企业网络安全体系建设(2): 安全组织

企业网络安全体系建设之安全组织

在国家的安全体系中，主要设立有如下机构：

• 国安局：即国家安全部的民间称呼，主要职责是情报收集、维护国家主权和利益（此职责描述引用自百度百科）；
• 公安局：即公安部的主要市级机构，主要职责是维护社会治安（预防、制止危害治安秩序的行为、违法犯罪或恐怖活动；管理交通、消防、危险物品；管理户口、证件、出入境、居留等有关事务；守卫重要场所和设施等（此职责描述根据百度百科裁剪）；
• 派出所：公安局的派出机构，负责基层的治安、户籍等基础工作。

在企业的网络安全组织中，也可效仿国家的安全机构，设立：

• 网络安全部（类似于“公安局”）
• 业务安全机构（类似于“派出所”）
• 威胁情报小组（类似于“国安局”）
• 决策委员会（类似于“人大”+“法院”）

分述如下：

设立由网络安全相关的专业人员组成的网络安全部，相当于国家安全体系中的“公安局”，主要职责是维持企业的基本安全环境，预防、阻止危害公司网络安全的行为，检测网络流量以识别恶意行为，管理重要信息资产，建设、管理和运维重要的网络安全基础设施等。

在各业务部门设立跟网络安全部门接口的网络安全办公室（大型企业）或安全责任人机制（针对中小企业，为每一个主要产品设立安全责任人，为运维设立运维安全责任人），相当于国家安全体系中的“派出所”，“派出所”的人员，长期跟业务一线打交道，熟悉业务，跟网络安全部门接口，落实相关安全策略、管理规定、标准与规范，反馈落地与执行情况。

一般对于中小型企业来说，有上面的两种机构即可基本保障网络安全工作的正常开展。但对于竞争激烈的大型企业来说，还是不够的。这些企业，面临着竞争对手无孔不入的情报收集、APT（高级持续性威胁）渗透、0day攻击等风险，导致重要的信息泄密，进而可能导致公司在市场竞争中处于被动挨打的局面。威胁情报小组应运而生，与一般的安全防御“基于已知的规则进行防御”不同，威胁情报更像是国家安全体系中的“国安局”，从纷繁复杂的线索中找到潜在的入侵路径，部署防御措施，提前切断竞争对手针对己方的情报收集通道。

威胁情报的主要来源有网络安全厂商或网络安全媒体的安全公告、最新的漏洞披露、安全预警、业界安全事件、安全态势等，以及专业的威胁情报公司为企业提供的量身定制的特定情报数据。

实力雄厚的企业，可以建立自己的威胁情报分析系统，从日常业务的各种数据和日志中寻找可能的线索。比如：

• 基于公开的漏洞批量，定制检测引擎，检测己方是否存在此类风险；
• 从海量的电子邮件中寻找可能属于APT攻击的钓鱼邮件；
• 从海量的网络流量中发现未公开的0day漏洞及利用；
• 从病毒感染日志中寻找是否有针对己方的木马攻击线索；
• 已截获的木马样本的分析

等等。

基于这些数据，挖掘未被发现的APT攻击行为，并对攻击路径进行还原，在各关键路径上执行相应的切断措施。

网络安全相关工作的开展，还需要对网络安全相关的事宜进行立法，对网络安全人员依法行政的过程或结果进行复议或裁决（司法）。这些可以在网络安全团队内部设立独立的小组，或者在网络安全部门之外设立决策委员会，负责网络安全立法审核（相当于“人大”）与司法（相当于“法院”，对网络安全部依法行政进行复议或裁决）。