歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

企業安全建設的體系思考與落地實踐

來源:本站整理 作者:佚名 時間:2019-06-17 TAG: 我要投稿

企業安全建設是一個老生常談的問題,由于每個人的工作經驗和心得體會的不同,因此看法和實踐通常也不一樣。
此文僅是筆者最近一段時間關于企業安全建設的體系思考和落地實踐的一些個人看法,提供一種思考和分析問題的方式,僅代表筆者當前階段的認知以及個人的階段性總結。切記,“盡信書則不如無書”!

什么是體系思考
所謂體系思考,就是通過自身的知識和經驗的積累,結合企業的現狀,對存在的安全問題進行分類和整理,并總結出一套適合的安全建設體系的思考方式。有了這樣的思考能力,就可以幫助我們形成合適的安全方法論來快速解決安全建設過程中的種種問題,做到目標明確,思路清晰,步步為營。
一談到體系思考,相信很多人的第一感覺肯定是覺得很虛,認為只有不懂技術的人喜歡拿這種東西來裝x,并喜歡以此來掩蓋自己技術上的不足。實際上,筆者在很長一段時間內也是存在這種觀點,然而隨著工作經驗的慢慢積累,越發覺得這種觀點的片面性和不可靠性。
不可否認,安全行業或者說所有行業里都或多或少存在以此為噱頭的“磚家”,但是這并不能否定掉體系思考的價值和重要性。從某種程度上來說,體系思考可能比具體的技術實踐更加重要。舉個例子,筆者經常看到一些一個人安全部的文章,寫的很詳實,建立各種系統,解決各種當前存在的安全問題,當讀第一遍的時候你可能會覺得寫的不錯,可是當你仔細讀完之后,你會慢慢發現似乎缺少了一個貫穿始末的中心線,而這個中心線就是“體系思考”。
設想,如果我們在做企業安全建設時進行了很好的體系化思考,明確知道當前所處的階段,當前階段的目標與困境,實現目標和解決困境的思路,落地實踐的計劃,那么我們就可以更加清楚地明白我們為什么建設這些系統且哪些安全問題需要被優先解決而不至于陷入“跟風”或者“人云亦云”的窘境,這時我們解決的就不在是一個個的表面問題而是一類的根本問題。
如何進行體系思考
明確體系思考的重要性是進行企業安全體系化建設的重要前提。根據筆者的個人經驗,培養體系思考能力一般需要如下過程:

積累:知識的積累是進行體系思考的前提和基礎,需要了解和見識足夠多的行業最佳實踐,各種落地實踐中面臨的難點,解決難點的思路和方法。
分類:有了一定的知識積累,需要對這些知識進行很好的整理,分類和總結。
思考:當零散的知識點被整理和分類后,需要通過5W1H+Not的方式對這些知識分類進行思考,例如:什么樣的角色(who)在什么樣的企業(where)在什么樣的時間節點(when)出于什么樣的的目的(why)以什么樣的方式(how)做什么樣的事情(what),以及不這么做又會如何(Not)。
實踐:通過思考一般可以在大腦中形成初步的體系,但仍舊是“紙上談兵”,這時就需要透過實踐來檢測思考的結果,并及時修正一些由于當前思考的局限性造成的誤解或者盲點,作為下一輪的知識積累,并如此往復。
如何從體系思考到落地實踐
前面寫了這么多“廢話”,相信能夠堅持看到這里的某些同學肯定要噴我了,“你扯了這么多大家都懂的道理,你到底有哪些體系思考的結果呢?Talk is cheap, show me the code”。本節筆者將嘗試從具體的企業安全建設來闡述一下我的一些個人看法。
第一步,企業安全建設相關知識的積累,我個人的做法是:
1)學習國內外知名企業(如:國外的FAANG,國內的BAT等)的安全建設的思路和做法,最快捷的方式當然是入職這樣的企業,或者也可以通過這些公司公開的blog,paper或者其他安全相關的資料來學習,如:
Facebook:
https://code.fb.com/category/security/
https://github.com/facebook
Google:
https://ai.google/research/pubs/?area=SecurityPrivacyandAbusePrevention
https://github.com/google
Amazon: https://aws.amazon.com/blogs/security/
Microsoft: https://www.microsoft.com/security/blog/
Cisco: https://blogs.cisco.com/tag/ios-security
百度: https://github.com/baidu-security
阿里: https://www.alibabacloud.com/blog
騰訊: https://security.tencent.com/index.php/blog
2)學習公開的網絡安全標準和最佳實踐,如:
NIST: https://www.nist.gov/topics/cybersecurity
MITRE: https://www.mitre.org/publications/all/
第二步,企業安全建設的分類,這里我分享兩種不同的分類方法:
1)基于企業資產保護的安全建設分類。該分類的核心思想是安全建設圍繞著資產的保護,比如,我們一般可以把一個企業的資產大致分為以下幾類:
基礎設施資產:包括網絡資產,設備資產,物理資產等;
業務資產:包括應用資產,數據資產等。

2)基于企業數據生命周期的安全建設分類。例如:阿里推出的DSMM (數據安全能力成熟度模型)就是一個比較典型的以數據生命周期安全為核心思想的分類方法:
數據安全過程緯度:包括數據生命周期安全(數據的采集,傳輸,存儲,處理,交換,銷毀)和通用安全。
能力成熟度等級緯度:基于統一的分級標準,細化組織機構在各數據安全過程域的五個級別的能力成熟度分級要求。
安全能力緯度:明確組織機構在各數據安全領域所需要具備的能力維度,明確為組織建設、制度流程、技術工具和人員能力四個關鍵能力的維度。

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视