安全教育企業(yè)安全涵蓋哪些內(nèi)容？

■黃閃

安全教育企業(yè)安全涵蓋哪些內(nèi)容？

■黃閃

安全教育大致分為以下幾方面：

（1）網(wǎng)絡(luò)安全：基礎(chǔ)、狹義但核心的部分，以計算機(jī)（PC、服務(wù)器、小型機(jī)、BYOD……）和網(wǎng)絡(luò)為主體的網(wǎng)絡(luò)安全，主要聚焦在純技術(shù)層面。

（2）平臺和業(yè)務(wù)安全：跟所在行業(yè)和主營業(yè)務(wù)相關(guān)的安全管理，例如反欺詐，不是純技術(shù)層面的內(nèi)容，是對基礎(chǔ)安全的拓展，目的性比較強(qiáng)，屬于特定領(lǐng)域的安全，不算廣義安全。

（3）廣義的信息安全：以IT兩個字為核心，包括廣義上的“Information”載體：計算機(jī)數(shù)據(jù)庫意外還有包括紙質(zhì)文檔、機(jī)要，市場戰(zhàn)略規(guī)劃等經(jīng)營管理信息、客戶隱私、內(nèi)部郵件、會議內(nèi)容、運營數(shù)據(jù)、第三方的權(quán)益信息等但凡你想得到的都在其中，加上泛“Technology”的大安全體系。

（4）IT風(fēng)險管理、IT審計&內(nèi)控：對于中大規(guī)模的海外上市公司而言，有諸如SOX-404這樣的合規(guī)性需求，財務(wù)之外就是IT，其中所要求的在流程和技術(shù)方面的約束性條款跟信息安全管理重疊，屬于外圍和相關(guān)領(lǐng)域，而信息安全管理本身從屬于IT風(fēng)險管理，是CIO視角下的一個子領(lǐng)域。

（5）業(yè)務(wù)持續(xù)性管理：BCM（Business Continuity Management）不屬于以上任何范疇、但又跟每一塊都有交集，如果你覺得3和4有點虛，那么BCM絕對是面向?qū)嵅俚念I(lǐng)域。最近前有網(wǎng)易、中有支付寶、后又?jǐn)y程，因為各種各樣的原因業(yè)務(wù)中斷，損失巨大都屬于BCM的范疇。有人會問這跟安全有什么關(guān)系？安全是影響業(yè)務(wù)中斷的很大一部分可能因素，例如DDOS，入侵導(dǎo)致必須關(guān)閉服務(wù)自檢，數(shù)據(jù)丟失隱私泄露等。又會有人問這些歸入安全管理即可，為什么要跟BCM扯上關(guān)系，做安全的人可以不管這些嗎？答案自然是可以不管，就好像說“我是個java程序員，JVM、dalvik（ART）運行原理不知道又有什么關(guān)系，完全不影響我寫代碼！”事實上BCM提供了另一種更高維度，更完整的視角來看待業(yè)務(wù)中斷的問題，對于安全事件，他的方法論也比單純的ISMS更具有可操作性，對業(yè)務(wù)團(tuán)隊更有親和力，因為你知道任何以安全團(tuán)隊自我為中心的安全建設(shè)都難以落地，最終都不會做的很好。

（6）安全品牌營銷、渠道維護(hù)：CSO有時候要做一些務(wù)虛的事情，例如為品牌的安全形象出席一些市場宣介，presentation?；\統(tǒng)一點講現(xiàn)在SRC的活動基本也屬于這一類。

（7）CXO們的其他需求：俗稱打雜。這里你不要理解為讓安全團(tuán)隊去攻擊一下競爭對手的企業(yè)這樣負(fù)面向的事情，而是有很多公司需要做，但運維開發(fā)都不干，干不了或者不適合干的事情，安全團(tuán)隊能力強(qiáng)大時可以承包下來的部分，事實上筆者的職業(yè)生涯里就做了不少這樣的事情。

