级CSO研修班，于2021年1月圆满结营。18位CSO学员，历时5个月，完成16节次课程的研修学习，经历名企参访、课堂作业和私董会，更有期末3000字/每篇的毕业论文，最终，都以优异的成绩冲刺达标，获得由CCRC和安在新媒体联合颁发的结业证书。

首届超级CSO研修班学员分布广泛，包括银行、证券、保险、运营商、能源、传媒、物联网、咨询服务等多个领域，在导师引领和课程启发下，其所完成的毕业论文，也都极具代表性，是各自相关领域网络安全建设、实践与思考的精华之作。本着分享交流之精神，我们特别精选几篇，以连载的方式呈现公众。

超级CSO研修班不仅是一届课程，更是契机和起点，希望借“CSO说安全”，让更多CSO们关注、支持并参与到CSO文化的沉淀积累和广泛传播中来。

CSO说安全：信息安全建设思考

张永刚 

现任中信期货有限公司信息技术中心安全管理员。负责公司网络和信息系统的安全规划和建设；组织网络安全管理体系项目建设，执行落实组织安全策略；公司网络安全日常运营管理工作。持有CISA、CISP-CISO、CISP-PTE 、CISP-IRE、ISO/IEC20000主任审核员等证书。

第1章 概述

随着《网络安全法》及其它信息安全相关法规的陆续颁布实施，网络安全对国民生活的影响越来越凸显，小到公民信息泄露、大到删库跑路，越来越多的网络安全事件发生在我们身边。

在严监管大环境下，企业网络安全做的好不好、到不到位，有没有健全的安全组织、制度和应急流程。可以通过是否能抵御网络攻击、快速识别异常、检出渗透侵入，并做快速响应处置、高效遏制风险 、迅速恢复业务来检验。面对威胁的系统健壮性成为衡量组织安全建设水平和能力的体现。

2020年下半年国家发布了《数据安全法》（草案）和《个人信息保护法》（草案）征求意见稿，网络安全的法治化和体系化治理的大方向已确立。安全从业者如何做好企业信息安全规划，保障业务和信息技术目标的实现是现实而具体的挑战，安全从业者应考虑如何制订适合企业战略定位和未来信息发展的中长期安全规划。

第2章 安全管理框架介绍

信息安全管理是安全管理者为达成信息安全目标（保护信息资产的机密性、完整性和可用性，实现业务连续性要求）而进行的计划、组织、指挥、协调和控制的一系列活动。不同的企业有不同的安全目标，即使同一家企业在不同的阶段发展目标也不同。企业可以通过威胁建模、数据分类和风险评估等方法确认安全目标。

信息安全管理通常基于风险驱动。一般认为，风险管理是信息安全管理体系的核心和本质。在信息安全管理的过程中，我们通常使用戴明环（PDCA），将安全分为规划和建立（Plan）、实施和运行（Do）、监视和评审（Check）、保持和改进（Action）四个阶段进行闭环管理，建立能实现持续优化、基于业务反馈的模型。

在信息安全管理中，借鉴SW-CMMI软件能力成熟度模型。基于企业网络安全现状差距评估，构建S-CMMI安全能力成熟度模型，定位企业安全所处的阶段，明确本阶段和下一阶段的工作目标。

S-CMMI安全能力成熟度模型可以分为五级对应企业不同的安全阶段。

初始级：在这个阶段，常常可以发现在无组织的工作模式中有很多努力工作的人。但没有定义安全工作的流程和操作、随意性强。技术上的特征为部署了一些较为基础的安全设备和管控手段，单点防御有投入，可稍有困难的技术问题解决依赖厂商。

可重复：具有安全的理念并付诸行动，出现了基本的生命周期管理过程，开始有组织地进行安全活动，而且类似的活动具有可重复的结果。

已定义：具有自动化监测、响应、处理，对企业自身的安全现状和能力具有全局掌控力，具有入侵感知能力，安全人员能进行一定级别的攻防对抗。安全人员依照一系列正式的、文档化的流程和手册开展安全活动。如建立和执行ISO/IEC27001信息安全管理体系的企业。

