如何做好大企業的安全管理

觀點1：安全除了關注惡意破壞等這類正常資訊安全事件，更要注重連續性，安全是生産的基本保障。

什麼是安全的？定義是這麼說的，安全就是讓公司資産(包括硬體、軟體、資料、人、實體環境及其基礎設施)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、洩露，系統連續可靠正常地運作，服務不中斷，最終實作業務連續性。

定義裡明确提到，業務連續性是安全的最終目标。黑客入侵、資訊洩漏等問題都很嚴重，但是電力中斷，光纜被挖斷，對于業務的連續性也很緻命。是以，安全管理第一步，就是關注實體安全，電力、空調、消防，出口的備援和雙路由，樓闆承重，惡劣天氣的應對措施，是所有安全的基礎。

觀點2：安全是為業務服務的，業務安全是所有安全中最重要的。

這個觀點我也是近幾年才了解的。很多年輕的安全從業者，都有着本位主義思想。尤其是資訊化部門下屬的安全部門，總覺得資訊系統是公司最重要的資産。殊不知，在老闆眼裡，那隻是公司的一小部分。如果是生産制造企業，工控裝置才是命脈。就像華數集團是一家廣電企業，老闆最為關心的是播出的内容要安全。至于說到辦公網中存在勒索病毒，辦公郵件資訊洩露等問題，直接處理好就可以。不是說那些問題不重要，而是安全最終需要為業務服務，這才是安全的重中之重。

既然業務安全是第一位的，那麼安全就要始終圍繞為業務服務這條主線，要為業務設計 合理的解決方案，保證業務穩定運作。安全部門制定出恰當的防護措施，但不要因為安全而大幅增加成本。因為當安全投入接近主系統投入時，最終的結果就是該安全項目被砍掉，或者安全措施被砍掉，這對于業務是不利的。

觀點3：老生常談，安全真的遵守木桶原理。

安全能避免木桶原理的隻有一種情況，那就是你所在的公司較小。比如華數集團，擁有着衆多下屬子公司，你要把每一個小兄弟都照顧好，下屬公司一個都不能少。一塊短闆發生事故，就會讓你前功盡棄。這和業務部門不同，業務部門講的是亮點，一半分公司業績好就行，剩下另一半分公司做不好，集團整體也可以完成全年業績。我們搞安全，一個出事，其他公司做得再好也沒用了。

簡而言之，做安全必須有條理，有條理才能無死角、無遺漏，才能無短闆，因為短闆會拉低整體水準，一次事故前功盡棄。

觀點4：安全工作需内外兼修。

除了做好内部安全管理和技術防範，和外部監管部門甚至廠商搞好關系也是安全大管家的必修課。安全沒有絕對，也就是人們常說的“隻要是系統就會存在漏洞”，安全工作中總有些風吹草動。若是因為一件小事而傳到監管部門，小事變成大事，萬一被通報批評，對于安全而言也是不利的。

此外，如果安全工作中真的存在一些問題，還是要在第一時間請廠商來解決。如果和廠商關系不好，在處理問題方面難免會存在各種形式化的問題，不利于問題快速解決。問題解決後，報監管部門，大事化小，小事化無，如何迅速将平息輿論，也是十分有講究的。除了考察臨場反應，平時的積累很重要，一到出現問題時，能第一時間找人解決，對公司整體而言有利無弊。

觀點5：網絡安全的根源是網絡設計

想要做好網絡安全，基礎是做好網絡設計，不懂網絡設計的人，是做不好網絡安全的。安全市場上，懂系統安全的人多，懂網站安全的人也不少，唯獨合格的網絡安全工程師最是稀缺。普通的網絡工程師隻負責流程貫通，隻顧着将業務調通，但是其他不該通的網絡區域也一并做通，這對公司安全是存在隐患的。比如說防火牆部署在哪個位置最合理？賣防火牆的廠商也不會幫你仔細斟酌，他們就負責幫你調試配置上線。

上面是一張我根據公司實際情況，自己設計的網絡分區圖。如果能做好分區間的通路控制政策，其實你已經解決了大部分的安全問題了。一般而言，黑客是很難穿越正确配置的路由器和防火牆。一個CSO的電腦裡如果沒有自己公司的網絡拓撲，那一定時做不好的。

觀點6：聯網好還是隔離好，要權衡利弊

這裡說說我對隔離的了解。實體隔離很好了解，反正就是不通，交換機也分開，除非最後進傳輸時，裝置複用進了同一對光纖。除此之外，裝置和線路都是分開的。

邏輯隔離稍微複雜一點，我認為最起碼是兩個區域絕對不能互相通路，這是基礎。除此之外，也絕不能使用同一台路由器(這裡是指狹義的路由器，廣義來說MPLS VPN也是路由器組網的)，必須從交換層面就隔開。在光域網應該使用不同的MPLS VPN ，在區域網路使用不同的VLAN。如果僅僅是不同的網段，接入到同一台路由器，雖然路由器沒有配置轉發路由，但也達不到“邏輯隔離”的要求。

