诸子云·分享汇 | 第三周直播实录
10月19日,“诸子云·分享汇”线上直播第二季正式拉开帷幕。
作为社群活动计划的重要环节,本季线上直播邀请百家智库首批专家作为分享嘉宾,围绕涵盖等保合规、数据安全、个信保护等共计20个主题,计划开展10场分享活动,共同探讨企业网络安全实践之热点、焦点、痛点、难点和要点。
本文即对第三周直播实况的回顾。本周共开展两场分享活动,安信证券信息安全总监李维春、乐信集团信息安全中心总监刘志诚、锅圈食汇安全负责人方斌三位专家分别进行了议题分享。
★ 第一场 ★
11.2
业务安全和数据安全
实践要点
李维春 安信证券信息安全总监
业务安全是为了防范企业核心业务流程中出现风险,避免业务遭遇各类威胁或遭受经济损失,保障整体业务逻辑的顺利,最终帮助企业达成业务目标、降低经营成本、提升业务收益,进一步增强企业竞争力而采取的风险控制措施的总称。
对于不同的行业来说,业务安全的范畴也不一样。在互联网、金融行业,业务安全包括各种反欺诈、对抗薅羊毛、反爬虫、营销活动中的反舞弊等措施;在制造业,业务安全是保障生产过程不中断、及时交付、交付产品质量高、不会被勒索软件危害;在研发型企业,业务安全是保障技术或产品的市场领先性、保障销售拿单的竞争力、保障核心研发人员的稳定忠诚。
信息安全的最终目的是保障业务安全。如何有效推动业务安全的落地,我认为应该分为了解业务、挖掘根因、确保改进措施可落地这三个阶段。
首先我们可以通过阅读文件从文件层面了解业务如何开展,再通过访谈沟通,取更多有效信息,如果条件允许我们可以进行轮岗,让安全实际参与到业务过程中,进一步了解业务、识别风险。
识别风险的核心是分析整个业务过程中的人流、物流、资金流和信息流,以及业务所处的环境,使用的工具(不仅是IT工具)等。整个过程其实和安全审计的方法论基本一致。
在了解业务、识别风险之后,我们要挖掘业务风险的根因,遵循PDCA的循环,我们要制订解决方案,推广落地,并进行评估。根因是很难挖掘的,但实际上它的方法也很简单,我们需要在发现任何一个问题时至少问“三个为什么”,才能够有可能找到根因。
如何保证改进方案有效,我认为可以从听取意见和打破局限两个维度来进行。听取意见,就是要尊重合作,并把每一次的沟通当做教育;打破局限,就是要站在公司经营的角度,取得业务收益和安全的良好平衡,并从业务安全目标出发,寻求综合解决方案。
我一直认为,1000个人心中有1000中数据安全的定义,所以我自身在开展数据安全的过程中,坚持将数据和安全拆开,并界定数据安全的边界和内涵。
对于数据,我们要厘清数据的分类、载体、形态和价值。对于安全,我们则要定义它的内涵、程度、分级和评价。因为数据安全是信息安全工作的一部分,而信息安全工作又要为业务和业务增长服务,所以数据安全要为业务服务。
实践过程要遵循三化的原则,分别是信息化、系统化和治理、服务化。
信息化:尽一切努力减少纸件数据的流转,把业务过程推上系统,先完成信息化过程;
系统化:在信息化基础上,将公司的操作、流程、数据给规范化、系统化;
治理、服务化:通过数据治理和服务,提升数据质量,从而使业务有效提升,并且在这个过程中实现安全服务化,将能力嵌入其中。
在我看来,数据合规和数据安全并不完全一样,隐私保护属于数据合规的子集,同时它和数据安全也有交集,但并不完全等同于数据安全。
而在每个公司里,经常会对不同职责部门之间的分工展开讨论。我认为只要遵循公司的实际情况,将职责定义清楚即可。我建议首先各部门把工作内容定义清楚,然后在此基础上明确职责,最后再展开分工和合作。
这当中我认为合作尤为重要,因为数据安全做得好,数据合规和隐私保护就能够有一个比较好的基础。
数据安全工作落地包含了组织、流程&机制、工具三要素,三者缺一不可。只有三要素齐备才能够真正做好数据安全工作。
最后我有一个感慨,即在我从事数据安全工作的十几年里,并没有感受到数据安全工具的显著提升。所以我希望将来的数据安全工具应该可以通过API、通过标准化的策略和日志设置,通过一个类似于SOC或SOAR的平台实现关联告警或调度,实现不同数据安全工具在不同场景的联动,实现搜索数据的时间线展现?我觉得这应该是必由之路。
从乙方到甲方
刘志诚 乐信集团信息安全中心总监
本次分享我主要以自身多年在甲乙双方的安全从业经历来进行分享,希望能够以生态协作与产品服务思维让安全成为业务核心竞争力。
首先,站在乙方的视角来看,我们第一步会思考用户遇到的问题到底是什么,因为所有的问题都是和场景相关的。第二步是思考用户要什么,因为用户遇到的问题和他想要的东西不一定是一样的,但用户想要的不一定能够真正解决他的问题,如果从要什么的角度来思考,就容易忽略问题的本质。
当用户提出要求的时候,乙方需要考虑自己能不能做,也就是我们有什么;在这个过程中我们还需要不局限于现有的东西,提出创新性的解决方案。另外,不同的问题在市场上有不同的解决方案来对比分析,所以我们还要看别人有什么,最终帮助我们赢得这件事。
当我从乙方转变为甲方后,我第一时间最关心组织的问题是什么,然后依次是老板要什么,企业当前的安全情况如何,有哪些安全建设;乙方具有哪些能力,能给我提供怎样的服务和解决方案,并分析乙方所提供的是否是我当前问题的最优解。
站在产品视角看方案,我们首先要看安全的问题是什么。但这个过程中也要考虑业务的需求和目标,因为有些在安全看来的问题,可能会与业务产生冲突。除了要看业务有什么以外,我们还要看行业有什么,因为无论是标杆用户还是乙方产品,都和我们的安全问题密切相关。这个过程我们还可以尝试做一些创新,用新的技术和方案来解决业务所需要的安全问题。
安全需要生态协作。随着环境的变化,安全的关注点早就从in B变成了2B,2C,2G的生态,所以当前的安全应该是场景为王的。但是乙方并不知道甲方的业务场景到底有多少,所以就需要甲方的安全负责人和专家把自己的需求按照场景的模式设计出来。
这个过程需要依赖于乙方的安全技术能力、研发能力和产品化能力,通过强强联合的方式做出安全解决方案,解决甲方的安全问题。
对甲方的安全负责人来说,需要变换自己的思维和逻辑:我们不仅是乙方产品的使用者,也是乙方产品的赋能者。如果能够从场景出发实现产品化,就能够更好地解决安全问题,安全工作才能更好地开展。
另外从安全模式来说,我们应该更加关注生态安全。因为我们不再是独立孤岛而是存在于生态体系中,这就需要所有的安全负责人和从业者改变自己的思维和逻辑。
那么如何让安全成为业务的核心竞争力?
