企业如何做好信息安全规划-2021新春务虚会要点参考（已脱敏）

=== 会 议 背 景 ===

“解决信息安全建设最后一公里”实现“价值共赢” ——这是金融业企业安全建设实践群（简称“金融实践群”）创办的初衷，也是我们永恒的宗旨。

 

2020年即将过去，各家公司也进入了规划总结的阶段。金融实践群可以为大家做些什么呢？君哥抛出了“新春务虚会”的IDEA，立马得到了响应。

 

2021年1月，随着一张张红色请柬的发出，金融实践群群友纷纷赴约，齐聚鹏城。此次务虚会，主题是“信息安全规划”，为了提供尽可能多的思考维度，提高与会者参与度，我们将会议设计成了两部分：

 

• 第一部分叫做“安全规划诊断”。分成三个环节进行，第一个环节是“首轮汇报”，由三位嘉宾分别汇报所在单位的安全规划，嘉宾分别来自银行、制造业、证券，代表了不同规模、不同成熟度的企业。第二个环节，圆桌讨论，每桌配备一名导师和三位同行，共同针对规划中存在的问题给出建议。第三个环节是“二轮汇报”，由三位嘉宾介绍经过讨论后，拟修改的内容点，然后由评委给出点评。

  
  

• 第二部分叫做“安全规划参考”。制定安全规划，离不开对当前热点技术的考察。过去的一年，云原生、零信任、SOAR、DevSecOps、ATT&CK等技术开始成为各类安全会议的热点话题，哪些会给我们的工作带来实质价值，哪些仅仅是炒作终将一地鸡毛？这需要各位已经“入坑”的群友，给大家现身说法。与此同时，如何利用红蓝对抗做好向上汇报，为安全团队争取更多资源。包括人力、预算、制度等等，也有群友进行了成功的实践，相信会给规划编制带来启发。

 

遗憾的是，受疫情影响，很多群友无法报名。部分群友因临时工作安排，报名后也只能无奈取消。参会人员纷纷表示本次会议受益良多，希望能将会议成果以某种形式进行沉淀，与其他群友分享。

 

考虑到“信息安全规划”的敏感性，经过内部讨论，以及征求参会嘉宾意见，我们决定以《信息安全规划编制要点参考》（以下简称《要点参考》）的形式，对外进行发布。

 

《要点参考》将分四部分：

Part1、规划要点

Part2、常见问题

Part3、优秀案例

Part4、补充建议

=== Part 1、 规 划 要 点 ===

1、明确汇报对象

首先要明确自己的汇报对象，是来自于供给侧还是需求侧。针对不同的对象，报告的内容、重点都会有区别。对于不懂技术和懂技术的领导要有不一样的讲述方式，要接地气，贴合实际和具体的业务。例如在预算缩减了50%的情况下，围绕现有的人要具体做什么事，哪些要严防死守等；

其次报告人是否需要对结果负责？是尽责的角度还是尽职的角度？如果负责，核心的重点工作是什么？需要提前想清楚。

总的来说，针对不同的汇报对象，需要达成的目标、使用的汇报语言、材料的精细度等等，差异巨大。对这些问题的思考结果体现在报告上的写法是不一样的。

 

2、规划的高度

横向上，要与行业情况进行对比。例如规划安全人员规模时，需要了解所在行业IT 技术在公司里占比多少？制造业，可能就1%-2%之间，但如果是高密度行业应该大于3%。

如果IT技术人员占比增长时，安全人员占比却没有增长，就需要反思是哪里出了问题。

同时，在现有比例下我们应该做些什么？

纵向上，要对技术或趋势具备前瞻性，考虑其对IT架构变化带来的影响，要思考如何提前应对这些技术变化带来的安全影响。举个例子，2020年 SolarWinds 事件，从研发人员到供应链，如果我们遇到应该如何处理？

网络安全只做常规的事情是不够的，我们应该做一些超越常规的事情，敢于挑战。 

3、规划的方法论和框架

编写规划的过程中，通常可以按照以下步骤进行展开：

（1）识别客户和对手（威胁）；

（2）了解客户的需求；

（3）定目标、价值、定位；

（4）分析现状、差距、原因；

（5）风险和需求评估。

（6）制定实施计划。

在每一个步骤中都有通用的分析框架可以参考。借助成熟的框架开展系统化梳理，避免遗漏重要内容。针对规划的不同环节，有不同的分析框架。例如定目标时可以使用“网络安全滑动标尺模型”，做风险评估时可以参考ISO27001、NIST RMF，在做攻防对抗能力建设时可以参考ATT&CK，做纵深防御可以参考PPDR。