那麼安全管家該如何選擇呢？還是從業務出發，如果業務需要接入網際網路被人民群衆通路，那麼最好沒有隔離。如果業務可以完全孤立，那麼可以考慮在實體隔離和邏輯隔離中做選擇。一般而言，如果監管部門沒有明文規定，通常選邏輯隔離。

隔離其實很簡單。從安全的“最小化”原則來說，業務上沒有必要互聯互通的網絡區域，盡量隔離。難就難在業務總是在發展，業務系統隔離後沒法獨立工作。尤其是現在雲計算大資料，業務部門都希望最好都連起來，安全隔離成了業務發展絆腳石。

随着業務發展，原本隔離的兩個網絡區域需要互通，那麼一定在兩個區域之間放一個防火牆。按照最小化原則，僅允許IP+端口來互通，還要控制好方向，明确是單向發起還是要雙向互訪。

說到底，難度不在隔離，而是如何有效的做好通路控制，而做好通路控制的基礎，正是我們前面一個觀點談到的，如何做好網絡設計。

觀點7：辯證的去看待安全工作。

其實辯證點很多，下面舉兩個例子簡單說明。

1.安全工作是不是一切按監管部門的要求做？

首先，我認為合規是下限，等保達标不代表安全，安全要有自己的判斷。其次，凡事都需要因地制宜，标準動作并不見得适合所有企業，根據實際情況制訂具體的技術防護手段，是甲方安全從業人員的職責。安全人員是對企業最熟悉的人，如果不能做到根據實際情況制定方案，那就失去了價值，咨詢公司就把你的工作給做掉。

但是，達标還是有很多保障的。畢竟标準動作到位，等保也達标，該符合的法規都執行，日志都存好，制度規範都齊全的話你也就不用天天杞人憂天。沒事别瞎擔心，晚上踏實睡，真要出事一則你也攔不住，二則你也沒多少責任了。搞安全的，心态要好。

2.安全投入是不是越多越好？

老闆跟我講，你的任務是搞好安全，要多少錢自己說，我都給你批，但是搞不好就拿你是問。這種情況下壓力反而很大，老闆把球踢給你，而你深知安全又不是砸錢就能搞好的。是以，你一定要提出，安全是人防+技防，人是關鍵，安全投入要适度，關鍵時人的安全意識提升，輔之以安全産品防護，才能做好安全工作。

如果說我制定嚴格的安全要求并分發到各個分公司。有可能分公司會說要求太高完不成；也有可能把安全要求當做完不成業務的借口或者是盲目采購大幅度的安全裝置等等，然而這些都不是我想要的。

安全是人防+技防，人是關鍵。安全投入要适度，就比如時下流行的安全态勢感覺、安全大資料分析、進階可持續威脅檢測，東西是好東西，但是溫飽線人民群衆不需要三文魚，首先要把精力投放在基本的安全防護上。

觀點8：甲方安全沒有那麼簡單，乙方工程師真幹不了。

畢竟，安全裝置的堆砌不等于安全。安全産品是磚，乙方銷售是賣磚的，乙方工程師是砌牆的，但他們可能不知道怎麼造房子。甲方安全負

責人是建築設計師，也是總工程師，大樓造不造得起來，你負全責，因為你是最終為安全負責的人。

甲方安全需要廣泛的基礎知識，包括通曉監管部門的法律法規，網絡規劃能力，安全攻防知識。也需要很強的溝通能力和文字功底，能将監管的檔案編寫成内部制度，能和運維部門、業務部門處理好關系，能擺平那些給你找事的分公司。當然，管理能力也必須有，管好自己直屬的團隊，管好外包商，管好各分公司的安全人員。

甲方安全管理是一個比較新型的職位，目前來看市場還是比較稀缺的，因為學校沒有這樣的專業，但現在很多企業增設了這個部門或職位。這個職位一部分人來自甲方自己的網絡運維人員，一部分人來自安全廠商的工程師或者咨詢師，但我覺得都需要好幾年的曆練和經驗，才能有機會成長為合格的甲方安全管理人員。

總結

講了很多觀點，最後說說安全管理的方法。老闆給你的是目标，比如華數集團的目标是安全播出，而安全管理者是把目标細化為具體的動作。比如以下這個模型是可以作為我們甲方安全管理人員做好工作的基本方法。畢竟完全防護不出纰漏是不現實的，安全能力最終還是靠應急響應速度和善後能力來展現。