首席信息安全官(CISO)不一定專指一個(gè)人、一個(gè)職位,而是指在較大機(jī)構(gòu)中必須擁有的一個(gè)角色群落、一個(gè)崗位組合、一個(gè)責(zé)任執(zhí)行系統(tǒng)。這個(gè)職責(zé)可能是由一個(gè)人承擔(dān)、也可能是由一組人承擔(dān),也可能被首席信息官或首席風(fēng)險(xiǎn)官兼任,甚至因?yàn)?ldquo;一把手負(fù)責(zé)制”而被“一號(hào)位”所兼任。當(dāng)然,有一個(gè)專職的CISO來(lái)承擔(dān)則最好,而且CISO最好能夠位于組織的常務(wù)決策群體中,也就是所謂的高管。
從責(zé)任和能力角度看,CISO是一個(gè)非常綜合性的角色,并不是一個(gè)僅僅負(fù)責(zé)某方面工作的高管,更像是首席執(zhí)行官(CEO)(一號(hào)位)和首席運(yùn)營(yíng)官(COO)在安全維度上的投影和對(duì)偶拮抗。CISO就好像為機(jī)構(gòu)中所有業(yè)務(wù)領(lǐng)域都增加了一個(gè)安全維度,希望CEO和COO能夠用照鏡子和組織拮抗的態(tài)度來(lái)看待CISO。正因?yàn)閷?duì)CISO要求的這種綜合性和對(duì)偶拮抗性,迫使CISO必須具有很強(qiáng)的結(jié)構(gòu)性思維能力和系統(tǒng)性執(zhí)行能力,即所謂“文治武功”。
CISO必須是一個(gè)剛?cè)岵?jì)、南北通吃、左右正反兩手都強(qiáng)的人才,方可成就其“文治武功”。
一、CISO哲思之“不二”
CISO的哲學(xué)素養(yǎng),在一個(gè)機(jī)構(gòu)里應(yīng)當(dāng)排在前五位。
CISO所在的崗位,所擔(dān)的責(zé)任,常常表現(xiàn)為矛盾之焦點(diǎn)、角力之落點(diǎn)。為了能兼顧短期安全和長(zhǎng)期安寧,迫使CISO必須具有“剛?cè)嵯酀?jì),安全不二”哲思式思維。不管CISO自己是否意識(shí)到、是否愿意,這種思維方式都會(huì)自然或不自然地形成。
1.安全與發(fā)展的不二關(guān)系
安全與發(fā)展的關(guān)系是根本性的關(guān)系,也是CISO必須處理好的關(guān)系。作為安全從業(yè)者,當(dāng)聽(tīng)到別人講到“安全與發(fā)展”的關(guān)系時(shí),會(huì)自然有一種聽(tīng)到“老生常談”的感覺(jué),可又回避不了這個(gè)關(guān)系。因?yàn)槠浼葴\顯,又艱深。
“發(fā)展”帶給一個(gè)國(guó)家、一個(gè)機(jī)構(gòu)巨大的潛力和能力。習(xí)近平總書(shū)記多次指出,“安全是發(fā)展的前提,發(fā)展是安全的保障”。發(fā)展和安全完全是交織在一起,在數(shù)字時(shí)代更是不可或缺的關(guān)系。獨(dú)立的安全沒(méi)有直接價(jià)值,必須依附于發(fā)展而產(chǎn)生價(jià)值。但是,如果安全徹底融入發(fā)展,又會(huì)失去其獨(dú)立性從而失去應(yīng)有的價(jià)值。那么,從哲思上說(shuō),獨(dú)立(Independent)和融合集成(Integrated)是相互對(duì)立統(tǒng)一的,或者說(shuō)是“不二的”。
2.安全跟隨發(fā)展的跨越腳步
隨著“數(shù)字時(shí)代”的到來(lái),數(shù)字經(jīng)濟(jì)、數(shù)字社會(huì)、數(shù)字政府、數(shù)字文化、數(shù)字文明等構(gòu)成了數(shù)字中國(guó)的發(fā)展,安全也自然跟隨著發(fā)展的這些腳步。
