3.2 不同阶段的安全建设重点
1. 战后重建
救火阶段过去之后会进入正式的安全建设期。第一个阶段是基础的安全建设,这一期主要做生产网络和办公网络的网络安全的基础部分。也就是在前面1.4节“不同规模企业的安全管理”介绍的大中型企业对应的那些需求(当然也包括中小企业的那些)。完成的标志:一方面是所提的那些点全都覆盖到了,另一方面是在实践上不落后于公司的整体技术步伐,比如运维侧在用Puppet、SaltStack之类的工具实现了一定程度的自动化运维,那你的安全措施也不好意思是纯手工的对不对,如果产品团队交付已经在用持续集成了,那你是不是也至少提供个带点自动化的代码检查工具,而不是纯肉眼去Ctrl+F?这一部分其实是很多人眼中甲方安全的全部内容,不过我觉得远不能止于此。如果这个场景切换到准生态级公司,也许要变化一下,直接向全线工具自动化看齐,一开始就同步自研必要的工具。
2. 进阶
以上算是解决了安全的温饱问题,第二阶段就是要向更广的方向拓展。一是广义的信息安全,以前是在忙于解决不被黑而抽不出身,现在安全相关的事情都要抓起来,从只对接内部IT,运维和研发部门扩展到全公司,跟安全相关的环节需要加入必要的流程,以前下线的硬盘不消磁的现在要重视起来了,以前雇员可以随意披露公司的信息以后就不可以了,以前雇员离职的账号不回收的现在开始不可能了,以前DBA可以给数据库插条记录然后去电商上卖装备的,那种事从此开始要一刀切断,诸如此类的事情还有很多。其实这个时候你可以把ISO27001拿出来看看了。二是业务安全,比如用户数据的隐私保护,之前安全只是作为保障而不是一种前台可见的竞争力,但现在安全需要封装起来对用户可见,对产品竞争力负责,如果公司已经发展到一个很大的平台,盗号问题都解决不了的,我觉得真的需要考虑一下自己的乌纱帽问题。这一部分对安全圈人士而言可能并不高大上,可能没太多值得拿出来炫技的部分,但是我认为这些是务实的安全负责人需要考虑的问题,这些属于经营管理者视角下的一揽子安全问题,如果这些问题不解决而去发明WAF发明HIDS去,尽管可以拿到安全圈来发两篇文章炫耀一下,但从职责上看属于本末倒置,直接影响公司营收的问题需要先解决。之所以把业务安全放在第二阶段而不是去优化安全基础架构是因为投入产出的边际成本,投在业务安全上,这一部分产出会比较直观,对高层来说安全从第一阶段到第二阶段一直是有明显可见的产出,而如果此时选择去优化基础安全能力,这种产出受边际成本递增的影响,效果会极其不确定,而这时候业务安全问题频发,就会被倒逼至两难的境地,一则优化基础安全的工作做了一半,一则又要考虑是否中途转去做点救火的事情,而安全产出是安全团队对公司高层影响力的所在,只有看到持续的产出才会影响力增加,才会有持续的投入,尤其在老板不是技术出身的公司,他也许很难理解你去发明WAF的价值,他只会问盗号这么严重怎么不解决。这个问题从工程师的视角和管理者的视角得出的结论可能完全不同,安全对高层的影响力是安全团队在公司内发展壮大的基础,这是很多甲方安全团队之痛,你可以对比一下自己所在的环境,安全团队的负责人对大方向的把控上是不是做到了可持续发展,好吧,这个问题有点尖锐。
3. 优化期
第三个阶段会感到开源工具不足以支撑业务规模,进入自研工具时代。其实做攻防和研发安全产品完全是两码事,存在巨大的鸿沟,如果拿做攻防的团队直接去做安全工具开发,恐怕挫折会比较多,即便有些研究员擅长做底层的东西,但对于高并发生产环境的服务器工具而言,还是有很大的门槛。另一方面做攻防和做研发的思路也截然不同,此时其实是在交付产品而不是在树立安全机制,所以要分拆团队,另外招人。
4. 对外开放
第四个阶段,安全能力对外开放,成为乙方,不是所有的甲方安全团队都会经历这个阶段,故而此处不展开。不过我想最重要的区别是,经营意识,成本意识,运营,整体交付,2B和2C的区别,线下最后一公里。