驱动安全建设的三架马车

点击图片查看指南

企业为什么要做安全建设，为什么要雇佣安全从业者，为什么要在安全上投入资源去做大量的事情，大家都知道做安全在企业内部是成本中心，只是在花钱，消耗资源，并不能给企业带着直接的收益，那么为什么还要做安全呢？

这里总结一下做安全的几个驱动力，主要包含：事件驱动、合规驱动和技术驱动，下面一一来谈谈。

事件驱动

什么是事件驱动？就是你出事儿了，被大家伙都知道了，然后自己心里害怕再出事儿，所以就要出点钱来做做安全，这是企业做安全的第一驱动力，也是最容易获得上层支持的理由。

业界有很多鲜活的例子，比如：

1、2018 年 11 月 30 日万豪国际集团旗下喜达屋酒店客房预订数据库遭黑客入侵，最多约 5 亿名客人的信息可能被泄露 ， 万豪国际的股价在发布消息当天盘前下跌 5.6%。

2、2018 年 9 月 Facebook 爆出，因安全系统漏洞而遭受黑客攻击，导致3000万用户信息泄露。其中，有1400万人用户的敏感信息被黑客获取。这些敏感信息包括：姓名、联系方式、搜索记录、登陆位置等。因各类安全事件导致 Facebook CEO 道歉，并多次出席听证会，并且 Facebook 股价已较年初跌了 29.70％（12 月 25 日）。而 12 月份的这次泄露，欧洲隐私管制机构爱尔兰数据保护委员会已着手调查，Facebook 或因此被罚款超过 16 亿美元。

案例还挺多的，作为一个公司老板，发生安全事件导致公司利益受损，一定不会坐视不管，多多少少会采取一些措施，雇佣安全从业者，针对自己的核心系统和数据进行一定的保护，防止类似的事情再次发生，也是从上到下都想要解决的问题。

所以在进行安全建设的初期，发现企业安全风险，并将其充分暴露，才好跟上层汇报，获得资源上的支持，做更多的事儿，拿更好的绩效。

合规驱动

当你所在的企业从未发生安全事件时，在自己工作的几年内也未发生过任何事件，怎么办？从上到下对安全都是无感知的，即使有感知，也都只会认为安全人员是多余的，只会没事儿找事儿，很烦，那么还怎么要资源，做安全呢？

随着 2017 年 6 月网络安全法的发布，国家对于网络安全的重视程度在逐步提升，对于金融证券行业、国企事业单位，合规要求更严，所以满足一定要求的公司都要进行等级保护的评定，如果你想满足等级保护的要求，那么就需要有信息安全相关人员，并满足安全上的基本要求。

定级方式

根据等级保护相关管理文件，等级保护对象的安全保护等级分为以下五级，详情请看《 网络安全等级保护定级指南 》：

a) 第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损 害国家安全、社会秩序和公共利益；

b) 第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或 者对社会秩序和公共利益造成损害，但不损害国家安全；

c) 第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害， 或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；

d) 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家 安全造成严重损害；

e) 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

技术要求

通常互联网公司满足三级等保就可以了，对于不同等级的保护在技术上的要求如下，详情情况《 信息安全技术 网络安全等级保护基本要求 》：

第一级安全保护能力：应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的 自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在自身遭到损害后，能够恢复部分功能。

第二级安全保护能力：应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、 一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和处置安 全事件，在自身遭到损害后，能够在一段时间内恢复部分功能。

第三级安全保护能力：应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的 威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够 及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大部分功能。

第四级安全保护能力：应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资 源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害，能够及 时发现、监测发现攻击行为和安全事件，在自身遭到损害后，能够迅速恢复所有功能。

第五级安全保护能力：略

网络安全法

在网络安全法中，第二十一条要求：

国家实行网络安全等级保护制度。网络运营者应当按照网络 安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或 者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络 安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技 术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规 定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

有想要了解更多关于网络安全的法律法规，大家自行寻找资料查看，这里就不再赘述。

合规驱动比较好用的还是强监管的行业，比如金融、证券、政企等，对于互联网来说，合规可能就是一个满足要求的证书，各种合规要求能实际落地的公司少之又少。

技术驱动

对于企业来说解决问题是最重要的，无论你使用何种技术，何种方案，只要能解决问题并且预算在可控范围之内，那么就可以实施，所以技术驱动的安全建设是最难得到高层认可的方式，这种方式只是做技术人对于技术的热爱而选择的方式，并不能在企业得到很好的支持。

假如你是一家企业的老板，一个技术大佬，跟你说，你可能被 xxx 攻击，以 xxx 种方式攻击，需要花 xxx 的钱来购买商业产品，并且高价招 xxx 个人来进行安全防御，对于价值这块，无法用实际的事件和合规性来说明，只是在技术层面诉说价值，你会认吗？你会投入资源去满足一个技术人的梦想吗？

你一定不会的，花了钱，也不知道解决了什么问题，有什么价值，只要是往好的方向走，做任何事儿都是有价值的，只是这个 ROI（投入产出比）是否值得，是否必要，不是任何风险都要解决，任何技术都要落地，一定是有优先级和必要性的。

所以追求技术不是不可以，要建立在有合理的理由和价值的情况下，追求技术的完美，在解决企业核心问题的同时，提升自身或者企业的技术实力，相互成就，才可长久。

总结

说了这么多，主要想告诉大家的是，在做安全建设的时候，前期技术方案不是最重要的，最重要的是发现企业的痛点，痛到老板都觉得一定要解决，这个时候，师出有名，在进行解决方案的调研测试，投入必要资源，完成方案；落地，解决问题，这样即得到了老板的认可，又实现了个人价值。

不要做一个只知埋头干活，到头来，最重要的问题没有解决，搞了一堆边边角角，既没得到老板的认可，还成为了公司其他部门的眼中钉，肉中刺，成了业务发展的拖油瓶，方向比努力更重要，尤其干安全，更重要的是信任，一旦失去别人对你的信任，工作将愈发难做，共勉。

点击图片查看训练营详情