文|马天骐
关键词:信息安全;网络信息安全体系建设;数据安全;内外部协同
随着信息技术的飞速发展,以及国际形势的变幻莫测,企业网络信息安全面临着更大的挑战,特别是涉及经济民生、基础设施、核心技术的企业面临更加严峻的形势,网络信息安全被提到了一个至关重要的位置。
五大安全体系应对网络安全风险
企业面临多样的网络信息安全威胁,包括公网互联的安全威胁、内部系统的安全隐患、应用产品的安全风险、企业合规风险等。企业安全技术构架须不断完善和优化,构建完善的信息安全体系,保障企业网络信息安全。
1.企业系统网络防御体系建设
系统网络防御体系旨在快速识别攻击并进行拦截,使企业能够有效抵御外部入侵,从而拥有更安全的使用环境。系统网络防御体系的工作内容一是搭建安全防护设施,二是防护设施的精细化运营。
搭建安全防护产设施,聚焦边界防护及纵深防护。边界防护用于企业外部及内部不同工作区域之间的边界隔离,常用的产品包括但不限于安全态势感知设备、WEB应用防火墙、云防火墙、IPS、IDS、WAF防火墙等。有条件的企业还可以配置网络全流量探针以及网络蜜罐设备,方便及时对内外部入侵威胁进行定位和反制。纵深防护主要用于企业内部,首先聚焦员工上网行为管理,全面记录用户上网行为、上网时长等信息,拦截非法网站的访问,对流量进行管控,确保办公网正常稳定;其次是对WIFI及员工远程办公的安全部署,每个账号使用时都要进行权限认证。同时WIFI网络部署对应访客网络,访客网络和内部网络做好隔离,减少黑客社会工程学入侵和近场攻击的风险。
精细化运营是一个持续的过程,安全防护规则应不断适应新的网络环境才能应对新形势、满足新需求。维护企业的安全设施防护经验库,将安全防护设施的运营经验和遇到的威胁情报汇总整理,为后续人员流动、攻防演练威胁定位提供技能储备。精细化运营需要企业组成专业团队以应对不断更新的安全需求。
2.企业数字化产品安全体系建设
企业产品需要在开发迭代的过程中通过安全评审,根据不同产品的特点编写产品安全评审检查项,以降低产品后期的返工率。提高研发人员的安全编码意识,可对技术漏洞起到一定的治理效果。利用工具对安全缺陷进行自动化识别,减少安全人员人工检测的时间,提高代码安全检测效率,如使用代码审计、安全漏洞黑盒扫描、IAST自动化安全测试等。
无法靠自动化方式发现的安全漏洞需要进行人工渗透测试。通过渗透测试可以更有针对性地对企业环境和产品安全性进行评估。
通过编写安全测试规范,形成统一的安全测试检查单。统一质量测试标准能够解决安全人员水平参差所导致的能发漏洞数量差距明显的问题。安全测试规范一般包括WEB安全测试规范、Android应用安全测试规范、iOS应用安全测试规范、技术合规测试规范等。
3.企业数据安全体系建设
数据安全体系是以数据为中心展开的一系列安全措施,是实现隐私保护的重要手段之一。广义上的数据安全体系指所有与数据相关的安全措施的总和,需要与其他安全体系协同才能确保效果。
数据安全管理规范明确了数据安全体系建设过程中的标准,是建设数据安全体系的第一步。规范应符合企业的实际情况,一般包括数据生命周期中各环节的实施规范、数据分类分级参考、不同级别数据的处理措施等。企业对采集和使用的原始数据进行合规评估,包括最小化数据采集、个人信息主体告知、数据安全风险评估。数据传输主要通过数字证书、加密算法、非对称密钥等技术完成互联网数据传输加密,保护数据安全。通过对数据存储的加密可以防止数据泄露后被识别和读取,当测试研发或者业务部门需要使用生产数据时,应先将敏感数据进行加密、修改或者匿名化处理,防止敏感信息泄露。在销毁数据时应删除原始数据及备份数据,并对数据存储介质进行格式化或填充,使数据无法恢复,从而实现数据的安全销毁。
4.企业隐私合规管理体系建设
隐私合规管理体系应融入应用安全体系与数据安全体系。企业要开展隐私合规管理体系建设,首先要对相关法律法规和政策进行深度学习,明确监管要求;其次,企业文化应认可隐私合规管理工作带来的价值。
要平衡好隐私合规与业务创新的关系。隐私合规需要专业团队负责执行落地及后续的合规审计、流程规范制定,一般由安全部门和法务部门共同负责,还需要产品设计、业务开发以及运维等部门的支持,共同建设隐私合规管理体系。
数据合规是隐私合规管理体系的核心部分,需要保障数据使用符合法律法规要求,包括数据的采集、存储、访问、使用、出境、委托处理、共享、转让、公开披露、主体权利等。
5.企业安全管理体系建设
