您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
企事業(yè)單位網(wǎng)絡(luò)安全問題的三點(diǎn)思考
“大量的網(wǎng)絡(luò)安全檢查伴隨著問題的發(fā)現(xiàn),問題發(fā)現(xiàn)了就要分析原因。所有的網(wǎng)絡(luò)安全問題,最后都?xì)w到人的問題上,就事論事都只能起到短期的改進(jìn)作用,長期的改進(jìn)都需要加強(qiáng)網(wǎng)絡(luò)安全隊(duì)伍建設(shè),加強(qiáng)管理層的網(wǎng)絡(luò)安全意識(shí),才有可能提高單位整體網(wǎng)絡(luò)安全管理能力?!?/span>
軍工保密資格認(rèn)證中心研究員黃次輝,站在單位的視角而不是國家的視角、行業(yè)的視角或者網(wǎng)絡(luò)的視角,為我們談?wù)?strong>單位網(wǎng)絡(luò)安全管理能力、管理層網(wǎng)絡(luò)安全意識(shí)和網(wǎng)絡(luò)安全隊(duì)伍建設(shè)這三點(diǎn)的思考與分析。
一、網(wǎng)絡(luò)安全管理能力
一個(gè)單位的網(wǎng)絡(luò)安全管理能力體現(xiàn)在以下幾個(gè)方面:
01 結(jié)合業(yè)務(wù)分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的能力
每個(gè)單位的業(yè)務(wù)模式?jīng)Q定了其對信息化環(huán)境的依賴程度,業(yè)務(wù)的信息化流程決定了其網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)點(diǎn)。梳理業(yè)務(wù)流程,深入分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn)點(diǎn),確定在多大程度上接受網(wǎng)絡(luò)安全風(fēng)險(xiǎn),通過傳統(tǒng)的手段控制經(jīng)營風(fēng)險(xiǎn),在多大程度上通過加強(qiáng)網(wǎng)絡(luò)安全管理來控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。這是一個(gè)明確網(wǎng)絡(luò)安全管理目標(biāo)的過程。網(wǎng)絡(luò)安全沒有百分之百,沒有萬無一失,同時(shí),網(wǎng)絡(luò)安全的成本相當(dāng)可觀,應(yīng)該有所取舍,有一個(gè)可以努力的目標(biāo),有突破網(wǎng)絡(luò)安全風(fēng)險(xiǎn)底線的應(yīng)對措施。
這個(gè)過程可以參考國家等級(jí)保護(hù)管理的方法,按系統(tǒng)重要程度投入相關(guān)資源。首先要?jiǎng)澐直Wo(hù)對象重要性級(jí)別,可以按網(wǎng)絡(luò)區(qū)域和應(yīng)用系統(tǒng)來劃分保護(hù)單元,然后從保護(hù)單元受到破壞時(shí)受損害的業(yè)務(wù)及其受損害的程度兩個(gè)角度考慮每個(gè)保護(hù)單元的重要性級(jí)別。第二,每個(gè)保護(hù)單元從規(guī)劃階段就要考慮其重要程度和具體的安全需求,有針對性地部署安全措施,并且要隨著業(yè)務(wù)和信息化的發(fā)展對每個(gè)保護(hù)單元的安全級(jí)別和安全需求做必要的調(diào)整。第三,單位根據(jù)信息系統(tǒng)重要性級(jí)別確保網(wǎng)絡(luò)安全的投入,特別是人力資源的投入,確保網(wǎng)絡(luò)安全需要的人力和財(cái)力資源。
