CSO | 叶翔:如何做好大企业的安全管理
作者介绍
叶翔,华数数字电视传媒集团安全管理部总经理,国际信息系统审计师(CISA),高级工程师,曾就职于中国联通、中国电信及中国建设银行总部。目前负责华数集团和下属子公司浙江华数、华数传媒、中广有线、地铁电视、华数云的网络安全、播出安全和安全生产工作。
华数集团是广电行业的龙头企业,科技实力和网络安全水平均处于行业领导地位。集团下属1家上市公司,70多家广电网络公司,拥有近3000万数字电视用户,全国1亿以上的互联网电视用户和5600万手机电视用户。
作为信息安全媒体,安在有幸对叶翔进行采访,看大企业是如何做好安全管理的。
叶翔:我是1998年考入浙江大学信息电子工程学系(信电系),2002(大学毕业后)年入职中国联通总部,专门从事VoIP、ATM网络运维。2004年时被调往安徽联通、黄山联通进行“纵向交流”,用我们当时的话讲是“下基层锻炼”。
2008年,因为运营商重组进入中国电信,并负责移动互联网的运维和网络安全,这时已经开始接触到安全方面的工作。2012年年初跳槽到中国建设银行总部,开始了真正意义上的网络安全职业生涯。2016年跳槽到华数集团,负责华数集团和下属子公司的网络安全、播出安全以及安全生产工作。
叶翔:(笑着说道)机缘巧合加上个人兴趣。2005年我在做互联网运维的时候,难免会需要处理很多网络攻击,要去和cncert 合作,属于在中国比较早接触网络安全的一批人。当时觉得处理这种攻防的事情还挺有意思的,我个人也一直对网络安全有着浓厚的兴趣。
另一个方面是看好安全行业的发展,顺应潮流,抓住机遇。2009我去中国电信也是因为不想继续从事枯燥的网络运维工作,利用自己在网络安全方面的特长兴趣,就想着内部转岗,往网络安全发展。当时就觉得网络安全是一个新的热点,当然了,那会儿还没现在这么热,但已经能够感觉到,这个行业非常缺人,有经验的人凤毛麟角,发展空间挺大的。
叶翔:印象最深刻的其实是早期的一次网络攻击。也是在2005年,有一个周末我忽然被叫回公司,说天津分公司有一台设备,GE板卡一个端口总是拥塞,造成用户使用不正常。从看流量图上,一直有很大的流量流出;重启设备也没用,大家都想不明白怎么回事。
后来找了cisco 工程师过来也说不知道为啥,明明设备正常的啊。现在想想真是好笑,当时也真是笨,这就是典型的ddos 攻击啊。解决的话只要溯源或者在边界直接指向黑洞路由就好了。可当时谁都搞不清,cisco工程师也不知道,折腾到大半夜。
这件事我一直记得,印象十分深刻。过去看起来挺高深的攻击,现在可能学校里就会教,但是网络安全一直在快速发展,学校里教的那些招数,其实现在社会上早就不用了。
叶翔:必须去关注业务安全,才能提升你在企业的地位和价值。
CEO只会关注业务,国家电网关心配电网的安全,铁路关心调度网,生产企业关心工控网,银行关心啥?不是核心银行系统,如果你认为行长关心你们的信息系统,那你注定只能给CIO汇报。行长关心反洗钱,关心贷款的风险控制,银行有一个一级部门叫风险管理部,他们才负责业务安全。
如果你在信息化部门搞安全,一定要向业务风险控制的方向发展,才更有前途。所有安全里面,办公网安全是最低级的却又是最难搞的,把精力从办公网腾出来,做点CEO更关注的安全吧。
比如华数的主营业务是播出网络,那么我一定是关注这个播出网络有什么风险点。其实播出网络和互联网基本上是隔离的,被黑客渗透进入的风险不算很大,我们有很大一部分精力放在“连续性”上,我经常处理光缆中断、电力中断这种事情。幸好我在联通下基层锻炼时,学过一年,还算比较懂,换了其他搞IT风险的人,看到这些可能一脸懵逼。
叶翔:对于华数集团如何构建安全,详细说起来能说个三天三夜。简单来说,做安全需要遵从以下几点:摸清情况—理清资产,画出拓扑;划清边界—设计出一个好的网络架构模型,新项目按此建设,老项目照此整改;立好规矩—技防的关键还是人防,要制订一套规范,管好人;做好应急—前面观点里有讲到,安全不怕出事,出事了处置迅速合理才彰显安全管理水平。这其重点还在于划清边界,在下面的文章中我会详细介绍,网络安全的根源是网络设计,我觉得一个企业要搞好安全,设计出一个好的网络模型架构最重要,也最体现水平。
叶翔:希望甲方安全守土有责,但不杞人忧天;祝乙方安全生意兴隆,但要讲人品和道德。
正文
前言:本人自毕业后在大型甲方从业16年,目前担任大型省级广电网络公司的安全总管,有一些观点和理念和大家分享,也欢迎大家一起讨论,有碰撞才能提升嘛。首先允许我吹个牛,我这个安全总管,和传统企业里面从属于信息化部门的二级安全部门是完全不同的,我管理的安全部,是集团一级部门。我不是向CIO汇报,而是直接向CEO汇报,对业务安全负责。我的职责包含运维监督,可对一切影响业务正常开展的事件开展督察和问责。
这篇文章里很多观点,是从企业整体管理的角度看待问题的。毕竟安全是公司的一个部门,是为公司整体业务的发展而存在。不论安全如何出色,最终的结果是要帮助公司存活、盈利,只有公司发展起来,安全才能获得更大的发展。所以,希望各位仅仅搞信息安全和风险合规的读者,要跳出本位主义,跳出你框框来看问题。
观点1:安全除了关注恶意破坏等这类常规信息安全事件,更要注重连续性,安全是生产的基本保障。
