您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
企事業(yè)單位網(wǎng)絡(luò)安全問題的三點思考
“大量的網(wǎng)絡(luò)安全檢查伴隨著問題的發(fā)現(xiàn),問題發(fā)現(xiàn)了就要分析原因。所有的網(wǎng)絡(luò)安全問題,最后都歸到人的問題上,就事論事都只能起到短期的改進作用,長期的改進都需要加強網(wǎng)絡(luò)安全隊伍建設(shè),加強管理層的網(wǎng)絡(luò)安全意識,才有可能提高單位整體網(wǎng)絡(luò)安全管理能力。”
軍工保密資格認證中心研究員黃次輝,站在單位的視角而不是國家的視角、行業(yè)的視角或者網(wǎng)絡(luò)的視角,為我們談?wù)?strong>單位網(wǎng)絡(luò)安全管理能力、管理層網(wǎng)絡(luò)安全意識和網(wǎng)絡(luò)安全隊伍建設(shè)這三點的思考與分析。
一、網(wǎng)絡(luò)安全管理能力
一個單位的網(wǎng)絡(luò)安全管理能力體現(xiàn)在以下幾個方面:
01 結(jié)合業(yè)務(wù)分析網(wǎng)絡(luò)安全風(fēng)險的能力
每個單位的業(yè)務(wù)模式?jīng)Q定了其對信息化環(huán)境的依賴程度,業(yè)務(wù)的信息化流程決定了其網(wǎng)絡(luò)安全的風(fēng)險點。梳理業(yè)務(wù)流程,深入分析網(wǎng)絡(luò)安全風(fēng)險點,確定在多大程度上接受網(wǎng)絡(luò)安全風(fēng)險,通過傳統(tǒng)的手段控制經(jīng)營風(fēng)險,在多大程度上通過加強網(wǎng)絡(luò)安全管理來控制網(wǎng)絡(luò)安全風(fēng)險。這是一個明確網(wǎng)絡(luò)安全管理目標的過程。網(wǎng)絡(luò)安全沒有百分之百,沒有萬無一失,同時,網(wǎng)絡(luò)安全的成本相當可觀,應(yīng)該有所取舍,有一個可以努力的目標,有突破網(wǎng)絡(luò)安全風(fēng)險底線的應(yīng)對措施。
這個過程可以參考國家等級保護管理的方法,按系統(tǒng)重要程度投入相關(guān)資源。首先要劃分保護對象重要性級別,可以按網(wǎng)絡(luò)區(qū)域和應(yīng)用系統(tǒng)來劃分保護單元,然后從保護單元受到破壞時受損害的業(yè)務(wù)及其受損害的程度兩個角度考慮每個保護單元的重要性級別。第二,每個保護單元從規(guī)劃階段就要考慮其重要程度和具體的安全需求,有針對性地部署安全措施,并且要隨著業(yè)務(wù)和信息化的發(fā)展對每個保護單元的安全級別和安全需求做必要的調(diào)整。第三,單位根據(jù)信息系統(tǒng)重要性級別確保網(wǎng)絡(luò)安全的投入,特別是人力資源的投入,確保網(wǎng)絡(luò)安全需要的人力和財力資源。
對于難以避免的網(wǎng)絡(luò)安全風(fēng)險,必須考慮網(wǎng)絡(luò)安全防護措施之外的經(jīng)營管理風(fēng)險控制措施。比如依賴互聯(lián)網(wǎng)上電子商務(wù)平臺開展業(yè)務(wù)的公司,要考慮數(shù)據(jù)備份等可實施的安全措施,也要考慮到公司對電子商務(wù)平臺的安全風(fēng)險沒有控制能力,不僅要用合同約束平臺供應(yīng)商提供穩(wěn)定可靠的服務(wù),還要考慮電子商務(wù)平臺出現(xiàn)影響業(yè)務(wù)的網(wǎng)絡(luò)安全事件時的業(yè)務(wù)風(fēng)險控制措施。
02 合理規(guī)劃信息化基礎(chǔ)設(shè)施的能力
信息系統(tǒng)的結(jié)構(gòu)清晰、層次分明、接口簡潔、功能定位明確,信息化規(guī)劃過程中充分考慮網(wǎng)絡(luò)安全需求,是做好網(wǎng)絡(luò)安全管理的良好基礎(chǔ)。
比如,涉密信息系統(tǒng)、非涉密信息系統(tǒng)、互聯(lián)網(wǎng)全風(fēng)險有很大區(qū)別,國家對這三種網(wǎng)絡(luò)的監(jiān)管政策不一樣,單位必須明確這三網(wǎng)的功能定位,涉密的應(yīng)用毫無疑問放在涉密網(wǎng)絡(luò),非涉密的應(yīng)用放在涉密網(wǎng)、非涉密或互聯(lián)網(wǎng)都可以,應(yīng)該考慮非涉密應(yīng)用的用戶范圍、工作流程、所存儲處理信息的來源和用途、和其他應(yīng)用系統(tǒng)的關(guān)系等因素,合理部署該應(yīng)用,才能使涉密信息系統(tǒng)、非涉密信息系統(tǒng)、互聯(lián)網(wǎng)之間的邊界清晰,信息交換接口少而且好用可控,既便利信息資源合理利用,又便于網(wǎng)絡(luò)安全管理。