對于難以避免的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),必須考慮網(wǎng)絡(luò)安全防護(hù)措施之外的經(jīng)營管理風(fēng)險(xiǎn)控制措施。比如依賴互聯(lián)網(wǎng)上電子商務(wù)平臺(tái)開展業(yè)務(wù)的公司,要考慮數(shù)據(jù)備份等可實(shí)施的安全措施,也要考慮到公司對電子商務(wù)平臺(tái)的安全風(fēng)險(xiǎn)沒有控制能力,不僅要用合同約束平臺(tái)供應(yīng)商提供穩(wěn)定可靠的服務(wù),還要考慮電子商務(wù)平臺(tái)出現(xiàn)影響業(yè)務(wù)的網(wǎng)絡(luò)安全事件時(shí)的業(yè)務(wù)風(fēng)險(xiǎn)控制措施。
02 合理規(guī)劃信息化基礎(chǔ)設(shè)施的能力
信息系統(tǒng)的結(jié)構(gòu)清晰、層次分明、接口簡潔、功能定位明確,信息化規(guī)劃過程中充分考慮網(wǎng)絡(luò)安全需求,是做好網(wǎng)絡(luò)安全管理的良好基礎(chǔ)。
比如,涉密信息系統(tǒng)、非涉密信息系統(tǒng)、互聯(lián)網(wǎng)全風(fēng)險(xiǎn)有很大區(qū)別,國家對這三種網(wǎng)絡(luò)的監(jiān)管政策不一樣,單位必須明確這三網(wǎng)的功能定位,涉密的應(yīng)用毫無疑問放在涉密網(wǎng)絡(luò),非涉密的應(yīng)用放在涉密網(wǎng)、非涉密或互聯(lián)網(wǎng)都可以,應(yīng)該考慮非涉密應(yīng)用的用戶范圍、工作流程、所存儲(chǔ)處理信息的來源和用途、和其他應(yīng)用系統(tǒng)的關(guān)系等因素,合理部署該應(yīng)用,才能使涉密信息系統(tǒng)、非涉密信息系統(tǒng)、互聯(lián)網(wǎng)之間的邊界清晰,信息交換接口少而且好用可控,既便利信息資源合理利用,又便于網(wǎng)絡(luò)安全管理。
再比如,大部分的網(wǎng)絡(luò)安全控制目標(biāo)既可以通過網(wǎng)絡(luò)層實(shí)現(xiàn),也可以通過應(yīng)用層實(shí)現(xiàn),網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)的時(shí)候就要考慮網(wǎng)絡(luò)層和應(yīng)用層的安全分工,考慮后續(xù)應(yīng)用系統(tǒng)對安全的需求。
03 以網(wǎng)絡(luò)安全法規(guī)為抓手開展網(wǎng)絡(luò)安全管理的能力
網(wǎng)絡(luò)安全管理的一大難點(diǎn)是網(wǎng)絡(luò)安全投入的績效評(píng)價(jià)困難,而績效評(píng)價(jià)難的原因是建立網(wǎng)絡(luò)安全管理的指標(biāo)體系非常困難,合規(guī)性給單位提供了一套可操作的績效評(píng)價(jià)指標(biāo),以網(wǎng)絡(luò)安全法規(guī)標(biāo)準(zhǔn)政策為抓手,開展單位網(wǎng)絡(luò)安全管理,是一種很好的工作方法。我說的是以此為抓手來推動(dòng)單位的網(wǎng)絡(luò)安全管理,而不是機(jī)械地對標(biāo)。不同的信息化對象適用不同的法規(guī)標(biāo)準(zhǔn)政策,搞清楚每個(gè)信息化對象需要遵循的要求,這些要求中有的是剛性的,必須嚴(yán)格執(zhí)行,但大部分要求在落地時(shí)有很多可以選擇的解決方案,有的標(biāo)準(zhǔn)是一個(gè)可選擇的安全措施全集,落地時(shí)需要結(jié)合實(shí)際做裁剪,這個(gè)過程中的溝通體現(xiàn)管理水平和專業(yè)能力。
如標(biāo)準(zhǔn)在單位落地時(shí)可以有不適用項(xiàng),不需要實(shí)現(xiàn),只需要做不適用原因的分析。
如等級(jí)保護(hù)和分級(jí)保護(hù)標(biāo)準(zhǔn)都對應(yīng)用系統(tǒng)的安全審計(jì)有要求,單位可以結(jié)合業(yè)務(wù)流程確定具體審計(jì)哪些行為,記錄哪些日志,這對業(yè)務(wù)流程起到很好的監(jiān)管作用。
二、管理層網(wǎng)絡(luò)安全意識(shí)
