企业安全建设的体系思考与落地实践

前言

企业安全建设是一个老生常谈的问题，由于每个人的工作经验和心得体会的不同，因此看法和实践通常也不一样。

此文仅是笔者最近一段时间关于企业安全建设的体系思考和落地实践的一些个人看法，提供一种思考和分析问题的方式，仅代表笔者当前阶段的认知以及个人的阶段性总结。切记，“尽信书则不如无书”！

什么是体系思考

所谓体系思考，就是通过自身的知识和经验的积累，结合企业的现状，对存在的安全问题进行分类和整理，并总结出一套适合的安全建设体系的思考方式。有了这样的思考能力，就可以帮助我们形成合适的安全方法论来快速解决安全建设过程中的种种问题，做到目标明确，思路清晰，步步为营。

一谈到体系思考，相信很多人的第一感觉肯定是觉得很虚，认为只有不懂技术的人喜欢拿这种东西来装x，并喜欢以此来掩盖自己技术上的不足。实际上，笔者在很长一段时间内也是存在这种观点，然而随着工作经验的慢慢积累，越发觉得这种观点的片面性和不可靠性。

不可否认，安全行业或者说所有行业里都或多或少存在以此为噱头的“砖家”，但是这并不能否定掉体系思考的价值和重要性。从某种程度上来说，体系思考可能比具体的技术实践更加重要。举个例子，笔者经常看到一些一个人安全部的文章，写的很详实，建立各种系统，解决各种当前存在的安全问题，当读第一遍的时候你可能会觉得写的不错，可是当你仔细读完之后，你会慢慢发现似乎缺少了一个贯穿始末的中心线，而这个中心线就是“体系思考”。

设想，如果我们在做企业安全建设时进行了很好的体系化思考，明确知道当前所处的阶段，当前阶段的目标与困境，实现目标和解决困境的思路，落地实践的计划，那么我们就可以更加清楚地明白我们为什么建设这些系统且哪些安全问题需要被优先解决而不至于陷入“跟风”或者“人云亦云”的窘境，这时我们解决的就不在是一个个的表面问题而是一类的根本问题。

如何进行体系思考

明确体系思考的重要性是进行企业安全体系化建设的重要前提。根据笔者的个人经验，培养体系思考能力一般需要如下过程：

积累：知识的积累是进行体系思考的前提和基础，需要了解和见识足够多的行业最佳实践，各种落地实践中面临的难点，解决难点的思路和方法。 分类：有了一定的知识积累，需要对这些知识进行很好的整理，分类和总结。 思考：当零散的知识点被整理和分类后，需要通过5W1H+Not的方式对这些知识分类进行思考，例如：什么样的角色（who）在什么样的企业（where）在什么样的时间节点（when）出于什么样的的目的（why）以什么样的方式（how）做什么样的事情（what），以及不这么做又会如何（Not）。 实践：通过思考一般可以在大脑中形成初步的体系，但仍旧是“纸上谈兵”，这时就需要透过实践来检测思考的结果，并及时修正一些由于当前思考的局限性造成的误解或者盲点，作为下一轮的知识积累，并如此往复。

如何从体系思考到落地实践

前面写了这么多“废话”，相信能够坚持看到这里的某些同学肯定要喷我了，“你扯了这么多大家都懂的道理，你到底有哪些体系思考的结果呢？Talk is cheap, show me the code”。本节笔者将尝试从具体的企业安全建设来阐述一下我的一些个人看法。

第一步，企业安全建设相关知识的积累，我个人的做法是：

1）学习国内外知名企业（如：国外的FAANG，国内的BAT等）的安全建设的思路和做法，最快捷的方式当然是入职这样的企业，或者也可以通过这些公司公开的blog，paper或者其他安全相关的资料来学习，如：

Facebook: https://code.fb.com/category/security/ https://github.com/facebook Google: https://ai.google/research/pubs/?area=SecurityPrivacyandAbusePrevention https://github.com/google Amazon: https://aws.amazon.com/blogs/security/ Microsoft: https://www.microsoft.com/security/blog/ Cisco: https://blogs.cisco.com/tag/ios-security 百度: https://github.com/baidu-security 阿里: https://www.alibabacloud.com/blog 腾讯: https://security.tencent.com/index.php/blog

2）学习公开的网络安全标准和最佳实践，如：

NIST: https://www.nist.gov/topics/cybersecurity

MITRE: https://www.mitre.org/publications/all/

第二步，企业安全建设的分类，这里我分享两种不同的分类方法：

1）基于企业资产保护的安全建设分类。该分类的核心思想是安全建设围绕着资产的保护，比如，我们一般可以把一个企业的资产大致分为以下几类：

基础设施资产：包括网络资产，设备资产，物理资产等； 业务资产：包括应用资产，数据资产等。

2）基于企业数据生命周期的安全建设分类。例如：阿里推出的DSMM (数据安全能力成熟度模型)就是一个比较典型的以数据生命周期安全为核心思想的分类方法：

数据安全过程纬度：包括数据生命周期安全（数据的采集，传输，存储，处理，交换，销毁）和通用安全。 能力成熟度等级纬度：基于统一的分级标准，细化组织机构在各数据安全过程域的五个级别的能力成熟度分级要求。 安全能力纬度：明确组织机构在各数据安全领域所需要具备的能力维度，明确为组织建设、制度流程、技术工具和人员能力四个关键能力的维度。

第三步，企业安全建设的体系思考。

根据第二步中提到的两种不同的分类，我们可以分别从不同角度思考如何进行体系建设。

1）针对基于企业资产保护的安全建设分类，我们首先明确我们的核心思想是资产保护，那么所有的安全建设的思路就需要围绕着这个核心来进行。因此，至少需要组建如下的团队来做支撑：

