您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
企事業(yè)單位網(wǎng)絡安全問題的三點思考
“大量的網(wǎng)絡安全檢查伴隨著問題的發(fā)現(xiàn),問題發(fā)現(xiàn)了就要分析原因。所有的網(wǎng)絡安全問題,最后都歸到人的問題上,就事論事都只能起到短期的改進作用,長期的改進都需要加強網(wǎng)絡安全隊伍建設,加強管理層的網(wǎng)絡安全意識,才有可能提高單位整體網(wǎng)絡安全管理能力?!?/span>
軍工保密資格認證中心研究員黃次輝,站在單位的視角而不是國家的視角、行業(yè)的視角或者網(wǎng)絡的視角,為我們談談單位網(wǎng)絡安全管理能力、管理層網(wǎng)絡安全意識和網(wǎng)絡安全隊伍建設這三點的思考與分析。
一、網(wǎng)絡安全管理能力
一個單位的網(wǎng)絡安全管理能力體現(xiàn)在以下幾個方面:
01 結合業(yè)務分析網(wǎng)絡安全風險的能力
每個單位的業(yè)務模式決定了其對信息化環(huán)境的依賴程度,業(yè)務的信息化流程決定了其網(wǎng)絡安全的風險點。梳理業(yè)務流程,深入分析網(wǎng)絡安全風險點,確定在多大程度上接受網(wǎng)絡安全風險,通過傳統(tǒng)的手段控制經營風險,在多大程度上通過加強網(wǎng)絡安全管理來控制網(wǎng)絡安全風險。這是一個明確網(wǎng)絡安全管理目標的過程。網(wǎng)絡安全沒有百分之百,沒有萬無一失,同時,網(wǎng)絡安全的成本相當可觀,應該有所取舍,有一個可以努力的目標,有突破網(wǎng)絡安全風險底線的應對措施。
這個過程可以參考國家等級保護管理的方法,按系統(tǒng)重要程度投入相關資源。首先要劃分保護對象重要性級別,可以按網(wǎng)絡區(qū)域和應用系統(tǒng)來劃分保護單元,然后從保護單元受到破壞時受損害的業(yè)務及其受損害的程度兩個角度考慮每個保護單元的重要性級別。第二,每個保護單元從規(guī)劃階段就要考慮其重要程度和具體的安全需求,有針對性地部署安全措施,并且要隨著業(yè)務和信息化的發(fā)展對每個保護單元的安全級別和安全需求做必要的調整。第三,單位根據(jù)信息系統(tǒng)重要性級別確保網(wǎng)絡安全的投入,特別是人力資源的投入,確保網(wǎng)絡安全需要的人力和財力資源。
對于難以避免的網(wǎng)絡安全風險,必須考慮網(wǎng)絡安全防護措施之外的經營管理風險控制措施。比如依賴互聯(lián)網(wǎng)上電子商務平臺開展業(yè)務的公司,要考慮數(shù)據(jù)備份等可實施的安全措施,也要考慮到公司對電子商務平臺的安全風險沒有控制能力,不僅要用合同約束平臺供應商提供穩(wěn)定可靠的服務,還要考慮電子商務平臺出現(xiàn)影響業(yè)務的網(wǎng)絡安全事件時的業(yè)務風險控制措施。
02 合理規(guī)劃信息化基礎設施的能力
信息系統(tǒng)的結構清晰、層次分明、接口簡潔、功能定位明確,信息化規(guī)劃過程中充分考慮網(wǎng)絡安全需求,是做好網(wǎng)絡安全管理的良好基礎。
比如,涉密信息系統(tǒng)、非涉密信息系統(tǒng)、互聯(lián)網(wǎng)全風險有很大區(qū)別,國家對這三種網(wǎng)絡的監(jiān)管政策不一樣,單位必須明確這三網(wǎng)的功能定位,涉密的應用毫無疑問放在涉密網(wǎng)絡,非涉密的應用放在涉密網(wǎng)、非涉密或互聯(lián)網(wǎng)都可以,應該考慮非涉密應用的用戶范圍、工作流程、所存儲處理信息的來源和用途、和其他應用系統(tǒng)的關系等因素,合理部署該應用,才能使涉密信息系統(tǒng)、非涉密信息系統(tǒng)、互聯(lián)網(wǎng)之間的邊界清晰,信息交換接口少而且好用可控,既便利信息資源合理利用,又便于網(wǎng)絡安全管理。