首先,在强监管模式下,我们必须要拥抱监管;如果安全能在行业内成为标杆,做到与众不同和创新,是足以振奋市场信心的,所以我们还要成就PR;而如果安全可以带来市值的提升,那么不仅能够让老板更加重视安全,也能够让安全在公司的话语权直线提升。
如果我们做得足够好,就能够让安全成为公司的第二条曲线,对外做能力输出。通过这些逻辑上的思考和提升,才有机会让安全成为组织和业务的核心竞争力。
★ 第二场 ★
11.4
传统供应链企业的
安全建设
方斌 锅圈食汇安全负责人
我认为安全建设的目标是帮助企业不罚钱、少亏钱、多赚钱。所以我在开展安全建设的过程中,核心目标主要围绕业务安全、数据安全、基础安全、人员安全和安全合规。
业务安全:可以主动发现潜在业务安全风险,提供解决方案和将风险控制在可接受范围内;有能力支撑和应对业务正常发展和运营过程中以及业务场景变化可能带来新的业务安全风险。
数据安全:可以主动识别数据在全生命周期内和流动过程中的数据安全风险和评估出合理的风险等级,并将风险控制在可接受范围内;具备对数据泄漏事件的应急响应能力和溯源调查能力。
基础安全:具备主动发现主流安全漏洞和提供修复方案以及推动漏洞修复的能力;具备对主流网络攻击和明显异常行为的主动感知和防御能力;具备对安全事件应急响应和攻击溯源能力。
人员安全:让员工理解自身在公司信息安全方面的职责和义务;让员工具备安全意识思维和识别日常工作和生活中的常规攻击手段的能力。
安全合规:满足安全监管、法律要求,有效支撑公司业务开展、运营和外部合作;在满足安全合规的基础上,构建符合公司自身特性的安全合规体系。
那么面对这些安全问题和核心目标,我认为应当从这几个视角出发。
业务安全:安全账号安全,接口防刷与防爬,内容安全,反作弊、反欺诈等;
数据安全:数据安全治理,数据安全技术和数据安全运营;
基础安全:物理、网络、主机、应用安全,物理、网络、内部应用、终端安全;
安全管理:安全流程、规范与制度,人员安全意识、文化建设;
安全运营:SRC平台,安全监控、响应,外部安全合作、交流;
安全合规:等级保护,ISO27001;
供应链安全:上下游合作伙伴,第三方采购产品;外包产品开发与人员安全。
如何进行安全建设,我认为应当分为三个阶段。
首先是观察阶段,观察老板对安全的认知度,观察企业员工的安全意识,观察公司在行业里的地位。其次是通过和老板沟通,和其他部门同事沟通,以及公开渠道查询,来确定安全建设的思路。最后在行动环节,建立信息安全委员会,进行安全意识培训加宣导,技术加制度建立标杆。
针对IT安全,我们做了防木马病毒、网络准入、DLP防泄漏、SSO、入侵检测系统、上网行为管理、文件共享管理、桌面管理和VPN等。研发安全则主要包括安全设计、代码安全和验证审核。基础安全当中包括入侵检测、态势感知、网络安全和主机安全。业务安全主要围绕账号安全、欺诈对抗和业务保护进行展开。最后在安全合规方面,我们需要遵循国家的法律法规,通过等保测评,行业安全认证,国家标准和认证,以及监管和重大保障。
安全建设我总结了三个关键词,分别是借势、联合和等待。借势就是尽可能借助外部合作力量,把所需要的安全工作做起来;安全不是孤岛,所以我们需要联合其他部门共同把安全工作做好;安全需要随时维护和丰富自己的“武器库”,时刻准备好择机而入,等待合适的时机到来,将安全能力淋漓尽致地释放。
总的来说,在传统企业里,安全意识永远是最重要的,成功打造安全意识和文化,能够让后续的安全工作顺利开展;在传统企业,只有把想做的事情形成制度,才能够得到足够的支持和抓手;而当一个安全问题只需要技术就能够解决的时候,那它也就不是问题了。
专家演讲资料已上传知识星球,扫码获取完整内容
推荐阅读