可管理：安全活动过程的管理进入下一个级别。可以定量衡量安全防御效果，可以获得对安全过程的了解。对业务安全有比较深的理解，在安全技术上采用白名单的安全防护原则，具有真正意义的智能安全检测，能够通过异常行为模式进行安全风险识别。

优化级：在优化的组织中，会采用一个持续改进的过程。安全活动的开始过程已经确立，可以确保为了改善未来的结果将一个阶段的反馈返回给前一个阶段。安全组织可以进行高级别的对抗，溯源和反制能力。

自适应安全架构（Adaptive Security Architecture，简称ASA）是由Gartner在2014年提出的安全体系，以持续监控和分析为核心，将预测、防御、检测、响应四个方面结合起来提供更好的安全服务，实现持续的自我进化，自我调整来适应新型、不断变化的攻击类型。

2017年自适应模型的完善版本CARTA（持续自适应风险和信任评估）强调了风险和信任的辩证关系，其核心概念：“访问，就是从信任的角度去进行访问控制；保护，就是从风险的角度去进行防御”，我们可以在系统的计划、建设和运行中，反复采用关于信任和风险的概念，同时通过纵深分析(Analytics in-depth)和用户实体行为分析（UEBA）动态调整系统访问控制策略，给安全运营以充分的弹性，并随着系统外部环境变化进化。

通过上面的安全方法论和常用安全框架的了解，我们可以深入具体企业进行需求分析，确立信息安全管理目标。

第3章 需求分析和安全目标

企业在不同的发展阶段有不同的业务战略和信息技术规划，安全需求并不是自然产生，要通过设计与公司各级战略保持一致，从安全的角度解析业务和信息战略，需要的安全能力来保障战略目标的最终实现。为支持和保障公司业务战略目标和信息战略目标实现所需要的安全能力就是我们的安全规划目标，简单而言我们的目标是满足利益相关方的安全需求。

3.1.1 安全形势分析

1）法律和法规

企业有义务保障信息系统的安全稳定运行，保护用户的个人信息安全。提供信息服务的重要业务系统应按照《网络安全等级保护基本要求》进行定级、备案、测评和整改。

国家正在拟议中的数据安全法（草案）、个人信息保护法（草案）等国与信息安全的相关法规，还有国家部委、行业监管发布的安全标准和规范文件等。

2）新技术

如用户从PC端切换到移动端，用户对移动端交易和业务支撑系统的可用性、可靠性要求高。专业投资者使用高频量化技术、API接口开发技术等。这些不同于传统的应用技术对网络安全形成新的压力，网络安全人员需要掌握和具有移动端安全、API接口安全及业务安全的监测检查、异常行为的监测和控制技术。

3.1.2 金融行业分析

金融行业是强监管行业，如发生网络和信息安全事件有重要的外部性影响，关乎企业的声誉和发展。金融本身的行业特性就会引起黑客组织的兴趣，一些灰产会有组织系统的收集客户信息、非法盗用使用数据有完整的分工和黑色产业链。

公司和子公司的业务需要和业务伙伴深度合作，不仅是商业性的，还涉及业务系统的互联互通。其业务涉及基金代销、私募渠道、财富管理、现货仓储、股票期权和场外期权。自研系统、商用系统及客户开发系统的上线和使用，如何保障这些周边系统的安全和接入核心交易系统的安全对公司业务平台的稳健运营、长效发展有着重要意义和价值。

3.1.3 集团和股东要求

根据监管要求完成网络安全等级保护工作，发布信息技术服务目录，建立覆盖采购管理、项目管理、应用开发、测试投产、生产运维、信息安全、数据管理、架构管理、信息管理等在内的信息技术管理体系，在集团统一标准规范框架下制定并发布信息安全、技术架构、数据管理、应用开发等在内的企业级技术标准规范，并在应用过程中持续更新。