再比如,大部分的網(wǎng)絡安全控制目標既可以通過網(wǎng)絡層實現(xiàn),也可以通過應用層實現(xiàn),網(wǎng)絡基礎設施建設的時候就要考慮網(wǎng)絡層和應用層的安全分工,考慮后續(xù)應用系統(tǒng)對安全的需求。
03 以網(wǎng)絡安全法規(guī)為抓手開展網(wǎng)絡安全管理的能力
網(wǎng)絡安全管理的一大難點是網(wǎng)絡安全投入的績效評價困難,而績效評價難的原因是建立網(wǎng)絡安全管理的指標體系非常困難,合規(guī)性給單位提供了一套可操作的績效評價指標,以網(wǎng)絡安全法規(guī)標準政策為抓手,開展單位網(wǎng)絡安全管理,是一種很好的工作方法。我說的是以此為抓手來推動單位的網(wǎng)絡安全管理,而不是機械地對標。不同的信息化對象適用不同的法規(guī)標準政策,搞清楚每個信息化對象需要遵循的要求,這些要求中有的是剛性的,必須嚴格執(zhí)行,但大部分要求在落地時有很多可以選擇的解決方案,有的標準是一個可選擇的安全措施全集,落地時需要結合實際做裁剪,這個過程中的溝通體現(xiàn)管理水平和專業(yè)能力。
如標準在單位落地時可以有不適用項,不需要實現(xiàn),只需要做不適用原因的分析。
如等級保護和分級保護標準都對應用系統(tǒng)的安全審計有要求,單位可以結合業(yè)務流程確定具體審計哪些行為,記錄哪些日志,這對業(yè)務流程起到很好的監(jiān)管作用。
二、管理層網(wǎng)絡安全意識
意識來源于知識。管理層的網(wǎng)絡安全知識匱乏是普遍現(xiàn)象。后果是對網(wǎng)絡安全管理口頭上重視,行動上忽視,投入上無視。
網(wǎng)絡安全的投入是實打實的真金白銀,但回報是隱性的,不存在利潤指標,無法用利潤高低來衡量工作效益,使管理人員難以就各種目標的相對重要性達成共識,造成網(wǎng)絡安全在需要投入時爭取不到應有的資源。
由于這樣的特性,網(wǎng)絡安全工作一般依靠三種力量相結合來推動。第一種力量來源于領導。網(wǎng)絡安全是一把手工程,一把手重視了,從上到下各級管理層就重視了,這要依賴于單位領導強烈的網(wǎng)絡安全意識。第二種力量來源于制度。網(wǎng)絡安全成為硬性要求,融入操作規(guī)程,成為考核各級管理層和員工的指標。第三種力量來源于全體人員的安全意識。將網(wǎng)絡安全要求內化于心,外化于行。其中,制度的力量取決于第一和第三種力量的大小。如果安全意識不足,制度很容易淪落為形式,雷聲大雨點小,高投入低效能。
員工的網(wǎng)絡安全意識教育相對比較好做,現(xiàn)在的網(wǎng)絡安全意識教育基本上都是針對員工的,不是針對管理層的。管理層的安全意識難抓,但管理層的意識比員工的意識更重要。管理層并不熱衷于學習網(wǎng)絡安全知識,領導認為網(wǎng)絡安全是個專業(yè)的事,自已不用學,另一個原因,當前的網(wǎng)絡安全意識教育未列入管理層學習培訓的視野中,培訓機構及人事部門沒有充分培育領導干部網(wǎng)絡安全意識培訓的市場。管理層的網(wǎng)絡安全意識和員工應該有不同的視角,這一塊的培訓應該怎么做,是一個值得深入挖掘的問題。培訓者需要結合企業(yè)經營管理來分析網(wǎng)絡安全的問題,這樣的課程才對高級管理人員有吸引力,有價值。
