网络安全AI说 Audio Download

如何在云环境下做好安全运营的效果成为了大量企业面临的安全重要挑战。尤其是企业使用多家公有云时，多云环境下统一安全运营便成为难题，企业希望通过本地的一个安全运营中心SOC把所有云的安全都管理起来。我们从以下几个点来看看现在的好方法。 1、我们公司有多个公有云，本地也有私有云，我想把全部主机的访问关系都一盘棋看到。特别注意，我不想再额外部署任何其他安全厂商的主机安全，我在各个云上已经有不同品牌的主机安全了。 方案：利用安全运营平台SOC，与公有云平台运维API进行数据对接，从而获取云上全量资产和网络数据，结合图数据库技术最终进行拓扑图绘制与展示。 2、如果我还是想看流量侧的各个风险怎么做，云上很难像本地一样部署探针 1️⃣直接云厂商的NDR产生的各个安全告警等日志传到安全运营中心SOC进行综合分析。 2️⃣在云上部署传统安全厂商的虚拟化探针，云主机网卡转发流量到虚拟探针即可。或者把多个VPC的虚拟交换机流量镜像到虚拟话探针。需要注意的是部分云厂商有收费和可用区限制，且如果仅镜像虚拟交换机的流量那云主机的东西向流量便无法检测到了。 3️⃣安装传统厂商的终端探针，需要在云主机上安装Agent进行流量转发，需要注意的是有可能会影响云主机性能。 3、云上有啥比本地好的安全措施吗 由于本地很难去看东西向流量，而云上可以通过对接云API很容易拿到这部分数据，所以会有一个新能力：云攻击路径预测分析。即是基于云网络访问关系、云环境配置信息、云上漏洞信息，自动化的预测存在高危风险同时暴露外网的攻击入口，并预测入口资产实现后黑客可能横向移动方向，形成云攻击路径预测分析能力。云攻击路径区别于业界已有的“事后攻击链分析和还原”，旨在以攻击者视角事前预测云环境中存在的实际可利用攻击路径。

如何在云环境下做好安全运营的效果成为了大量企业面临的安全重要挑战。尤其是企业使用多家公有云时，多云环境下统一安全运营便成为难题，企业希望通过本地的一个安全运营中心SOC把所有云的安全都管理起来。我们从以下几个点来看看现在的好方法。 1、我们公司有多个公有云，本地也有私有云，我想把全部主机的访问关系都一盘棋看到。特别注意，我不想再额外部署任何其他安全厂商的主机安全，我在各个云上已经有不同品牌的主机安全了。 方案：利用安全运营平台SOC，与公有云平台运维API进行数据对接，从而获取云上全量资产和网络数据，结合图数据库技术最终进行拓扑图绘制与展示。 2、如果我还是想看流量侧的各个风险怎么做，云上很难像本地一样部署探针 1️⃣直接云厂商的NDR产生的各个安全告警等日志传到安全运营中心SOC进行综合分析。 2️⃣在云上部署传统安全厂商的虚拟化探针，云主机网卡转发流量到虚拟探针即可。或者把多个VPC的虚拟交换机流量镜像到虚拟话探针。需要注意的是部分云厂商有收费和可用区限制，且如果仅镜像虚拟交换机的流量那云主机的东西向流量便无法检测到了。 3️⃣安装传统厂商的终端探针，需要在云主机上安装Agent进行流量转发，需要注意的是有可能会影响云主机性能。 3、云上有啥比本地好的安全措施吗 由于本地很难去看东西向流量，而云上可以通过对接云API很容易拿到这部分数据，所以会有一个新能力：云攻击路径预测分析。即是基于云网络访问关系、云环境配置信息、云上漏洞信息，自动化的预测存在高危风险同时暴露外网的攻击入口，并预测入口资产实现后黑客可能横向移动方向，形成云攻击路径预测分析能力。云攻击路径区别于业界已有的“事后攻击链分析和还原”，旨在以攻击者视角事前预测云环境中存在的实际可利用攻击路径。

