2021年7月29日—31日,全球规格高、规模大、影响力深远的安全峰会—ISC 2021第九届互联网安全大会在北京国家会议中心圆满落幕。
作为ISC 2021极具分量的九大分论坛之一,CSO高峰论坛在最后一天压轴出场。
据悉,CSO高峰论坛以“数字化转型与安全数字化”为主题,聚焦时下热门的数字化转型,共同探讨网络安全如何更好地实现数字化,更好地护航企业转型,更好地发挥时代底座的作用,吸引了包括行业专家、企业安全负责人(CSO)、安全厂商代表、技术工程师等人员参与,活动现场气氛高涨。
某跨国企业安全合规负责人 赵锐
以前,安全常常扮演着“麻烦制造者”的角色,安全需求的提出往往会增加开发、运维的工作,导致不确定性增加,业务上线延期等问题。
但是,随着《网络安全法》等法律颁布之后,安全面临着日趋严格的监管要求,成为推动企业落实安全工作的重要推手。另一个重要的推手是频发的网络攻击事件,包括勒索攻击、数据泄露、大型薅羊毛事件等,往往让企业损失惨重。
某跨国企业安全合规负责人 赵锐这也正是我们做安全的目的,安全其实就是风险管理:提前感知业务风险,有效控制业务风险,提升业务价值。
因此,安全人员必须要充分理解业务的战略发展,以业务导向制定未来的安全战略,提前了解业务存在的各类风险,做好成本控制,最终实现保障业务发展,减少企业资金损失的目标。
当下,安全工作受业务驱动最为明显,其次是技术驱动,还有环境驱动,在实施战略愿景时,从网络安全的角度出发,分析目前存在的差距,并进行优先级排序,经过管理层的批准后实施,在整个过程中动态的调整和补充。
具体来说,在制定安全战略规划时,首先要针对业务和安全的现状做好战略分析,了解自身的长处与不足,以确定战略行动;在确定战略行动时要考虑商业环境,组织内的商业能力,包括:人员和文化、信息技术能力、内部合作还有生态系统环境等;最后还要考虑风险问题,在业务目标的基础上,做好相应的安全战略目标、战术目标等,基于战略原则制定度量和各类考核指标。
另外,还有一点需要注意,网络安全需要着眼于宏观与经济,比如疫情影响、贸易战、极端天气对于组织的影响,特别是对于供应链的影响,要提前做好防范措施。还有同业之间的竞争,客户获取的成本,以及不断产生的新技术,云、大、物、移不断深入,这些都会造成安全风险不断增加。
因此安全人员在资源有限的情况下,想要支撑公司战略,保障业务发展,那么就必须按照成本/收益来制定优先级,优先级高的问题优先解决。
光大科技信息安全负责人 蔚晨
金融行业的特性是围绕资金进行服务,强调控制和监管,有着严格的风险控制和岗位授权的要求,而这些全部都会传递到企业整体信息化建设中,诸多安全控制都必须匹配业务整个过程,也印证了安全、科技和业务相互支撑发展的关系。
简单来说,信息化支持业务的发展,安全则是保障信息化的正常运转和执行。而安全工作的本质就是对业务数字化过程中的风险进行管控,在事前、事中、事后的不同阶段,通过组织流程、技术管控、检测评估等不同手段保障信息的安全,从而支撑业务的有效、可用。
光大科技信息安全负责人蔚晨
金融行业自70年代完成手工录入的电子化开始引入数字化,经过长达半个世纪的发展,金融行业的业务发生了很大变化,从单向的入口向网状结构发展。
随着金融业务模式发生变化,金融科技参与金融业务的过程也在发生变化。金融服务提供方开始参与到整个数字化金融中来,包括场景提供方、渠道、网站、各类聊天软件、第三方数据提供方等,这样的发展模式给安全带来了极大的挑战,也要求安全人员必须改变以往被动的角色,而是要主动出击,体现出安全对信息科技和业务的支撑作用。
这里简单分享几个金融业务数字化安全典型场景。
比如服务营销化,金融企业不断推出新的产品,通过各种各样的方式和渠道来营销新产品,扩大企业的影响范围,包括投行服务、个人银行服务等,这和传统的金融行业服务模式完全不一样,服务营销化需要有大量的数据做整合分析和判断。
再比如数据的异构化。以银行为例,大量的纸质单据已经电子化,大量的内部数据/外部数据,机构化/非结构化数据涌现,这些业务特性给安全带来非常大的挑战。
针对这些问题和挑战,这里我挑选了两个典型场景和大家分享。
一是复杂场景下的终端数字化安全模型。在整个方案中会用到很多的安全产品,包括DLP、数据脱敏基础组件、数据加密基础组件、数据水印、数据库加密等,这些产品我们要通过统一的方式组合到一起,实现可控的终端安全管理运营模型。
二是实时交易场景下的数字化安全模型。实时交易是金融行业中最早接触到安全处理的场景,根据交易类型不同、交易数据敏感程度、交易重要程度做很多的控制。此前的做法是业务系统和安全组件对接,但其中的问题是每个应用、组件都要一个API,业务系统不堪其扰,非常痛苦,后来我们将它放在安全服务平台上,通过数据安全治理和监控预警,形成整套安全监控模型。
