技术干货 | 互联网企业安全全局视角（上）

本公众号发布的文章均转载自互联网或经作者投稿授权的原创，文末已注明出处，其内容和图片版权归原网站或作者本人所有，并不代表安世加的观点，若有无意侵权或转载不当之处请联系我们处理，谢谢合作！

欢迎各位添加微信号：asj-jacky

加入安世加 交流群 和大佬们一起交流安全技术

互联网企业安全建设从规划到落地系列文章（已完成部分）：

一、写在前面

二、互联网企业面临安全挑战

三、如何理解安全与业务的关系

---

互联网企业安全建设绝非单纯的攻防对抗、漏洞挖掘、应急响应这些技术性的安全工作，也非仅仅是安全合规、安全管理体系的建设这些看起来比较务虚的工作。互联网企业安全领域包含的内容非常多，而且杂。初入企业安全建设领域，一般很难理解和看清互联网企业安全的全貌，也不太清楚应该从何处切入企业安全建设。这种情况下很容易陷入微观对抗和救火工作无法自拔。

笔者刚开始进行互联网企业做安全时，就曾有过这样的困惑，也走过一些弯路。后来在互联网企业安全道路上一直摸爬滾打的探索、思考和不断总结，逐渐总结出了互联网企业安全都包含哪些方面和内容。这样就可以站在企业安全的全局视角来理解和规划整体的安全建设和运营工作。会有一种豁然开朗的感觉。

上面刚说过，互联网企业安全包含的内容广而杂，为了对互联网企业安全包含的内容有一个整体的认知和能够清晰、完整、合理、有逻辑的表达出互联网企业安全都需要做哪些安全工作，我总结了一张全局视角下的企业安全建设大图，下面会基于这张大图对互联网企业安全建设进行整体和细粒度的介绍。

图1

如上图所示，从宏观视角来看，互联网企业安全可以分为顶层安全设计、安全建设框架、持续安全运营、专业安全团队四大部分。这四部分相辅相成，缺一不可。

顶层安全设计处于整个企业安全建设最上层，主要包含安全战略规划、安全组织架构、持续安全投入、安全效果评价四个方面。是企业安全建设的“指明灯”，为企业的安全建设提供方向指引和安全规划的落地路径，以及持续和必要的资源投入。

安全建设框架从统一安全管理和安全能力建设与提升两大方面总结出了互联网企业安全建设都包含和需要做哪些安全工作，以及这些安全工作之间的区别和联系。

持续安全运营从保持安全体系的有效性和持续进化维度提炼出了需要做的安全工作有哪些。

专业安全团队位于互联网企业安全建设最下层，是实现以上这些的前提和基础。

如果只有顶层安全设计，没有一支专业安全团队能够支撑安全规划的落地，再好的安全规划也都只是空中楼阁；反之也是一样，如果有一支专业的安全团队，但是顶层安全设计不好，没有合理、明确的安全规划和安全目标，再努力也没用，最终难逃沦为救火队员角色的命运，“一将无能，累死三军”就是这个道理；如果安全团队对于企业安全建设和面临的安全风险没有一个比较整体和清晰的认知，就会导致企业的安全建设存在盲区，并且很容易陷入微观对抗无法自拔；如果以上条件（有规划、有人、有体系、有资源）都具备了，是不是就意味着安全建设完成，可以高枕无忧了呢？非也，安全圈有句老话，叫作“安全是一个整体，也是一个相对和动态的过程”，现在安全，不代表永远安全。因为一切都在变化当中。持续、有效的安全运营好比是身体的新陈代谢，可以保持企业安全体系的有效性和实现持续进化。

顶层安全设计

1、安全战略规划

公司级统一、明确的安全规划（长、中、短期），至少要包含面临安全风险、安全现状、差距分析、不同阶段安全目标、安全工作落地规划（重点安全工作、需要安全投入、落地路径、里程碑）等