意識(shí)來源于知識(shí)。管理層的網(wǎng)絡(luò)安全知識(shí)匱乏是普遍現(xiàn)象。后果是對網(wǎng)絡(luò)安全管理口頭上重視,行動(dòng)上忽視,投入上無視。
網(wǎng)絡(luò)安全的投入是實(shí)打?qū)嵉恼娼鸢足y,但回報(bào)是隱性的,不存在利潤指標(biāo),無法用利潤高低來衡量工作效益,使管理人員難以就各種目標(biāo)的相對重要性達(dá)成共識(shí),造成網(wǎng)絡(luò)安全在需要投入時(shí)爭取不到應(yīng)有的資源。
由于這樣的特性,網(wǎng)絡(luò)安全工作一般依靠三種力量相結(jié)合來推動(dòng)。第一種力量來源于領(lǐng)導(dǎo)。網(wǎng)絡(luò)安全是一把手工程,一把手重視了,從上到下各級(jí)管理層就重視了,這要依賴于單位領(lǐng)導(dǎo)強(qiáng)烈的網(wǎng)絡(luò)安全意識(shí)。第二種力量來源于制度。網(wǎng)絡(luò)安全成為硬性要求,融入操作規(guī)程,成為考核各級(jí)管理層和員工的指標(biāo)。第三種力量來源于全體人員的安全意識(shí)。將網(wǎng)絡(luò)安全要求內(nèi)化于心,外化于行。其中,制度的力量取決于第一和第三種力量的大小。如果安全意識(shí)不足,制度很容易淪落為形式,雷聲大雨點(diǎn)小,高投入低效能。
員工的網(wǎng)絡(luò)安全意識(shí)教育相對比較好做,現(xiàn)在的網(wǎng)絡(luò)安全意識(shí)教育基本上都是針對員工的,不是針對管理層的。管理層的安全意識(shí)難抓,但管理層的意識(shí)比員工的意識(shí)更重要。管理層并不熱衷于學(xué)習(xí)網(wǎng)絡(luò)安全知識(shí),領(lǐng)導(dǎo)認(rèn)為網(wǎng)絡(luò)安全是個(gè)專業(yè)的事,自已不用學(xué),另一個(gè)原因,當(dāng)前的網(wǎng)絡(luò)安全意識(shí)教育未列入管理層學(xué)習(xí)培訓(xùn)的視野中,培訓(xùn)機(jī)構(gòu)及人事部門沒有充分培育領(lǐng)導(dǎo)干部網(wǎng)絡(luò)安全意識(shí)培訓(xùn)的市場。管理層的網(wǎng)絡(luò)安全意識(shí)和員工應(yīng)該有不同的視角,這一塊的培訓(xùn)應(yīng)該怎么做,是一個(gè)值得深入挖掘的問題。培訓(xùn)者需要結(jié)合企業(yè)經(jīng)營管理來分析網(wǎng)絡(luò)安全的問題,這樣的課程才對高級(jí)管理人員有吸引力,有價(jià)值。
2017年習(xí)近平總書記在國家安全工作座談會(huì)上指出,要筑牢網(wǎng)絡(luò)安全防線,提高網(wǎng)絡(luò)安全保障水平,強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù),加大核心技術(shù)研發(fā)力度和市場化引導(dǎo),加強(qiáng)網(wǎng)絡(luò)安全預(yù)警監(jiān)測,確保大數(shù)據(jù)安全,實(shí)現(xiàn)全天候全方位感知和有效防護(hù)。國家在對機(jī)關(guān)和事業(yè)單位的審計(jì)工作中,已經(jīng)將網(wǎng)絡(luò)安全工作的開展情況列入審計(jì)內(nèi)容,國家機(jī)關(guān)和事業(yè)單位領(lǐng)導(dǎo)的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)將越來越受到重視。
將網(wǎng)絡(luò)安全意識(shí)教育融入到管理層的學(xué)習(xí)培訓(xùn)將是一個(gè)發(fā)展趨勢。
三、網(wǎng)絡(luò)安全隊(duì)伍建設(shè)
當(dāng)我們講網(wǎng)絡(luò)安全隊(duì)伍建設(shè)的時(shí)候,我們先得說說網(wǎng)絡(luò)安全隊(duì)伍的結(jié)構(gòu)。
