网络安全规划实践

news2024/12/29 14:34:48

在企业IT战略规划方面,很多时候我们会自动忽略网络安全规划,一是不够重视,从公司到技术部门,对网络安全的认识有限,重视不够,不愿意花钱。 二是技术部门自身原因,不愿意多花成本和精力去规划,或者没有技术力量去实现。所以要做好网络安全,一定是自上而下的,是在充分继承企业战略规划、IT战略规划的基础上,建立的全面、明确、有前瞻性的安全计划。网络安全规划可为企业提前制定符合业务发展战略的网络安全建设路径,使得网络安全建设能够有策略、有计划地推进业务发展,明确投资假设的预期效果,最终提升战略执行力,保障投资价值

我们从规划启动现状与差异分析明确诉求与需求建立规划蓝图输出实施路线汇报与宣贯回顾改进与更新七个阶段介绍网络安全规划的具体过程

一、 规划启动

企业在刚成立网络安全团队时应启动网络安全规划,明确方向和目标。每年的11月份-1月份(农历春节前)应在完成年度工作回顾的基础上,开展来年的安全规划,明确下一年的方向和目标,并更新安全团队的中长期规划。结合外部网络安全形势与背景可以择机启动安全规划工作,如“十四五”国家信息化规划发布后,可开展网络安全中长期整体规划;“数据安全法”、“个保法”相继发布后,可开展数据安全与隐私保护领域的中长期规划

二、 现状与差异分析

安全规划不是安全负责人几天不睡觉拍出来的,也绝非仅仅是为了设定几个中长期目标。安全规划启动后应该首先开展现状与差异分析,识别当前安全的痛点和差距,一份全面的安全规划应从以下三个方面开展。

(一)内部分析

回头看一看企业网络安全建设的历程,评估目前的现状、分析存在的不足。具备一定规模的网络安全团队,可以按团队组织架构的维度开展,规模稍小的网络安全团队,可以按工作领域的维度开展,目的是要确保现状与差异分析的全面性,确保覆盖安全团队当前涉及的所有工作。现状与差异分析的结果不是拿来向领导汇报的,所以不用担心分析结果的“惨不忍睹”导致领导认为安全工作做得不好,可以在安全团队内部关起门来“自我批评、自我否定”。

(二)行业分析

内部分析过程中的“自我感觉良好”最可怕,一方面可能是因为主观原因,思想上没有认清现状与差异分析的价值,团队内部未能深入讨论。另一方面可能是因为客观原因,受限于我们当前的认知,感觉这方面的工作应该就是这样,只能这样。想不到原来别人还可以那样,不知道业界已经有更好的解决方案和技术。所以安全团队应该要能把握行业现状,了解行业的发展情况,同时了解国际国内的安全标准框架,了解行业最佳实践框架,日常多向安全厂商、同业、互联网大厂学习,多参与一些业界的会议沙龙。目的是了解优秀的人正在做哪些优秀的事,打开思路、开阔眼界,以便切实发现自身不足,明确下一步应该走向哪里。

(三)业务分析

站在业务部门的角度,结合公司整体战略的发展,安全团队可以尝试着分析业务部门在安全方面存在的不足,也是安全在业务支撑方面存在的不足,为下面章节的“明确业务部门需求”做些准备。

三、 明确诉求与需求

诉求是安全团队根据现状与差异分析结果,自己提出来的安全期望和目标。比如安全团队的诉求可能是,如何打破当前被动、孤立、片面的安全局面;如何让安全工作能够以业务为驱动、以风险为导向;如何建立自上而下、强健有力的网络安全组织架构;如何更好的对标业界最佳实践;如何更好的解决远程办公的安全风险;如何进一步降低应用安全漏洞等等。

需求是安全团队之外的组织和人员提出来的。安全的价值是为了支撑企业经营目标的达成。明确“他人”对安全的需求是安全规划中很重要的一部分,安全团队需要了解企业高层、业务部门、CTO、运维部门、开发部门、法律合规部等所有关联部门和关联干系人对安全的需求是什么。企业高层提出的安全需求是为了确保企业战略目标的达成,业务部门领导提出的安全需求是为了确保具体业务目标的达成,技术部门提出的安全需求是技术与安全的融合与促进。所以,挖掘需求、筛选合理需求,这些安全需求实现了,安全的价值自然也就体现了。