再比如,大部分的網(wǎng)絡(luò)安全控制目標既可以通過網(wǎng)絡(luò)層實現(xiàn),也可以通過應(yīng)用層實現(xiàn),網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)的時候就要考慮網(wǎng)絡(luò)層和應(yīng)用層的安全分工,考慮后續(xù)應(yīng)用系統(tǒng)對安全的需求。
03 以網(wǎng)絡(luò)安全法規(guī)為抓手開展網(wǎng)絡(luò)安全管理的能力
網(wǎng)絡(luò)安全管理的一大難點是網(wǎng)絡(luò)安全投入的績效評價困難,而績效評價難的原因是建立網(wǎng)絡(luò)安全管理的指標體系非常困難,合規(guī)性給單位提供了一套可操作的績效評價指標,以網(wǎng)絡(luò)安全法規(guī)標準政策為抓手,開展單位網(wǎng)絡(luò)安全管理,是一種很好的工作方法。我說的是以此為抓手來推動單位的網(wǎng)絡(luò)安全管理,而不是機械地對標。不同的信息化對象適用不同的法規(guī)標準政策,搞清楚每個信息化對象需要遵循的要求,這些要求中有的是剛性的,必須嚴格執(zhí)行,但大部分要求在落地時有很多可以選擇的解決方案,有的標準是一個可選擇的安全措施全集,落地時需要結(jié)合實際做裁剪,這個過程中的溝通體現(xiàn)管理水平和專業(yè)能力。
如標準在單位落地時可以有不適用項,不需要實現(xiàn),只需要做不適用原因的分析。
如等級保護和分級保護標準都對應(yīng)用系統(tǒng)的安全審計有要求,單位可以結(jié)合業(yè)務(wù)流程確定具體審計哪些行為,記錄哪些日志,這對業(yè)務(wù)流程起到很好的監(jiān)管作用。
二、管理層網(wǎng)絡(luò)安全意識
意識來源于知識。管理層的網(wǎng)絡(luò)安全知識匱乏是普遍現(xiàn)象。后果是對網(wǎng)絡(luò)安全管理口頭上重視,行動上忽視,投入上無視。
網(wǎng)絡(luò)安全的投入是實打?qū)嵉恼娼鸢足y,但回報是隱性的,不存在利潤指標,無法用利潤高低來衡量工作效益,使管理人員難以就各種目標的相對重要性達成共識,造成網(wǎng)絡(luò)安全在需要投入時爭取不到應(yīng)有的資源。
由于這樣的特性,網(wǎng)絡(luò)安全工作一般依靠三種力量相結(jié)合來推動。第一種力量來源于領(lǐng)導(dǎo)。網(wǎng)絡(luò)安全是一把手工程,一把手重視了,從上到下各級管理層就重視了,這要依賴于單位領(lǐng)導(dǎo)強烈的網(wǎng)絡(luò)安全意識。第二種力量來源于制度。網(wǎng)絡(luò)安全成為硬性要求,融入操作規(guī)程,成為考核各級管理層和員工的指標。第三種力量來源于全體人員的安全意識。將網(wǎng)絡(luò)安全要求內(nèi)化于心,外化于行。其中,制度的力量取決于第一和第三種力量的大小。如果安全意識不足,制度很容易淪落為形式,雷聲大雨點小,高投入低效能。
員工的網(wǎng)絡(luò)安全意識教育相對比較好做,現(xiàn)在的網(wǎng)絡(luò)安全意識教育基本上都是針對員工的,不是針對管理層的。管理層的安全意識難抓,但管理層的意識比員工的意識更重要。管理層并不熱衷于學(xué)習(xí)網(wǎng)絡(luò)安全知識,領(lǐng)導(dǎo)認為網(wǎng)絡(luò)安全是個專業(yè)的事,自已不用學(xué),另一個原因,當前的網(wǎng)絡(luò)安全意識教育未列入管理層學(xué)習(xí)培訓(xùn)的視野中,培訓(xùn)機構(gòu)及人事部門沒有充分培育領(lǐng)導(dǎo)干部網(wǎng)絡(luò)安全意識培訓(xùn)的市場。管理層的網(wǎng)絡(luò)安全意識和員工應(yīng)該有不同的視角,這一塊的培訓(xùn)應(yīng)該怎么做,是一個值得深入挖掘的問題。培訓(xùn)者需要結(jié)合企業(yè)經(jīng)營管理來分析網(wǎng)絡(luò)安全的問題,這樣的課程才對高級管理人員有吸引力,有價值。