最后分享一下我们这么多年安全数字化过程中的一些体会。
第一,安全数字化的过程是曲折且漫长的,在迭代上升的过程中会遇到各种挑战。
第二,金融行业IT组织架构细化十分明显,整个安全职责不仅仅在安全管理,跟开发、测试、运维、监控等很多岗位都有关系,如何处理好各组织之间的共生关系,跟业务诉求产生强关联,是安全数字化必须要考虑的因素。
第三,安全人员能力的问题,如何让企业安全人员能力成长周期和安全数字化转型诉求形成一个正向的双驱动,是安全负责人一定要考虑的问题。
航天紫光信息安全事业部副部长杨海青
近年来,我国不断推动企业数字化转型,发布了一系列的政策文件和法律法规,同时数字经济时代,产业环境、消费者需求发生了巨大的变化,越来越多的企业开始借助新一代的数字技术,运用社会化思维和策略,积极推进产品与服务数字化的持续业务创新。
基于这样的情况,工业互联网建设有两个必要性:一是抢占全球新一轮工业革命的战略制高点,二是推动制造业转型升级,加快从制造大国向向制造强国转变。
简单来说,工业互联网平台有四个特性:分别是泛在连接—互联互通和综合集成,云化服务—传统资源转为数字化,知识积累—工业数据挖掘与运用,应用创新—跨行业通用基础设施。
这个图是我们工业互联网平台的架构且安全建设始终贯穿,围绕着一个标准,三个维度和八个方面来进行建设。
随着网络安全政策和法律法规的陆续出台,安全建设的压力逐步增大,工业互联网安全建设思路也要发生转变。一是安全内涵的转变,从网络信息安全转向网络信息/物理(CPS)安全;二是安全重心的转变,从以信息系统安全为重点转向以数据安全为重点;三是安全模式的转变,从边界安全转向零信任安全。
基于此,我们做了以下几个步骤。
第一,抓住核心。唯一核心即资产,包括基础建设的各类软硬件产品、业务应用、地址域名以及数据等等。
第二,定位主线。明确的主线有两条,分别是管理和技术。管理包括资产的管理、人员的管理、权限的管理等,技术则包括对新技术的使用、安全技术的落地、技术的迭代更新等。
第三,明确环节。整个业务运作上涉及三个环节,分别是开发、运维和安全,这三个环节目前通过引入SDL进行全生命周期管理。
第四,清晰网络。主要有四种网络,分别是互联网、办公网、商密网和第三方网络,目前我们也在加强这方面的重点管控。
分析完这几个方面后,我们就要对机制进行转变,这也是今天演讲最重要的一部分,共有四个方面:
一是组织机制,要明确责任领导和责任人。之所以将组织机制放在第一位,是因为在很多大型企业中安全管理并非安全部门,而是信息中心或科信部门,所以必须在组织机制上进行调整,成立专属的团队。
二是制度机制改变,各项管理制度必须健全且与时俱进,一些业务变化导致我们安全结构跟不上,这就需要我们单独去列需求,去建设。
三是工作机制,根据组织和制度的进行来落实完善,我们成立了安全运营中心,将下属企业联动起来。
四是数字化支撑机制,落实工作需要有效的技术支撑,数字化支撑机制可以有效完成安全保障。
最后总结一下,作为企业安全的设计者、协调者、建设者和管理者,要充分将法律法规、政策要求和企业制度的“道”以及凭借自我修炼和安全友商的安全技术的“术”进行融合,来更好更快的推动企业的安全能力提升。在安全建设之路上,即使计划没有变化快,但办法总比困难多。
微博信息安全总经理 邹庆
企业数字化转型给我们带来了更高的效率、更好的体验,但是一旦数据安全不可控,我们将失去很多非常重要的东西,包括个人隐私、商业机密、企业声誉、业务系统、甚至是人身自由。
那么,我们究竟该如何做好数据安全落地呢?在此之前我们必要先了解公司内部环境以及数据安全落地的先决条件。博信息安全总经理邹庆
一是监管要求,业务在哪里运营就必须准守当地的数据安全规则,如果企业的业务是跨境运营,那么就必须准守每一个地方的法规。
二是资源配置,安全资源是非常有限的,那么就必须考虑清楚自己手里有多少资源和能力。
三是主要风险,我们需要了解企业最需要解决的风险是什么,主要的风险在哪里,需要投入多少资源,在什么时间点解决。
四是组织模式,这点非常重要。如果是高度集权型公司,那么最先搞定老板,如果是分权型公司就比较复杂,需要具体情况具体分析。
上图是我们现在在做的安全管控基础框架,其中的内容通用性较强,和企业的具体业务类型关系不大,落地之后可以有效解决大多数的基本问题。
如图所示,我们从四个层面对框架进行划分。
第一层是管理。其中包括资产盘点,如果企业连资产都不清楚,那么安全就无从做起。根据资产的情况需要做分级分类,建立合理的授权审批流程,合规纠偏,最后是宣贯培训,很多制度由于没有宣贯,导致无人知晓和执行。
第二层是技术,包括访问控制、加密脱敏、安全清除、数字水印和基础安全。