选自公众号：阿肯的不惑之年 原文链接：企业安全组织到底有什么用，应该怎么建？ 不同阶段、不同规模、不同行业的企业，安全组织形态也不一样，比如：有些企业规模还小，可能一个兼职的安全人员就行，大企业一般会有完整的安全组织，包含虚拟组织和实体组织。 1、组织架构和职责 比如大型科技企业的经营组织架构一般有三层： * 最顶层是经营管理层，一般会有一个实体部门叫总裁办或运营管理办公室，为经营管理层做具体事务的组织协调； * 中间层是各BU，分为研发、营销、供应链、法律规划、人力资源等； * 最末梢是部门和项目。 对比经营组织来看，企业的安全组织也是三层： * 最顶层是信息安全管理委员会，主要负责企业信息安全治理工作的决策和议事协调的机构，一般由董事长或者分管信息安全的副总裁担任委员会主任，而央企是发了规定要求党政一把手担任网络安全第一责任人；同时，由于信息安全管理涉及方方面面，所以一定要由各专业领域（职能部门）和主业务流程的中层管理者担任委员，专业领域包括人力资源、信息化建设、物理区域、研发物料管理，主业务流程领域比如研发、生产、营销、供应链。委员会具体负责制定企业信息安全管理的顶层框架、目标和方针原则；审议信息安全规划和重大风险事项；审议重大信息安全策略的制定和修订。信息安全部作为信息安全管理委员会的办公室，主要是搭台唱戏，负责委员会日常运作支持，为各单位信息安全管理工作提供专业的技术和业务指导，提供专业的安全工具和平台。 * 中间层是各BU信息安全领导小组，是各企业单位信息安全工作的责任机构，应由各BU单位一把手担任组长，指定核心中层管理者担任小组成员，并任命一名综合协调能力强的中层管理者兼任该BU的信息安全总监，按BU规模大小和区域分布任命合适数量的专职信息安全主管。这里有资源的企业可以为安排专职的总监。该小组负责为该BU的信息安全管理工作推动提供所需人、财、物等资源支持；负责将委员会制定的信息安全规划和制度，结合自身业务场景制定相应的规范，并推进落地；负责组织识别该BU的核心资产清单；组织BU层面信息安全管理状况和效果进行检查和管理评审，推动改进；该小组的具体事务由总监、主管来推进，领导小组组织和成员进行评审，决议。 * 最末梢的执行组织，对应各部门和项目，是信息安全工作的具体执行机构，各部门、项目组的一把手是该单位的第一责任人，按部门人员数量和区域分布指定合适数量的业务员工担任信息安全专员。这里强调下一定要让懂业务的人管安全。部门具体负责按识别该部门核心资产清单，将信息安全管控要求嵌入业务流程和日常管理，实现信息安全与业务同规划、同部署、同落实；组织部门信息安全自检自查自改进。该小组的具体组织事务由信息安全专员（BP）来推进，管理者进行评审，决议，同时，管理者平时在关键业务中强调信息安全要求，就是最好的管理支持。用好这个末梢组织做事就能事半功倍，反之亦然。比如，某公司安全负责人为了快速消除高危风险，一开始采取了简单粗暴的方式，直接跟安委会汇报后下发各分子公司执行，虽然风险快速得到消减，也收获了很多的“投诉、抱怨、谩骂”。经过这次踩坑后，第二次处理类似情况的时候，安全负责人就充分利用了安全专员懂业务、与业务部门接触密切的优点，在执行措施前充分收集并采纳了各分子公司业务部门的建议。年底安全部门满意度调查的结果就非常的好。 关于企业安全组织架构，这里强调3点： * 要一致：信息安全组织架构设计要与企业的经营架构保持一致，才能将信息安全管理要求在一线落地，发挥出组织作战动员能力。 * 懂业务：信息安全组织成员，都要懂业务，安全是业务的一个属性，信息安全管理涉及到人、事、物方方面面，不能脱离业务谈安全，所以从人员选择上就要懂专业。同时，从组织职责上，至上而下做分解。 * 高站位：委员会站位要高，从企业治理架构上，委员会本质是为董事会服务的，董事会是公司的最高领导机构，负责决策公司的战略方向和监督执行层的运营。在董事会下设专业委员会，是为了弥补董事会在决策时候的专业不足问题，目的协助董事会做好专业决策，确保董事会决策的准确性。要充分发挥参谋作用，对公司的重大决策提出审议、评价和咨询意见，为董事会决策提供建议。 2、机制和流程 很多企业设立了信息安全委员会，但是一年都不开一次会，也没有具体工作，这个组织就变成了一个摆设。而好的机制流程，以及细节的设计，就能够让大家一起共建，成事为乐。