以前,網(wǎng)絡(luò)安全所處的領(lǐng)域相對(duì)比較狹窄。在過(guò)去20年的中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展過(guò)程中,絕大部分力量主要集中在網(wǎng)絡(luò)和系統(tǒng)層。而在數(shù)字時(shí)代,安全的空間一下子被打開(kāi),新的安全要解決數(shù)據(jù)和業(yè)務(wù)安全的難題。現(xiàn)在,數(shù)據(jù)安全和業(yè)務(wù)安全的有效舉措還非常匱乏,拖了數(shù)字化的后腿,安全工作必須跟上。
3.安全領(lǐng)域有很多既矛盾又統(tǒng)一的“不二”
在安全領(lǐng)域,有很多“不二”的矛盾統(tǒng)一體。
例如,攻擊與防御。沒(méi)有攻擊就沒(méi)有防御,有了攻擊會(huì)自然激發(fā)防御。CISO基本上完全處于防守的位置。在法律法規(guī)的限制下,CISO所在的機(jī)構(gòu)常常不能直接采用攻擊的手法來(lái)加強(qiáng)對(duì)抗,“攻擊是最好的防御”這樣的軍事對(duì)抗思想就難以踐行。但“未知攻焉知防”,一個(gè)CISO對(duì)攻與防及其關(guān)系的理解不同,決定了機(jī)構(gòu)所采取的防御風(fēng)格和安全策略也會(huì)不同。
再例如,漏洞攻防派與密碼管控派。這兩個(gè)安全派別并不像武俠小說(shuō)里的正教邪教、劍宗氣宗那么涇渭分明,但兩者側(cè)重的差異非常明顯。防病毒、入侵檢測(cè)、漏洞掃描等常被歸為漏洞攻防派,加密機(jī)、身份認(rèn)證等常被歸為密碼管控派,兩派的核心技術(shù)和基本方法確實(shí)是殊途而行的??墒牵S著安全問(wèn)題的逐漸深入和復(fù)雜化,兩個(gè)派別也開(kāi)始協(xié)同融合。就像當(dāng)前非常熱門(mén)的“零信任”理念,以身份認(rèn)證為核心,又結(jié)合攻防派所提供的風(fēng)險(xiǎn)度量,可以看成是為兩派的融合。
習(xí)近平總書(shū)記在“4·19”講話中深刻地論述了整體與割裂、動(dòng)態(tài)與靜態(tài)、開(kāi)放與封閉、相對(duì)與絕對(duì)、共同與孤立等這五方面的辯證關(guān)系。
在安全領(lǐng)域,這些多種多樣的矛盾統(tǒng)一體,都是本領(lǐng)域所原生的。面對(duì)這些矛盾,CISO必須要做到游刃有余。
4.思行合一
作為一個(gè)機(jī)構(gòu)的CISO,最矛盾的也許就是安全在“客觀成效上的相對(duì)性”與“主觀期望的絕對(duì)性”之間難以彌合的裂隙。所以,CISO僅僅埋頭努力是不夠的,還要抬頭觀察,凝神哲思,平和溝通。
二、CISO文治之“正構(gòu)”
面向商業(yè)(To B)與面向消費(fèi)(To C)之間的差別,無(wú)外乎“結(jié)構(gòu)”一詞。
設(shè)立CISO崗位的機(jī)構(gòu),往往規(guī)模不小。也就是說(shuō),CISO所承擔(dān)的基本是To B的網(wǎng)絡(luò)安全責(zé)任。ToB領(lǐng)域由多種多樣的“結(jié)構(gòu)”構(gòu)建起來(lái),同時(shí),安全又帶來(lái)了許多特殊的“結(jié)構(gòu)”。CISO必須是一個(gè)結(jié)構(gòu)性思維高手,具有結(jié)構(gòu)性戰(zhàn)略洞察力,CISO必須也是一個(gè)大戰(zhàn)略官。
1.安全三要素、產(chǎn)業(yè)四頂點(diǎn)
