查看原文
其他

诸子笔会2022 | 朱文义:ISMS落地需要跨过的“坑”

朱文义 安在 2022-09-24





自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。

ISMS落地需要跨过的“坑”


     文 | 朱文义




朱文义

某企业高级应用安全架构师





安全说到底是一种需求:业务层面的安全是一种功能性需求,IT层面的安全是一种非功能性需求。安全人员日常的安全工作就是为了能够实现这些安全需求,通常有两个层面的目标:一是实现合规,二是识别并解决具体的安全风险。


为了实现这些安全需求和目标,我们通常会选择在业界常用信息安全管理体系(俗称安全框架)的基础上加以裁剪后在企业落地。本文就将和大家分享笔者在个人工作中遇到的“坎”,以及跨过这些“坎”的实践经验。

第一个“坎”:与企业业务关联性不高,未在企业内部获取广泛共识,通常会表现为对业务有负面影响。

信息安全管理体系(ISMS)的定义是针对任何类型的组织用于建立、实施、运行、监控、审核、维护和改进信息安全的一个政策、程序、指南以及相关资源的框架。市面上最为著名的ISMS是ISO/IEC27001,信息安全部门通常热衷于在企业内落地这套标准并通过相关的认证。在标准落地过程中,如果缺少开发部门和业务部门夫人参与,信息安全工作会很难推进。

 

图 ISO/IEC27001发展历史

举一个典型的事例:基础公共类数据缺乏属主,如人脸照片数据。因为历史原因,人脸识别系统是科技部门牵头建设的,缺少明确负责的业务部门,科技部门由于自己角色定位的原因很难明确和落实数据管理流程,所以在数据安全日益得到重视的今天,此类数据如何正确合规地流转和使用就成了公司不得不解决的问题。如果业务人员因为某些特定的原因需要获取这些人脸照片数据,科技人员在没有明确流程的情况是很难做出决定的,只能到处找人给自己指条明路,费时费力,四处碰壁。

从事例中我们可以看到,信息安全管理体系的构建离不开业务人员的参与和支持,只有业务部门和人员一起参与进来,明确业务部门和人员相关的职责和定位,安全工作才能不止步于自嗨。

第二个”坎“:对安全技术关注不足,安全管理过度依赖监管、审计合规要求,造成安全解决方案临时化,而非在企业整体角度进行规划设计。

金融企业面临很多内外部监管和审计要求,可能会因为时间紧急而着急从表面上解决问题。我们不能一味只提管控要求,寄希望于项目组“八仙过海,各显神通”式的成果交付,最终不仅无法真正解决当下问题,更无法避免后续类似的增量问题。

当面对外部审计问题时,正是由于时间紧急,我们更需要保持头脑清醒。首先应该确定最终的解决方案和管控流程,基于最终解决方案确定当下适用的临时方案,并明确后续的演进路线和验证方式。如此,当下适用的临时方案才能发挥积极作用,避免后续将本次的改造成果推倒重来。

举一个典型的事例:对应用日志中的个人信息进行脱敏的整改和治理。监管检查要求对日志中的个人信息进行脱敏,如果我们只是通知项目组对自己负责的系统进行日志脱敏,而对脱敏方式和脱敏后果不能予以足够的指导和说明的话,最终项目组交付的结果一定不能满足我们预期目标。

面对这种情况,首先应该确定脱敏的目标方案,原则上不允许打印个人敏感信息,对于必须打印的例外情况需要进行评估,看是否可以使用掩码屏蔽后的个人信息并辅以企业级唯一客户号代替。根据这一目标方案,眼下就应该聚焦使用掩码屏蔽,而不是采用哈希计算或对称加密等方式处理,毕竟哈希计算和对称加密计算后虽然降低了数据敏感性,但仍然存在泄露数据的可能。

第三个“坎”:安全技术架构与企业IT构架结合不紧密,协同度待提高,如应用系统清单中安全属性不足不准,互联网系统竖井式建设引发攻击面过大等。

应用系统清单的准确性一直是安全人员的不可名状之痛,要想了解和确认应用系统的安全属性,系统建设之初是最佳时机,尤其是系统的架构设计阶段。安全人员通常不注重这方面的工作,往往采用发放调研问卷的方式收集应用系统的安全属性,这种方法存在效果差、准确度不高等多种问题,无法满足资产信息保鲜保准的要求。

正确的做法应该让安全人员参与应用系统架构设计过程中,将身份认证、访问控制、应用安全、数据安全和网络安全等信息沉淀到应用系统资产清单中,通过安全方案设计和安全评审的方式确保数据的准确性。

随着数字化转型的推进,业务提出了很多建设互联网应用的需求,然而互联网系统如雨后春笋般的建设对于安全来说无疑不是一件好事,不仅增大了资产暴露面和攻击面,带来了很多安全风险,加之应用系统质量参差不齐,万一某个应用存在高危漏洞,一旦被攻击者拿下,就可以在内网长驱直入。

基于此,安全人员不能对这种随意搭建互联网应用系统的现象置身事外,应当与企业架构师、应用系统架构师一起推动互联网应用系统平台化,通过统一的开放平台开放互联网服务,实现对外接口使用同一域名(仅使用URL区分),确保不同应用系统入口归一。这种“一夫当关,万夫莫开”的卡点是部署安全能力的最佳位置,如反向代理、API网关等。在这些位置我们可以针对互联网场景部署页面防篡改、WAF、SSL网关、认证限流等安全能力并实现动态控制。良好的IT架构建设和应用系统技术标准化是安全工作的倍增器,能够极大地提升安全工作的效率和效果。

 

图 2 常见反向代理与网关

综上,如果我们总是使用传统的在应用系统外围建设安全能力的方式,那么安全工作一定会遇到很多“坎”。痛则不通,通则不痛,只有将安全与业务架构、IT架构深入融合,统一安全人员和业务人员、架构人员的立场和利益,将安全的要求深入融合到应用系统建设的全过程,我们才能跨过上面这些“坎”,确保安全工作更加顺畅。




推荐阅读

2022诸子笔会  

【7月主题:误区与陷阱】

刘志诚  张永宏  孙瑜  王忠惠  肖文棣


【6月主题:远程办公与安全】

王忠惠  于闽东  刘志诚  孙琦  朱文义

  张增斌  肖文棣  杨文斌  张永宏  孙瑜  陈圣 回顾


【5月主题:安全之变】

 王忠惠   张永宏  朱文义  于闽东  刘志诚  杨文斌 

 孙琦  孙瑜  半藏咸鱼  肖文棣  王振东  陈圣  回顾


推荐阅读

2021首届诸子笔会

   颁奖 | 评优投票 | 1月盘点 | 12月盘点

11月盘点 | 10月盘点 | 9月盘点 | 8月盘点

7月盘点 | 6月盘点 | 组团 | 报名









原文阅读查看往期征文合集

齐心抗疫 与你同在 



你怎么这么好看




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存