3.1.4 现状和差距分析

通过上面的安全形势分析、金融监管、集团和股东要求等外部环境，结合企业的安全现状，从安全管理、安全防护、安全运营、安全资源、安全度量等五个维度进行差距分析。

① 安全管理

银行在信息科技部门设立信息安全处。证券在信息技术中心设立安全团队进行网络安全的统一和集中管理，信息安全管理团队一般在7人左右。

目前企业现状通常是安全技术人员不足。人数不足带来的主要问题是安全管控覆盖不到位，包括安全管理制度缺少人员进行更新维护，安全要求落实情况的检查和复核无人员推行。有时安全管理的要求和理解不准确，执行上出现偏差。如安全管理要求对高危漏洞的修复无明确时间要求，没有对安全发现进行后继跟踪和记录等。

② 安全防护

非体系、非标准和非规范的安全防护信息系统的日常工作基本是在各种应急和问题处理，安全人员大都在做紧急而不“重要”的事。处理和解决问题的方法大多是头痛医头、脚头医脚，每天疲于奔命。一个有效的安全防护系统从技术上要覆盖网络层、系统层、应用层和数据层。当我们在信息系统的设计、规划和建设中没有做到与安全同步，适时进行安全评估，系统建设中也没有执行安全要求。如网络架构的设计未考虑网络分区，测试区、业务区、办公区、开发区等，各区之间没有配置不同的细粒度安全策略等，一旦发生风险很难控制和隔离。

③ 安全运营

安全运营和系统运维都是以保证系统可用性为基本出发点。运维的视角更多是从系统本身可用性出发；安全运营则是在日常运营活动中考虑安全事件响应、安全策略验证。在安全运营中，如数据泄漏不会直接影响可用性，但其会对组织声誉产生负面影响。系统管理员是否在授权范围内使用、所使用操作是否适合当时的业务场景等。安全能否对不合规的行为进行及时发现、实时阻断，避免越权操作和安装和运行恶意程序，绕过堡垒机进行操作等。所以说安全运营是信息系统安全维度的全生命周期管理，不仅包括信息系统的日常安全事件管理、应急响应等。也应包括上线前的系统安全测试、离线后数据和存储介质备份的处理。

④ 安全资源

安全资源指的是人员、流程和资源。信息和网络安全是个庞杂的系统，不仅有各种信息安全管理方法论，还有各类安全技术人员。业内最佳安全实践建议安全团队由四个方面人员组成：

安全管理人员：安全管理体系和安全流程建设、管理和监督安全策略的执行。

攻防人员：具有渗透测试、安全应急和一定的安全战术对抗能力、能发现和处理漏洞。

安全运营人员：日常安全运维，信息安全事件的跟踪和解决、漏洞扫描、补丁管理、威胁情报分析和进行安全加固。

安全开发：开发安全工具、开源软件的部署使用、网络安全前沿技术的研究。

安全人员具有业务沟通能力，即能用技术语言，也能用业务语言和不同人员交流。信息安全人员的知识更新学习，通过培训、交流等活动不断提高本身的知识结构和掌握新技术。安全人员要多走出去交流和学习，也可以请进金融行业安全建设有经验的厂商服务商方面的专家就某一安全领域做专题报告。安全团队具有不同专业细分能力的人员可以有效保证安全业务能力，对安全攻击可以做到来之能战，战之能胜。

人员是安全管理工作的变量，那么流程是保障。一套可靠的流程能给予信息系统安全性的符合安全的基线输出和可靠保障。流程将人和事通过系统联系起来，起到对所涉工作的指引、监督和跟踪的作用。目前企业在安全管理工作缺乏细化流程的指导和保障，需要健全、完善该类流程，及时将已制订的流程进行发布和有效宣贯。

资源，尤其是安全资源是开展安全工作的基础。资源即包括有形的实物资产，如安全扫描器、IPS、IDS等；也包括无形的安全工具，如NMAP、NESSUS、BurpSuite等。当安全需要时，有领导的支持和充足的资金和物质保障。

