征文 | 舒胤明:结构化分析,让5W2H贯穿信息安全规划全程
舒胤明
本硕均就读于成都电子科技大学,硕士期间在信息安全实验室从事恶意代码、入侵检测等方向信息安全技术研究,毕业后曾在中国电科、中国电子等央企从事信息安全产品研发工作,负责安全管理平台、安防系统等项目实施和解决方案落地,深入了解政务、公安等行业需求。从乙方到甲方现任某上市银行科技部担任系统工程师,从事银行信息化体系建设等工作,负责数字证书认证管理的落地实施。
走过2019年,迎来2020年,适逢“十三五”末年以及“十四五”布局之年。可以预见,明年的工作重点,各类规划的启动,无论是中长期规划、“十四五”规划、三年滚动规划...都将会接踵而来。本期主题的推出恰逢其时,5W2H的方法论确实是做规划论证的有利工具,关键是要“知行合一”,让5W2H真正贯穿于整个信息安全规划制定的各个方面。
在这个过程中,结构化的思路能够起到“事半功倍”的效果。下面,笔者从做信息安全规划的主要环说开去,谈谈如何利用结构化的思路,在做信息安全规划的过程中践行5W2H,希望与大家分享交流:
宏观形势分析,其实就是回答为什么要做信息安全的原因(5W2H中的WHY)。一般说来,宏观形势分析是做任何规划的第一步,信息安全规划也不例外。按照结构化的方式做分析,可以参考管理学常用的PEST分析,可以从以下几个方面展开:
►政策(policy)层面,2017年《网络安全法》颁布以来,各个层面的政策要求不断落地,法律合规方面对信息安全愈发重视。今年等保2.0的修订,央企考核文件中明确网络安全责任,以及央行颁布金融科技的三年规划,都将信息安全提到重要位置。
►经济(economy)层面,可以论述金融科技在降本增效方面的作用;或者谈一谈近来一些信息安全事件的发生,对企业经济损失的评估。
►社会(society)层面,经过近几年国家网络安全周的宣传,以及一些事件的驱动,不管是大中企业、还是个人用户,信息安全意识都有觉醒,信息安全逐步成为其选择产品、服务的一个重要因素。
►技术(technology)层面,一是近年来移动支付的兴起、大数据的用户画像、人工智能在后台分析的应用、云计算对基础设施的变化,新技术新应用新模式都会带来新的信息安全挑战,比如云计算基础设施让内外网边界模糊,大数据与人工智能下数据安全的新问题等。二是新型的攻击手法、威胁层出不穷,从传统的小黑客攻击,到社会工程学、到“正规军”长期潜伏实施APT攻击,正所谓攻防博弈对抗,都值得关注。
对标分析,有时候也叫“最佳实践”,有单位会在信息安全规划中独立成篇,有些时候也会放在“宏观形势分析”中,但无论放在哪里,对标的重要性都不言而喻,也是能说服高层决策者的重要手段。进行信息安全实践对标的时候,一是视野一定要广,不一定要局限在本行业。比如笔者做银行信息安全规划,其实像蚂蚁金服、京东金融等互联网金融厂商,他们在信息安全方面值得银行从业者学习的有很多。
二是要做到“取其精华”,对于每一家对标企业,不用全盘对标,而是要选取其做得好的地方,比如对标同业银行,学习其在网络设备安全防护、风险控制的最佳实践,对标互联网金融企业,学习其数据安全的先进做法。
现状分析,主要是结合前面的形势分析、对标分析,以问题为导向,剖析不足,既回答了5W2H中的WHY,又部分引出了WHERE,现状和差距就是入手的地方。要全面系统地找出问题,可以从以下两个方面,通过结构化思路展开:
1. 对接业务。信息安全规划、乃至整个信息规划,也是为整个单位的总体规划服务,信息化要为业务赋能,信息安全要保证信息系统、数据的安全流转,所以一定要辩证看待“安全和发展”的关系,要避免只顾业务发展不顾信息安全,也不能一昧的为了信息安全而牺牲效率。
2. 系统全面。要做到系统、全面,就需要参考结构化的分析方法,做到不重不漏。国际上的ISO27001信息管理体系、我国今年5月新出的等保2.0,都提供了良好全面的框架供各单位开展信息安全现状分析。尤其是等保2.0对云计算、移动互联等新场景也做出了一些规范要求。此外,现在大家都在讲数据安全,今年9月发布的GB∕T 37988-2019 《信息安全技术 数据安全能力成熟度模型》标准,就从数据采集、存储、传输、交换、销毁等全生命周期提出了结构化的评价方法,供大家参考。