对于基础设施资产，则需要基础架构安全团队来解决企业基础网络安全架构的安全风险和威胁，安全运营中心（SOC）团队来保证安全的持续运营、改进和交付。 对于业务资产，则需要应用安全团队来保证业务程序、软件、系统和服务的安全开发以及业务数据在整个生命周期中的保护，安全合规团队来保证业务数据使用的合法与合规，风控团队来确保业务的连续性和风险的可控性等。

按照上述的思考方式，我们可以根据资产的细化对上述的团队进行更加细致的划分，并最终形成一个完整的安全建设体系。

2）针对企业数据生命周期的安全建设分类，这里的核心思想是数据在整个生命周期中的安全保护，那么当我们在思考安全建设体系时考虑的就应该是怎么通过具体的措施来逐步提升数据在每个阶段的保护措施。比如DSMM就可以按照人类常见的思考和解决问题的思路来理解，即：

过程分割：将数据保护按照生命周期分割成若干个阶段，如：采集，传输，存储，处理，交换，销毁； 列出关键点：针对每个阶段列出所有的关键点PA（过程域）； 评估当前水平：对于每个关键点PA评估当前所处的成熟度的等级水平； 细化操作要求：结合当前所处的成熟度等级的对每个关键点PA细化具体的操作要求BP（基本实践）； 执行落地操作：根据具体的操作要求BP来进行安全建设和改进。

根据上面的思考过程，我们也可以初步形成一个较为完整的安全建设体系。

第四步，企业安全建设体系的落地实践。我们还是以上面两种基于不同角度思考得出的安全体系来做例子。

1）针对以资产保护为核心的安全体系，落地实践的重点强调的是对于各个细化资产的安全保护。比如，

网络设备的保护：防火墙 (Juniper FW)，IPS/IDS (Suricata/Snort)，DPI (Bro)，堡垒机，Web代理网关(IronPort)，邮件网关(FireEye/IronPort)，DNS RPZ，V**，WiFi等； 网络架构的保护：NAC，SDN，ZeroTrust (类似于Google的BeyondCorp)，VPC等； 服务器／办公电脑的保护：反病毒，EDR，HIDS/HIPS等； 移动终端的保护：MDM (VMware AirWatch)等； 物理门禁的保护：异常警报，访问日志，监控摄像头等； 业务系统和服务的保护：SDLC (包括安全开发规范以及相关的自动化工具、流程、平台的建设)，VRP (漏洞赏金计划)等； 业务数据的保护：数据分类标准，数据处理标准 (传输和存储)，数据共享要求，合规管理要求，业务风控体系，通用安全系统和组件(KMS, 统一认证和授权平台，AAA)等；

当具备了以上这些用于保护各种资产的安全系统或者规范后，我们就可以做更多的系统分析和互相联动，具体可以参见笔者之前写的几篇文章《谈一谈如何建设体系化的安全运营中心(SOC)》，《甲方安全建设的一些思路和思考》，《Red Team从0到1的实践与思考》。

2）针对以数据生命周期安全为核心的安全体系的落地实践，DSMM已经表述的很详细了，具体参见http://www.hackliu.com/wp-content/uploads/file/20180326/1522063004775728.pdf，这里就不在赘述了。

此外，有了这些具体的实践措施，如何做到顺利的落地呢？笔者提供以下两种不同的思路供大家参考和探讨：

一，从上而下的思路，此方法适用于大型或者安全成熟度较高的企业。

通常情况下，这类企业由于安全建设已经相对完善，安全的目标也相对明确，针对此种情况的落地通常可以从上层设置目标开始，逐步制定短中长期计划，建立相应的支撑项目，最后落地实践。

二，从下而上的思路，此方法适用于中小型或者安全成熟度较低的企业。

这类企业由于安全建设的不完善，通常比较难在短时间内找到明确的目标来指导实践的落地。这时，反向操作的效果可能会更好点，比如：先评估当前企业面临的真实威胁、风险和外部要求（如合规和政策需求，第三方合作需求），然后评估优先级，接着建立不同项目来解决问题，随后根据项目的成果来指定短中长期计划，最后利用这些计划和已知的数据来设定目标（即所谓的数据驱动安全），随着安全体系建设的逐步成熟便可以采用从上而下的思路来继续完善和持续改进。

后记

引用一段《中国超越》这本书的作者张维为教授曾经在其书中提到的一段话：

邓小平说过，一个听过枪声的士兵和没有听过枪声的士兵就是不一样，实地考察过一个地方和没有考察过也是不一样的。

笔者认为这句话同样适用于这篇文章的主题，如果没有亲身参与过体系化的安全建设或进行过体系化的安全思考，那么本文所提到的内容可能并不能使您感同身受或者有所收益，但期望这篇拙劣的文章可以给您带来一丝思考和启发。

最后，在此深深地感谢平时在工作学习中给予我帮助和指导的行业前辈们以及来自于“基于量子透明计算的可信自主可控区块链式拟态安全态势感知的威胁情报联盟微信交流群”的群友们，让笔者深知学习、思考、分享和交流的重要性。

参考

https://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-center.pdf http://www.hackliu.com/wp-content/uploads/file/20180326/1522063004775728.pdf https://en.wikipedia.org/wiki/AAA_(computer_security)) https://dnsrpz.info/ http://avfisher.win/archives/984 http://avfisher.win/archives/1064 http://avfisher.win/archives/1081