大道至简,知易行难!企业高层、业务部门领导有可能压根就没考虑过安全方面的问题,对安全提不出什么需求。那就更应该借着规划项目的机会,让中高层领导想一想他们眼中的安全应该是什么样子,避免安全做了几年后不被认可。可以尝试通过访谈的方式开展需求调研,访谈前应根据不同的访谈对象制定访谈大纲,明确要访谈的目标以及访谈问题,访谈问题可提前发给被访谈人以便提前思考、充分准备。通过问题引导的方式期望能够挖掘出对安全的真正合理需求。

访谈纲要示例

四、 建立规划蓝图

完成上述“现状与差异分析”、“明确诉求与需求”两项工作后,安全团队的痛点、存在的不足、与他人的差距、企业领导期望、相关人员的需求都已经基本清晰了,未来1-3年的目标也已经基本明确。接下来应该从整体上做一些梳理,输出安全规划蓝图,包含企业安全体系模型、企业安全体系架构两部分。

(一)企业安全体系模型

1、安全战略层面

基于企业战略解读的基础上,明确安全愿景、战略目标、方针。

安全愿景是要描绘安全要去哪里,到达目的地后企业安全是什么样子。安全愿景对外可以体现安全团队的专业性,对内是一种具有引导与激励团队成员的未来情景的意象描绘,可以影响团队及其成员的行动和行为。

战略目标,可以更清晰的明确安全价值。企业设立每个团队都有其存在价值,每个团队的目标都应是支撑企业的经营发展,支撑业务目标的达成。安全团队绝非例外,安全团队在建立目标时,不能在自己的小格局里“自嗨”,结合上述的诉求与需求,务必要把安全目标与企业业务目标相贴合,时刻以支撑企业业务目标达成为己任。比如企业安全团队的目标可能是“承接和满足业务需要,与业务流程有效融合,支撑业务创新,保障企业经营目标的达成”。产品安全团队的目标可能是“规划实施产品的安全特性,不断提升产品的网络安全与隐私保护能力,确保客户对产品安全能力的信任,从而保障并提升产品的市场占有率”。

2、安全组织层面

结合安全战略,参考网络安全领域相关的法律要求,建立由董事会、CEO统一领导的,包含关键部门的,覆盖决策层、管理层、执行层的网络安全组织体系。组织体系建立后应该通过一系列的措施确保组织体系的有效运转,避免仅仅是发布了红头文件,组织体系中的相关人员实际未能履行职责。

3、安全领域建设

结合现状评估结果,明确接下来安全需要在哪些领域开展建设。重要领域应该制定必要的实施思路,比如基于人员职业生命周期的人员安全管理、基于研发生命周期的应用安全管理、基于数据生命周期的数据安全管理等等。

4、安全技术支撑

安全各领域的建设离不开安全技术的支撑。同时,安全技术日新月异,新型威胁层出不穷,安全团队需要持续的开展新技术研究。

5、安全团队

网络安全建设的核心要素是网络安全人才!网络安全的竞争,归根结底是人才竞争!网络安全的对抗,最终是人与人之间的对抗!安全规划以及安全工作能够有效开展的基础条件,就是具备一支“进的来、出的去、专业、自信、特别能战斗”的网络安全团队。

团队建设包含上述的愿景、目标,也包含团队行为准则、团队氛围、基于团队人员的“选、用、育、留”。

团队行为包括:坚持为业务创造价值、坚持勇于担责、坚持风险“零容忍”、坚持工作闭环、坚持度量优化。

(二)企业安全体系架构

基于上述企业安全体系模型,参考安全领域的权威标准,以及业界优秀案例,企业网络安全规划时应制定企业安全体系架构图,如下图示例所示。每个企业的业务模式不同,安全所处的阶段不同,所面临的安全风险不同,安全关注点自然也不一样。所以,在做规划时务必要结合企业实际现状,所谓的权威标准、优秀案例也不能照搬,仅作为参考。

五、 输出实施路线

(一)实施举措

基于企业安全体系架构,结合企业安全当前风险、存在的不足等现状,可以确定企业未来安全体系建设应该要实施的举措。

(二)重要举措建设思路

针对重要举措需要制定建设思路或实施框架,上述这些安全领域基本上都有比较成熟的实践思路可供参考。重要举措建设思路或框架举例如下:

