谈及信息安全,过去三十年间,相关体系法规与评估模式不断迭代,复杂程度常令管理层倍感棘手。这一领域的名称也更迭为网络安全,不过业内仍有不少人认为二者存在实质区别:有人界定信息安全是保护数据本身,网络安全则是防护承载数据的技术载体。这一划分体现了防护边界的拓展,安全工作必须兼顾两端——既要守护数据资料,也要保障数据存储、传输与处理系统的稳定运行,除此之外,我们也不能忽视操作技术、处理数据的人员本身。
本文采用系统安全这一概念,文中所指的系统安全,涵盖信息的保密性、完整性、可用性与管控权限,包含处理、存储信息的设备,使用信息与设备的人员,以及信息依托、流转和应用的各类资产。
在这些复杂多变的体系问世前,我总结出一套简明思路,帮助大众理解如何保障信息、技术与人身安全,我将其称作四大基本准则,也是系统安全的核心要义。
一、风险属性:技术使用势必产生风险
2000年员工还需费力劝说管理层重视安全问题,彼时信息安全体系繁杂,难以体现商业价值。直至2013年,管理层才逐步将系统安全列为重点工作。2013至2014年,网络安全行业迎来爆发期,Target、Nieman Marcus、Anthem及美国联邦政府接连曝出数据泄露事件,一系列安全事故敲响了行业警钟。
不法分子借此大肆牟利,勒索病毒的肆虐更让心存侥幸的企业猛然警醒。部分企业因不处理涉密数据,主观认定剩余风险偏低,但现实打破了这一认知——保密性、完整性、可用性是信息安全三大核心目标,服务中断便直接损害数据可用性。时至今日,人工智能的兴起再度引发大众担忧,这类科技热议背后潜藏的真实风险,也迫使各界提搞安全防范意识。
二、风险成因:威胁利用漏洞进而引发风险
我们可结合风险发生概率与影响程度,评估风险等级。风险源头主要分为三类:
- 人为因素:包括黑客蓄意攻击、员工操作失误两类;
- 环境因素:源于台风、洪水等自然灾害,以及设备所处的运行环境;
- 技术本身:技术自身缺陷会带来隐患,技术故障往往会造成经济损失、法律诉讼、合规违规、业务停摆以及品牌声誉受损等多重后果。
三、风险管控:安全风险可以人为干预治理
现存各类安全体系条款繁多,对应海量风控举措,实际管控需聚焦高效手段。风险治理流程分为三步:风险评估、风险处置、持续监控。
风险评估依托各类测评与审计开展,技术风险可分为三类:未采取防护措施的固有风险、现有防护下的剩余风险、新增管控手段后的预期剩余风险。我们可采用简易分级模式评估,也可精准核算有形无形损失、修复难度与整体运维成本——例如防火墙能大幅降低攻击概率,部署成本较低;若封存服务器切断所有访问,虽可规避绝大多数风险,却会彻底丧失业务使用价值,无法落地实施。
依据评估结果划分处置优先级,主流处置方式为风险转移、风险缓解、风险接受,所有防护措施均归属于这三类范畴。风险监控除借助安全信息事件管理平台等专业工具外,也离不开企业管理者、员工、客户与合作方的全员警觉。
四、防控手段:搭建八大管控体系,实现经济均衡风控
八大管控体系相互协同运转,所有流程均需制定成文制度规范,具体内容如下:
- 培养安全意识:一系列数据泄露事件后,企业安全防护意识也整体增强。安全意识普及需覆盖董事会、管理层、技术人员、普通员工、合作商及客户全群体,通过宣教引导、思想动员、实战演练筑牢意识防线:普及威胁漏洞知识、现有防护措施与风险处置方案;阐明管控规则设立初衷,提高员工配合度;借助钓鱼邮件测试、电话伪装试探、应急处置考核等方式,检验人员防范能力。
- 风险管理体系:全员具备安全意识后,需全面盘点威胁隐患与企业资产,分级评定风险等级,资产范围囊括所有承载涉密信息的软硬件设备、场地及合作服务商。借助表格或专业软件梳理资产,评估固有风险、剩余风险与预期风险,体系核心产出包含年度资产风险评估报告、审计方案、威胁分析报告,需定期向决策层汇报。每年制定风险处置方案,采用转移、缓解、接纳三种方式应对风险:风险转移与缓解策略纳入技术规划,被动接纳的风险由应急团队全程跟进监测。该体系旨在合理分配防护资源,同步跟进风险状态、管控措施与防护升级计划,八大体系的所有管控规则均纳入IT治理方案存档。
- 供应商管理:外包服务是常用的风险转移方式,企业核心系统、邮件服务普遍依托云端服务商。凡是接触企业数据的第三方机构,均需配备专属对接负责人,联合信息安全主管,从合同审核、资质核验、保险核查、财务状况、业务连续性计划五个维度管控合作风险,每年向董事会提交供应商风险报告。当下人工智能应用带来的未知风险评估,成为该模块重点工作,而人工智能技术也将助力风险测算工作开展。
- 资产管理:全面统计信息资产,依据涉密程度划分为核心机密、内部资料、公开信息等类别,明确资产归属,标注风险概率、影响范围与数据体量。专业管理软件可自动同步资产新增、报废信息,简化管控流程。
- 权限访问管理:资产从投入使用到销毁归档的全周期,需严格把控数据访问权限,同步管理人员身份账号。结合数据分类划定权属范围,目前零信任架构已成为主流权限管控模式,该模块涵盖访问审批拦截、数据分类规则、设备身份验证等内容。
- 技术安全规范:身份验证等各类技术防护手段需常态化部署与定期检测,制度文件与实际操作定期核对,保障防护规则适配有效。相关文档包含权限管理、变更管控、威胁监测、服务器加固、漏洞处置、应急操作手册等。
- 应急响应机制:防护体系难免出现疏漏,一旦数据保密性、完整性、可用性遭到破坏,必须依托成熟且经过演练的方案快速处置。需组建跨部门应急小组,成员涵盖决策层、高管、公关、人事、安全、技术及运营人员,制定并反复推演应急预案,确保事故发生后逐级上报有序、处置流程清晰。针对数据泄露、理赔事项开展高层参与式演练;检测排查、上报处置等环节,单独组织技术人员开展实战测试。
- 业务连续性保障:业务稳定运行是系统安全的核心目标之一。自然灾害、勒索病毒攻击发生时,依据资产重要性启用配套应急预案,依托业务影响分析划分处置优先级,定期演练流程,保障灾害发生后处置工作有条不紊推进。
目前,各个国家的法律法规,其底层逻辑均契合系统安全四大基本准则。管理层吃透基础准则与八大管控体系,便能从容应对繁杂的合规要求,企业客户托付的信息数据也将得到更稳妥的保护。
