网络安全规划实践

在企业IT战略规划方面，很多时候我们会自动忽略网络安全规划，一是不够重视，从公司到技术部门，对网络安全的认识有限，重视不够，不愿意花钱。二是技术部门自身原因，不愿意多花成本和精力去规划，或者没有技术力量去实现。所以要做好网络安全，一定是自上而下的，是在充分继承企业战略规划、IT战略规划的基础上，建立的全面、明确、有前瞻性的安全计划。网络安全规划可为企业提前制定符合业务发展战略的网络安全建设路径，使得网络安全建设能够有策略、有计划地推进业务发展，明确投资假设的预期效果，最终提升战略执行力，保障投资价值。

我们从规划启动、现状与差异分析、明确诉求与需求、建立规划蓝图、输出实施路线、汇报与宣贯、回顾改进与更新七个阶段介绍网络安全规划的具体过程

一、规划启动

企业在刚成立网络安全团队时应启动网络安全规划，明确方向和目标。每年的11月份-1月份（农历春节前）应在完成年度工作回顾的基础上，开展来年的安全规划，明确下一年的方向和目标，并更新安全团队的中长期规划。结合外部网络安全形势与背景可以择机启动安全规划工作，如“十四五”国家信息化规划发布后，可开展网络安全中长期整体规划；“数据安全法”、“个保法”相继发布后，可开展数据安全与隐私保护领域的中长期规划

二、现状与差异分析

安全规划不是安全负责人几天不睡觉拍出来的，也绝非仅仅是为了设定几个中长期目标。安全规划启动后应该首先开展现状与差异分析，识别当前安全的痛点和差距，一份全面的安全规划应从以下三个方面开展。

（一）内部分析

回头看一看企业网络安全建设的历程，评估目前的现状、分析存在的不足。具备一定规模的网络安全团队，可以按团队组织架构的维度开展，规模稍小的网络安全团队，可以按工作领域的维度开展，目的是要确保现状与差异分析的全面性，确保覆盖安全团队当前涉及的所有工作。现状与差异分析的结果不是拿来向领导汇报的，所以不用担心分析结果的“惨不忍睹”导致领导认为安全工作做得不好，可以在安全团队内部关起门来“自我批评、自我否定”。

（二）行业分析

内部分析过程中的“自我感觉良好”最可怕，一方面可能是因为主观原因，思想上没有认清现状与差异分析的价值，团队内部未能深入讨论。另一方面可能是因为客观原因，受限于我们当前的认知，感觉这方面的工作应该就是这样，只能这样。想不到原来别人还可以那样，不知道业界已经有更好的解决方案和技术。所以安全团队应该要能把握行业现状，了解行业的发展情况，同时了解国际国内的安全标准框架，了解行业最佳实践框架，日常多向安全厂商、同业、互联网大厂学习，多参与一些业界的会议沙龙。目的是了解优秀的人正在做哪些优秀的事，打开思路、开阔眼界，以便切实发现自身不足，明确下一步应该走向哪里。

（三）业务分析

站在业务部门的角度，结合公司整体战略的发展，安全团队可以尝试着分析业务部门在安全方面存在的不足，也是安全在业务支撑方面存在的不足，为下面章节的“明确业务部门需求”做些准备。

三、明确诉求与需求

诉求是安全团队根据现状与差异分析结果，自己提出来的安全期望和目标。比如安全团队的诉求可能是，如何打破当前被动、孤立、片面的安全局面；如何让安全工作能够以业务为驱动、以风险为导向；如何建立自上而下、强健有力的网络安全组织架构；如何更好的对标业界最佳实践；如何更好的解决远程办公的安全风险；如何进一步降低应用安全漏洞等等。

需求是安全团队之外的组织和人员提出来的。安全的价值是为了支撑企业经营目标的达成。明确“他人”对安全的需求是安全规划中很重要的一部分，安全团队需要了解企业高层、业务部门、CTO、运维部门、开发部门、法律合规部等所有关联部门和关联干系人对安全的需求是什么。企业高层提出的安全需求是为了确保企业战略目标的达成，业务部门领导提出的安全需求是为了确保具体业务目标的达成，技术部门提出的安全需求是技术与安全的融合与促进。所以，挖掘需求、筛选合理需求，这些安全需求实现了，安全的价值自然也就体现了。

大道至简,知易行难！企业高层、业务部门领导有可能压根就没考虑过安全方面的问题，对安全提不出什么需求。那就更应该借着规划项目的机会，让中高层领导想一想他们眼中的安全应该是什么样子，避免安全做了几年后不被认可。可以尝试通过访谈的方式开展需求调研，访谈前应根据不同的访谈对象制定访谈大纲，明确要访谈的目标以及访谈问题，访谈问题可提前发给被访谈人以便提前思考、充分准备。通过问题引导的方式期望能够挖掘出对安全的真正合理需求。

