企业安全建设 | 建设规划与需求实践思考

我的安全经验没有最佳实践，因为如果没有实践，我不能确定是最佳方案。

建设为什么需要规划

在企业的信息安全建设方面，真正进行安全规划的企业并不多，大多数仍属于“事件驱动”和“项目驱动”型建设。发生信息安全事件后才进行信息安全的资源投入建设，在建设时又由于项目目标需求明确和事件急迫，仓促上马，而忽略对体系化的针对性考虑和设计。抑或是无战略目标规划，依靠接受外部市场引导，盲目进行项目化建设，单单以信息安全产品、服务进行堆砌，见火扑火，一叶障目缺少全局观。最终导致信息安全无法对业务、风险合规等提供有效支撑，在企业中仅仅成为救火部门，难以体现其价值，而信息安全建设各自独立分散，无法形成体系化。

安全需求评估的挑战

合规压力依然突出

国家出台法律法规越来越完善，企业面对的监管要求越来越严格、处罚力度越来越大。需满足的合规条款较多，致使合规基线清单臃肿；且重复项较多，彼此难以互认。

合规监管要求的条款存在普遍概括性，没有具体的落地实施细则，或者难以统一管理。

法务人员对法律合规理解透彻，却难以将法规条款翻译成技术措施和业务需求；而普通信息安全技术人员面对法律监管风险的识别能力薄弱。

企业合规自查能力较弱，严重依赖外部测评机构或服务供应商公司，而外部机构只认标准条款，不理解业务无法准确判断规避风险措施的有效性，导致合规测评有效性则见仁见智。

综合安全架构能力薄弱

企业不管是自行规划建设还是利用市场成熟的技术方案，现状是某项单一技术突出（比如体现在渗透测试或安全运维），顶层综合架构能力薄弱。体现情况之一便是信息安全人才缺乏，特别是信息安全领域顶层架构级专家人才缺失，或者人力成本太高，很难进入普通企业。但相信随着行业见好，这种情况会慢慢缓解，会出现更多安全技术专家。

安全需求不断增级

业务迭代速度提升，导致安全需求增加，系统不断推陈出新，引入大量新的业务，云计算、隐私计算、多方计算、区块链等新技术应用，又对信息和数据安全提出更高要求。

受攻击面收敛速度放缓

业务系统逐渐复杂，不断拆解组件，自建或利用开源项目增加，对外开放业务接口的生命周期管理不善，都导致受攻击面不断扩大，风险点更难以快速有效收敛。

针对其中人性的判断难以掌控，互联网造就了太多暴富神话，“杀头的事情都有人做”，利欲熏心的黑灰产渗透，难免有些人难以可控。

实践的矛盾认知

盲目开展建设最佳实践

灵魂疑问就是要不要“摸着葫芦画瓢”采用同行业经过实践的安全架构体系？

安全规划建设最理想的借鉴来源是同行业企业，有着共性需求和实践。因此，企业安全体系初创之期，不排除是一种省脑省力的方法。但也不见得可以一以贯之，拿着别家良好实践后而提炼的企业安全架构全景图，照本宣科，反而引入无法掌控的风险，导致建设浮于表面。能以此为模板进行创新，结合内部战略规划设定安全目标，才是最终之道。

管理体系适用所有企业

体系化管理流程必须要根据企业发展进程的实际情况，对高速发展而安全人员缺乏的企业，可能需要相当的人力物力资源。任何新视角的安全体系（数据安全治理、零信任等），引入内部进行应用时，都不应该再新建一套标准，或推翻现有长久以来形成的管理模式，而应该是融合。

一些主流的企业架构，自己也承认同其他企业管理体系框架，包括战略和业务规划、运营管理、项目管理、IT开发等有区别，又具有互操作性。

捆绑市场化解决方案

市场上安全厂商的解决方案都具有其专业性特点，是企业体系化规划建设的有力支撑。如果公司发展情况允许，预算可争取情况下，尽量采用市场成熟产品可快速提升某些方面安全能力。但同时需要避免“鸡蛋放在一个篮子里”，这种形式的一揽子全家桶方案，虽然可以保证设备之间联动性，形成比较全面的防护能力，同时后期也会被捆绑，失去灵活性。需要具备一定的技术方案识别能力，部分厂商有时以自我为中心，建立生态，而给建设方进行填鸭式强灌需求，以寻求“我有药，尔必须有病”的激进推广方式，不排除有些技术人员被疯狂洗脑而荒于思考忽视真实需求。

