知乎自动推送了个可以无限发散的问题让我回答:“网络安全工作日常都干些什么?”
笔者:国际认证信息系统审计师、软考系统分析师
于是就自己的情况大致写了一下。过后想想确实,不仅隔行如隔山,就算都是计算机专业领域,如果是单纯做开发,基本都不了解网络安全工作究竟要做些什么。
所以就继续在这个话题上展开讲讲,有部分内容是我在知乎那边回答的内容。
前提:本人职业生涯中,按首次执行等保1.0测评开始计算,从事网络安全管理已有7年,基本上就是和《网络安全法》出台同步。而自己因工作关系而能在网络安全方面持续接触和观察的对象,包括了政府部门、事业单位、国有企业和私营企业。
我在知乎那边第一句话就是说“单纯看职业分工其实是没有实际意义的”,其实这多半是因为自己的情况,从相当于CISO到安全主管到具体安全操作员都是自己一个人的职责,其它人都是“准乙方”身份。现实就是如此。
所以,“在实际工作中就基本不存在螺丝钉式的网络安全岗位。”,就是自己的真实情况写照。
由于实际工作包罗万有,只能从自己的角度概括地说一下要做些什么。
网络安全的特殊性,决定了管理岗位必须是通才型的全能人员。
管理岗位需要熟悉网络安全相关法律法规、各级监管部门规章、等级保护相关标准、各种信息安全认证要求等,能持续识别风险和设定风险缓解对策,然后制定相关的制度和操作规程,把制度上升为组织最高管理层的意志后,发布制度并按制度开展网络安全管理工作。
管理工作的重点是以制度去规范组织内网络安全部门之外的其它部门的行为,对各种违规行为进行上报处理。同时要求本部门人员按制度要求和规程内容执行日常工作,前瞻和应对风险因素。
作为管理者有一项比较重要的工作是组织开展网络安全应急演练,演练内容要贴近真实,紧扣安全热点,完成应急演练后还要总结和编写专项应对措施进行宣贯。
由于网络安全和信息化建设的关联性,网络安全管理部门一般同时也是信息化建设部门,作为管理者还需要在信息化建设方面,重点按网络安全“三同步”要求开展建设工作和等保测评工作。
这里插入说一下三同步:《网络安全法》第三十三条规定:“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。”
运营者在具体落实“三同步”原则时,可以从以下方面理解安全保护措施应当与关键信息基础设施的“三同步”:
首先,“同步规划”,是指在网络设施与信息系统的规划阶段同步引入安全保护措施,重点在于设计和规划与建设项目相匹配的网络安全方案;
其次,“同步建设”,要求在项目建设阶段,通过落实系统集成商、网络服务提供商,保证相关安全技术措施的顺利准时实施,保证项目上线时,安全保护措施的验收(也就是等保测评)和工程验收同步,确保只有符合安全要求的系统才能上线;
最后,“同步使用”,网络设施和信息系统安全验收后的日常运行和维护中,应当保持网络设施与信息系统处于持续安全防护的水平,并符合国家的相关安全技术标准,也就是要做好日常安全运维,尤其是要定期进行渗透测试和漏洞修补,以及定期复测。
如果是政府部门、事业单位或国有企业,还需要按网信办、政数部门的要求开展网络安全工作,重点在法律法规监管要求的学习、宣贯、培训、宣传,参与攻防演练,接受专项检查等等。
在等保标准中定义的安全主管、安全管理员和安全审计员这三个角色,实质上属于综合岗位。
因为这三个角色所执行的工作性质实质都是管理性质,但都必须有一定的技术背景去支撑其履职,且工作实际中也需要执行一些技术性工作。所以这三个岗位我将其定义为综合岗位。
一般地,安全主管同时由前述网络安全管理岗位人员承担。如果这两个角色由两个人分别担任,那么一般是因为网络安全管理岗位人员的技术水平不足以支撑其履职,而不是安全主管的管理能力不足以支撑其履职。因为网络安全管理岗位只需要指挥安全主管1个人即可,而安全主管需要指挥所有的其它网络安全人员。
在大多数企业组织中,目前最尴尬的情况就是网络安全管理岗和安全主管这个角色的分置问题。分置导致要么网络安全管理岗形同虚设撒手不管,要么就是乱管(看看安全主管是否频繁换人便知)。
而有些企业的网络安全管理还信奉通过非专业人员制衡专业人员这一套人治管理手段,还美其名为“职责分离”的实践。这是制造该混乱局面的另一种情况。
无论什么原因,以及哪一种情况,这样的企业组织的网络安全管理必然是不到位的,没有例外。
能认识到这一点并积极进行内部变更的企业才有可能具备真正应对网络安全风险的能力。
需要补充说明一点的是,等保标准中对安全审计员的角色描述不多,但实际上安全审计员是非常重要的职责,如果没有有效的安全审计,网络安全工作究竟做到位了没有,是无法评定的。
关于信息系统审计,可以参考ISACA协会的CISA国际信息系统审计师认证考试的要求,从科普性的内容开始了解:
ISACA Journal | 数字化转型时代,审计该何去何从?