访谈纲要示例

四、建立规划蓝图

完成上述“现状与差异分析”、“明确诉求与需求”两项工作后，安全团队的痛点、存在的不足、与他人的差距、企业领导期望、相关人员的需求都已经基本清晰了，未来1-3年的目标也已经基本明确。接下来应该从整体上做一些梳理，输出安全规划蓝图，包含企业安全体系模型、企业安全体系架构两部分。

（一）企业安全体系模型

1、安全战略层面

基于企业战略解读的基础上，明确安全愿景、战略目标、方针。

安全愿景是要描绘安全要去哪里，到达目的地后企业安全是什么样子。安全愿景对外可以体现安全团队的专业性，对内是一种具有引导与激励团队成员的未来情景的意象描绘，可以影响团队及其成员的行动和行为。

战略目标，可以更清晰的明确安全价值。企业设立每个团队都有其存在价值，每个团队的目标都应是支撑企业的经营发展，支撑业务目标的达成。安全团队绝非例外，安全团队在建立目标时，不能在自己的小格局里“自嗨”，结合上述的诉求与需求，务必要把安全目标与企业业务目标相贴合，时刻以支撑企业业务目标达成为己任。比如企业安全团队的目标可能是“承接和满足业务需要，与业务流程有效融合，支撑业务创新，保障企业经营目标的达成”。产品安全团队的目标可能是“规划实施产品的安全特性，不断提升产品的网络安全与隐私保护能力，确保客户对产品安全能力的信任，从而保障并提升产品的市场占有率”。

2、安全组织层面

结合安全战略，参考网络安全领域相关的法律要求，建立由董事会、CEO统一领导的，包含关键部门的，覆盖决策层、管理层、执行层的网络安全组织体系。组织体系建立后应该通过一系列的措施确保组织体系的有效运转，避免仅仅是发布了红头文件，组织体系中的相关人员实际未能履行职责。

3、安全领域建设

结合现状评估结果，明确接下来安全需要在哪些领域开展建设。重要领域应该制定必要的实施思路，比如基于人员职业生命周期的人员安全管理、基于研发生命周期的应用安全管理、基于数据生命周期的数据安全管理等等。

4、安全技术支撑

安全各领域的建设离不开安全技术的支撑。同时，安全技术日新月异，新型威胁层出不穷，安全团队需要持续的开展新技术研究。

5、安全团队

网络安全建设的核心要素是网络安全人才！网络安全的竞争，归根结底是人才竞争！网络安全的对抗，最终是人与人之间的对抗！安全规划以及安全工作能够有效开展的基础条件，就是具备一支“进的来、出的去、专业、自信、特别能战斗”的网络安全团队。

团队建设包含上述的愿景、目标，也包含团队行为准则、团队氛围、基于团队人员的“选、用、育、留”。

团队行为包括：坚持为业务创造价值、坚持勇于担责、坚持风险“零容忍”、坚持工作闭环、坚持度量优化。

（二）企业安全体系架构

基于上述企业安全体系模型，参考安全领域的权威标准，以及业界优秀案例，企业网络安全规划时应制定企业安全体系架构图，如下图示例所示。每个企业的业务模式不同，安全所处的阶段不同，所面临的安全风险不同，安全关注点自然也不一样。所以，在做规划时务必要结合企业实际现状，所谓的权威标准、优秀案例也不能照搬，仅作为参考。

五、输出实施路线

（一）实施举措

基于企业安全体系架构，结合企业安全当前风险、存在的不足等现状，可以确定企业未来安全体系建设应该要实施的举措。

（二）重要举措建设思路

针对重要举措需要制定建设思路或实施框架，上述这些安全领域基本上都有比较成熟的实践思路可供参考。重要举措建设思路或框架举例如下：

（三）实施路线

对于识别出来的各项实施举措，综合考虑风险优先级、实施后的预期效果、实施难度等，确定举措落地的优先级，输出实施路线，明确大致计划，样例如下图：

六、汇报与宣贯

企业网络安全规划完成后，应做好向上汇报以及相关人员的宣贯。向上汇报的目的是让领导知悉、理解当前的安全风险与挑战，在安全目标与实施路线方面与领导达成一致意见。最重要的还有要获取领导的承诺，包括人力资源、预算等承诺。向相关人员宣贯，包括要在安全团队内部做好宣贯，确保所有成员统一思想、统一目标。同时也应向开发、业务等相关部门做好宣贯，让大家了解安全的目标与大致计划。