复杂性科学将世界上所有的问题分为三类,简单问题、复杂问题和极端复杂问题。信息安全本身包括的范围就很大,企业信息安全工作更会受企业性质、企业人员、网络环境、应用系统等多重因素影响。安全推进工作需要适应这些复杂情况,企业信息安全可以算是一个“极端复杂问题”。
一、信息安全是信息化的根本
- 在2021年以前,IT团队对于信息安全还停留在服务器宕机、数据灾备、权限管理的基本认识上,对于网络准入、终端设备管理、信息防泄密、系统接口认证、安全紧急预案等企业安全问题,根本没有概念。这种无知者无畏的状况也直接导致了公司发生了信息安全重大事故。
针对以上情况,我们深刻检讨了对信息安全的重视度问题:如果信息安全出了状况,任何建立在此之上的上层建筑都会崩塌。我们需要重新审视安全工作的组织、方法和策略,更要将安全技术思维、安全管理思维和安全运维思维融合到一起,来解决企业信息安全这个极端复杂的问题。
二、信息安全工作的着眼点
- 我认为信息安全工作都是从“痛点”和“合规”两个维度开展,所谓痛点就是解决“安全范畴的实际问题”,合规就是“管理手册”“安全准则”“处置办法”等之类的符合企业实际应用的标准。
按照我司规划的信息化建设与应用情况,我们对安全范畴作了如下分类:
- 数据安全,其中包括了业务数据的安全存储、灾备、加密、授权访问等;
- 办公安全,其中包括了网络准入、防病毒、防勒索、系统升级、行为审计等;
- 工业网络安全,其中包括了机房物理环境、通信链路安全、工控系统安全、终端防伪等。
根据以上安全范畴,安全专家需要制定《网管工作手册》、《应急事件处置办法》、《网络安全规章》等符合各个板块的“合规性”标准文件,并且要以专业的态度对这些标准逐字逐句地进行评审,兼顾信息安全的普适性和全面性。制定这些合规标准的意义在于确定一个更高层、更全面的思想原则,指导我们从宏观的视角审视企业的安全建设问题。
三、信息安全的管理之道
- 信息安全工作与几乎所有技术工作都不一样,工作的涉及面很广,不懂技术是不行的,而只懂技术是不够的。安全工作者要以管理者的视角来看待信息安全问题。
这两天与安全专家在讨论2022年IT安全目标与工作计划时,针对安全管理策略展开了具体的讨论。安全专家的观点是“通过业内优秀的安全管理工具可以达到规范网络安全与终端管理的目的”。我的观点是“三分技术、七分管理:通过周期性安全审计与项目评审,结合一定的技术工具实施,达到信息安全的管理目标”,理由如下,第一、管理本身就是安全保护非常重要的前提:从管理层,以及实施层和执行层,都要有专人负责安全事件响应(各个板块的IT主管、工程师都是安全员),通过闭环管理,保证系统化规避风险。第二,我们需要有对应的安全策略、组织流程以及工具,来完成安全全面保护的工作。第三、安全是基础,但安全管理的实施是落实在不同的场景下的,只有考虑不同场景,考虑不同的切实需求,才能做好一个信息安全系统。
结论
- 信息安全是信息化的根本,要做好安全工作,需要投入很大的精力,IT安全团队更需要得到公司决策层的大力支持;信息安全工作要从“痛点”和“合规”两个维度开展,着眼于解决有价值的“实际问题”,而不是空泛地建立一套僵化的体系;信息安全工作“三分技术、七分管理”,各个板块的IT主管、工程师都是安全责任人,只有形成闭环管理,才能系统化地规避风险。