CISO作為一個(gè)防守方總指揮,不能只看攻防關(guān)系;CISO作為甲方的重要決策者,也不能僅僅看產(chǎn)業(yè)中的甲乙方關(guān)系。具體的安全問(wèn)題總是符合安全三要素的結(jié)構(gòu)關(guān)系——被保護(hù)的業(yè)務(wù)、要危害業(yè)務(wù)的威脅、要保護(hù)業(yè)務(wù)對(duì)抗威脅的防衛(wèi)措施等三方面。而具體到產(chǎn)業(yè)結(jié)構(gòu)中,則必然離不開(kāi)第三方監(jiān)管的結(jié)構(gòu)性介入。CISO要面對(duì)的產(chǎn)業(yè)結(jié)構(gòu)就是一個(gè)四頂點(diǎn)結(jié)構(gòu):甲方(CISO所在的需求方、防御方),乙方(供給方、服務(wù)方),丙方(監(jiān)管方),丁方(威脅方、攻擊方)。CISO要策劃和推進(jìn)一個(gè)事情,如果缺乏對(duì)四頂點(diǎn)中任何一方的考量,最終都會(huì)遇到問(wèn)題。
圖網(wǎng)絡(luò)安全產(chǎn)業(yè)四頂點(diǎn)結(jié)構(gòu)
2.模型即結(jié)構(gòu),結(jié)構(gòu)決定了斷代
網(wǎng)絡(luò)安全新產(chǎn)品新技術(shù)常常以下一代(NextGeneration,NG)的名目出現(xiàn)。拋開(kāi)概念,什么才是真正的NG?只有基于對(duì)安全的創(chuàng)新的結(jié)構(gòu)性認(rèn)識(shí),基于新的模型,才能稱為NG。
例如,現(xiàn)在常說(shuō)的傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品防火墻、入侵檢測(cè)、防病毒等,歸根結(jié)底是為了解決“網(wǎng)絡(luò)和系統(tǒng)層”的安全問(wèn)題,基于網(wǎng)絡(luò)安全域劃分,主要部署在安全域邊界位置。而很多新的安全技術(shù)和方法,其實(shí)是基于一些新的安全層次結(jié)構(gòu)認(rèn)識(shí),將保護(hù)對(duì)象分為網(wǎng)絡(luò)系統(tǒng)層、軟件定義網(wǎng)絡(luò)(Software Defined Network,SD)層、身份訪問(wèn)層、數(shù)據(jù)層。各個(gè)層次對(duì)應(yīng)了不同的安全措施,分別對(duì)應(yīng)傳統(tǒng)的網(wǎng)絡(luò)安全域措施、以安全訪問(wèn)服務(wù)邊緣模型(SASE)為代表的SD層網(wǎng)絡(luò)安全重構(gòu)措施、以零信任為代表的身份訪問(wèn)措施、以隱私保護(hù)和數(shù)據(jù)安全監(jiān)管等為代表的新數(shù)據(jù)安全問(wèn)題等。
在SD層網(wǎng)絡(luò),所對(duì)應(yīng)的圖論問(wèn)題是“網(wǎng)”,而在身份訪問(wèn)層所對(duì)應(yīng)的圖論問(wèn)題是“二分圖”問(wèn)題。不同的模型,不同的結(jié)構(gòu)性認(rèn)識(shí),會(huì)帶來(lái)不同的適應(yīng)性算法和解決方案。
CISO就是要不斷反省現(xiàn)有的結(jié)構(gòu)性認(rèn)識(shí),洞察新的結(jié)構(gòu)性視角,發(fā)掘新的結(jié)構(gòu)性通路。不管是層次結(jié)構(gòu)、內(nèi)外結(jié)構(gòu)、鏈?zhǔn)浇Y(jié)構(gòu)、網(wǎng)狀結(jié)構(gòu),總的來(lái)說(shuō),維度越高,對(duì)事物的認(rèn)識(shí)就越深刻。當(dāng)然,維度越高,也就越難理解,也越難實(shí)用。
3.時(shí)間維度,一直是一個(gè)結(jié)構(gòu)性難題