什么是安全的?定义是这么说的,安全就是让公司资产(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,服务不中断,最终实现业务连续性。
定义里明确提到,业务连续性是安全的最终目标。黑客入侵、信息泄漏等问题都很严重,但是电力中断,光缆被挖断,对于业务的连续性也很致命。所以,安全管理第一步,就是关注物理安全,电力、空调、消防,出口的冗余和双路由,楼板承重,恶劣天气的应对措施,是所有安全的基础。
观点2:安全是为业务服务的,业务安全是所有安全中最重要的。
这个观点我也是近几年才理解的。很多年轻的安全从业者,都有着本位主义思想。尤其是信息化部门下属的安全部门,总觉得信息系统是公司最重要的资产。殊不知,在老板眼里,那只是公司的一小部分。如果是生产制造企业,工控设备才是命脉。就像华数集团是一家广电企业,老板最为关心的是播出的内容要安全。至于说到办公网中存在勒索病毒,办公邮件信息泄露等问题,直接处理好就可以。不是说那些问题不重要,而是安全最终需要为业务服务,这才是安全的重中之重。
既然业务安全是第一位的,那么安全就要始终围绕为业务服务这条主线,要为业务设计 合理的解决方案,保证业务稳定运行。安全部门制定出恰当的防护措施,但不要因为安全而大幅增加成本。因为当安全投入接近主系统投入时,最终的结果就是该安全项目被砍掉,或者安全措施被砍掉,这对于业务是不利的。
观点3:老生常谈,安全真的遵守木桶原理。
安全能避免木桶原理的只有一种情况,那就是你所在的公司较小。比如华数集团,拥有着众多下属子公司,你要把每一个小兄弟都照顾好,下属公司一个都不能少。一块短板发生事故,就会让你前功尽弃。这和业务部门不同,业务部门讲的是亮点,一半分公司业绩好就行,剩下另一半分公司做不好,集团整体也可以完成全年业绩。我们搞安全,一个出事,其他公司做得再好也没用了。
简而言之,做安全必须有条理,有条理才能无死角、无遗漏,才能无短板,因为短板会拉低整体水平,一次事故前功尽弃。
观点4:安全工作需内外兼修。
除了做好内部安全管理和技术防范,和外部监管部门甚至厂商搞好关系也是安全大管家的必修课。安全没有绝对,也就是人们常说的“只要是系统就会存在漏洞”,安全工作中总有些风吹草动。若是因为一件小事而传到监管部门,小事变成大事,万一被通报批评,对于安全而言也是不利的。
此外,如果安全工作中真的存在一些问题,还是要在第一时间请厂商来解决。如果和厂商关系不好,在处理问题方面难免会存在各种形式化的问题,不利于问题快速解决。问题解决后,报监管部门,大事化小,小事化无,如何迅速将平息舆论,也是十分有讲究的。除了考察临场反应,平时的积累很重要,一到出现问题时,能第一时间找人解决,对公司整体而言有利无弊。
观点5:网络安全的根源是网络设计
想要做好网络安全,基础是做好网络设计,不懂网络设计的人,是做不好网络安全的。安全市场上,懂系统安全的人多,懂网站安全的人也不少,唯独合格的网络安全工程师最是稀缺。普通的网络工程师只负责流程贯通,只顾着将业务调通,但是其他不该通的网络区域也一并做通,这对公司安全是存在隐患的。比如说防火墙部署在哪个位置最合理?卖防火墙的厂商也不会帮你仔细斟酌,他们就负责帮你调试配置上线。
上面是一张我根据公司实际情况,自己设计的网络分区图。如果能做好分区间的访问控制策略,其实你已经解决了大部分的安全问题了。一般而言,黑客是很难穿越正确配置的路由器和防火墙。一个CSO的电脑里如果没有自己公司的网络拓扑,那一定时做不好的。
观点6:联网好还是隔离好,要权衡利弊
这里说说我对隔离的理解。物理隔离很好理解,反正就是不通,交换机也分开,除非最后进传输时,设备复用进了同一对光纤。除此之外,设备和线路都是分开的。
逻辑隔离稍微复杂一点,我认为最起码是两个区域绝对不能互相访问,这是基础。除此之外,也绝不能使用同一台路由器(这里是指狭义的路由器,广义来说MPLS VPN也是路由器组网的),必须从交换层面就隔开。在光域网应该使用不同的MPLS VPN ,在局域网使用不同的VLAN。如果仅仅是不同的网段,接入到同一台路由器,虽然路由器没有配置转发路由,但也达不到“逻辑隔离”的要求。
那么安全管家该如何选择呢?还是从业务出发,如果业务需要接入互联网被人民群众访问,那么最好没有隔离。如果业务可以完全孤立,那么可以考虑在物理隔离和逻辑隔离中做选择。一般而言,如果监管部门没有明文规定,通常选逻辑隔离。
隔离其实很简单。从安全的“最小化”原则来说,业务上没有必要互联互通的网络区域,尽量隔离。难就难在业务总是在发展,业务系统隔离后没法独立工作。尤其是现在云计算大数据,业务部门都希望最好都连起来,安全隔离成了业务发展绊脚石。
随着业务发展,原本隔离的两个网络区域需要互通,那么一定在两个区域之间放一个防火墙。按照最小化原则,仅允许IP+端口来互通,还要控制好方向,明确是单向发起还是要双向互访。
说到底,难度不在隔离,而是如何有效的做好访问控制,而做好访问控制的基础,正是我们前面一个观点谈到的,如何做好网络设计。
观点7:辩证的去看待安全工作。
其实辩证点很多,下面举两个例子简单说明。
1.安全工作是不是一切按监管部门的要求做?
