淺談甲方企業(yè)信息安全建設(shè)的方法論

从目前了解的情况来看，甲方安全团队规模在一个企业内部的人员占比还是非常低的，在企业安全建设中，大部分安全措施的落地都是由系统、业务和开发团队来实施。这时候，对于安全团队来说，就非常需要注意安全工作的方式方法了，以便将企业的信息安全建设逐步走向正轨。本文就是我对企业信息安全建设的方法论的一些思考。

一、紧随高层利益攸关者

在企业粗放式发展初期，甚至是进入大企业行列，信息安全也可能根本就不会进入CTO的思考范围，更别说CEO级别的管理层了。当然这两年情况好多了，在网络安全法颁发、中央网信委成立后，CEO级别的管理层公开支持网络安全工作必然是政治上正确的事，但这也不一定能成为你开展信息安全工作坚强后盾。笔者以为，信息安全工作最坚强的后盾应该是数据中心老大或CTO类的人员，因为信息安全事件最大的受害者可能是他们，出现重大信息安全事件最可能履责者也较大可能是他们。因此，从某种程度上说，我们和数据中心老大或CTO类老大对安全的诉求是一致的，我们要紧紧跟随在他们周围，适当利用他们的权力和影响力把一些信息安全诉求传递出去。但是，我们也不能什么事都往CTO那里转，如果这样，要你信息安全部干什么?有些事能控制风险就本级解决吧。这里就有个问题，哪些事是需要上升到CTO级别人员解决的呢?需要各位CSO们自己考虑掌握了。

二、团结同盟军

虽然信息安全占据了一定的政策利好以及领导支持优势，但是，人少要求多是不可忽视的基本事实，因此，这就要求信息安全团队需在企业内部找到同盟军，以应对更加突出的安全风险。一般来说，基础设施部门是一个不错的同盟军选择，比如网络团队、云管平台团队、主机系统团队等。主要原因有：(一)基础设施规模庞大，整改难度大，盲目把他们作为主要治理对象可能会很难出成绩;(二)信息安全基础设施的很多建设需要依赖基础设施部门支持，比如流量采集、监控节点部署、主机申请、网络策略开通等。(三)基础设施大部分都不会直接对外，风险等级不会太高，反观应用安全确是当前风险等级最高、安全管理最急迫的领域。通过团结同盟军，一起把应用开发安全管理好，在此之中，再逐步对基础设施部门提一些容易整改的安全需求，毕竟也是一个战壕里的战友，基础设施部门估计也不好意思拒绝。当然，各个单位遇到的突出矛盾和情况也存在很大差别，寻找什么样的同盟军需要自己斟酌考虑。

三、抓主要矛盾

虽然企业安全团队可能怀抱伟大理想，团队初建可能意气风发，踌躇满志，想尽快把企业安全防护水平整体提高一个台阶，但是，对于系统、开发以及业务团队来说，企业安全建设与管理都是给人家添加工作量的事情，可能因为一个安全要求导致他们整个系统要返工重做，从思想上、意识上有一定的反抗情绪也是人之常情。因此，对于企业安全建设来说，最重要的工作是做调查研究，了解企业IT建设与安全管理现状，识别影响组织和企业最大的风险，然后再根据风险找出安全管理的牛鼻子方法，抓住安全风险的主要矛盾，这也是ROI平衡的一个具体方面，切不可能眉目胡子一把抓，事事都管，没有重点，把本就弱小的安全团队像撒芝麻一样撒到各个项目或事务中，不能团结一致干一件事，最后估计也难成一事。

四、以可证明的风险说话

Linux 的创始人 Linus Torvalds 在 2000-08-25 给linux-kernel 邮件列表的一封邮件提到的：Talkischeap，Show methecode。在安全管理上依然适用，当我们像唐僧念经一样翻来覆去的提示风险，揭示风险，却没有任何”漏洞利用证明“，也不能拿出有效规避风险办法，对于企业里的其他人员来说，这些语言来说都是苍白无力，而且还会对信息安全部门产生无用论、能力不足论等思想。风险本来就是抽象的，把抽象的概念传达给企业内员工，我们只能用结果来说话，比如拿下系统控制权、下载了关键数据等。因此，我们要充分发挥自己的专业能力，利用渗透测试、众测、攻防演练去最大限度的发现及证明各类风险危害，用鲜活的事例来教育员工。

五、切不可本本主义

安全工作最大的两个动力：事件驱动和监管要求。内部安全事件不能经常发生吧，外部事件又总是有点隔靴搔痒之感，能说一说，但是很难转化为行动的动力。很多时候能说事就只有监管要求，但是我们也要注意不能拿着监管要求、安全体系等盲目要求按章办事、逐条落实，不考虑企业现状，这就会犯了本本主义和教条主义错误。比如，监管要求中要求：生产和测试网络要严格隔离。这一条用意当然是好的，但是要在企业内部有效实施肯定会面临较大的阻碍，例如，有些系统想运转起来就是要求能够实现测试和生产联通;有些系统在测试环境搭建测试系统成本很大等等，这时候都可会导致生产和测试不能完全隔离。此时，就需要安全部门具有问题具体分析，灵活对待，在不违反重大原则、导致重大风险的情况下可以适当的、有限度的开绿灯。

六、慎用尚方宝剑

在企业的内部规章制度中，信息安全一般都会有一定的考核权和处罚权，也可能有些大领导的直接授权等，以此作为企业安全管理的尚方宝剑。但是，笔者想说的是，对于弱小且处于扩张中的团队来说，一定要慎用尚方宝剑，使用不当会导致我们提前树敌。虽然，我们本意和目的不是惩戒，主要目是提高安全意识。但是，我们应当明白，我们的处罚对于别人来说都会造成经济上、声誉上的损失，从而会对信息安全团队本身产生一定的逆反心理。同样，对于其他人员来说，这也会导致他们对信息安全团队产生一定隔阂，从此以后对信息安全管理不配合，或者表面支持、背地里敷衍、甚至使绊子，这些都会给信息安全工作带来较大的阻碍。但是，从长远看，考核权和处罚权仍然是我们推动信息安全工作的主要抓手。

七、善用乙方团队

现实场景中，有些乙方人员戏称甲方叫“甲方爸爸”，这是一句玩笑话，其实甲方合同才是他们真是的“甲方爸爸”，我们不过都是干活的。作为一个甲方安全人员，我们也应该明白，在业务高速发展和信息化程度越来越高的大背景下，甲方的安全人员在数量上、专业技能上还是与甲方的安全建设需求有一定的差距。那么这时候，乙方团队就是甲方信息安全建设力量的重要补充。很多方案设计、风险分析、技术实施都需要乙方人员的深度参与，毕竟他们在细分领域以及专业场景上，比我们甲方人员要见得多、识得广。作为甲方团队人员，我们要善于使用乙方团队，团结带领乙方团队快速高效地搭建起甲方的信息安全治理体系。

对于甲方来说，信息安全建设工作既是一个技术问题，但已经超越了技术问题，这里面牵涉了很多制衡、沟通、协调、妥协等方方面面的问题。作为甲方信息安全人员来说，在了解信息安全专业知识的时候，还应该多掌握一些战略战术层面的方法论，以让企业的信息安全工作能够更好的推广实施下去。

(本文是作者在企业安全实践中一些分析和思考，也是作者的一家之言，供大家参考。因个人能力、视野及技术水平限制，未免有些错误、偏颇以及疏漏，敬请读者谅解。)