作为技术人员,按等保标准要求,由管理者按岗位不相容、个人技术能力和水平等因素设定具体岗位,按制度和规程执行日常工作,协助开展信息化建设和等保测评工作。
技术岗位人员最关键的几项工作包括:信息系统授权管理和功能变更管理、对信息化终端(及其使用人)进行集中控制的安全管控、按风险通报对信息系统及基础设施进行漏洞排查、对信息系统和基础设施安装测试漏洞补丁、检查各种安全设备和信息化设备的工作状态,核查日志机收集的各种日志是否存在异常情况、升级各种安全设备和信息化设备的特征库和固件软件、风险点定期巡查、检查数据备份情况、定期执行备份还原测试、执行或协助执行渗透测试、根据风险情况及时调整加固各种信息化核心设备、参与攻防演练、参与执行网络安全宣传宣贯等。所有的工作内容都要有授权审批和执行记录。
如果要区分,就要看自己具体承担了等保标准中设定的哪个岗位的角色,角色总体的职责要求已经在等保标准中给出。
需要注意的是,上述两大类岗位的能力要求,已经由GB/T 42446-2023 《信息安全技术 网络安全从业人员能力基本要求》国家标准定义并已经发布,将在2023年10月1日起正式实施。虽然该标准是推荐性标准,但如果纳入等保测评范围作为等保要求,就等同于强制性标准。相关岗位角色人员应前瞻性地做好准备。
http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=AD7E0F02219B63653BF850759A1030C4
GB/T 42446-2023 信息安全技术 网络安全从业人员能力基本要求
大部分甲方是难以雇佣具备足够水平的网络安全技术人员的,包括了成本和用人两方面因素。
在甲方来说,有些工作可以交给专业的安全服务机构进行,但安全主管、安全管理员、安全审计员这三员必须是甲方人员。
从事网络安全运维服务的机构,需要取得相应的资质。甲方在与之签订合同时,需要核查其资质的完整性和有效性,也就是需要进行必要的供应链安全管理。
在网络安全运维服务履行期间,甲方也绝对不能当甩手掌柜,全盘交付。这首先是因为网络安全的主体责任因素是无法转移的,乙方所承担的只是具体工作的责任。在合同中预设相应的服务质量要求条款,并据此在合同履行期间持续进行运维服务过程的监督,是完全必要的。
安全管理制度并不难写,因为网络安全标准和等保测评项目中的管理要求,已经把制度的框架和关键点说得很清楚。
所以写制度的核心关键问题只在于这制度究竟能不能落地,而不是要写什么。落地的关键在于企业组织的高级管理人员要认同并带头遵守,否则上行下效就形同虚设。
具体地,制度内容应该具备如下要点:
1. 目的明确:制度的目的必须清晰直观,内容必须切实可行,才能够有效地规范被管理人员的行为,在保证安全的前提下保持工作效率不降。
2. 区分对象:网络安全制度的框架并没有很严格地区分开专业人员和非专业人员两种有根本区别的管理对象。在具体编写制度时,应该将两者区分用不同的制度实施管理。其中,对非专业人员适用的制度,应确保语言通俗易懂,尽量避免使用专业术语,使非专业人员更容易理解和掌握。
3. 结合实际:要达到保持工作效率不减的目的,制度内容必须结合实际情况进行编写。要根据企业组织内不同的角色、岗位和工作场景,制定相应的管理要求,以确保制度的针对性和可行性。
4. 培训考核:人员培训是网络安全的关键要求,培训的有效性,需要用考核去体现。考核方式既可以是岗位性的,也可以是绩效性的,从而激励相关人员主动增强安全意识、提高责任感。
5. 奖惩机制:安全管理要求如果不建立奖惩机制,仅凭人的主观能动性是不现实的。因此,不仅需要将网络安全要求纳入绩效考核,还必须建立起有震慑力的惩罚措施,对违反制度的人员进行惩罚,制度的权威性才能得到巩固,才能真正有效施行。
在笔者的实践中,把网络安全制度内容划分为三大方向去编写:总体管理要求(面向高级管理层)、运维管理要求(面向专业人员)和使用管理要求(面向用户),形成三份符合等保要求、内分章节的大型网络安全管理制度(总共超过4.6万字),不同的人员按自己在企业管理中的层次可以快速定位到相关要求。
制度和规程不是一件事。制度是纪律性的要求,规程是规范性的要求。对于等保测评中所要求实施的各种日常运维工作,其中相当一部分完全是技术性的,不适合写入制度。应该用规程的方式进行确定、发布,并以制度作为支撑,要求人员(注意:可能也包括用户)按规程执行技术工作。
笔者按等保2.0的要求编写的操作规程总数超过20项。大部分都需要常态化执行,并对应地产生运维记录。网络安全工作要求的复杂性和工作量可见一斑。
需要注意的是规程的格式和内容。格式上,必须清晰指出规程明确的是什么工作,以及相应由哪些角色人员执行。内容上,应清晰地给出执行步骤和预期结果,对执行中的异常情况进行前瞻列出,并给出应对方法。
最后要谈谈应急预案。
应急预案并不是单纯网络安全管理部门的事。是在出现情况时,如何调动整个企业的资源和力量去应对的规范化的要求。
企业内应急预案的制订,关键在于要能落地实施才有意义。应急预案不是制度,但又堪比制度:在出现紧急情况时,有效的应急预案可以起到控制事态发展、及时消除影响、恢复生产、保留现场待进一步调查等作用。
应急预案的制订过程,应基于风险分析、业务影响分析、业务持续性要求为前提,纳入灾难应对措施,确定灾难恢复点目标和灾难恢复时间目标等要素,并综合企业内各部门的职责在应急时应发挥的作用去设计。
完成应急预案的制订后,必须进行演练。演练过程可以采取桌面推演、测试环境模拟、生产环境模拟等方式。具体采取何种方式,取决于成本和影响。
在本篇的开头我就指出了,这个话题可以无限发散。简单举个例子就是在文章中间提到的国际信息系统审计师认证考试的考试大纲材料,全书110万字,简直是“包罗万有”。
虽然,安全审计员的岗位要求与信息系统审计师还是有一定距离,实际充当的是审计师的下手,但就这一个岗位的工作内容,已经可以发散到无影无踪。
所以,虽然这篇东西看上去也挺长,但和实际情况比,还只是九牛一毛。权当给读者的启示罢了。
本站微信订阅号:
本页网址二维码: