3.企业安全建设指南(金融行业安全架构与技术实践) --- 安全规划
2024-05-23 04:24:10
1.规划前的思考著名企业战略专家陈春花说过,要经常问自己3个问题:1.你为什么会辛苦?很多人会发现你想做的事情下属没帮你去做2.你为什么很辛苦?你发现每一个小时的效率不够3.你为什么那么辛苦?是因为你发现很多人做的事情并不真正的产生效益金融企业战略规划(通常5年为周期),IT战略规划(通常3年为周期),信息安全三年规划,XX年工作计划。负责制定IT战略规划的人,通常会要求企业安全负责人提供信息安全三年规划作为基础材料。能否做一个看起来高大上,实施起来又接地气可执行的信息安全规划,是金融企业安全负责人的必备技能。信息安全规划,以及在此框架下的年度工作计划,决定了新一年的安全投入,包括人员和预算。而预算的大小,往往和IT战略中信息安全相关的内容的篇幅形成正比关系。在信息安全规划编制启动时间点选择方面,建议选择每年10月份启动,12月定稿。有的企业喜欢12月启动,春节前后甚至3月底定稿,这个时间安排弊端很大。企业工作中,总结,考核,预算,通常以自然年为单位,而企业员工概念中,一年工作结束一般以农历年为单位。因此到了春节前后,各种年会,总结,庆祝,基本上处于一个工作断档期。如果是3月份定后,那么和规划相关的重点项目的资源准备(如合作厂商技术交流测试),就会浪费自然年的第一季度。如果每年10月启动,12月定稿,就可以利用元旦到春节前后的时间,进行规划相关的项目,资源的准备工作(比如,采购文档编制,采购流程发起),春节后就可以开足马力,立刻开干。安全规划考虑的因素,除了时间外,还应该考虑监管要求,企业风险偏好,IT战略目标,技术发展,资源约束,安全价值体现等。2.规划框架安全规划框架,应包括概述,需求分析和安全目标,各个安全领域的现状和差距分析,解决方案和计划,安全资源规划,当年重点项目和重点任务,上一版安全规划目标差距分析等。概述部分主要包括信息安全形势分析,安全形势可以是外部安全形势,行业形势,监管和股东要求,对手分析(攻击者,内部异常员工)等。安全目标是指规划周期结束组织应该达到什么样的信息安全水平。安全目标应该是跳一跳,拼命跑才能达到的,甚至很大概率达不到,而不应该是躺在床上就能实现的。对现状和差距的分析相当于自我体检,最重要的是能从过往的安全检查中分析管理差距,以及从白盒检测,黑盒检测失效中获得技术差距。其中黑盒检测有两大利器,即安全众测和红蓝对抗,能够先于对手发现自己我漏洞和弱点,对这类检测失效的原因进行深挖,是差距分析的重点。解决方案和计划,解决方案提出的一条条解决措施,最终要落实到重点项目和任务实现上。计划分解的额度方面,当年的至少细化到月,未来两年的细化到季度即可。当年重点项目和重点任务,是解决方案落地的关键,当年的工作目标靠重点项目和重点任务实现。差距,解决方案,重点项目和任务,计划要形成一系列有继承关系的完整链条才是克罗地亚的整套计划。项目和任务的区别是,项目比任务要大和复杂一些,任务属于优化改进的小措施,项目通常是要立项和花钱的。上一版安全规划目标差距分析,是针对上一阶段的规划执行情况进行回顾和检讨,排查实际完成效果与规划目标的差距,分析造成差距的原因,避免新规划执行过程中重蹈覆辙;分析后认为需要调整或者补充执行的内容,放入新的规划中落地。第1章 概述
第2章 安全管理框架介绍
第3章 需求分析和安全目标3.1 需求分析3.1.1 安全形势分析3.1.2 金融行业分析3.1.3 互联网行业分析3.1.4 其他重点行业分析 3.1.5 对手分析3.1.6 监管要求3.1.7 运行中心要求3.2 安全目标3.3 具体目标分解思路第4章 安全防护建设框架
第5章 安全防护重点解决方案
第6章 安全运维建设框架
第7章 安全服务建设框架
第8章 安全合规建设框架
第9章 安全验证建设框架
第10章 安全反制建设框架
第11章 安全度量建设框架
第12章 安全资源建设框架
第13章 20XX年重点项目
第14章 20XX年重点工作
第15章 附录3.制定步骤制定安全规划的步骤包括:1.调研2.确定规划目标,现状和差距3.制定解决方案4.一稿,二稿...直到定稿5.向上汇报6.回顾1.调研大boss一般喜欢问我们几个问题:1.未来三年,本团队要做的最牛的三件事是什么?2.未来三年,你认为世界上最好的团队会做哪三件最牛的事情(我们不做的原因)?3.未来三年,想做但没敢写入规划的三件事是什么?本团队领域,很有价值但技术没有可能实现的事情是什么?接地气:1.这个领域最好的团队在做什么(最佳实践)2.我们在同业处于什么水平(自我感知)3.我们的现状(存在哪些差距)回答上述问题的最好渠道是实地调研,多方学习:1.向大型互联网企业学习2.向同业学习向规模比自己大的企业学习实践中遇到过的问题,向差不多规模的企业学习资源配置情况,向规模比自己小的企业学习单点突破能力强的领域。2.目标,现状和差距1.目标目标来自于企业战略规划和IT战略划分,分为总体目标和具体目标。1.总体目标应该尽可能的清晰,简洁,相对宏观和务虚。企业安全目标可以定义为"通过综合应用各类安全解决方案,发现并预防各类安全风险,能够承受除DDoS以外的黑客高手或者黑客集团的攻击;内部系统能够有效防止非专业人员有意或者无意的数据泄露;能发现对内部重要服务器的普通内部黑客的攻击;对人员进行安全合规教育,违规,违纪现象持续降低,安全审计发现持续降低"。2.具体目标应该尽可能明确,数字化,相对微观和"务实"。例如,非本企业组织的互联网系统漏洞发现为0;安全防护100%全覆盖;互联网基础设施风险在2小时内化解;自动化验证平台100%覆盖所有管控措施,管控措施失效能够在24小时内发现...关于目标需要注意:1.目标绝对不合理目标是一种预测,每人敢说预测是合理的;而且,目标是一种决心,你要发誓做什么,目标就会出来。目标其实是你自己战略的一个安排,决定你目标的是三个要素:你对未来的预测,你下的决心,你的战略想法。2.实现目标的行动必须合理要理解这一点,规划就成功了一半,才能围绕实现目标制定行动计划。如果实现目标的行动是合理的,那么看似不合理的目标反而有实现的可能。关于目标:1.目标一定是从上往下,一定不要从下往上。其他东西可以授权,但是目标设定不能授权。2.目标必须是个人的目标。目标一定要给到个人,而不可以给到部门3.每一个人承接的不是目标,而是一套解决方案。他必须去承若这个解决方案,怎么让这个目标实现。4.smart 原则2.现状和差距 主要考虑以下2点:1.分析维度要全建议分成安全管理,安全防护,安全运营,安全资源,安全度量5个维度;安全管理考虑,组织架构,职责,制度,考核;安全防护考虑,覆盖网络层,虚拟层,系统层,应用层,数据层,用户层的纵深防御技术体系;安全运营考虑,安全运维,安全验证,安全反制;安全资源考虑,人员,流程,资源;安全度量考虑,技术维度,安全运营成效,安全满意度和安全价值;2.敢于自揭老底,自我否定3.制定解决方案目标确定并分析差距后,必须针对性的指定解决方案,才能确保目标落地实现。有几个原则:1.要体系化遇到问题,最好从管理和技术两个方面考虑解决措施。2.要可持续每项安全措施,每套安全设备都有管理成本的,如果仅仅上一个技术手段,而不考虑持续运营,那么这个解决方案整体看起来是无效的。3.要可接受制定解决方案后,要确保安全团队的每个成员都从心里认同它,接受它,这样执行才会有效率和有效果。提高团队成员接受程度的一个好办法是,先让团队成员熟悉目标,现状,差距,然后找晚上时间进行头脑风暴,强化训练。当然,头脑风暴过后,要记得去"撸串",团队建设,凝聚力,肚子饿的问题就都一并解决了。4.定稿一稿,二稿...定稿。关键是迈出第一步,完成第一稿,万事开头难。一旦开始就停不下来了。5.上层汇报如何管理你的上级,将上级作为你的工作的资源之一。首先,要建立面向高层,IT部门总经理,安全团队内部的安全汇报体系。每年至少向高级管理层汇报1~2次,内容包括安全规划,安全形势,重大安全决策等。汇报的形式可以是IT治理委员会或总裁办公会框架下的正式会议,也可以是定期的签报形式,这取决于企业内部的流程规定和具体需求。其次,要在IT部门和安全团队内部进行常态化的安全汇报,此类汇报的内容要围绕三个目的展开---介绍取得的成果(邀功),表扬先进和督促后进,索要资源。具体到安全规划的汇报,建议先向IT部门经理汇报,就目标,计划,资源达成一致。但大部分总经理没有精力也不应该过多关注解决方案等细节,最多关心下现状分析中存在的问题。达成一致最好能在高级管理层汇报一次,可以是单独的安全规划议题,也可以合并在IT战略规划中,向高级管理层报告。6.执行与回顾安全规划的执行与回顾,是规划生命周期中非常重要的一个环节。因为一个看似一般但严格执行的规划,远胜于一个看似很好却无法或者未能执行的规划。为了确保安全规划的落实,最好的办法是将安全规划目标分解落实到安全重点项目和工作任务,再将重点项目和工作任务分解到安全团队每个员工的年度绩效考核中。至少每个季度展示一次重点项目和工作任务的回顾,至少半年展开一次安全团队成员绩效的回顾,回顾之后需要制定针对性的改进措施。坚定不移的执行规划并做好定期回顾,将规划作为真正的行动指南,规划才能避免成为空中楼阁。通常信心安全规划一次做3年,每年滚动更新。任正非说过,方向可以大致正确,组织必须充满活力。就是说,大家必须充满活力的取执行规划,但在执行中可以随时调整规划。4.注意事项从某种意义上来说,安全规划其实是一套行动方案。规划不是目标分解,而是行动指南。要注意:1.要有逻辑,切记堆砌。2.既要有实(可落地),也要有虚(远大目标),虚实结合。总体目标,方向上可以务虚,眼光看远一点,目标定高一点;具体措施上,行动上必须务实,脚踏实地,分解成一项一项的行动,才可以确保规划的最终效果。安全规划:
3.企业安全建设指南(金融行业安全架构与技术实践) --- 安全规划相关推荐
- 新书推荐 |《企业安全建设指南:金融行业安全架构与技术实践》
新书推荐 <企业安全建设指南:金融行业安全架构与技术实践> 点击上图了解及购买 金融行业资深信安专家十余年实战经验的结晶,安全领域多位专家联袂推荐. 编辑推荐 适读人群 :安全从业人员.金 ...