升維,是對(duì)CISO的要求。而時(shí)間維度,可能是最難的一個(gè)維度,而且是一個(gè)躲不掉省不掉的維度。
CISO必須主導(dǎo)機(jī)構(gòu)的網(wǎng)絡(luò)安全規(guī)劃。而網(wǎng)絡(luò)安全規(guī)劃必然會(huì)與機(jī)構(gòu)的數(shù)字化規(guī)劃(或信息化規(guī)劃)緊密相關(guān),又會(huì)與機(jī)構(gòu)的風(fēng)險(xiǎn)管控規(guī)劃、安全生產(chǎn)規(guī)劃等規(guī)劃交織在一起。時(shí)間維度,對(duì)于每個(gè)規(guī)劃都是難題。
時(shí)間維度,在To C領(lǐng)域,常常與統(tǒng)計(jì)學(xué)密切相關(guān)。而在To B領(lǐng)域,更多的是來(lái)自更具結(jié)構(gòu)性而難于從統(tǒng)計(jì)學(xué)出發(fā)的因果分析、行為推演。
對(duì)此,CISO倒也不用畏懼。這方面也許能零星地用到貝葉斯算法,但更多的是需要“解平面幾何題的素質(zhì)”,需要博弈論的訓(xùn)練。如果能有一個(gè)圈子進(jìn)行交流,再加上實(shí)踐中的錘煉,CISO們會(huì)很快成為博弈高手。
4.高階意向性與高級(jí)博弈
羅賓·鄧巴的幾本著作深刻地提到了人類所具有的“高階意向性”。一個(gè)人感受一個(gè)事物,是零階意向性;一個(gè)人想自己或另一個(gè)人怎么想,就是一階意向性;一個(gè)人能想另一個(gè)人在想另一個(gè)人的感受,這就是二階意向性,依次類推。成人一般都能達(dá)到五階意向性。更高階的意向性往往意味著更高的智商和情商,也意味著更強(qiáng)大的感染力和影響力。這既體現(xiàn)在博弈對(duì)抗中,也能反應(yīng)在領(lǐng)導(dǎo)管理中,以及各種政治、經(jīng)濟(jì)、社會(huì)關(guān)系場(chǎng)景中。
CISO要能夠在更高階的意向性水平上經(jīng)略自己的工作,包括組織安排與威脅方的復(fù)雜對(duì)抗;協(xié)調(diào)與業(yè)務(wù)部門(mén)的融洽關(guān)系;平衡多個(gè)乙方的供應(yīng)商關(guān)系管理(VRM);適度地達(dá)成監(jiān)管方的合規(guī)要求。在這些關(guān)系中,更高階的意向性,能讓CISO更加智慧地、更妥當(dāng)?shù)靥幹谩?/p>
如果從結(jié)構(gòu)的角度描述“意向性的遞進(jìn)”,這已經(jīng)超越了維度上的提升,而是類似遞歸和嵌套那樣的迭代式復(fù)雜結(jié)構(gòu)。
CISO要想錘煉自己的高階意向性博弈能力,業(yè)界剛剛興起的“掛圖作戰(zhàn)”推演是不錯(cuò)的模式。
5.理解力與情報(bào)體系
高階意向性的情商、對(duì)抗中精彩的博弈,都要以盡量正確的理解力為前提。說(shuō)得直白些,就是CISO必須建立支撐工作職責(zé)的情報(bào)體系。
有些情報(bào)體系是有關(guān)攻防的,例如業(yè)界常說(shuō)的威脅情報(bào)體系。在網(wǎng)絡(luò)安全的平臺(tái)化系統(tǒng)中,有很多情報(bào)類系統(tǒng),例如,威脅情報(bào)體系是為了獲得“非地利”的敵方情報(bào),態(tài)勢(shì)感知系統(tǒng)是為了獲得我方“地利”環(huán)境的綜合情報(bào),網(wǎng)絡(luò)空間測(cè)繪是建立情報(bào)體系的“底圖”資源等。
有些情報(bào)體系是關(guān)于產(chǎn)業(yè)的,例如業(yè)界廠商調(diào)研、國(guó)家和主管機(jī)構(gòu)的法律法規(guī)整理與研究等。有些情報(bào)體系是關(guān)于技術(shù)發(fā)展趨勢(shì)的跟蹤,有些是IT大趨勢(shì)、經(jīng)濟(jì)大趨勢(shì)、國(guó)際大形勢(shì)的觀察。