比如上面提到大型科技制造企业的委员会，就有会议、评议、通报、检查、表彰等机制流程。 * 会议，就是定期开会（比如季度、半年、年终），由信息安全部负责人汇报全集团过去一阶段工作总结、下一阶段工作目标和规划，明确需要各单位协同事宜及任务，并邀请公司高管点评工作。这种会议的目的，一方面是邀请高管站台推动工作，另一方面也是将目标达成和工作任务分配不断复盘，跟进和组织驱动的过程。会议中会点评各单位信息安全工作水平，并对这一阶段内做出突出贡献单位表达感谢。也会安排优秀的单位进行分享，表现欠佳的单位上台发言表决心。这里需要注意一点，业务单位的发言材料，集团CSO应该提前评议，保障现场会议效果。对于参会单位/部门是否现场参会不强求，每个企业可根据实际情况选择线上线下方式。因为开会不是目的，会议的议题设计，内容呈现，演讲者要表达的思想和目标才是最关键的，从而才能达成开会想要达成的效果，当然现场开会的效果一定是最好的。 * 评议，就是通过线下或在线等多种不同方式，选择合适的专项议题让委员参与评审，给出意见和建议。每一次议题的评议，其实是对参与的高管和核心中层管理者进行信息安全宣传教育和达成共识的过程。所以议题的选择，一方面最好和当期重点工作或者企业治理理念保持一致性，另一方面有一定的讨论空间，如果全部一致就调不动大家的参与感和积极性。更为重要的是要在评议前找一些同盟支持自己，保障大方向不会偏离。 * 检查，就像企业业务风控一样，信息安全部根据评议通过的安全风险检查清单（checklist），每年组织一次集团层面的安全风险检查工作，评估各BU存在的安全风险及合规遵守情况，最终根据检查结果进行综合评分，给各BU颁发金、银、铜牌，不断推动各单位整体安全风险管理能力的提升。为了检查的公平和全面性，安全部可以邀请总部职能部门、各BU的安全BP一起组成检查小组，并就近区域交叉检查。这样也能增加安全体系内具体执行人员的参与感。 * 通报，就是集团内出现了安全事件，需要在集团内进行延展，并提醒集团内其他企业/单位关注，事件驱动是加强安全管理的重要措施之一。出现攻击违规泄密等需要在集团层面通报的事件，需要按照事件的一二三四等级（处罚包括法律责任/开除/绩效/降职/内部警告等），跟出现事件的业务部门安全负责人和领导达成一致，并经过严格的审批程序方可发布。这样做的目的是在通报发挥警钟长鸣的同时，也不太会影响到安全组织内部的后续合作。 * 表彰，企业年底会搞些表彰大会，表扬先进的组织和个人，请参会的高管给颁奖合影下，发些奖状、礼品，最好会后还同步发宣传稿，学习人民日报不断表扬群众的好人好事。毕竟大家一年忙到头，对协作的各单位，看见、肯定、表达对他们的付出和成绩至关重要（比如专项工作中做的很好的企业、检查中得到金牌的企业或有大幅提升的企业、全年工作中有创新的部门/个人）。信息安全归根结底还是一个利用技术和管理的综合治理工作，真正的本质是激发他人的善意，让各单位一起守望相助。 3、以数据分类分级工作为例，看一个实际的组织流程例 基于上面介绍的安全组织架构、机制和流程，这里以数据分类分级工作为例，来看下集团与各个单位之间具体是如何运作的。 第一步：收集信息，策划项目 信息安全部，作为信息安全管理委员会的办公室，是一个实体团队，有专业人员和能力。可以由这个专业部门研究相关法律法规、安全标准、同行实践，然后会同自己企业自身的商业秘密，制定数据分类分级的分级标准，识别流程和工具规划，以及推动工作的项目策划。 第二步：高层共识 如果企业安全委员会运作机制比较成熟，可直接通过委员会来做项目推进的评议，言简意赅讲清楚这个工作的背景，目标。数据分类分级是信息安全管理的源头性，至关重要，定的准不准，决定管的对不对。同时，国家也在强调数据分类分级，以及数安法、个保法的立法执法，在这种管理趋势下应进行推进。同时明确做这个工作的职责和时间节点，比如信息安全部门负责数据分级的顶层标准，识别流程和工具；一线业务部门负责基于标准和流程和模板，识别业务数据，并使用工具做好标识；法律合规部门负责对国家法定的重要数据、个人信息定义、解释和指导。各委员一旦表决心，后续推动工作更加顺畅。评议通过后，应进行对评议记录和决议进行发布。 如果没有安全委员会，或者还没有常态化运作起来，建议考虑寻找公司自身的运营管理机制去推动工作。比如项目立项，企业要事上报的专项会议等来推动这个工作在较高管理层的一致认知，一旦同意就是获得了管理政策支持。 需要注意的是，在上会前一定要和主要单位的中层管理干部提前做好沟通，拉同盟，获得支持和理解，也能提前知道对方的业绩诉求或困难，从而调整好方案。上会的目的是达成共识，获取管理政策支持，资源支持，而不是把矛盾放到会上解决。这里还有一点，平时和关键干系部门多走动，多支持，才能在关键时刻获得支持。比如：某科技企业要立一个项目解决企业存在的高危风险，但涉及金额数千万，需要上升到董事会决策，安全负责人当时通过提前与安全委员会主要成员逐一沟通，并得到支持，再上会汇报。汇报过程中，某研发负责人在会上就从他的角度阐述了项目的必要性，以及他之前所在500强企业也是类似做法，最终项目顺利立项。 第三步：向下推动 如果评议通过，向下推动时，主要有3个主要举措： * 发布通知：通知是一个管理依据，让各单位推动工作有法可依。可以通过委员会邮箱或者企业的OA系统，向各BU信息安全领导小组发布通知，阐明工作目的、意义、各方职责、输出物、里程碑、操作指导，以及答疑的渠道。这个通知事前也应让主要干系人进行会签，让管理层签发。 * 项目启动会： 良好的开始是成功的一半。建议发布通知后，有必要召开项目启动会，启动会就是在执行层达成共识，同时也是一个动员大会，统一思想，开完会就要撸起袖子把活干。 * 项目日常管理：会议启动后，不等于工作就会顺其自然的完成，要通过周月报的分解，定期项目例会来推进工作。后续都是项目管理的一些精髓了。同时，专业部门要提供好操作指导和工具。比如数据分类分级，应该提供分级的标准，识别的流程，包括标识的工具。 第四步：业绩宣传 大家跟着一起折腾这么久，都希望能有业绩。这时候通过宣传渠道，来表扬合作中表现优异的单位，表扬他人就是宣传了项目的业绩。这点至关重要。当然，在项目启动时我们应该想好最终会怎么做宣传来推动工作。比如数据分类分级，可以从业务单位如何认知和参与这个事情，识别的更加精准、聚焦，提供了工具来做自动化识别提效等方面来做立体的宣传。 总之，安全负责人如果能推动企业建立安全决策层、管理层和执行层的三层组织，集团的安全舞台就搭建起来了，大家可以一起唱戏。如果能把会议、评议、检查、通报、表彰等机制运作起来，集团上下就能形成共同的安全方向和原则、大家协同共建、安全投入与产出的价值达成一致、业务效率与安全效果达成平衡，安全体系将逐步走向成熟。

选自公众号：阿肯的不惑之年 原文链接：企业安全组织到底有什么用，应该怎么建？ 不同阶段、不同规模、不同行业的企业，安全组织形态也不一样，比如：有些企业规模还小，可能一个兼职的安全人员就行，大企业一般会有完整的安全组织，包含虚拟组织和实体组织。 1、组织架构和职责 比如大型科技企业的经营组织架构一般有三层： * 最顶层是经营管理层，一般会有一个实体部门叫总裁办或运营管理办公室，为经营管理层做具体事务的组织协调； * 中间层是各BU，分为研发、营销、供应链、法律规划、人力资源等； * 最末梢是部门和项目。 对比经营组织来看，企业的安全组织也是三层： * 最顶层是信息安全管理委员会，主要负责企业信息安全治理工作的决策和议事协调的机构，一般由董事长或者分管信息安全的副总裁担任委员会主任，而央企是发了规定要求党政一把手担任网络安全第一责任人；同时，由于信息安全管理涉及方方面面，所以一定要由各专业领域（职能部门）和主业务流程的中层管理者担任委员，专业领域包括人力资源、信息化建设、物理区域、研发物料管理，主业务流程领域比如研发、生产、营销、供应链。委员会具体负责制定企业信息安全管理的顶层框架、目标和方针原则；审议信息安全规划和重大风险事项；审议重大信息安全策略的制定和修订。信息安全部作为信息安全管理委员会的办公室，主要是搭台唱戏，负责委员会日常运作支持，为各单位信息安全管理工作提供专业的技术和业务指导，提供专业的安全工具和平台。 * 中间层是各BU信息安全领导小组，是各企业单位信息安全工作的责任机构，应由各BU单位一把手担任组长，指定核心中层管理者担任小组成员，并任命一名综合协调能力强的中层管理者兼任该BU的信息安全总监，按BU规模大小和区域分布任命合适数量的专职信息安全主管。这里有资源的企业可以为安排专职的总监。该小组负责为该BU的信息安全管理工作推动提供所需人、财、物等资源支持；负责将委员会制定的信息安全规划和制度，结合自身业务场景制定相应的规范，并推进落地；负责组织识别该BU的核心资产清单；组织BU层面信息安全管理状况和效果进行检查和管理评审，推动改进；该小组的具体事务由总监、主管来推进，领导小组组织和成员进行评审，决议。 * 最末梢的执行组织，对应各部门和项目，是信息安全工作的具体执行机构，各部门、项目组的一把手是该单位的第一责任人，按部门人员数量和区域分布指定合适数量的业务员工担任信息安全专员。这里强调下一定要让懂业务的人管安全。部门具体负责按识别该部门核心资产清单，将信息安全管控要求嵌入业务流程和日常管理，实现信息安全与业务同规划、同部署、同落实；组织部门信息安全自检自查自改进。该小组的具体组织事务由信息安全专员（BP）来推进，管理者进行评审，决议，同时，管理者平时在关键业务中强调信息安全要求，就是最好的管理支持。用好这个末梢组织做事就能事半功倍，反之亦然。比如，某公司安全负责人为了快速消除高危风险，一开始采取了简单粗暴的方式，直接跟安委会汇报后下发各分子公司执行，虽然风险快速得到消减，也收获了很多的“投诉、抱怨、谩骂”。经过这次踩坑后，第二次处理类似情况的时候，安全负责人就充分利用了安全专员懂业务、与业务部门接触密切的优点，在执行措施前充分收集并采纳了各分子公司业务部门的建议。年底安全部门满意度调查的结果就非常的好。 关于企业安全组织架构，这里强调3点： * 要一致：信息安全组织架构设计要与企业的经营架构保持一致，才能将信息安全管理要求在一线落地，发挥出组织作战动员能力。 * 懂业务：信息安全组织成员，都要懂业务，安全是业务的一个属性，信息安全管理涉及到人、事、物方方面面，不能脱离业务谈安全，所以从人员选择上就要懂专业。同时，从组织职责上，至上而下做分解。 * 高站位：委员会站位要高，从企业治理架构上，委员会本质是为董事会服务的，董事会是公司的最高领导机构，负责决策公司的战略方向和监督执行层的运营。在董事会下设专业委员会，是为了弥补董事会在决策时候的专业不足问题，目的协助董事会做好专业决策，确保董事会决策的准确性。要充分发挥参谋作用，对公司的重大决策提出审议、评价和咨询意见，为董事会决策提供建议。 2、机制和流程 很多企业设立了信息安全委员会，但是一年都不开一次会，也没有具体工作，这个组织就变成了一个摆设。而好的机制流程，以及细节的设计，就能够让大家一起共建，成事为乐。比如上面提到大型科技制造企业的委员会，就有会议、评议、通报、检查、表彰等机制流程。 * 会议，就是定期开会（比如季度、半年、年终），由信息安全部负责人汇报全集团过去一阶段工作总结、下一阶段工作目标和规划，明确需要各单位协同事宜及任务，并邀请公司高管点评工作。这种会议的目的，一方面是邀请高管站台推动工作，另一方面也是将目标达成和工作任务分配不断复盘，跟进和组织驱动的过程。会议中会点评各单位信息安全工作水平，并对这一阶段内做出突出贡献单位表达感谢。也会安排优秀的单位进行分享，表现欠佳的单位上台发言表决心。这里需要注意一点，业务单位的发言材料，集团CSO应该提前评议，保障现场会议效果。对于参会单位/部门是否现场参会不强求，每个企业可根据实际情况选择线上线下方式。因为开会不是目的，会议的议题设计，内容呈现，演讲者要表达的思想和目标才是最关键的，从而才能达成开会想要达成的效果，当然现场开会的效果一定是最好的。 * 评议，就是通过线下或在线等多种不同方式，选择合适的专项议题让委员参与评审，给出意见和建议。每一次议题的评议，其实是对参与的高管和核心中层管理者进行信息安全宣传教育和达成共识的过程。所以议题的选择，一方面最好和当期重点工作或者企业治理理念保持一致性，另一方面有一定的讨论空间，如果全部一致就调不动大家的参与感和积极性。更为重要的是要在评议前找一些同盟支持自己，保障大方向不会偏离。 * 检查，就像企业业务风控一样，信息安全部根据评议通过的安全风险检查清单（checklist），每年组织一次集团层面的安全风险检查工作，评估各BU存在的安全风险及合规遵守情况，最终根据检查结果进行综合评分，给各BU颁发金、银、铜牌，不断推动各单位整体安全风险管理能力的提升。为了检查的公平和全面性，安全部可以邀请总部职能部门、各BU的安全BP一起组成检查小组，并就近区域交叉检查。这样也能增加安全体系内具体执行人员的参与感。 * 通报，就是集团内出现了安全事件，需要在集团内进行延展，并提醒集团内其他企业/单位关注，事件驱动是加强安全管理的重要措施之一。出现攻击违规泄密等需要在集团层面通报的事件，需要按照事件的一二三四等级（处罚包括法律责任/开除/绩效/降职/内部警告等），跟出现事件的业务部门安全负责人和领导达成一致，并经过严格的审批程序方可发布。这样做的目的是在通报发挥警钟长鸣的同时，也不太会影响到安全组织内部的后续合作。 * 表彰，企业年底会搞些表彰大会，表扬先进的组织和个人，请参会的高管给颁奖合影下，发些奖状、礼品，最好会后还同步发宣传稿，学习人民日报不断表扬群众的好人好事。毕竟大家一年忙到头，对协作的各单位，看见、肯定、表达对他们的付出和成绩至关重要（比如专项工作中做的很好的企业、检查中得到金牌的企业或有大幅提升的企业、全年工作中有创新的部门/个人）。信息安全归根结底还是一个利用技术和管理的综合治理工作，真正的本质是激发他人的善意，让各单位一起守望相助。 3、以数据分类分级工作为例，看一个实际的组织流程例 基于上面介绍的安全组织架构、机制和流程，这里以数据分类分级工作为例，来看下集团与各个单位之间具体是如何运作的。 第一步：收集信息，策划项目 信息安全部，作为信息安全管理委员会的办公室，是一个实体团队，有专业人员和能力。可以由这个专业部门研究相关法律法规、安全标准、同行实践，然后会同自己企业自身的商业秘密，制定数据分类分级的分级标准，识别流程和工具规划，以及推动工作的项目策划。 第二步：高层共识 如果企业安全委员会运作机制比较成熟，可直接通过委员会来做项目推进的评议，言简意赅讲清楚这个工作的背景，目标。数据分类分级是信息安全管理的源头性，至关重要，定的准不准，决定管的对不对。同时，国家也在强调数据分类分级，以及数安法、个保法的立法执法，在这种管理趋势下应进行推进。同时明确做这个工作的职责和时间节点，比如信息安全部门负责数据分级的顶层标准，识别流程和工具；一线业务部门负责基于标准和流程和模板，识别业务数据，并使用工具做好标识；法律合规部门负责对国家法定的重要数据、个人信息定义、解释和指导。各委员一旦表决心，后续推动工作更加顺畅。评议通过后，应进行对评议记录和决议进行发布。 如果没有安全委员会，或者还没有常态化运作起来，建议考虑寻找公司自身的运营管理机制去推动工作。比如项目立项，企业要事上报的专项会议等来推动这个工作在较高管理层的一致认知，一旦同意就是获得了管理政策支持。 需要注意的是，在上会前一定要和主要单位的中层管理干部提前做好沟通，拉同盟，获得支持和理解，也能提前知道对方的业绩诉求或困难，从而调整好方案。上会的目的是达成共识，获取管理政策支持，资源支持，而不是把矛盾放到会上解决。这里还有一点，平时和关键干系部门多走动，多支持，才能在关键时刻获得支持。比如：某科技企业要立一个项目解决企业存在的高危风险，但涉及金额数千万，需要上升到董事会决策，安全负责人当时通过提前与安全委员会主要成员逐一沟通，并得到支持，再上会汇报。汇报过程中，某研发负责人在会上就从他的角度阐述了项目的必要性，以及他之前所在500强企业也是类似做法，最终项目顺利立项。 第三步：向下推动 如果评议通过，向下推动时，主要有3个主要举措： * 发布通知：通知是一个管理依据，让各单位推动工作有法可依。可以通过委员会邮箱或者企业的OA系统，向各BU信息安全领导小组发布通知，阐明工作目的、意义、各方职责、输出物、里程碑、操作指导，以及答疑的渠道。这个通知事前也应让主要干系人进行会签，让管理层签发。 * 项目启动会： 良好的开始是成功的一半。建议发布通知后，有必要召开项目启动会，启动会就是在执行层达成共识，同时也是一个动员大会，统一思想，开完会就要撸起袖子把活干。 * 项目日常管理：会议启动后，不等于工作就会顺其自然的完成，要通过周月报的分解，定期项目例会来推进工作。后续都是项目管理的一些精髓了。同时，专业部门要提供好操作指导和工具。比如数据分类分级，应该提供分级的标准，识别的流程，包括标识的工具。 第四步：业绩宣传 大家跟着一起折腾这么久，都希望能有业绩。这时候通过宣传渠道，来表扬合作中表现优异的单位，表扬他人就是宣传了项目的业绩。这点至关重要。当然，在项目启动时我们应该想好最终会怎么做宣传来推动工作。比如数据分类分级，可以从业务单位如何认知和参与这个事情，识别的更加精准、聚焦，提供了工具来做自动化识别提效等方面来做立体的宣传。 总之，安全负责人如果能推动企业建立安全决策层、管理层和执行层的三层组织，集团的安全舞台就搭建起来了，大家可以一起唱戏。如果能把会议、评议、检查、通报、表彰等机制运作起来，集团上下就能形成共同的安全方向和原则、大家协同共建、安全投入与产出的价值达成一致、业务效率与安全效果达成平衡，安全体系将逐步走向成熟。

选自公众号：安全村SecUN 原文链接：问题导向，实战指引，守护金融数据安全｜大湾区金融安全专刊·安全村 （一）偷偷转运数据到“外宅”直接泄密 金融机构在经营过程中，常涉及将数据传输到外部的情况。此类数据传输不少是短促行为，易发生业务部门“八仙过海”，将数据私搬至“外宅”的情况，带来安全风险。因此，加强内部管理、做好外部监控，控好“外宅”，是金融机构控制数据外传过程中泄漏风险的重要手段，具体包括： 1.常态化内部管理，杜绝业务私设“外宅” （1）落实数据外传报备：金融机构应建立对外数据交换管理规范及报备机制，涉敏数据的外传都须事前报备。 （2）签署数据安全协议：为加强约束管理，控好“外宅”，对于涉敏数据传输，金融机构应要求对方签署数据安全协议，为数据接收方戴上“紧箍咒”。 （3）强化数据外传事后监督：金融机构还应定期开展数据外传专项检视，严查私设“外宅”搬运数据。 2.动态化外部监测，防范数据偷偷“搬家” 一是建设互联网资产监测与管理平台，建立外部合作互联网资产台账，并与采购环节关联，收集互联网资产涉及的合作供应商信息，挖出“偷搬”线索。 二是在邮件网关、终端、互联网等关键出口设置监控平台，配置监控规则，就未授权的敏感数据传输行为进行监控、告警及处置，反向推动数据受控外传。 （二）业务合作好兄弟，可能泄密 金融机构在业务实施过程中，不可避免与外部厂商进行业务合作。由于服务商安全能力高低不平，部分业务合作的好兄弟，很有可能成为泄漏我方数据的“猪队友”，对于此类情况，管控思路如下： 1.以自有系统为方向，主动防御，减少高敏数据外传 数据外传到合作方不可避免会增加数据安全风险。因此应提前识别业务合作关键内容及所涉数据的类型及安全等级，精准了解业务合作过程的高敏数据。对于存在高敏数据的业务合作，应以建设、使用自有系统为优先推进方向，可将涉及到的数据在系统中统一收口，控制合作方人员使用企业自有系统进行数据处理，避免数据离开内部环境。