資源描述:
《基于安全對抗與安全體系框架的西電捷通結(jié)合研究》由會員上傳分享�,免費在線閱讀��,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫����。
1��、基于西電捷通安全對抗與安全體系框架的結(jié)合研究西電捷通網(wǎng)絡(luò)安全可視化研究引言:很難想象,即使在目前發(fā)展正如日中天的網(wǎng)絡(luò)安全行業(yè)����,安全對抗的落地實施也有些舉步維艱的意味�����。我們時常聽到有人抱怨:企業(yè)的安全對抗很難開展�����,總是遇到各種問題���,分工不明�����,權(quán)責(zé)不清,配合變成對抗�����,最后導(dǎo)致虎頭蛇尾�,甚至是執(zhí)行難產(chǎn)���,流于形式��,實際作用甚微。安全對抗似乎成了一個不可觸及的“天花板”��。面對上述各種疑問和困境��,作為一家成長型企業(yè)�,西電捷通亦在思考:到底成長型企業(yè)內(nèi)部整體安全體系工作該怎樣開展��,怎樣做才能使其既有效執(zhí)行�,又事半功倍呢?只有弄明白這個問題����,才能清楚
2���、地根據(jù)公司的實際需求�,讓安全工作為公司提供真正有效的幫助�����。本文將結(jié)合西電捷通的實踐探索和認識,站在安全部門的角度來分享西電捷通公司開展安全對抗工作的一些思路�。讓安全對抗行走在安全體系框架中大量研究表明���,企業(yè)面臨安全風(fēng)險和威脅可以歸納為兩個原因:一方面源于安全意識淡薄�,危機意識不強����;另一方面則是安全技術(shù)能力欠佳�����,安全合規(guī)意識缺失?����?雌饋恚@兩個原因都與企業(yè)日常經(jīng)營管理的各個環(huán)節(jié)密不可分�。的確,安全是一個在治理�、管理��、運營和技術(shù)等環(huán)節(jié)都必須發(fā)力的工作�����,需要兼顧公司內(nèi)外��、大小部門�����、不同級別干系人的立場����,最終引導(dǎo)一致性的目標和行動�。正因如此����,
3、如何形成持續(xù)地���、一致地安全實踐至關(guān)重要����。以西電捷通為例�,我們設(shè)計出一個適合目前公司情況的“企業(yè)安全體系框架”����,嘗試進一步梳理�、分析安全實踐深層次的問題����。圖1企業(yè)安全體系框架參考圖如圖1所見,該安全體系框架分為四個層次,分別是安全管理制度/流程/規(guī)范層��、安全工作渠道層���、安全目標層�、安全干系人層,體系框架層次分明,具備了橫向擴展性,更有利于日后的體系框架調(diào)整與發(fā)展���?���!笆紫踩佟眰兠靼祝庥邪踩w系框架遠遠不夠����,關(guān)鍵是框架落地時的“控制要求”。在安全實踐中�,“控制要求”能夠有機地運轉(zhuǎn)才是有效推動工作的關(guān)鍵。“控制要求”是安全體系框架落地的
4�����、關(guān)鍵舉措毋庸置疑的是,考慮安全勢必會導(dǎo)致企業(yè)整體成本增加,如何平衡各種因素���,以及各個利益主體。這里牽涉到“局部效率?VS整體效果“的問題�。具體來說�����,在企業(yè)內(nèi)部��,即使一件再小的安全事情都會“一石激起千層浪”���,牽涉到多個環(huán)節(jié)��,各個層面���。倘若每個環(huán)節(jié)都很重視安全并可以及時地發(fā)現(xiàn)安全問題,這樣的做法�,盡管會導(dǎo)致局部效率低�����,但是穿串在一起�,整體上卻能極大地降低風(fēng)險,減少修復(fù)成本��。為此���,西電捷通將四個相互獨立的層次進行貫穿���,相互牽動����,形成一個上通下達的有效的整體��。1���、用最務(wù)實的方式解決認知偏差,打造影響力用最務(wù)實的方式解決認知偏差��,打造影響力��。簡
5����、而言之,即不要試圖通過制定大而全的安全管理制度解決所有問題�。安全管理體系的價值實現(xiàn),不是因為無關(guān)緊要��,而是在于開銷太大����。對于絕大多數(shù)成長型企業(yè)來說,首先最應(yīng)該關(guān)注的是安全管理體系所能產(chǎn)生的直接價值��,安全人員不能完全依賴于“制度”行使“管理”職能,應(yīng)該用最務(wù)實的方式解決認知偏差�����,打造影響力�����,讓企業(yè)內(nèi)部大小部門���、不同級別干系人都沿著既定的安全管理思維行動�,這才是王道���。圖2安全體系框架之安全管理制度/流程/規(guī)范思維導(dǎo)圖知易行難?��,F(xiàn)實中,戰(zhàn)略制度很容易規(guī)劃出來關(guān)鍵還是戰(zhàn)略執(zhí)行�����。國內(nèi)的企業(yè)的短板通常是欠缺保障制度執(zhí)行的治理機制�����,這涉及到公司治理
6、層面的問題��,同時與各個領(lǐng)域的行業(yè)特點有關(guān)����,這里不做過多討論。2����、以“安全工作開展的目標“為中心以“安全工作開展的目標“為中心,西電捷通希望達成的安全工作目標很容易理解��。圖3安全體系框架之工作目標思維導(dǎo)圖(1)安全工作目標一:提高安全意識很多業(yè)內(nèi)人士把“人”戲稱為TCP/IP協(xié)議的“第八層”�����,大意是安全工程師必須受到良好的安全意識教育��,才能降低系統(tǒng)���、產(chǎn)品、企業(yè)的潛在攻擊面�����,對于網(wǎng)絡(luò)安全企業(yè)尤其如此。有一句老生常談的話就是����,任何安全問題的本質(zhì)最終都被歸責(zé)于人,人一旦喪失安全意識���,不管是多么優(yōu)秀的安全制度�,也會因為人的懈怠變得形同虛設(shè)�。所以
7、�,安全工作的首要目標,即通過系統(tǒng)成熟的安全實踐持續(xù)改變企業(yè)人員的積極安全意識和行為�。(2)安全工作目標二:輸出安全能力透過以往發(fā)生的安全事件,我們發(fā)現(xiàn)當企業(yè)人員知道需要做(needtodo)���,但是不知道應(yīng)該怎么做(howtodo)時����,安全隱患猶如一顆定時炸彈��,時刻存在被引爆的風(fēng)險�。通過增加安全實操訓(xùn)練進而加強安全能力,讓員工自己面對和解決安全問題,都是可行的選擇�����,這也是西電捷通希望達到的第二個目標�����。(3)安全工作目標三:強化安全性審計“審計”顧名思義實施獨立性的監(jiān)督�����。強化安全審計����,意味著強化產(chǎn)品安全性測試,驅(qū)動并建立有效的反饋渠道��,使
8�����、產(chǎn)品安全對抗真正具有持續(xù)改進和閉環(huán)的運轉(zhuǎn)機制����。同時����,也避免開發(fā)人員既作“運動員”又作“裁判員”的情況����,真正引導(dǎo)安全團隊在產(chǎn)品安全審計方面發(fā)揮作用�����。3���、安全對抗工作開展的三個重點作好安全工作不能單純依靠安全部門����,而是需要在