明眼识别前沿技术和新概念

终端防护、身份鉴别与权限认证这些概念，通过IT建设以及外包服务，对企业已经普及教育多年，有些人可能认为没有新意。不排除服务公司基于某种目的，旧瓶装新酒，整出些稀奇古怪的新概念，其核心技术并未有革新，在企业内除了混淆视听、增加实施难度外，有百害而无一利。因此更需要我们及时跟紧前沿技术发展，不断学习，去其糟粕取其精华，引入对企业市场发展有利的新技术。

巨人之所以成为巨人，因为他脚下有另一个巨人。有时技术至上的大脑里有一个”小”人，告诉你-我要写出更好的工具。保持开放性建设思维，外面的工具和实现都已经非常成熟，经过前任的打磨，并经历过无数的研究、测试，而你自己的工具很大概率是没有经验积累的，除非是不涉及知识产权的工具达人。对于一般的公司，一定不要自研重复造轮子。

人是安全刚需

自动化和工具化程度变高，产品通用性几乎可以解决大部分安全运营工作，解放双手，快速预警响应或致于溯源反制。工具化趋势迅猛并不代表能够代替人类的分析和判断（虽然AI技术发展迅速但不至于像杀毒软件一样普及，更何况行业现状是不排除有的人工智能也仅仅只是“人工+智能”而已）。

企业安全架构层面，工程师的丰富经验、人脑的洞察力和判断力，工具依然无法替代。

运营处置需要依赖平台化系统、工程师的技术分析和经验的结合，其中工程师仍然至关重要。例如安全运营应急响应处置，虽然我们有应急预案，甚至频繁开展应急演练，墨菲定律告诉我们，事故的依然会发生，依然状况千变万化。应急预案难以覆盖全面，快速更新迭代的系统和架构，更新频率让应急预案也难以招架。

信息安全才是一切

为了避免安全团队的事业发展喧宾夺主，安全建设的方案设计需要考虑业务生产的实际需要。毕竟，安全还是为业务发展服务的。但安全注定要提高成本。然而好的安全性架构设计，以及应用适当的技术策略，是能够有效降低这种成本（也希望业务方达成如此共识），体现安全人员的价值。所以，安全要有助于业务，但不是完全为业务让路不作为。

安全特性能否成就更好的业务，比如隐私保护、数据安全治理，本是为用户提供信息安全保护，展示安全保障能力，让用户更具有“安全感”。要想安全建设落地做到适用性，安全人员要充分理解业务和业务所采用的技术，不断学习，与时俱进。这让安全本身这个职业非常具有挑战性，但也让安全人员更具有价值和不可替代性。

信息安全规划Y模型

企业信息安全规划是根据企业自身现状和实际发展需求，对企业战略目标进行分析，由信息化建设框架拆解，着眼于长远战略、全盘考虑、业务方向，形成指导一定时期内企业生存发展的、动态保障自身安全能力的可执行方案。

规划与计划不同，规划更具战略性、全面性，是未来信息安全工作开展的指导路线；而计划侧重短期性，是具体的落地执行。

信息安全规划漏斗Y模型，可以有分解路线、上升目标和自我沉淀三个维度视角。

下行分解路线是拆分战略规划，形成目标路线，制定建设计划的发散过程。拙见以为好的公司的企业发展战略，应该是全员宣贯、意义明确、随时可查。信息安全的总体建设一般来自于信息科技规划，而信息科技规划是跟着企业发展战略前行的，所以对信息安全的规划设计需要从理解企业发展战略开始，同时在信息科技规划范围内，充分分析发展现状和内外部安全需求，形成信息安全总体目标，最后根据目标规划技术路线，形成安全建设计划。

上升目标是以企业发展为灯塔，着眼于具体的安全管理和技术策略，在完成建设计划任务过程中，不断完善单一安全管理层面，形成全面的架构体系，最终目的是支撑实现企业的业务发展目标。

自我沉淀过程，也是追求良好实践形成的过程，是企业在整体安全建设实践中，通过持续摸索、试错和验证（不一定要试错但一定要验证），总结归纳，提炼形成标准化，最终形成自己特色的安全架构体系。

参考资料：《信息安全规划方法及案例》、《全栈网络空间安全》、Freebuf甲方交流社群

精彩推荐

本文始发于微信公众号（FreeBuf）：企业安全建设 | 建设规划与需求实践思考