安全运营管理,3年呕心沥血的经验和教训都在这里了!
网络安全话题已经不是新鲜事儿。伴随着《网络安全法》《数据安全法》《关键信息基础设施保护条例》等法律法规的推出,网络安全产业进一步健康发展。此外,国内网络安全攻防演练以及网络安全建设效果的提升,也不断推动网络安全行业向更高的层次演进。
本篇小编尝试着从马斯洛理论来解读安全运营需求,希望能给各位读着一些启发。
Part.1
网络安全建设的第一层需求“生理需要”是基于法律法规、等保2.0的要求,目的是不被监管单位通报,业内人士也称之为“政策导向”需求。通过对国内的观察,发现安全的需求参差不齐,但大部分地区已经率先完成了基础的网络安全建设,开始向更高层次的安全需求阔步,仍然有一部分地区,才开始计划如何落地和建设法律法规要求下的安全体系。
Part.2
量变引起质变,当网络安全产品堆积到一定程度,部分管理者就开始实现第二层需求“安全需要”。无论是被动还是主动的,至少开始考虑如何将已经购买的安全产品用起来、管理起来,发挥已付资金和安全产品应有的价值,于是开始招聘人才、建立制度、梳理流程。由于有切实的市场需求,网络安全运营的解决方案应运而生。
解决之道
专家+流程+平台?
网络安全运营需要解决的三大核心问题:缺少专业的运营人员、没有标准化的响应处置流程、需要更加智能化的安全产品。
可能有人会觉得,不就是人、流程、产品嘛。缺人就招人,没有流程那就制定流程,用制度驱动人员的工作流程化,安全产品我已经很多了,让专业的人士用起来就行。然而安全运营不是1+1>2这么简单,需要有计划、有思辨、有目的地进行体系化设计。
首先,我们需要思考,企业/单位是哪些部门承载安全工作的。相信大部分会答案是IT部门兼职或者IT部门下的子级部门来负责。但也不乏一部分政府和企业有专职专业的团队专门负责网络安全工作。
大多数IT部门预算投入的理想状态是5%~10%,但实际情况下是3%,甚至更低。来拆解下这3%的预算都包含哪些费用:IT基础设施维护、更换、扩容、IT人员的薪资、企业的信息化&数字化投入。其中信息化&数字化这是企业良性发展的重要战略,也是体现IT负责人最有价值的事情。
安全,一出事就是大事情。如果你做为IT负责人,你会优先投入哪项?想必许多人更容易倾向于产生成绩的信息化&数字化建设。因为数字化这番大事业干成了,获得老板认可,那么升职涨薪走向人生巅峰还会远吗。
虽然不愿承认,但这也直接导致安全的投入很微薄,在仅有的预算下,每年采购一个新的产品就会囊中羞涩了,人员、流程、平台只不是年初时的一个美好愿景罢了。
分析完是不是觉得安全运营这个事情就是扯犊子?生存问题都还没解决,网络安全又这么虚无缥缈。但网络安全发展的滚轮在快速追赶,信息化建设的初级过程已经过去,在政府和企业已经积累大量核心数据,这些数据如果管理不当,会直接对本体造成经济损失或恶劣的社会影响。于是,我们又要把IT负责人拉起来鞭策,“为什么核心数据会泄漏?是怎么被泄漏的?这对我们造成了极其严重的影响。”IT负责人还没享受好成功的喜悦,又开始战战兢兢重新预算,心中的天平开始倾斜网络安全建设。
于是乎,马斯洛第二层需求“安全需要”可以往前推进和落实了,在做事之前,先了解方法论。这次我们讨论的,主要来自NIST的IPDRR网络框架和ITU-T创建和运营网络防御中心的框架,以及GB_T-信息安全技术相关指导文件。
NIST-IPDRR这个网络框架是行业内最火的、也是公认的安全运营技术指导框架。框架从识别、防护、监测、响应、恢复全体系的方法论进行了描述。分别讲解了各个模块是做什么的,怎么做的。配套讲解组织决策层级:第一级基础执行、第二级研究狩猎、第三级管理决策。更详细的内容可以直接看原文。
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
NIST-IPDRR网络框架虽然看似非常高端大气上档次,实则是个实际干活的方法论。
NIST-IPDRR技术框架
另一个是国际先进的 ITU-T 创建和运营网络防御中心的框架,但整体更务虚一点。该框架包括三个过程:建造、管理和评估。
它指出,“为确保组织的安全稳固,应建立和适当管理CDC,也应该以一种及时和规则的方式来对之进行评估,并持续予以改进。”
其中心思想大概是,想要做好安全运营中心,我们首先要制定战略管理、由战略引导安全运营的建设,由细小的安全运营工作的持续价值输出印证战略正确性,往复便形成一个正向发展的循环。
ITU-T创建和运营网络防御中心的框架
IT负责人看完,表示似懂非懂,难道哥的未来之路可以晋升到CSO、CIO了?有钱途,撸起袖加油子干。
实践之路
四点构建安全运营
从开始被摩擦到分不清东南西北,一狠心在这个事情硬磕了3年,于是总结出来更这套解决方案与大家分享。
首先,要解决战略问题。如果没有战略高度,网络安全就会面临两大难题:
1、IT自身无法推动落实;
2、网络安全建设的预算不足以应对现代的网络安全形势。
其次,是人员问题。政府和企业需要自己招募培养安全人才还是借助厂商的专家?
建议初期通过与技术提供商合作获取专家人员的支持,先把安全运营价值点呈现出来,正所谓留得青山在不愁没柴烧;过度到后期,配合政府和企业的而发展不同阶段,可以招人&合作共营,通过厂商的专家把团队培养起来,逐步替换为核心业务自主运营配合购买技术提供商所提供的的定期培训,形成一个完善的人才管理体系。
第三,产品和技术。人员问题解决后产品和技术的利用率自然而然就解决掉了,同时向上管理,在安全运营的战略下将之前花的钱体现出价值来,这样就可以获得领导的疯狂点赞。
解决了以上三个问题的基础上,最后一步,流程制度。配合法律法规要求的合规性等与业务部门拉通制定合理、高效的流程制度,也会水到渠成。
网络安全建设任重道远,小米步枪已经发展到海陆空三栖作战,网络安全运营也需要持续不断的优化完善,向着下一个目标出发。
没有网络安全就没有国家安全,作为网络安全从业人员同样有着保家卫国的理想和抱负,也呼吁更多志同道合的“战友”加入其中,共同并肩作战。
2022-12-20
2022-12-19
2022-12-17