⑤ 安全度量

安全度量大多考虑的是技术维度。如安全运营成效、安全满意度和安全价值。做为一个安全还在初期建设和积累的企业，还是需要不断从实践中归纳、总结和提炼出对信息系统安全建设有价值的信息和内容。充分调研和结合实际将可量化的安全指标进行量化管理。

信息安全工作的目标来自于公司的业务战略规划和IT战略规划，并与这两者保持一致，我们的安全目标围绕保障公司的业务安全，并以最终促进和达成公司战略目标来进行规划，网络和信息安全规划是实现和保证公司业务战略规划和IT战略规划的重要组成部分。

3.2.1 信息安全总体目标

通过综合运用各类安全解决方案，提升和加强安全运营水平，发现并预防各类安全风险，能够防范和对抗脚本小子和非黑客高手的攻击；内部系统能有效防止非专业人员有意或无意的数据泄露；能发现对内部重要服务器的普通内部黑客的探测和越权；发生安全事件时能第一时间控制和隔离风险；对全体员工进行安全意识和合规教育，网络安全违规、违纪现象持续降低；安全渗测高危漏洞和审计风险发现持续降低。

3.2.2 具体目标

为了保障总体目标的实现，将其细化为更为具体可执行量化管理目标。

（1） 漏洞及时修复率95%。如高危漏洞24小时修复，中危漏洞7天修复，一般漏洞28天修复。

（2）安全管控措施失效能在24小时内发现。

（3）受安全风险影响系统能在30分钟内完成物理或逻辑隔离。

（4）Windows系统防病毒软件安装率100%，正常工作率98%。

（5）信息系统安全事件影响系统可用性的占比低于10%，并满足ISO20000 SLA服务级别协议指标要求。

（6）上线系统100%进行安全基线检查，检查项整改后合格率不低于96%。

（7）重大系统变更100%进行变更前安全检查，变更后跟踪检查审核。

（8）非我公司组织的系统漏洞发现不超过2起。

（9）通过IS027001安全体系认证，作为信息安全管理的落地措施。

3.2.3 具体目标分解思路

实现目标就是解决问题的过程。为达成预定的各项安全目标，首先要进行差距评估，我们的问题即现状是什么，和目标的差距有多大，为达到预定的目标我们需要如何改进，改进的途径和路线，以及阶段目标。达到目标是需要从管理（制度和流程）、技术（采用新技术、改进原有技术或系统）、还是人员（知识和能力）入手，还是要综合统筹影响目标达成的各方面因素。简单的说实现目标就是根据设定的任务发现和提出问题、分析问题，最后解决问题的过程。

解决问题的方法可参考麦卡锡解决问题七步骤。

第4章 重点工作和三年重点项目

可以根据安全项目的投资收益比（ROI）和安全问题的迫切性，由近及远的推动我们的重点项目。

4.2.1 终端安全

办公网电脑的威胁主要是感染病毒、挖矿木马、勒索软件和偷渡式软件的下载和安装。目前办公电脑要求安装亚信防毒墙网络版客户端和配置WSUS服务，对一般病毒可实现有效防御。因用户终端未加入域，目前终端接入管理手段比较缺乏。拥有管理权限的用户可进行任意软件的安装，被C&C后的远控恶意操控和横向移动还是无法感知发现。为解决终端用户权限管理问题，需要回收管理权限及设置和使用一致的安全策略控制软件的安装，对终端安全管控的比较好的实践是建设公司Windows AD域。基于域对终端及用户的接入和访问进行认证授权，通过组策略控制软件安装等操作系统权限。

C&C攻击原理比较复杂，用户终端通过攻击者预设的域名下载恶意软件是其中关键的一环，因此可通过威胁情报将造成恶意域名无法解析，阻断从攻击者站点下载木马软件，就可以对C&C攻击进行阻断。

终端设备风险还有USB设备随意接入可能感染蠕虫病毒、BYOD私人设备接入公司网络带来的未知威胁，个人私搭Wifi热点等，可以通过网络准入技术控制网络和设备的安全审核后接入。