(三)实施路线

对于识别出来的各项实施举措,综合考虑风险优先级、实施后的预期效果、实施难度等,确定举措落地的优先级,输出实施路线,明确大致计划,样例如下图:

六、 汇报与宣贯

企业网络安全规划完成后,应做好向上汇报以及相关人员的宣贯。向上汇报的目的是让领导知悉、理解当前的安全风险与挑战,在安全目标与实施路线方面与领导达成一致意见。最重要的还有要获取领导的承诺,包括人力资源、预算等承诺。向相关人员宣贯,包括要在安全团队内部做好宣贯,确保所有成员统一思想、统一目标。同时也应向开发、业务等相关部门做好宣贯,让大家了解安全的目标与大致计划。

七、 回顾、改进与更新

每年11月份前安全团队应对本年度网络安全规划建设情况开展一次系统评估与回顾。对照规划中安全举措实施路线图,总结年度网络安全建设情况,如下图所示,对比原计划与已实施情况,识别规划中实施路线存在的偏差,梳理安全建设过程中存在的问题,针对问题制定下一步改进建议。

同时,结合本年度内外部的网络安全形势,新型威胁,新增的安全诉求与需求,也需对现有的安全规划进行更新,包括新增一些规划内容、调整安全举措的实施路线等等。

原文作者:Eleven-Liu/ 来源:博客园

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/192750.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

推荐14款最受欢迎的3d建模软件

最好的 3D 建模软件可以毫不费力地设计出最奇特的创意,并将它们变成令人惊叹的 3D 可视化效果。如果您确切知道要设计的模型类型,请查看此 3D 建模软件列表,比较 15 种一流的 3D 建模平台,然后选择最适合您的一款。最佳 3D 建模软…

金兔迎福报、新春第一炮【2022 中国开源年度报告】!

【中国开源年度报告】由开源社从 2015 年发起,是国内首个结合多个开源社区、高校、媒体、风投、企业与个人,以纯志愿、非营利的理念和开源社区协作的模式,携手共创完成的开源研究报告。后来由于一些因素暂停,在 2018 年重启了这个…

【王道数据结构】第一章 | 绪论 | 数据结构与算法的概念

目录 1.1数据结构的基本概念 1.2数据结构的三要素 1).数据的逻辑结构: 2).数据的存储结构(物理结构): 3).数据的运算 4).数据类型和抽线数据类型 1.3算法的基本概念 1.4 空间…

人大金仓数据库分区表

分区表 声明式创建分区 按列创建分区(PARTITION BY LIST) 将学员表student按所在城市使用partition by list创建分区 创建分区表(基表) 创建格式 create table 表名(字段名 数据类型)PARTITION BY LI…

Redis哨兵工作原理 | 黑马Redis高级篇

哨兵的作用 Redis提供了哨兵机制来实现主从集群的自动故障恢复 监控:sentinel会不断检查master和slave是否按照预期工作 自动故障恢复:如果master故障,sentinel会将一个slave变为master,当故障实例恢复后也以新的master为主 通…

低代码平台助力交通行业数字化科学管理

编者按:本文分析了交通行业的数字化转型需求,并指出了适合交通行业的低代码平台的特性,最后通过相关案例进行了功能展示。关键词:对接能力,国产化,数据引擎,智能化交通运输是国民经济先导性、战…

3、基本的SELECT语句

文章目录1. SQL概述1.1 SQL背景知识1.2 SQL语言排行榜1.3 SQL 分类2 SQL语言的规则与规范2.1 基本规则2.2 SQL大小写规范 (建议遵守)2.3 注 释2.4 命名规则(暂时了解)2.5 数据导入指令3 基本的SELECT语句3.0 SELECT...3.1 SELECT …

大数据技术架构(组件)15——Hive:内置UDAF函数

1.4.10、内置UDAF函数1.4.10.1、count--可以发现count(id)会把idnull的值剔除掉select count(1),count(*),count(distinct id),count(id) from test1.4.10.2、sumselect sum(1) from test;1.4.10.3、avg该函数太简单了,就不给大家演示了1.4.10.4、min该函数太简单了…

Hive(5):数据定义语言(DDL)

1 数据定义语言(DDL)概述 1.1 DDL语法的作用 数据定义语言 (Data Definition Language, DDL),是SQL语言集中对数据库内部的对象结构进行创建,删除,修改等的操作语言,这些数据库对象包括database&#xff…

面试官问 ,Mybatis SELECT 查询, 集合或者单个对象,如果数据库不存在数据,需要判空吗?