框架繁多，要清晰的认识到，所有的模型、框架都是我们用来完整呈现自己思路的工具，能够逻辑自洽即可。

 

4、现状和差距分析

这就绕不开信息安全驱动力的问题了。通常情况下，信息安全的驱动力来自于四方面：

• 合规驱动

• 事件驱动

• 业务驱动

• 自我驱动

在做现状分析时，大家往往是基于合规和事件的视角，对业务视角分析不多。例如，某份规划中，从讲述中得知分行似乎有自己独立开发的业务，但材料中对分行业务发展的理解没有展示，那么安全对业务支撑有哪些？需要将这些支撑点予以展开，把工作做实做细。对于分支机构，在合规工作上，要将必做的事情和总部予以区分。

在做差距分析时，很多时候问题的落脚点是人员不足。某大型制造业公司，整个安全团队只有6个人，安全团队人数不但没有随着业务增长，反而在缩减。要去分析一下为什么是这个现状，和公司管理层要有沟通，确定是否是领导层没有认知到问题的严重性。

 

5、实施路径

通过比对发现了差距，识别出一系列信息安全任务，接下就需要设定可行的实施路径。对于路径，可以按年为周期，在内部细分出半年度、季度、月度等。也可以年为单位，进行滚动更新。

这其中要注意，规划的任务项中要添加top级的工作任务，然后配置相应的资源来集中解决，例如成立攻击战队。同时，这个滚动表需要向上抽象出一些任务，便于内部汇报。

 

=== Part 2、 常 见 问 题 ===

1、高度与深度

从本次的诊断会内容来看，对技术或趋势的发展，对IT架构变化带来的影响，还缺乏前瞻性。在规划编制中，要思考如何提前应对这些技术变化带来的安全影响，否则安全工作将会持续处于被动状态。

在具体规划内容中，汇报人给出了部分网络拓扑、安全防护方案，这里举两个存在问题的例子：

• 某单位给出了网络拓扑。首先测试业务出口太重载，可能无法落地；其次边界实现不太清楚，例如公有云接入后你是否会参与管理？如果核心的一些数据上传到云上，那么架构应该如何做？
  
  
• 某单位的分模块规划中有多项问题。比如有一项工作重点是抗DDoS。提到了购买抗D设备，但其实这个效果是递减的，花大力气在抗D上可能不太值得；再比如，在工控上的举措投入产出比可能也不是很理想，防火墙之类起到的作用有限，对主机可能有用，但是服务器不一定，需要一些其它安全防护策略；

 

2、规划内容过于技术化

多位汇报人的材料，一上来就谈到各个具体的模块，进入技术点的陈述。没有事先建立一副全局视图，从多个维度介绍规划的总体目标，尤其是缺乏业务需求的驱动点。

 

3、心态问题

在讲述过程中情绪较为负面。负面情绪可能来自于多个方面，比如：

• 对资源不足的无奈。如公司薪酬不具备竞争力，无法吸引到优秀人才，或者无法留住优秀人才。

  
  

• 认为领导不够重视。如公司在流程制度建设方面不重视，导致某些工作推进困难。

  
  

在汇报过程中一定要采取正面的情绪，否则只能得到更糟糕的结果。

 

4、逻辑性问题

逻辑是汇报的“纲”。纲不举，目不张。如果汇报材料逻辑混乱，很可能遭受领导挑战。

例如某份规划在开篇部分提到了2020年成果，其中重点提到了抗疫工作。但是后文中，抗疫和业务贴合得并不紧，这中间逻辑不连贯。

 

5、集团内部规划对齐

对于集团公司的子公司，报告中缺乏顶层规划，你的安全团队、子公司的安全团队、总部安全团队的整个分工没有交代清楚。

 

6、规划的内容过于理想化

对于某些目标的设定，因为缺乏经验，可能导致难以达成。举个例子：

某公司设定的度量指标中，微软补丁更新率为100%。要知道，即便微软公司自己，补丁更新率也只有90%。更新率100%不是不能达到，要看情况，服务器和应用少可以。有些例如工控补丁是打不上的，这类又应该如何处理，可能需要用别的策略规避；

 

7、规划内容太虚

画了一个大饼，看起来目标很远大，但是怎么达成呢？语焉不详。对于领导、听众来说，具体的安全工作与他们本身工作之间找不到锚点。例如：

• 某单位计划安全团队在2023年要达到B、B-，即二线安全公司的攻防能力水平。但是如何实现，需要多少资源投入，如何度量能力水平等，却没有进行细化。与此同时，前面汇报的内容给人感觉就是，以现有的人力、公司政策，很难实现。

