這幾年國內網絡安全概念很熱,國家層面在談,政府在談,各種公司在談,各行各業的從業人員也在談,仿佛網絡安全一下子從圈子內專業人員的小眾化專業詞匯,變成眾人熱捧的時尚名詞,從業人員無論是薪水還是專業地位得到了前所未有的提高與重視。無論從業務保障視角還是專業價值體現甚至到國家安全層次,網絡安全 理應上升到一定的高度,得到肯定和重視。
說了這么多網絡安全,那么網絡安全是什么呢?先從這個詞語本身來看,大概在90年代末期國內出現了與計算機安全有關的內容與要求,成為網絡安全,如果對應成英文會更容易理解Network Security,沒錯,就是網絡安全,以網絡為核心的安全。當時的環境,信息化較早的公司開始建設企業網絡,國家也在開始部署X金工程,金卡、金關、金盾等等,核心內容就是兩個業務系統信息化與跨地域網絡聯通,這種大環境下,安全的重點就不難理解為網絡層面的安全,保護網絡的邊界,確保聯網后不出現重大安全事件。過了幾年,大概到2005、2006年,開始采用信息安全這個詞語,對應的英文變為Information Security,更加重視保護信息,也就是內容與數據,這時的信息安全所指的安全涵蓋范圍更廣泛,內容更多樣,包括了傳統的網絡安全內容,也包括了信息、數據等安全內容。近幾年安全的專業詞語又發生了變化,成為網絡安全,但這個網絡安全不同于最初的網絡安全,從英文上看,已經演化為Cyber Security,可以理解為網絡空間的安全,這個范圍就更大更廣泛了,甚至不僅僅是商業視角的范疇了,具體幾個詞語的意義與演化可以在網上找找,有很清晰的解釋。
不管稱為網絡安全也好,信息安全也好,詞語在更新,內容在演化,涵蓋的領域也在不斷完善與豐富,這就要求我們從業人員深刻領會與理解,并運用到實際專業工作中。不過從實踐角度來看,筆者從1998年開始專業從事網絡安全工作到現在也有17年的時間,國內無論是甲方安全管理還是乙方的安全服務與咨詢,大部分的重點還是放在了傳統IT安全的領域,比較側重在技術與基礎安全,這些方面不是不重要,只是可能忽略與遺漏企業安全中其他領域,從而降低IT安全本身的價 值。從一個公司商業利益的角度,所有的投資最終要轉化為對商業利益有所貢獻的活動,這也是公司所有者、經營者、高級管理層更加重視與更容易理解的內容。在 IT安全活動與商業利益活動中,往往缺乏了一些直接的關聯關系或者中間層次的遞進,出現企業中高層非常重視安全但又很難理解安全價值的情況。
筆者結合自己的專業經驗與遇到的各種企業安全情況,總結了一些內容,供大家參考,如能對各位工作有所幫助,也算是一點小貢獻吧。
首先,企業安全不是一個二維平面的狀態,簡單說,企業安全不是一般物理上看到的地域、區域、部門、分支機構連接的平面圖,在二維平面上往往更加關注在網絡 安全、邊界安全、訪問控制等安全設備的堆疊與各種解決方案的部署,而企業安全應該是一個三維、四維的立體時空狀態,今天我們先不討論“四維時空企業安全理論”,這個我會單獨文章分享與探討。從三維角度,企業安全包括安全縱深維度、安全情景維度與安全策略維度。
如下圖所示:
企業安全三維圖
企業安全縱深維度包括:業務安全、應用安全、數據安全、技術安全。
我們現在大部分的安全工作側重在技術安全與一部分數據安全,對應用安全與業務安全涉及較少,或者這部分工作由企業內其他團隊負責,可能出現縱深維度的脫節,當然這方面的全棧型人才本來就極少,能把4個層次貫通起來的,同時視角又夠一定層次的就更少了。
不過具體4個層次的內容,在這里就不解釋,大部分應該都能理解,后續也會寫一些專題,討論各個層次的問題。
安全情景維度包括:
行業特性,每個行業自身的安全要求具有較大差異。
業務特性,由于業務特性的要求,每個企業即使行業類似,對安全的要求與重點領域同樣具有較大差異。
體系架構,體系架構的要求,對安全影響更加直接,如應用云計算環境與傳統計算模式對安全要求的巨大差異。
合規要求,合規驅動的安全,無論是監管還是資本市場亦或是特殊行業要求,如銀監會的指引、Sox與C-Sox、PCIDSS、ADSS等,數據保護、隱私管理等等。
這些內容會貫穿整個企業安全縱深維度,也就是不僅僅考慮業務安全,應用安全、數據安全與技術安全同樣面臨各個安全情景維度的引導與控制。
企業安全策略維度包括:
戰略規劃,企業的安全戰略與總體要求,指引整個企業的安全活動
管理體系,管理要求
技術體系,技術要求
解決方案,落地的實務方案與執行
這個維度的內容,從企業的安全戰略出發,正式或者非正式的安全戰略指引企業安全的方向,成為企業安全與公司高層次策略與管理者的接口,通過管理體系與技術 體系的企業安全管控與建設要求,形成具體化的流程、活動、行為準則,承接戰略目標的落地與具體解決方案的價值保障,最終所有內容通過解決方案得到落地執行。
京公網安備 11010502049343號