首先,我认为合规是下限,等保达标不代表安全,安全要有自己的判断。其次,凡事都需要因地制宜,标准动作并不见得适合所有企业,根据实际情况制订具体的技术防护手段,是甲方安全从业人员的职责。安全人员是对企业最熟悉的人,如果不能做到根据实际情况制定方案,那就失去了价值,咨询公司就把你的工作给做掉。
但是,达标还是有很多保障的。毕竟标准动作到位,等保也达标,该符合的法规都执行,日志都存好,制度规范都齐全的话你也就不用天天杞人忧天。没事别瞎担心,晚上踏实睡,真要出事一则你也拦不住,二则你也没多少责任了。搞安全的,心态要好。
2.安全投入是不是越多越好?
老板跟我讲,你的任务是搞好安全,要多少钱自己说,我都给你批,但是搞不好就拿你是问。这种情况下压力反而很大,老板把球踢给你,而你深知安全又不是砸钱就能搞好的。所以,你一定要提出,安全是人防+技防,人是关键,安全投入要适度,关键时人的安全意识提升,辅之以安全产品防护,才能做好安全工作。
如果说我制定严格的安全要求并分发到各个分公司。有可能分公司会说要求太高完不成;也有可能把安全要求当做完不成业务的借口或者是盲目采购大幅度的安全设备等等,然而这些都不是我想要的。
安全是人防+技防,人是关键。安全投入要适度,就比如时下流行的安全态势感知、安全大数据分析、高级可持续威胁检测,东西是好东西,但是温饱线人民群众不需要三文鱼,首先要把精力投放在基本的安全防护上。
观点8:甲方安全没有那么简单,乙方工程师真干不了。
毕竟,安全设备的堆砌不等于安全。安全产品是砖,乙方销售是卖砖的,乙方工程师是砌墙的,但他们可能不知道怎么造房子。甲方安全负责人是建筑设计师,也是总工程师,大楼造不造得起来,你负全责,因为你是最终为安全负责的人。
甲方安全需要广泛的基础知识,包括通晓监管部门的法律法规,网络规划能力,安全攻防知识。也需要很强的沟通能力和文字功底,能将监管的文件编写成内部制度,能和运维部门、业务部门处理好关系,能摆平那些给你找事的分公司。当然,管理能力也必须有,管好自己直属的团队,管好外包商,管好各分公司的安全人员。
甲方安全管理是一个比较新型的职位,目前来看市场还是比较稀缺的,因为学校没有这样的专业,但现在很多企业增设了这个部门或职位。这个职位一部分人来自甲方自己的网络运维人员,一部分人来自安全厂商的工程师或者咨询师,但我觉得都需要好几年的历练和经验,才能有机会成长为合格的甲方安全管理人员。
总结
讲了很多观点,最后说说安全管理的方法。老板给你的是目标,比如华数集团的目标是安全播出,而安全管理者是把目标细化为具体的动作。比如以下这个模型是可以作为我们甲方安全管理人员做好工作的基本方法。毕竟完全防护不出纰漏是不现实的,安全能力最终还是靠应急响应速度和善后能力来体现。
最后我送各位甲方安全管理人员两个法宝,预防为先,量化在后。
预防主要是指提高全员安全意识,搞培训、竞赛等,成本很低却能刷出存在感。量化就比较难,但这是抓手,是搞好安全的利器。安全技术防护的投入和安全损失都可以量化,安全事故造成的声誉损失也可以折算,可以做安全投入有效性的评估。量化考核可以把下属公司的积极性调动起来,也可以让安全部门的地位提升起来。
- 推荐阅读 -