2017年習近平總書記在國家安全工作座談會上指出,要筑牢網(wǎng)絡安全防線,提高網(wǎng)絡安全保障水平,強化關鍵信息基礎設施防護,加大核心技術研發(fā)力度和市場化引導,加強網(wǎng)絡安全預警監(jiān)測,確保大數(shù)據(jù)安全,實現(xiàn)全天候全方位感知和有效防護。國家在對機關和事業(yè)單位的審計工作中,已經將網(wǎng)絡安全工作的開展情況列入審計內容,國家機關和事業(yè)單位領導的網(wǎng)絡安全意識培訓將越來越受到重視。
將網(wǎng)絡安全意識教育融入到管理層的學習培訓將是一個發(fā)展趨勢。
三、網(wǎng)絡安全隊伍建設
當我們講網(wǎng)絡安全隊伍建設的時候,我們先得說說網(wǎng)絡安全隊伍的結構。
一個單位可以投入到網(wǎng)絡安全的力量大致有以下幾類,其中前兩類肯定是單位內部人員,第3類可能是內部人員,也可能是委托的外部團隊,第4、5兩類是外部力量,通過合約關系來為單位提供服務:
1. 網(wǎng)絡安全管理。規(guī)劃管理單位網(wǎng)絡安全,將網(wǎng)絡安全與單位經營管理活動相結合。
2. 信息化管理。規(guī)劃管理單位信息化工作,將信息化與單位經營管理活動相結合。
3. 信息系統(tǒng)運行維護。運行維護信息系統(tǒng),重點在信息系統(tǒng)投入使用后的管理。
4. 信息系統(tǒng)集成商或網(wǎng)絡安全廠家的技術支持。單位在系統(tǒng)集成或購買產品后,可以獲得后續(xù)服務,也可以長期購買,一般會局限在與所購買產品相關的服務領域。
5. 網(wǎng)絡安全咨詢服務與技術服務。根據(jù)單位需要購買網(wǎng)絡安全專業(yè)服務。
以上的五類人員,2、3、4類人員是當前網(wǎng)絡安全依賴的主要力量,但他們的工作重點和關注焦點是信息化,網(wǎng)絡安全不是他們關注的焦點問題。1和5類人員才是單位網(wǎng)絡安全的專業(yè)力量,但當前這兩支隊伍都比較弱。
先說網(wǎng)絡安全管理隊伍。兩種薄弱表現(xiàn),一種是崗位設得太低,與職責不匹配,這是普遍現(xiàn)象。這里的隊伍建設,首先指的是崗位設置、崗位職責和權限的分配。業(yè)務對信息化依賴程度高的單位需要一個高級崗位,規(guī)劃管理和監(jiān)督單位網(wǎng)絡安全,將網(wǎng)絡安全與單位經營管理活動相結合,不僅需要有專業(yè)背景和管理能力,也需要相應的權限和溝通渠道,才能做好工作。但好多這樣的單位只設了一個低級的網(wǎng)絡安全管理崗位,很難履行相應職責,有的甚至沒有設專崗。這方面普遍不足,也意味著網(wǎng)絡安全管理人員沒有向上發(fā)展的通道,這是整個社會網(wǎng)絡安全管理人員隊伍儲備嚴重不足原因之一。第二種薄弱的表現(xiàn),是網(wǎng)絡安全管理人員的素質與職責不配匹。這是一個綜合素質和專業(yè)素質要求很高的崗位,當前市場人才非常缺,學習成長的周期也長。
我們經??吹降那闆r,信息化是單位二級部門的一項職責,有兩個人負責信息化管理,其中一人兼管網(wǎng)絡安全,信息系統(tǒng)運維委托外部機構。信息化或網(wǎng)絡安全的規(guī)劃也由運維機構提供支持。二級部門負責人及上一級部門負責人都沒有網(wǎng)絡安全專業(yè)基礎。這樣的網(wǎng)絡安全管理隊伍,很難應對信息化高度發(fā)展情況下的網(wǎng)絡安全管理需求。
網(wǎng)絡安全管理人員隊伍薄弱,直接導致單位網(wǎng)絡安全需求不明確,網(wǎng)絡安全目標感缺失。而這一問題,又使網(wǎng)絡安全咨詢服務與技術服務的市場不能獲得良好的培育。