- 《程序员》11月精彩内容:大数据平台架构与技术实践
本期<程序员>呈现大数据平台架构与技术实践精彩内容,汇聚来自去哪儿.游族网络.链家网.万达金融等公司的技术专家,将带领读者共同探讨热门技术应用和实践优化,深入解析蕴藏的数据价值,展现时下大 ...
- 【SDCC 2016】电商架构专题干货七连发:探秘知名电商架构最佳技术实践
[CSDN现场报道]2016年11月18日-20日,由CSDN重磅打造的年终技术盛会 -- "2016中国软件开发者大会"(Software Developer Conferenc ...
- 周四直播预告云技术社区创始人·肖力坐镇主讲「办公场景下的企业安全建设指南」...
- 金融行业网络架构与技术探讨
1.整体架构 整体是数据中心--一级分行--二级分行--支行的架构 拓扑: 需要考虑的核心需求和解决方案: 高可用性: 双中心.双设备.链路捆绑.动态协议.VRRP.生成树.BFD.防火墙的HA 设备 ...
- 《企业私有云建设指南》-导读
内容简介 第1章总结性地介绍了云计算的参考架构.典型解决方案架构和涉及的关键技术. 第2章从需求分析入手,详细讲解了私有云的技术选型.资源管理.监控和运维. 第3章从计算.网络.存储资源池等方面讲解了 ...
- 《企业私有云建设指南》新书出版
由我(山金孝)和业内几位专家联合出版的<企业私有云建设指南>由机械工业出版社于2019年2月已经出版,书中有关OpenStack的部分主要由我执笔,因为在之前编写<OpenStack ...
- 【干货】2021中国“企服企业”规模化获客体系建设指南.pdf(附下载链接)
省时查报告-专业.及时.全面的行研报告库 省时查方案-专业.及时.全面的营销策划方案库 大家好,我是文文(微信号:sscbg2020),今天给大家分享神策研究院和红杉资本联合发布的报告<2021 ...
- 【共读】企业信息安全建设与运维指南(二)
接上篇继续往下:[共读]企业信息安全建设与运维指南(一) 三.IDC基础安全体系建设: IDC(Internet Data Center)即互联网数据中心,为企业用户或客户提供服务,如网站应用服务.A ...
- 企服创业必修课丨神策数据与红杉中国联合发布规模化营销获客体系建设指南...
<2021 中国企服企业规模化获客体系建设指南>由神策数据与红杉中国历时数月调研撰写,累计深度访谈了 20 多位中国知名企服公司创始人.CEO.CMO 及专业投资人后总结.提炼而成.该报告 ...
最新文章
- mysql 5.7笔记_关于MySql 5.7.29免安装版本的一个笔记
- PCL :K-d tree 2 结构理解
- mysql变量作用域,变量作用域 | 类型、变量和值 | JavaScript 权威指南
- 关于tesseract 出错信息:read_params_file: Can't open chi_sim
- “豆瓣酱”之用户,场景,功能
- MySQL(二)数据的检索和过滤
- 利用OpenCV的Haar特征目标检测方法进行人脸识别的尝试(一)
- react16.8+的生命周期
- 那些让我们哭的一塌糊涂的句子
- Javascript中的一些小知识收集
- 前段之BOM ----DOM
- LwIP 协议栈之 udp 协议解析
- Windows Devcpp配置MYSQL
- ERP原理及应用教程-第五章
- 课堂作业之首尾相连子数组值
- xbox360 FSD 安装游戏教程(Freestyle3)
- 图像_camera_基础知识_YUV色彩模型与RGB色彩模型详解
- 资治通鉴-6 听的智慧
- 云队友丨新品牌的营销大战:砸进上百万,苦心博出圈
- ECM 手机MIC电路简单设计描述