2、安全组织架构

设立安全团队、找专业的安全人员、放到合适的位置、充分发挥专业人员的优势和调动安全人员积极性

3、持续安全投入

安全建设与持续运营是一个持续的过程，因此也需要有持续的安全投入和支持（人、财、物等）

4、安全效果评价

建立起一套科学、合理的安全效果评价或者叫安全度量体系（名字叫啥不重要）来衡量企业安全建设的效果

安全建设框架

一、统一安全管理

包含安全管理体系、安全合规与认证、安全审计、人员安全、安全教育五大部分

1、安全管理体系

覆盖范围（主要做什么？）：

基于公司整体安全规划和具体业务场景并结合安全合规要求，以安全管理的全局视角构建一套公司级、统一的安全管理体系并持续完善和优化

主流安全威胁：

1、无法从安全管理维度有效支撑安全工作落地，导致安全工作的开展”无法可依“

重点安全工作：

1、公司级、统一的安全管理体系建设+持续完善

安全效果评价：

1、体系完整度

2、体系覆盖率

3、体系合理性

2、安全合规与认证

覆盖范围（主要做什么？）：

1、因行业属性或业务场景需要通过的安全合规要求/标准/规范等

2、出于为提升企业安全竞争力或保持领先性需通过的信息安全相关认证

主流安全威胁：

1、因为不符合相关安全合规要求被监管处罚

2、因不具备相关安全认证，无法在某些领域或业务场景下开展业务

重点安全工作：

1、各种安全合规标准/要求/规范的研究与解读

2、按要求完成必要的安全合规工作

3、与各监管机构建立并保持良好、有效的协作

4、将安全合规要求融入公司统一的安全管理体系

安全效果评价：

1、因安全合规被监管处罚次数

2、企业安全合规成本（金钱、时间、其他资源）

3、安全认证含金量

3、安全审计

覆盖范围（主要做什么？）：

通过建立和维护持续的安全审计机制覆盖内、外部安全审计，从第三方视角主动发现潜在安全风险和安全工作落地效果并推动改进

主流安全威胁：

1、不满足外部审计机构要求，无法顺利通过外部安全审计

重点安全工作：

1、内部安全审计

• 例行安全审计（实时+离线）
• 定期安全审计
• 专项安全审计

2、外部安全审计

• 外部IT/财务审计中的安全部分

安全效果评价：

1、安全风险发现率

2、外部安全审计通过率

3、外部安全审计通过时长

4、人员安全

覆盖范围（主要做什么？）：

建立可覆盖正式员工、外包员工（BPO、RPO）、访客人员的人员安全管理策略和具体管控要求并落地，有效发现和控制人员安全风险

主流安全威胁：

1、人员安全意识不足

2、人员安全技能不足

3、人员恶意安全违规

重点安全工作：

1、正式员工安全管理+安全风险闭环处置

2、外包员工安全管理+安全风险闭环处置

3、访客员工安全管理+安全风险闭环处置

安全效果评价：

1、已知安全事件中人员安全违规数量占比

2、人员安全风险主动发现率

3、人员安全风险平均处置（从发现到处置完成）时长

5、安全教育

覆盖范围（主要做什么？）：

通过体系化的安全教育不断提升人员的安全意识、技能，并对人员恶意违规形成威慑，将安全融入企业文化

主流安全威胁：

1、人员安全意识不足

2、人员安全技能不足

3、人员恶意安全违规

重点安全工作：

1、安全意识/技能培训+考核+复盘+改进

2、各种形式的安全宣导、分享、通报

3、定期的人员安全意识/技能的实战演练

安全效果评价：

1、已知安全事件中人员安全违规数量占比

二、安全能力建设与提升

如果只是在企业内部看自身的安全建设时，一般情况下不需要区分通用安全和特色安全。但如果我们跳出一个企业的安全建设，以一个更高维度视角来看企业安全建设这件事情时，可以把每个企业都面临的有共性的安全工作统一到通用安全，而每个企业因为自身行业属性不同，面临的安全挑战和安全建设需求也必然会有所区别。即使是同一行业的企业，也会有一些自身独特的业务场景和安全风险。我们可以把不同行业属性和业务场景下的个性化安全归纳至特色安全部分。

本文始发于微信公众号（安世加）：技术干货 | 互联网企业安全全局视角（上）