第三层是审计,企业发布了制度就要执行,如果都不执行那么制度就是一纸空文,没有任何的意义,因此我们设定了上图各类审计方案,以此督促员工执行并发现其中的问题。
第四层是情报,主要是数据泄露监测、恶意工具监测和负面舆情监测,一旦出现问题,安全团队必须要先知道,起码要比老板先知道。
如图所示,这是微博数据安全负责人提出且正在执行的一套数据流转方案,主要的思路是从各个层面,包括代码、客户端、网络、应用、存储、数据服务层、后台管理、操作日志找到所有敏感数据的位置,并对其所有行为进行细化,时间关系就不再展开叙述。
当然,除了数据安全本身,我们还有其他需要关注的内容。
首先是组织和人。在做数据安全时千万不要理解为,有相应的岗位就应该执行相应的工作,比如很多团队都想打破数据孤岛,但实际情况是公司有多少数据就有多少权利,所谓打破数据孤岛也就是打破权利结构,只凭一厢情愿是不能解决问题的。
其次是资源投入,作为企业的CSO必须要考虑资源投入的比例,即当下重要的风险要投入多少资源,在长线安全运营过程中要投入多少资源等。
然后是业务支撑,有业务才有安全,因此安全的基本工作应做好对业务的基本支出,让业务发展的更好,如果安全人员能够从业务视角讨论问题,那么沟通会流畅许多。
最后是外部协作,任何一支安全团队都不可能解决所有安全问题,因此一定要靠外部的力量,包括乙方、SRC、协会等,打击一起讨论,共同成长。
云丁科技安全总监 向阳
数字化阶段有三个明显的特点,一是万物皆可编程,一切都可以编程的方式实现;二是万物互联时代,在5G、NB-IoT等各种协议连接中,生活更加便捷;三是数字化转型是利用大数据应用提升企业的业务效率。
与之相同的是,在智能家居、万物互联的场景中,我们将面临着更大的挑战。比如引入了智能化、联网化的场景,而企业前期产品缺少安全设计,存在安全风险;再比如智能家居和车联网中存在大量的个人信息和数据流动,如何保障数据的安全和合规,是我们当下关注的重点。
云丁科技安全总监向阳
在今天的分享中,我将分为三个方面,分别是企业产品安全挑战、产品安全建设规划和提升安全竞争力实践。
安全治理边界包括规范化、流程化、合规化的管理体系,成熟方案、简单可执行的技术体系,以及包含用户的安全感以及行业的影响力产品安全力。
我们在产品中面临的挑战是,企业侧存在各种安全攻击事件,安全破解,以及迫切的合规监管要求,但在用户侧却更加关注服务可用性、隐私合规性和设备安全性。
如上图所示,在建设企业安全产品管理时,我们要建立安全治理框架,分为管理、流程和技术。管理方面主要有组织架构、法规政策、安全基线、威胁建模、安全培训;流程方面主要有数据处理、变更管理、应急响应、权限申请、安全评审;技术方面主要有安全设计、攻防测试、代码审计、密钥安全、通信安全等。
接下来是产品安全力建设的重要工作,分别是产品安全基线要求、产品安全评审、安全解决方案以及安全标准输出,我们将这四部分融入产品安全建设之中。
简单来说,首先要给出产品安全基线,出具产品安全手册,其中产品安全手册基于行业安全标准要求,行业最佳实践,以及我们在产品中的安全积累,包括结构、硬件、通讯、系统、固件、隐私合规等多个方面。
建立安全基线要求之后,通过安全评审设计流程对安全基线要求进行有效管控,包含需求设计、程序开发、测试发布以及产品运营。
其中,需求设计包含相应威胁建模、安全要求、隐私合规。而程序开发中比较重要的一点是提供SDK数据安全接入工具,保证安全要求能力融入到产品中,同时提供方便安全接入的功能。
在测试发布中,我们会首先进行内部安全测试,同时结合外部安全测试共同守护产品安全,其中包括高达50万元的奖金以及国内10家顶级安全实验室的测试。产品运营则持续关注资产监控、风险管理、应急响应。
在智能家居行业中,攻击链路、场景包含云端、APP端、链路和设备端。其中设备端的核心点在于固件安全防护以及密钥体系的设计,比如在云端密钥通过KMS系统进行保护,设备端密钥通过硬件安全芯片保护。
同时,我们设计了一个三方管理员签名机制,通过三方管理员共同签名,持续保证产品安全,防止单一管理员因为密钥风险造成安全隐患。
最后分享云丁科技在提升安全竞争力,参与制定安全标准方面的实践。在安全标准编制中,建立了标准编制项目组,参与了国标、行标等多项工作,在国际标准编制中,共参与编制的标准超过20项。
最后总结一下,作为企业安全负责人,我们首先要结合企业的业务战略进行安全治理和规划建设。同时,我们还需要思考,如何挖掘安全更大的影响力,强化对业务发展的支撑,如何进行相应标准的制定和合规建设工作,不断提升行业内外的影响力。
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/8649.html
