这几年国内网络安全概念很热,国家层面在谈,政府在谈,各种公司在谈,各行各业的从业人员也在谈,仿佛网络安全一下子从圈子内专业人员的小众化专业词汇,变成众人热捧的时尚名词,从业人员无论是薪水还是专业地位得到了前所未有的提高与重视。无论从业务保障视角还是专业价值体现甚至到国家安全层次,网络安全 理应上升到一定的高度,得到肯定和重视。
说了这么多网络安全,那么网络安全是什么呢?先从这个词语本身来看,大概在90年代末期国内出现了与计算机安全有关的内容与要求,成为网络安全,如果对应成英文会更容易理解Network Security,没错,就是网络安全,以网络为核心的安全。当时的环境,信息化较早的公司开始建设企业网络,国家也在开始部署X金工程,金卡、金关、金盾等等,核心内容就是两个业务系统信息化与跨地域网络联通,这种大环境下,安全的重点就不难理解为网络层面的安全,保护网络的边界,确保联网后不出现重大安全事件。过了几年,大概到2005、2006年,开始采用信息安全这个词语,对应的英文变为Information Security,更加重视保护信息,也就是内容与数据,这时的信息安全所指的安全涵盖范围更广泛,内容更多样,包括了传统的网络安全内容,也包括了信息、数据等安全内容。近几年安全的专业词语又发生了变化,成为网络安全,但这个网络安全不同于最初的网络安全,从英文上看,已经演化为Cyber Security,可以理解为网络空间的安全,这个范围就更大更广泛了,甚至不仅仅是商业视角的范畴了,具体几个词语的意义与演化可以在网上找找,有很清晰的解释。
不管称为网络安全也好,信息安全也好,词语在更新,内容在演化,涵盖的领域也在不断完善与丰富,这就要求我们从业人员深刻领会与理解,并运用到实际专业工作中。不过从实践角度来看,笔者从1998年开始专业从事网络安全工作到现在也有17年的时间,国内无论是甲方安全管理还是乙方的安全服务与咨询,大部分的重点还是放在了传统IT安全的领域,比较侧重在技术与基础安全,这些方面不是不重要,只是可能忽略与遗漏企业安全中其他领域,从而降低IT安全本身的价 值。从一个公司商业利益的角度,所有的投资最终要转化为对商业利益有所贡献的活动,这也是公司所有者、经营者、高级管理层更加重视与更容易理解的内容。在 IT安全活动与商业利益活动中,往往缺乏了一些直接的关联关系或者中间层次的递进,出现企业中高层非常重视安全但又很难理解安全价值的情况。
笔者结合自己的专业经验与遇到的各种企业安全情况,总结了一些内容,供大家参考,如能对各位工作有所帮助,也算是一点小贡献吧。
首先,企业安全不是一个二维平面的状态,简单说,企业安全不是一般物理上看到的地域、区域、部门、分支机构连接的平面图,在二维平面上往往更加关注在网络 安全、边界安全、访问控制等安全设备的堆叠与各种解决方案的部署,而企业安全应该是一个三维、四维的立体时空状态,今天我们先不讨论“四维时空企业安全理论”,这个我会单独文章分享与探讨。从三维角度,企业安全包括安全纵深维度、安全情景维度与安全策略维度。
如下图所示:
企业安全三维图
企业安全纵深维度包括:业务安全、应用安全、数据安全、技术安全。
我们现在大部分的安全工作侧重在技术安全与一部分数据安全,对应用安全与业务安全涉及较少,或者这部分工作由企业内其他团队负责,可能出现纵深维度的脱节,当然这方面的全栈型人才本来就极少,能把4个层次贯通起来的,同时视角又够一定层次的就更少了。
不过具体4个层次的内容,在这里就不解释,大部分应该都能理解,后续也会写一些专题,讨论各个层次的问题。
安全情景维度包括:
行业特性,每个行业自身的安全要求具有较大差异。
业务特性,由于业务特性的要求,每个企业即使行业类似,对安全的要求与重点领域同样具有较大差异。
体系架构,体系架构的要求,对安全影响更加直接,如应用云计算环境与传统计算模式对安全要求的巨大差异。
合规要求,合规驱动的安全,无论是监管还是资本市场亦或是特殊行业要求,如银监会的指引、Sox与C-Sox、PCIDSS、ADSS等,数据保护、隐私管理等等。
这些内容会贯穿整个企业安全纵深维度,也就是不仅仅考虑业务安全,应用安全、数据安全与技术安全同样面临各个安全情景维度的引导与控制。
企业安全策略维度包括:
战略规划,企业的安全战略与总体要求,指引整个企业的安全活动
管理体系,管理要求
技术体系,技术要求
解决方案,落地的实务方案与执行
这个维度的内容,从企业的安全战略出发,正式或者非正式的安全战略指引企业安全的方向,成为企业安全与公司高层次策略与管理者的接口,通过管理体系与技术 体系的企业安全管控与建设要求,形成具体化的流程、活动、行为准则,承接战略目标的落地与具体解决方案的价值保障,最终所有内容通过解决方案得到落地执行。