在企業(yè)管理領(lǐng)域,有“五看三定”等多種方法論,可以學(xué)習(xí)和借鑒。數(shù)據(jù)搜集、情報(bào)提煉分析、態(tài)勢(shì)會(huì)商等工作,既可以幫助CISO把握大勢(shì),還可以為機(jī)構(gòu)“一號(hào)位”提供有力的戰(zhàn)略支撐,將個(gè)人理解力,變成“To B的機(jī)構(gòu)理解力”。
6.結(jié)構(gòu)性設(shè)計(jì)
CISO必須是一個(gè)架構(gòu)師。
CISO不能把自己定位于一個(gè)江湖俠客。很多企業(yè)的高管喜歡自稱“技術(shù)架構(gòu)師”,稱自己是“產(chǎn)品經(jīng)理”,覺(jué)得“自降身份”是一個(gè)很酷的事情。這是不合適的。
CISO必須是一個(gè)組織架構(gòu)師、一個(gè)機(jī)構(gòu)架構(gòu)師,要配合CEO、COO等其他組織架構(gòu)師一起,讓To B的組織行動(dòng)起來(lái),而不是全部自己親力親為,僅僅讓自己動(dòng)起來(lái)。
CISO要學(xué)會(huì)設(shè)計(jì),要通過(guò)制度設(shè)計(jì)、組織結(jié)構(gòu)設(shè)計(jì)、流程規(guī)范設(shè)計(jì)、關(guān)鍵技術(shù)引進(jìn)和推進(jìn)、行為動(dòng)力動(dòng)機(jī)安排、合規(guī)限制審查等,構(gòu)建或改變一個(gè)機(jī)構(gòu)的結(jié)構(gòu),讓機(jī)構(gòu)動(dòng)起來(lái)。沖鋒陷陣有時(shí)也是必須的,在一些關(guān)鍵戰(zhàn)役和行動(dòng)中,也缺不了CISO的利刃和重錘。不過(guò),短暫的過(guò)癮,應(yīng)當(dāng)僅僅是在運(yùn)籌帷幄謀劃下的偶爾為之。
總之,CISO應(yīng)當(dāng)是一個(gè)“北向”高人。
三、CISO武功之“奇動(dòng)”
就像在軍事、搏擊對(duì)抗、證券交易等領(lǐng)域一樣,在網(wǎng)絡(luò)安全領(lǐng)域,要的是贏家,而不是專家。
這里的武功并不是指要像一個(gè)俠客一樣上陣動(dòng)刀動(dòng)槍,而是指謀劃推進(jìn)取得大范圍的、甚至全局性的功績(jī)。
直白地說(shuō),一個(gè)CISO必須要有政績(jī),而且最好是“戰(zhàn)功”。
1.這是最好的時(shí)代,也是最難的時(shí)代
現(xiàn)在的網(wǎng)絡(luò)安全領(lǐng)域,早已跨越了僅僅關(guān)注合規(guī)的階段,比對(duì)等級(jí)保護(hù)條文的簡(jiǎn)單合規(guī)已成過(guò)去。等級(jí)保護(hù)2.0已經(jīng)出臺(tái),合規(guī)要求愈發(fā)提高,而且具有了更強(qiáng)的適應(yīng)性和針對(duì)性。2021年,“十四五”規(guī)劃發(fā)布,“兩法一條例”(《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》)和《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》陸續(xù)發(fā)布,再加上前幾年出臺(tái)的《網(wǎng)絡(luò)安全法》《密碼法》等,網(wǎng)絡(luò)安全工作已經(jīng)在一個(gè)多維多級(jí)的綜合性合規(guī)體系的強(qiáng)管控之下,也處在多方面的政策推動(dòng)中。