2017年習(xí)近平總書記在國家安全工作座談會上指出,要筑牢網(wǎng)絡(luò)安全防線,提高網(wǎng)絡(luò)安全保障水平,強化關(guān)鍵信息基礎(chǔ)設(shè)施防護,加大核心技術(shù)研發(fā)力度和市場化引導(dǎo),加強網(wǎng)絡(luò)安全預(yù)警監(jiān)測,確保大數(shù)據(jù)安全,實現(xiàn)全天候全方位感知和有效防護。國家在對機關(guān)和事業(yè)單位的審計工作中,已經(jīng)將網(wǎng)絡(luò)安全工作的開展情況列入審計內(nèi)容,國家機關(guān)和事業(yè)單位領(lǐng)導(dǎo)的網(wǎng)絡(luò)安全意識培訓(xùn)將越來越受到重視。
將網(wǎng)絡(luò)安全意識教育融入到管理層的學(xué)習(xí)培訓(xùn)將是一個發(fā)展趨勢。
三、網(wǎng)絡(luò)安全隊伍建設(shè)
當我們講網(wǎng)絡(luò)安全隊伍建設(shè)的時候,我們先得說說網(wǎng)絡(luò)安全隊伍的結(jié)構(gòu)。
一個單位可以投入到網(wǎng)絡(luò)安全的力量大致有以下幾類,其中前兩類肯定是單位內(nèi)部人員,第3類可能是內(nèi)部人員,也可能是委托的外部團隊,第4、5兩類是外部力量,通過合約關(guān)系來為單位提供服務(wù):
1. 網(wǎng)絡(luò)安全管理。規(guī)劃管理單位網(wǎng)絡(luò)安全,將網(wǎng)絡(luò)安全與單位經(jīng)營管理活動相結(jié)合。
2. 信息化管理。規(guī)劃管理單位信息化工作,將信息化與單位經(jīng)營管理活動相結(jié)合。
3. 信息系統(tǒng)運行維護。運行維護信息系統(tǒng),重點在信息系統(tǒng)投入使用后的管理。
4. 信息系統(tǒng)集成商或網(wǎng)絡(luò)安全廠家的技術(shù)支持。單位在系統(tǒng)集成或購買產(chǎn)品后,可以獲得后續(xù)服務(wù),也可以長期購買,一般會局限在與所購買產(chǎn)品相關(guān)的服務(wù)領(lǐng)域。
5. 網(wǎng)絡(luò)安全咨詢服務(wù)與技術(shù)服務(wù)。根據(jù)單位需要購買網(wǎng)絡(luò)安全專業(yè)服務(wù)。
以上的五類人員,2、3、4類人員是當前網(wǎng)絡(luò)安全依賴的主要力量,但他們的工作重點和關(guān)注焦點是信息化,網(wǎng)絡(luò)安全不是他們關(guān)注的焦點問題。1和5類人員才是單位網(wǎng)絡(luò)安全的專業(yè)力量,但當前這兩支隊伍都比較弱。
先說網(wǎng)絡(luò)安全管理隊伍。兩種薄弱表現(xiàn),一種是崗位設(shè)得太低,與職責(zé)不匹配,這是普遍現(xiàn)象。這里的隊伍建設(shè),首先指的是崗位設(shè)置、崗位職責(zé)和權(quán)限的分配。業(yè)務(wù)對信息化依賴程度高的單位需要一個高級崗位,規(guī)劃管理和監(jiān)督單位網(wǎng)絡(luò)安全,將網(wǎng)絡(luò)安全與單位經(jīng)營管理活動相結(jié)合,不僅需要有專業(yè)背景和管理能力,也需要相應(yīng)的權(quán)限和溝通渠道,才能做好工作。但好多這樣的單位只設(shè)了一個低級的網(wǎng)絡(luò)安全管理崗位,很難履行相應(yīng)職責(zé),有的甚至沒有設(shè)專崗。這方面普遍不足,也意味著網(wǎng)絡(luò)安全管理人員沒有向上發(fā)展的通道,這是整個社會網(wǎng)絡(luò)安全管理人員隊伍儲備嚴重不足原因之一。第二種薄弱的表現(xiàn),是網(wǎng)絡(luò)安全管理人員的素質(zhì)與職責(zé)不配匹。這是一個綜合素質(zhì)和專業(yè)素質(zhì)要求很高的崗位,當前市場人才非常缺,學(xué)習(xí)成長的周期也長。
我們經(jīng)常看到的情況,信息化是單位二級部門的一項職責(zé),有兩個人負責(zé)信息化管理,其中一人兼管網(wǎng)絡(luò)安全,信息系統(tǒng)運維委托外部機構(gòu)。信息化或網(wǎng)絡(luò)安全的規(guī)劃也由運維機構(gòu)提供支持。二級部門負責(zé)人及上一級部門負責(zé)人都沒有網(wǎng)絡(luò)安全專業(yè)基礎(chǔ)。這樣的網(wǎng)絡(luò)安全管理隊伍,很難應(yīng)對信息化高度發(fā)展情況下的網(wǎng)絡(luò)安全管理需求。
網(wǎng)絡(luò)安全管理人員隊伍薄弱,直接導(dǎo)致單位網(wǎng)絡(luò)安全需求不明確,網(wǎng)絡(luò)安全目標感缺失。而這一問題,又使網(wǎng)絡(luò)安全咨詢服務(wù)與技術(shù)服務(wù)的市場不能獲得良好的培育。