網(wǎng)絡(luò)安全的甲方乙方

基礎(chǔ)的網(wǎng)絡(luò)安全是絕大多數(shù)在甲方的安全團(tuán)隊能cover的事情，不管你的安全團(tuán)隊能力如何，在公司里有無影響力，這個是必須要做的因為這是把你招過來的初衷。再往后的發(fā)展，是否止于此則看各人的想法，對于沉醉攻防技術(shù)的人其實這些足夠了，但如果你的安全團(tuán)隊富有活力和想法，即便你想止于此他們也不干，把部門做大做強(qiáng)是這些人的愿望，只有這樣才能給安全團(tuán)隊更大的空間，因為這點跟乙方是不一樣的：對于乙方而言你可以在某個單點領(lǐng)域上無限深挖，而不會遇到天花板，因為你始終是在滿足主營業(yè)務(wù)的需求，即使你成為骨灰級的專家公司也會對你在某方面創(chuàng)新有所期待而給你持續(xù)發(fā)展的可能性，但是在甲方，安全不是主營業(yè)務(wù)，歸根結(jié)底是一個保值型的后臺職能，不是一個能創(chuàng)造收益的前臺職能，他是一個成本中心而非盈利中心，他的成本的大小跟業(yè)務(wù)規(guī)模以及公司盈利能力相關(guān)，公司發(fā)展時他的budget和headcount會發(fā)展，業(yè)務(wù)停滯時安全做的再好也不會追加投入，因為無此必要。反面的例子也有：做的不好反而追加投入的，那是一種政治技巧而非現(xiàn)實需要。

如果你在乙方的研究部，無論你的漏洞挖掘技能多牛逼，公司都不會跳出來說“你已經(jīng)超出我們需求了，你還是去更NB的公司吧”（通常情況）。但是在甲方，假設(shè)是在一個國內(nèi)排名大約TOP5-TOP10的互聯(lián)網(wǎng)公司，養(yǎng)一個漏洞挖掘的大牛也會覺得很奇怪，他是在給公司創(chuàng)造價值還是在自娛自樂是會受到質(zhì)疑的，CSO也會被質(zhì)疑是否花了大價錢挖來的人不是出于業(yè)務(wù)需要而是用于擴(kuò)大自己團(tuán)隊在業(yè)內(nèi)影響力這種務(wù)虛的事。假如公司到了google這種級別，有一大堆產(chǎn)品，儲備大牛則是順利成章的，業(yè)務(wù)上顯然是有這種需求的，不過還是要看產(chǎn)出是否對主營業(yè)務(wù)有幫助，工作成果不能轉(zhuǎn)化為主營業(yè)務(wù)競爭力的嘗試性活動在公司有錢的時候無所謂，在公司收緊腰帶時則其存在價值會受到質(zhì)疑。

以狹義的安全垂直拓展去發(fā)展甲方安全團(tuán)隊的思路本質(zhì)上是個不可控的想法，籌碼不在CSO手中，甚至不在CTO手中，而是看主營業(yè)務(wù)的晴雨表，也就是我以前說的，甲方安全是要看“臉”的，這個臉還不是指跨部門溝通合作，而是在最原始的需求出發(fā)點上受限于他們。因此有想法的安全團(tuán)隊在（1）做的比較成熟時會轉(zhuǎn)向（2），（2）是一個很大的領(lǐng)域，發(fā)展的好安全團(tuán)隊的規(guī)模會x2、x3，并且在企業(yè)價值鏈中的地位會逐漸前移，成為運營性質(zhì)的職能，結(jié)合BCM真正成為一個和運維、開發(fā)并駕齊驅(qū)的大職能。

BCM在很多人眼里就是DR（災(zāi)難恢復(fù)），DR其實只是BCM中的一個點，屬于下層分支。不過這對技術(shù)領(lǐng)域的人而言是最直觀的部分，DR在互聯(lián)網(wǎng)公司里由基礎(chǔ)架構(gòu)部門或運維主導(dǎo)，不過對于強(qiáng)勢的甲方安全團(tuán)隊其實也是能參與其中一部分的，之前也主導(dǎo)過這些，當(dāng)然也是受到了我的“前輩們”的啟發(fā)。