另外,除了各種合規(guī)要求,對(duì)安全成效也有了越來(lái)越多的具體考驗(yàn)舉措。國(guó)家級(jí)、省部級(jí)等各級(jí)別的網(wǎng)絡(luò)安全演習(xí)、安全測(cè)試、各類競(jìng)賽等舉措,已經(jīng)能夠?qū)W(wǎng)絡(luò)安全的真實(shí)能力和外在效果進(jìn)行逼真的檢驗(yàn)。國(guó)際格局日趨復(fù)雜和環(huán)境日益緊張,再加上國(guó)內(nèi)涉網(wǎng)有組織犯罪等真實(shí)威脅,讓網(wǎng)絡(luò)安全從業(yè)者每時(shí)每刻都接受著真實(shí)的考驗(yàn)。
這個(gè)時(shí)代,為真有能力、真有謀略、真有組織執(zhí)行力的CISO提供了最好的發(fā)揮空間。當(dāng)然,想要做好CISO,也確實(shí)越來(lái)越難。
2.選擇、推進(jìn)和驗(yàn)證
現(xiàn)在擺在CISO面前的可做事情可謂林林總總?,F(xiàn)在,并不需要CISO挖空心思去想什么奇思妙計(jì),去找什么“暗度陳倉(cāng)”“空城計(jì)”之類的冒險(xiǎn)通路和取巧之道?,F(xiàn)在需要CISO做的,是擴(kuò)大一定范圍的溝通,聽(tīng)取丙方的要求、聽(tīng)取乙方的各種方案、觀察丁方的威脅,廣納善言。然后,在眾多的方案中,歸類分析,加以選擇,排列優(yōu)先級(jí),將方案落實(shí)為一個(gè)一個(gè)的工程和項(xiàng)目、落實(shí)為一個(gè)一個(gè)日常運(yùn)維執(zhí)行的流程和制度。
在選擇之后,就是驅(qū)動(dòng)機(jī)構(gòu)內(nèi)部的執(zhí)行體系(不僅僅是CISO自己下屬的體系,而是所有相關(guān)體系),推進(jìn)這些工程和項(xiàng)目,落實(shí)這些流程和制度。
在推進(jìn)的各個(gè)階段,還要安排相應(yīng)的機(jī)制進(jìn)行成果驗(yàn)收和效果驗(yàn)證。成果常常是項(xiàng)目計(jì)劃中定義的目標(biāo)度量,而效果則是在機(jī)構(gòu)整體防御體系中的真實(shí)作用。
3.以正合,以奇勝
CISO必須要胸懷總體,眼前時(shí)刻要有一個(gè)大藍(lán)圖,而且還要用體系和組織來(lái)執(zhí)行。組織保障、人才保障、預(yù)算和財(cái)務(wù)保障、環(huán)境資源保障、技術(shù)和裝備保障等都非常必要,CISO應(yīng)當(dāng)是一個(gè)“八爪魚(yú)”一樣的韌性推手。
不過(guò),在照顧整體體系化的同時(shí),要想上新臺(tái)階,一定要有特別的推進(jìn)動(dòng)力,也要選擇一個(gè)不平庸的突破點(diǎn)作為抓手。這個(gè)抓手當(dāng)然要抓向“戰(zhàn)功”。合規(guī)自然是最趁手最常見(jiàn)的抓手,最容易將外部壓力轉(zhuǎn)變?yōu)閮?nèi)部動(dòng)力。
4.不平庸的抓手:閉環(huán)驗(yàn)證
在前面說(shuō)到的選擇、推進(jìn)、驗(yàn)證這三環(huán)節(jié)中,最難的是驗(yàn)證。特別是網(wǎng)絡(luò)安全領(lǐng)域,常說(shuō)的一句話是沒(méi)有百分之百的安全,不負(fù)責(zé)任者會(huì)用不容置疑的相對(duì)安全性,來(lái)回避絕對(duì)的目標(biāo)達(dá)成。雖然大家認(rèn)同沒(méi)有百分之百的安全,但是能否說(shuō)清楚是到99.9%,還是66.6%?即使難于準(zhǔn)確地定量評(píng)估,那么能否做到盡量清晰地定性表達(dá)?
