“百家”,对安在来说不算是新栏目,比如早前我们曾开设过的专家专栏,但算是又一次的开始,这意味着我们将以更开放和更包容的方式让网络安全“诸子百家”们“百花齐放”,他们是各个行业代表性企业的CSO、安全骨干,是业界大咖、专家,是思想者、实践者和分享者。为此,安在将会持续呈现来自“百家”们的最佳实践和真知灼见。
作者简介:欧阳昕
就职于中国人民银行金融信息中心,工学硕士,在读博士,具备10年信息系统及安全管理工作经验,CISP,主持开发建设多项全行业信息化建设项目,专注开展终端、网络层信息安全风险防范,对接国家及行业信息安全主管部门管理要求,开展安全策略制定及落地工作。具有丰富的一线运维经验,多次在人民银行系统开展信息安全培训工作。
前言:
经过几次北门例行碰(扯)头(淡)会的头脑风暴,我们决定做一些经验交流的内容,主要梳理安全运营中的难点和痛点,争取寻找几个容易引起共鸣的子题目,用适合的案例介绍我方团队如何摸索和实践安全运营。
现在国内众多安全会议,各种高大上的概念模型,日新月异的新鲜词汇,真正落地时,就连最基本的终端防护是否能做好都要打上问号。近期台积电病毒事件爆发,直接造成78亿新台币损失,究其原因竟然是一个一年前已经发布的补丁。看似基础运营层面的纰漏恰恰反应出安全团队本身在风险评估和体系落地上的缺位。九层之台,起于垒土,地基打好了,楼才能盖高,否则工具再多也是浪费。
我是一个10年陈酿的安全管理员,趟过坑,扛过雷。从去年开始,团队对单位10多万终端安全防护进行了功能梳理、整合和优化。项目建设和后期的运营工作比例约为3:7。以下将结合项目经验,采用问题场景复盘的模式,探讨政府单位或大型企业内部终端的安全运营实践。
正文:
开篇先简单介绍一下终端安全的发展历程。终端安全是信息安全的一个细分领域,出现时间较早,基本上伴随着信息安全概念的出现便随之应运而生。
在过去一段很长的时间里,国内的防病毒就等于终端安全,终端安全就等于信息安全。毕竟在信息技术发展的早期,网络攻击和黑客技术还没有像现在一样日新月异,大型分布式应用系统还没有广泛使用并提供社会服务,各类威胁、漏洞还没有引起从业者的广泛重视……以现在的标准衡量,那时候仅仅是刚解决了互联互通的“温饱问题”,基于这种“自然条件”的约束,黑客们的工具和手段比较原始,能做的坏事比较有限,病毒成为最直接有效的“凶器”。
后来,随着技术的不断进步,终端安全威胁的边界逐步扩展,终端安全管理的方法论也逐渐成熟,在一个由海量终端组成的大型内部网络中,终端安全一般被定义成以下几个方面的工作:防病毒、补丁分发、桌面管控、网络准入以及行为监测和取证。最后,随着近几年ABC(AI,BigData,Cloud)技术的迅猛发展,终端安全的受众范围又发生了一定的变化,从单一的计算机终端分化成办公环境的终端领域,服务器终端以及新一代的移动终端等三小类。本文将重点结合实践经验,介绍企业内网中计算机终端的安全运营实践。
探讨分三部分,准备篇,实践篇,展望篇。
第一部分准备篇:从运维到运营的角色转变是提升终端安全防护能力的先决条件▲▲▲各位读者,如果身处这个行业,又从事甲方工作,可以先在脑海中思考几个问题:自己每天的工作内容是什么?是否亲历过影响范围波及网内80%以上终端的安全事件?有没有因为产品功能的问题怼过乙方?会不会觉得手上一直没有合适的工具或工具集去解决复杂的终端安全问题?有没有感觉到工作内容和工作职责的不匹配?
以上问题,折射出一个安全团队从运维到运营职责的转变轨迹。随着问题的陆续爆发,运维的同学会逐渐感觉到挫败和沮丧,因为似乎自己没日没夜的加班也不能消除问题的发生,反而逐渐在不断“跳坑--爬坑”的循环中迷失。我尝试解答这个问题:甲方安全团队,其本质上与一般的IT运维团队是不同的。
首先看看运维工作的定义:一般指对所负责系统的软、硬件资源优化、维护和告警处置,以确保系统提供服务过程中更好的发挥价值。对比一下安全团队的职责,他们的定位首先是系统的使用者,依据企业战略、总体规划、业务需要以及各类合规性文件,制定安全管理目标、发布安全管理要求、规划安全基础设施建设的技术路线,并以管理者和业主的身份,参与系统的建设,接管系统的使用,最终期望借此推动管理要求的落地,促进安全防护水平的提升。
显而易见,安全运营团队与传统IT运维团队的最大区别,是工作角色的差异,团队成员不但要承担系统日常巡检、策略配置和告警处置等运维层面的工作;还要作为业主方,依靠安全系统和技术手段,通盘考虑整体运行态势并作出决策性调整,以实现业务增值和管理效能的提升。概括起来就是从“我要怎么做”进化到“为了做什么我要怎么做”。因此,还在坑里的同学们应该意识到,您的工作职责显然不能仅局限于系统运维了,而是要更加西藏白癜风医院北京中科白巅疯医院
转载请注明地址:http://www.shiquanren.net/ztjs/ztjs/22286.html