企業(yè)信息安全建議

廣義的信息安全，比較直觀的映射就是ISO2700x系列，行業(yè)里的絕大多數(shù)人都知道ISO27001和BS7799.不展開了，對真正有安全基礎(chǔ)的人而言都是很簡單的東西。在企業(yè)里能否做到廣義的安全，主要看安全負(fù)責(zé)人和安全團(tuán)隊在公司里影響力，對上沒有影響力，沒有詮釋利害關(guān)系和游水的能力自然也就做不到這些，另一方面，狹義安全主要對接運維開發(fā)等技術(shù)面公司同僚，但是廣義安全會對接整個公司的各個部門，對于溝通面的挑戰(zhàn)來說又上了一個新的臺階，似乎在我看來這主要取決于安全的領(lǐng)隊人物自己擁有什么樣的知識結(jié)構(gòu)以及他的推動能力如何。

對于（4），如果你所在的組織有這方面的需求，安全職能自然也會參與其中，是否刻意去發(fā)展他則看自己需求，對我朋友中某些做過IT治理和風(fēng)險咨詢的人相信是有能力一并吃下的，如果是技術(shù)派我就不建議你去搞了。

（6）屬于水到渠成的事情，到了那一步你自然需要考慮，就算你不想公司也會讓你去，就像筆者現(xiàn)在明明做技術(shù)活，卻也不知道為啥會跟這一類事情掛上鉤。

（7）有人看時自動過濾了，不過安全負(fù)責(zé)人自身是否有瓶頸，能否在企業(yè)里發(fā)展起來跟這條有很大關(guān)系，甚至有很多從（1）發(fā)展到（2）（3）的人都需要借助（7）這個渠道，點到為止不多說了......

對于互聯(lián)網(wǎng)公司，我建議做（1）、（2）、（5）；對于傳統(tǒng)行業(yè)，我建議做：（1）、（3）、（4）、（5）。

互聯(lián)網(wǎng)安全內(nèi)容

在互聯(lián)網(wǎng)行業(yè)安全包括哪些內(nèi)容，我覺得可以概括為：

信息安全管理（設(shè)計流程、整體策略等）：這部分工作約占總量的10％，比較整體，跨度大，但工作量不多。

基礎(chǔ)架構(gòu)與網(wǎng)絡(luò)安全：IDC、生產(chǎn)網(wǎng)絡(luò)的各種鏈路和設(shè)備、服務(wù)器、大量的服務(wù)端程序和中間件，數(shù)據(jù)庫等，偏運維側(cè)，跟漏洞掃描，打補(bǔ)丁，ACL，安全配置，網(wǎng)絡(luò)和主機(jī)入侵檢測等這些事情相關(guān)性比較大，約占不到30％的工作量。

應(yīng)用與交付安全：對各BG，事業(yè)部，業(yè)務(wù)線自研的產(chǎn)品進(jìn)行應(yīng)用層面的安全評估，代碼審計，滲透測試，代碼框架的安全功能，應(yīng)用層的防火墻，應(yīng)用層的入侵檢測等，屬于有點“繁瑣”的工程，“撇不掉、理還亂”，大部分甲方團(tuán)隊都沒有足夠的人力去應(yīng)付產(chǎn)品線交付的數(shù)量龐大的代碼，沒有能力去實踐完整的SDL，這部分是當(dāng)下比較有挑戰(zhàn)的安全業(yè)務(wù)，整體比重30％+，還在持續(xù)增長中。

業(yè)務(wù)安全：上面提到的（2），包括賬號安全、交易風(fēng)控、征信、反價格爬蟲，反作弊反bot程序、反欺詐、反釣魚、反垃圾信息、輿情監(jiān)控（內(nèi)容信息安全）、防游戲外掛、打擊黑色產(chǎn)業(yè)鏈、安全情報等，是在“吃飽飯”之后“思淫欲”的進(jìn)階需求，在基礎(chǔ)安全問題解決之后，越來越受到重視的領(lǐng)域。整體約占30％左右的工作量，有的甚至大過50％。這里也已經(jīng)紛紛出現(xiàn)乙方的創(chuàng)業(yè)型公司試圖解決這些痛點。