8、忽略团队内部诉求

规划是讲给“上面”的，也是写给“下面”的。在做好向上管理、业务诉求管理的同时，更不要忽略了团队成员的“需求”，毕竟，团队的每一个人与你，才是最终的执行者。

规划的内容明显超出了团队的承受能力，在执行过程中势必会怨声载道。

规划的内容明显低于团队承受能力，会让团队得不到充分锻炼，也可能让成员觉得负责人不思进取，或者业务不精、视野狭隘。

 

=== Part 3、 优 秀 案 例 ===

以上PPT截取自参会嘉宾分享材料，已脱敏

=== Part 4、 补 充 建 议 ===

嘉宾1：

做安全就是讲故事，安全规划/计划就是讲故事的主线，安全团队就是故事的主人公，安全团队日常工作的预防风险、解决问题等等就是故事的情节。

讲故事讲的好要吸引领导，安全规划作为主线要清晰明了，安全团队作为主人公要个性鲜活有血有肉，日常安全工作作为故事情节要节跌宕起伏、可圈可点。所以，安全规划怎么能做好？这个问题实际就是：怎样讲好一个安全团队成长的故事？

 

今天各位嘉宾的规划里都有主线，虽然有的不够清晰；也都有主人公，但多数缺少配角和情节。要有目标，有优先级，有步骤，有顺序。规划主线可以高高飘在天上（务虚可以高大上），但主角和配角要说清（安全和其他团队怎么分工协作），情节要落地（项目目标和过程优先级要靠谱可操作）。

 

规划保守一些，故事的前中后3-4-3阵型，虚虚实实，多数领导都百搭。规划想激进一些用5-4-1阵型，虚的多点，后盘不稳，可能领导听的嗨但执行难落地。规划从来不是务虚，是实打实的，之所以虚，是情节不够细腻不够煽情（后续需要落地的项目讲的不够透，不够让领导明白）。

故事不光要有逻辑，还是要适合听众。大多数高层在自己不懂的领域，是靠严谨的逻辑判断来做决策，这个情况多适用于大公司。对于中小公司来说，领导本身的嗅觉也不一定强，有时也不一定有很强的逻辑判断能力，也会因为信任，用人不疑，尊重专业等等因素，来做决策。所以，有的安全团队故事讲得不漂亮，领导出于对负责人的信任，不疑和尊重，也会给资源。

嘉宾2：

 

做规划还是要层层分解，安全规划是企业战略规划的更下层分解。

给更上层领导汇报规划，就是要让TA了解，你正确理解了他所面临的问题，你的工作内容能帮到TA实现TA的目标，并且要用TA能听得懂的话来讲。

更高层的领导不是什么都懂，那么他们凭什么来把控全局？大多数是靠逻辑，当汇报内容逻辑性经不起挑战的时候，汇报就是失败的。比如分行领导，他关心的首先是分行的业务怎么做好，IT是支撑业务的，安全也是业务的保障，“业务”是他最关心的事情，安全工作如果和业务发展建立强关联，就容易得到支持。

如果规划得不到上级批准，分配不到资源，得不到支持，安全团队在组织内部会寸步难行。但是规划不能搞的太美好，否则交付不了，安全团队的信誉就会被消耗，今后的规划就更难以获得批准。

 

嘉宾3：

 

一场暴雨很难解决问题，认知很难一次对齐。一次规划汇报解决不了问题，要有润物细无声的渗透能力。能落地的规划才能算是好的规划。

另外，我们不能根据现有的人力资源去做规划，不能说有多少人办多少事，这点很认同。只是往往规划喊出去了，人没招到。在人才招聘这一方面有什么好办法吗？

回答：

1、给合适的待遇，或合适的事业平台，或合适的团队（待遇留人，事业留人，感情留人）；

2、校招培养；

3、外包补充；

4、从研发运维挖人；

5、群内群友互帮互助，互通消息，为优秀的人背书，给优秀的人更多机会；

6、跟HR争取，降低招聘门槛。

对活动本身的思考：

活动干货很多，包括很难得听到的挑刺，希望今后能更多参与。不足之处是，在本次规划中，对技术或趋势的前瞻、对于IT架构变化带来的影响，应该要有一些前瞻性的思考，要思考如何提前应对技术变化给安全带来的带来的影响，这点在今天的团队规划内容中略有欠缺。

本《要点参考》由会议出品人郭威和主办方金融业企业安全建设实践群整理。

最后，感谢所有与会嘉宾的支持，我们下次再会：-）