一個(gè)單位可以投入到網(wǎng)絡(luò)安全的力量大致有以下幾類,其中前兩類肯定是單位內(nèi)部人員,第3類可能是內(nèi)部人員,也可能是委托的外部團(tuán)隊(duì),第4、5兩類是外部力量,通過合約關(guān)系來為單位提供服務(wù):
1. 網(wǎng)絡(luò)安全管理。規(guī)劃管理單位網(wǎng)絡(luò)安全,將網(wǎng)絡(luò)安全與單位經(jīng)營管理活動(dòng)相結(jié)合。
2. 信息化管理。規(guī)劃管理單位信息化工作,將信息化與單位經(jīng)營管理活動(dòng)相結(jié)合。
3. 信息系統(tǒng)運(yùn)行維護(hù)。運(yùn)行維護(hù)信息系統(tǒng),重點(diǎn)在信息系統(tǒng)投入使用后的管理。
4. 信息系統(tǒng)集成商或網(wǎng)絡(luò)安全廠家的技術(shù)支持。單位在系統(tǒng)集成或購買產(chǎn)品后,可以獲得后續(xù)服務(wù),也可以長期購買,一般會(huì)局限在與所購買產(chǎn)品相關(guān)的服務(wù)領(lǐng)域。
5. 網(wǎng)絡(luò)安全咨詢服務(wù)與技術(shù)服務(wù)。根據(jù)單位需要購買網(wǎng)絡(luò)安全專業(yè)服務(wù)。
以上的五類人員,2、3、4類人員是當(dāng)前網(wǎng)絡(luò)安全依賴的主要力量,但他們的工作重點(diǎn)和關(guān)注焦點(diǎn)是信息化,網(wǎng)絡(luò)安全不是他們關(guān)注的焦點(diǎn)問題。1和5類人員才是單位網(wǎng)絡(luò)安全的專業(yè)力量,但當(dāng)前這兩支隊(duì)伍都比較弱。
先說網(wǎng)絡(luò)安全管理隊(duì)伍。兩種薄弱表現(xiàn),一種是崗位設(shè)得太低,與職責(zé)不匹配,這是普遍現(xiàn)象。這里的隊(duì)伍建設(shè),首先指的是崗位設(shè)置、崗位職責(zé)和權(quán)限的分配。業(yè)務(wù)對信息化依賴程度高的單位需要一個(gè)高級(jí)崗位,規(guī)劃管理和監(jiān)督單位網(wǎng)絡(luò)安全,將網(wǎng)絡(luò)安全與單位經(jīng)營管理活動(dòng)相結(jié)合,不僅需要有專業(yè)背景和管理能力,也需要相應(yīng)的權(quán)限和溝通渠道,才能做好工作。但好多這樣的單位只設(shè)了一個(gè)低級(jí)的網(wǎng)絡(luò)安全管理崗位,很難履行相應(yīng)職責(zé),有的甚至沒有設(shè)專崗。這方面普遍不足,也意味著網(wǎng)絡(luò)安全管理人員沒有向上發(fā)展的通道,這是整個(gè)社會(huì)網(wǎng)絡(luò)安全管理人員隊(duì)伍儲(chǔ)備嚴(yán)重不足原因之一。第二種薄弱的表現(xiàn),是網(wǎng)絡(luò)安全管理人員的素質(zhì)與職責(zé)不配匹。這是一個(gè)綜合素質(zhì)和專業(yè)素質(zhì)要求很高的崗位,當(dāng)前市場人才非常缺,學(xué)習(xí)成長的周期也長。
我們經(jīng)常看到的情況,信息化是單位二級(jí)部門的一項(xiàng)職責(zé),有兩個(gè)人負(fù)責(zé)信息化管理,其中一人兼管網(wǎng)絡(luò)安全,信息系統(tǒng)運(yùn)維委托外部機(jī)構(gòu)。信息化或網(wǎng)絡(luò)安全的規(guī)劃也由運(yùn)維機(jī)構(gòu)提供支持。二級(jí)部門負(fù)責(zé)人及上一級(jí)部門負(fù)責(zé)人都沒有網(wǎng)絡(luò)安全專業(yè)基礎(chǔ)。這樣的網(wǎng)絡(luò)安全管理隊(duì)伍,很難應(yīng)對信息化高度發(fā)展情況下的網(wǎng)絡(luò)安全管理需求。
網(wǎng)絡(luò)安全管理人員隊(duì)伍薄弱,直接導(dǎo)致單位網(wǎng)絡(luò)安全需求不明確,網(wǎng)絡(luò)安全目標(biāo)感缺失。而這一問題,又使網(wǎng)絡(luò)安全咨詢服務(wù)與技術(shù)服務(wù)的市場不能獲得良好的培育。