4.2.2 网络和通讯安全

互联网上不应发布非必要的端口，减少互联网的攻击面。在网络边界部署异构防火墙，增加防御纵深。对重要业务区域部署蜜罐系统，对入网的恶意探测和访问设置陷阱，通过对东西向网络流量的监控及时发现和阻断威胁。

部署日志管理系统对网络异动进行警告和通知，当发生网络和信息安全事件时结合日志系统信息溯源。客户托管区互联网访问通过将流量镜像到威胁侦测系统（TDS）确认接入的源IP地址是否是威胁（挂马或信息收集、扫描服务器），保证托管区安全。

为托管用户访问其服务器和信息系统服务商应急解决信息系统故障公司提供了VPN或VPN+堡垒机的解决方案，该方案因为是基于单一账号口令的认证访问控制机制，账号和密码容易被暴力破解而渗透进生产区域，内部员工对重要信息系统的访问也大多使用单一的认证鉴权管理，密码被黑客和恶意攻击者拿到后可以轻松实现网络访问，植入木马和窃取数据。建立双因素认证访问，保护授权用户的身份鉴别信息有效。

4.2.3 软件安全

代码安全，公司开发和上线的系统应执行代码编写安全规范，对代码进行安全审计。系统上线前不仅进行功能测试，也应进行安全测试。

在控制软件规范的开发过程中，要从许多安全角度对系统进行分析是很重要的。首先，符合安全要求的访问控制也应是软件开发设计需求之一，从而确保只有授权的用户被准许访问系统，用户无法越权访问。其次，系统必须通过使用正确的加密和数据保护技术来维护关键数据的机密性。再次，系统应当提供审计日志，提供对非法访问和异常行为活动的检测机制。最后，根据系统的重要程度，解决高可用性和容错。

外购软件及核心组件要对供应链的安全进行检查，厂商应配合对其软件产品的安全检查，发现高危等漏洞及时按企业要求对漏洞进行修复。采取措施和手段，如技术合同中的服务条款要求确保软件厂商不隐瞒其产品瑕疵和拒绝服务改进。

通过API把应用（部分）和数据开放给第三方使用，其中涉及数据安全的是分类分级数据的未脱敏和不安全传输和使用；涉及接口的是应能提供身份验证能力，通过技术手段防止API接口的滥用。

4.2.4 数据安全

实施公司数据资产分级及分类保护制度。对数据的采集、录入、生产、加工、存储、传输、转移、销毁等建立数据全生命周期管理流程，制订实施符合法律法规和监管合规要求的制度、管理办法和细则。通过制度和流程保证投资者个人信息和公司经营数据不被滥用、盗用和误用。

4.3 建立信息安全团队

建立信息安全管理团队，主要负责公司信息系统的合规审计、安全运营、监测预警和应急响应。

信息安全管理团队由以下四种人员组成：

管理：安全管理体系和安全流程建设、管理和监督安全策略的执行

攻防：具有渗透测试、溯源和一定的战术对抗能力、零日漏洞

安全运营：日常安全运维，信息安全事件的跟踪和解决、漏洞扫描、补丁管理、威胁情报分析、安全加固

安全开发：开发安全工具、开源软件的部署使用、安全前沿技术的研究

第5章 总结

信息安全涉及很多方面，一些安全风险我们只能降低其影响，无法有效规避和根除。如零日漏洞（0 day）、拒绝服务攻击(DOS)、高级持续性威胁(APT)等。这些安全的已知即使加大资金的投入边际收益也不显著。其它还有一些安全的未知，只有信息安全事件发生后且造成实质性影响才能发觉，如数据泄漏、数据滥用等。

还有一些是内部威胁、有针对性的社工、钓鱼邮件、水坑攻击等。以上都对公司信息安全工作构成了严峻的威胁和挑战。信息安全工作任重道远，我们只有抱着日拱一卒的心态，从基础做起，不放任任何一个风险点，以积极的心态，应对安全的已知和未知。