前言 于昨日下班时段,本人正在与生活作斗争,收到了金三银四一线作战小队成员紧急反应的战况问题。 不熟悉的或者是不知道怎么去看源码的看官,上车了。 正文 这面试题问的, 考察的是什么? ① mybatis框架的应用掌握情…

如何实现报表集成?(三)——资源集成

在上一篇,我们介绍了用户同步和单点登录,帮助用户了解什么是用户同步、如何做用户验证,以及如何实现单点登录。 这一篇,我们看下如何做资源集成。行文过程中得到了来自报表软件厂商 Smartbi 的报表产品:电子表格软件的…

leetcode-每日一题-1663-具有给定数值的最小字符串(简单,贪心)

很久没有做过贪心类型的题目了,因为用的很少,大多都用的dp,这道题第一眼看过去以为是dp,因为力扣里面的中等题很多都是dp,但仔细一看发现是贪心,思路其实很简单,先全部最小,中间插一…

机械设备ERP系统可以给企业带来哪些好处?

随着信息化技术的进步与智能制造的发展趋势,很多制造企业也在一直探寻适合自己的信息化管理转型之路。机械设备EPR系统对于机械设备制造企业来说就是关键一环。要充分发挥出机械设备ERP系统的赋能作用,必不可少的是从生产制造的各个环节出发,…

ONLYOFFICE 文档 v7.3 现已发布:表单角色、SmartArt、安全性设置、查看窗口等功能

在 ONLYOFFICE 最新版本的在线编辑器中现已提供高级表单、SmartArt 图形插入、增强密码保护和公式计算、幻灯片特殊粘贴项等多项功能。继续阅读以了解所有更新。 字段填写接收人角色 现在,数字表单将更加高效。您可为需要填写表单的用户分配各种角色,简…

中医名词看不懂?用PaddleNLP做一个中医“百科全书”

我是一个深度学习爱好者,目前对自然语言处理感兴趣,热衷于了解一些人工智能中的数学推导和经典论文复现,正在成长的“小趴菜”一枚,在PPDE指导计划中,创作了中医文献阅读理解项目,下面将由我介绍在项目创作…

Java开发面试(技术面)经历 (二)

2022-11-08,应聘Java开发 :云智慧(实训机构,个人观点,与培训没区别) 今天二面技术面,问了一些问题 1.集合有哪些? 两大容器如图:Collection集合 list下面还有Vector&…

Veeam Backup Replication v12 发布 (含下载) - 面向所有工作负载的备份软件

Veeam Availability Suite v12 请访问原文链接:https://sysin.org/blog/veeam-backup-12/,查看最新版。原创作品,转载请保留出处。 作者主页:www.sysin.org 全球首屈一指的备份和恢复提供商 管理、控制、保护您的 数据&#xff…

数字化基本概念

数字化是什么?为什么要做数字化转型?感觉只是用计算机软件替代了原有的工作和流程。 听多了,每天的工作也被冠以数字化,说来很重要,确是不清楚为何,也来了解一下。 数字化:改变做事方式、发…

分享企业做微信小程序开发的步骤_公司如何申请微信小程序步骤

对于小程序新手来说,想要建立一个小程序,第一步就是要拥有一个小程序。那么如何开通小程序?公司小程序如何申请?今天就来手把手教你们如何开通小程序吧: 一、填写帐号信息 到微信公众平台首页,直接点击帐号…

android——开发中哪些习惯会影响卡顿的发生

开发中哪些习惯会影响卡顿的发生,如下:1.布局太乱,层级太深。1.1:通过减少冗余或者嵌套布局来降低视图层次结构。比如使用约束布局代替线性布局和相对布局。1.2:用 ViewStub 替代在启动过程中不需要显示的 UI 控件。1.…