建立多維度、高覆蓋度的閉環(huán)驗(yàn)證體系,對(duì)CISO的工作能夠獲得機(jī)構(gòu)的長(zhǎng)期認(rèn)可,得到持續(xù)的支持,至關(guān)重要。
叔本華說(shuō),幸福是虛幻的,但痛苦是真實(shí)的。換句話說(shuō),幸福很難用正向的描述做確定性的表達(dá),只有負(fù)向的描述具有確定性。
安全也類似。很難用正向的描述來(lái)確定地表達(dá)安全程度,但是可以用“抵御了什么樣的攻擊”“補(bǔ)了什么漏洞”“處置了什么危機(jī)事件”等負(fù)向的描述來(lái)雕琢出安全的輪廓。這就要靠網(wǎng)絡(luò)安全的閉環(huán)驗(yàn)證。而且,不同的驗(yàn)證可以由不同的責(zé)任人負(fù)責(zé)。
在現(xiàn)有的條件下,有很多閉環(huán)驗(yàn)證體系都值得考慮,優(yōu)先建立。例如,將滲透測(cè)試改變?yōu)楣袈窂降母采w度驗(yàn)證、網(wǎng)絡(luò)區(qū)域性閉環(huán)驗(yàn)證、關(guān)鍵業(yè)務(wù)系統(tǒng)閉環(huán)驗(yàn)證、諸如病毒蠕蟲(chóng)木馬類威脅類型的閉環(huán)驗(yàn)證、高對(duì)抗意識(shí)下的閉環(huán)驗(yàn)證(如重要演習(xí))、常態(tài)安全意識(shí)和告警的閉環(huán)驗(yàn)證(如進(jìn)行非告知性外部測(cè)試)、極限環(huán)境下安全效能驗(yàn)證(一般在網(wǎng)絡(luò)靶場(chǎng)中進(jìn)行)等。
根據(jù)前文提到的網(wǎng)絡(luò)安全產(chǎn)業(yè)的四頂點(diǎn)模型,因?yàn)槎》绞俏覀兊膶?duì)手,不會(huì)在產(chǎn)業(yè)中配合我們。所以,我們要為敵對(duì)的丁方找一個(gè)替身,就是建立一個(gè)體系化的測(cè)試者,構(gòu)建多維度的閉環(huán)驗(yàn)證體系。
據(jù)估算,CISO至少應(yīng)當(dāng)拿出整體安全預(yù)算的10%以上來(lái)逐步構(gòu)建和完善閉環(huán)驗(yàn)證體系。
5.抓手:底線工程
CISO不是要找到最優(yōu)解,而是要找最不壞的解。
CISO必須能夠理性面對(duì)最壞情況,承認(rèn)沒(méi)有百分之百的安全,不回避那百分之零點(diǎn)零幾的概率。在常規(guī)安全視野之外,確實(shí)有超低概率的黑天鵝、有藏得很深的缺陷和失誤等。用常規(guī)安全手段,往往會(huì)得不償失。這就要求CISO必須有底線思維。
習(xí)近平總書(shū)記十分重視底線思維。堅(jiān)持底線思維,要求我們凡事從壞處準(zhǔn)備,努力爭(zhēng)取最好的結(jié)果;堅(jiān)持底線思維是我們黨治國(guó)理政的重要思想方法、工作方法、領(lǐng)導(dǎo)方法;堅(jiān)持底線思維,不僅是面對(duì)當(dāng)前波詭云譎的國(guó)際形勢(shì)的工作需要,而且是有效應(yīng)對(duì)各種風(fēng)險(xiǎn)挑戰(zhàn)的根本方法。
在CISO的安全工作中,必須要有一定比例的工作,是在底線思維指導(dǎo)下的“底線工程”。例如,一個(gè)最典型的工程形式,就是數(shù)據(jù)安全領(lǐng)域的防勒索數(shù)據(jù)備份工程?,F(xiàn)在的勒索攻擊者已經(jīng)學(xué)會(huì)了先攻擊受害者的備份系統(tǒng),然后再破壞和鎖定生產(chǎn)系統(tǒng)來(lái)實(shí)施勒索,那么防勒索備份工程就要考慮到這種高階攻擊。
據(jù)估算,CISO至少應(yīng)當(dāng)拿出整體安全預(yù)算的10%以上來(lái)盡快夯實(shí)基本的底線工程。
總之,CISO應(yīng)當(dāng)是一個(gè)信息安全全局指揮的帥。
以上對(duì)CISO的描述和要求,只是一家之言,也是我對(duì)CISO的理想標(biāo)準(zhǔn),希望可以為CISO們提供參考。但CISO們也不用執(zhí)著于此,要結(jié)合組織的實(shí)際情況和自身能力,做自己心中那個(gè)真正的CISO,最終達(dá)到CISO的文治武功之“大成”境界。