安全管理体系是企业信息安全体系中的基础模块,企业可以通过安全管理制度、安全培训课程、安全应急响应工作链来搭建安全底座。
安全管理制度即制定严格规范的管理手册,包含安全标准化的相关术语、安全生产标准化的管理方针、具体实施方案、应急救援措施、操作规范等内容,是企业实施安全标准化建设项目的指导性文件。同时,将安全标准化建设项目的目标进行分解,明确各阶段的任务和目标及各级管理人员的职责和权限并配备专业的安全管理人员。
安全培训可分为安全意识培训和安全技术培训两方面。安全意识培训的目的是提高员工的信息安全认知与防范意识,如密码设置、离座锁屏、识别钓鱼邮件等。安全技术培训主要针对企业安全管理人员及技术开发人员,提高安全编码能力,规避常见的安全漏洞,降低产品的技术安全风险。
建立安全应急体系以应对内外部网络的安全事件。企业需要打通部门壁垒,建立专门的应急响应组织处理应急事件,同时协调外部资源做好安全支持,如维保服务厂家、供应商、网信和公安部门等。创建安全事件分级制度及应急处置流程,根据网络安全事件的性质、机理和产生原因分级分类处置,提高企业安全事件响应、处置效率。
企业安全架构设计
企业安全架构设计可根据不同需求进行具体的设计和实施,本文以技术型企业为例构建企业安全架构。
技术型企业的安全架构设计需要重点考虑网络基础设施安全、产品生命周期安全、企业安全管理等方面,以确保核心代码知识产权和产品数据的安全(如图1所示)。
![](/userfiles/20240516170154.png)
从产品生命周期安全的角度考虑,可以将过程划分为需求设计、产品研发、测试发布、产品运维四个阶段。需求设计阶段,企业可以制定项目团队的安全方案规划,包括安全流程、技术路线、安全基线管理等相关要素的设计,然后交由安全审计小组进行安全合规审计,确保项目规划符合公司安全管理要求。产品研发阶段,重视代码结构合规审计及代码库管理,知识产权的代码信息应存储在有安全防护能力的企业私有代码库中,确保代码编写符合标准。同时,对产品开发所使用的公共组件库进行定期安全扫描和更新,清理有安全隐患的组件。产品测试和预发布阶段,可进行多维度的黑盒和白盒测试,分别从产品的功能实现和产品的实现逻辑维度检验安全指标。遵照国家法律法规及公司内部安全规范,在产品上线前对数据在整个数据生命周期中的安全性进行评估和检测,维护公司数据资产和客户隐私数据的安全。产品上线运营后,持续跟进产品的安全指标,应对不断变化的安全威胁,保障安全补丁的维护更新。
企业安全管理重点着眼于安全组织和安全规则的建设落地,包括成立信息安全办公室,统筹企业内外部安全职责,制定安全事件应急响应方案、产品安全管理办法和数据安全规范等相关制度,让安全措施有据可依、有法可循。重视安全实践活动,培养员工的安全管理积极性,鼓励员工为安全管理建言献策,并制定相应的激励机制。将安全演练红蓝军指挥部设置为企业常设虚拟组织,定期开展攻防对抗演练。完善企业安全评审流程,组织开展员工安全意识和技能培训,将安全落在企业管理最实处。
在完善企业基础设施安全管理方面,结合实际经验和外部法律法规制定合理的安全量化指标,统一企业安全标准。关注软硬件的资产管理,对数据资产、设备资产、软件资产、IP地址、域名资产、数字证书、人员组织架构等统一纳入管理,有利于风险事件发生后的快速定位、快速处置。针对企业供应链搭建专门的安全维护平台,涉及厂商产品和人员的安全风险和产品漏洞及时同步,快速完成安全升级和供应商淘汰。建设安全防护知识库,有助于提高员工安全能力和安全意识,及时更新安全威胁情报库,掌握最新的漏洞信息和威胁情报,帮助企业做好安全预警和安全加固工作。搭建边界网络防御体系,企业内部划分办公区域、研发区域和生产区域。利用网络防火墙、零信任产品、VPN工具等安全设备划分各自区域的网络边界,同时将内部网络和外部互联网隔离,根据企业实际需求动态调整安全策略,安排安全专员维护。企业在考虑事前和事后防护的同时应通过安全监测和态势感知设备做好事中检测,对内外部网络流量和信息进行全量收集和风险筛查,提高企业在安全事件中的响应速度和应对能力。■
主要参考文献
[1] 王祯军.网络安全紧急状态制度的建构意义与规制内容研究[J].河北法学,2023,41(10).
[2] 李伟.分析计算机网络下的信息安全及防护[J].网络安全技术与应用,2023(8).
[3] 盘采华,杨馨蕾,王雨倩.科研院所网络安全应急响应体系模型设计[J].网络安全和信息化,2023(8).
作者单位 中国银联股份有限公司
|