3.评估风险。信息安全也遵循“木桶原理”,最薄弱的环节也是最容易突破的环节。按照结构化的方法,对信息系统、对管理进行安全评级、评估后,应当找到风险点,针对风险点提出信息安全的基线要求。有条件,也可以采用“模拟实战”的方式,来进行排查。
这是信息规划的核心部分,是未来一段时间内信息安全建设的“行动纲领”。这一章要回答5W2H中的WHAT、WHEN、WHERE、WHO、HOW、HOW MUCH。可以分为定总体目标以及定重点任务。
定总体目标,主要是把方向、提原则。
一是要服务于企业的业务规划、组织规划、信息化规划,不能“闭门造车”,要服从业务的开展、组织的变化、信息化的实施,思考怎么从管理、技术、运维手段确保信息安全,最好能对照业务规划、信息化规划,将其中的任务要求逐条进行分析,思考信息安全如何保障、如何支撑,才能让信息安全服务于业务。
二是要遵循“安全与发展兼顾”“技术与管理配合”“管控与效率平衡”的原则来制定目标。在这个过程中,有条件的话,要做到和业务部门、职能部门、一线支行的“几上几下”,充分征求听取他们的意见建议,让信息安全规划的目标真正切实可行,切忌让规划变成“鬼话”,以后只能“墙上挂挂”。三是要区分存量增量,已经建好的信息系统如何上信息安全加固手段,新建信息系统如何让信息安全同步规划、同步建设,侧重是不一样的。
定重点任务,主要是按照结构化的分析思路,将总目标进行分解,明确5W2H中的WHAT和WHERE。每一项重点任务,要明确具体目标、实施路径、责任分工、资源投入等。具体目标,就是明确每一项任务要在哪一年达成什么效果(WHAT、WHEN);实施路径说的是具体怎么干、干到什么程度(HOW、HOW MUCH);责任分工,就是匹配、调集资源的过程,明确到具体责任部门(WHO)。
俗话说,“一分部署,九分落实”。规划执行,要做好两件事。一是让宏观的“十四五规划”、“三年规划”与年度的经营预算、年度的行动计划挂钩,有条件的单位要和考核KPI挂钩,将规划的任务落实到每年的行动中。二是要滚动修订规划,要根据规划执行的结果、最新信息安全形势的变化,时刻修订规划,这也是管理学常说的PDCA循环。
以上粗浅的分享,希望能够对各位同行有所帮助。
「推荐阅读」
三月主题:《数据安全面面观》
征文 | 顾伟:关于中国数据跨境传输合规之思考征文 | 赵锐:云端数据安全浅谈征文 | 蔚晨:数据驱动的安全防控体系探究征文 | 张喆:在开放共享环境下的数据安全安在征文,3月月奖是谁胜出?
四月主题:《一个人的安全》
征文 | 周逸传:一个人的安全?我笑了征文 | 武鑫:一个人的安全,在变化中促成长征文 | 陈欣炜:一个人的安全,或许你要扛起整个公司征文 | 黄猛:一个人的安全?你不是一个人在战斗!征文 | 顾伟:一个信息安全从业者的自我修养安在征文,4月月奖是谁胜出?
五月主题:《网络安全“值钱”吗》
征文 | 陈欣炜:联合起来,让网络安全创造价值征文 | 顾伟:网络安全“值钱”吗?征文 | 赵锐 :从网络安全转向业务安全的价值实现安在征文,5月月奖是谁胜出?
七月主题:《社工记》
征文 | 沈青:网络安全社会工程学起源与应用征文 | 陈欣炜:邮件钓鱼测试和合规性要求征文 | 顾伟:从社会工程学到信息安全文化模型的创建征文 | 赵锐:无所不在的社会工程学安在征文,7月月奖是谁胜出?
十月主题:《攻防演练实务》
征文 | 黄乐:网络安全的矛与盾——企业视角看攻防演练征文 | 顾伟:攻防之道,红蓝对抗征文 | 叶翔:在企业内部搞攻防比赛,很难吗?征文 | 赵锐 :从漏扫到攻防演练,甲方如何选择安全测试?
十一月主题:《不会做规划,怎么做安全》
征文 | 侯大鹏:利用5W1H方法,做企业信息安全规划征文 | 陈皓:年度安全规划–“我们不一样”安在征文,10月月奖是谁胜出? ▼加入诸子云