同时，将数据安全能力嵌入到自有系统作业流程中，如使用明水印增加威慑，使用暗水印用于追踪数据泄漏事件，对敏感信息掩码处理，对下载行为监测审计等。 2.以接口管理为抓手，精准保护，管好合作方数据交互 建设对外数据交换申报管理及评审平台，依托此平台与接口管理平台对接，实现数据交互类接口上线前的卡点，并通过卡点阶段对接口的风险评估，达成管理接口数据交互风险的目的。此外，还应利用平台实时监控接口网络流量，以发现异常数据访问、失活无效数据接口；通过提前预设规则，识别及记录非法操作、异常攻击；对数据接口访问进行监控，自动识别字段级别数据传输，并依托敏感数据管理系统对敏感数据使用、流转、解密情况进行分析，提高数据接口服务的安全性。 3.以真查实抓为方法，联防联控，督促合作方能力提升 金融机构与服务商的业务合作通常长达1-3年甚至更多的时间，在这样的时间跨度下不论是外部环境还是内部情况都足以发生较大变化。因此，在合作期间应该设置周期性信息安全检查的机制，并通过警示、罚款等措施督促合作方进行整改，提升其能力。 （三）勤奋工作的好员工，可能泄密？ 随着技术的成熟以及“随时”、“随地”、“随性”远程办公“内卷”文化的兴起，勤奋工作的好员工越来越不满足只在职场工作，而希望能在任何时间、任何地点、任何情况接入系统、访问数据、处理工作。但这种突破数据保护边界的远程办公模式，在便利的同时，也给敏感数据保护带来新的挑战。 1.限权限、限设备，让“勤奋”落到点子上 一是限员工帐号权限，提前划分员工角色、系统类别、数据类别及数据安全级别，动态维护数据清单-系统清单-角色清单间的权限匹配关系，依据最小化原则控制不同角色的操作权限和数据权限，定期清理权限，使得员工除工作所需外，不该看的数据看不到。 二是限远程访问系统范围，预先建立评审机制，对远程访问需求进行安全评审，以“先评审、后开放”为原则，从技术安全、数据安全等维度对远程访问方案、系统安全性、数据敏感性进行评审，只有符合安全要求的系统、数据才允许远程访问。 三是限数据暴露面权限，通过云桌面、受控APP程序等方式远程访问数据，限制远程下载；通过应用控制，禁止应用下载功能；通过前端展示控制，屏蔽展示的敏感信息。让数据“看的到，摸不着”、“用得到，拿不着”。 四是是强制要求所有VPN访问使用双因素认证方式，对于办公终端的远程访问要求配置远程访问证书，仅允许受信任的人员登录远程访问系统。 五是采取零信任技术，在员工家庭电脑安装客户端，并基于可信用户、可信设备和可信应用的可信身份三要素验证，仅允许受信任设备远程访问，非白名单设备无法入网。 2.盯操作、盯访问，让可疑事件无所遁形 为监控员工可疑的操作、访问，及时发现、拦阻数据安全事件，金融机构应在多层面部署监控、分析、拦截系统。 在终端层面部署DLP客户端,实时监控敏感信息终端操作行为；在网络边界部署网络DLP，对敏感信息上传行为进行监测阻断；在邮件系统部署邮件DLP，所有外发邮件内容及附件经敏感信息识别和阻断；在数据中心边界，部署文件摆渡平台，监控出数据中心文件；针对文件打印进行敏感信息检测，打印敏感信息需安全审批；对存在敏感信息展示和下载的应用系统进行日志埋点，记录访问和下载行为。 此外，为将有限的资源优先关注“真正有风险的员工”，应结合员工“动机”、“意愿”及“信息泄露的可能性”建立UEBA 终端用户行为分析智能平台，通过机器学习模型、员工画像、系统画像等分析手段，基于不同业务场景，实现对员工风险行为的识别、预警，并输出可疑的风险事件进行查追踪。

选自公众号：安全村SecUN 原文链接：问题导向，实战指引，守护金融数据安全｜大湾区金融安全专刊·安全村 （一）偷偷转运数据到“外宅”直接泄密 金融机构在经营过程中，常涉及将数据传输到外部的情况。此类数据传输不少是短促行为，易发生业务部门“八仙过海”，将数据私搬至“外宅”的情况，带来安全风险。因此，加强内部管理、做好外部监控，控好“外宅”，是金融机构控制数据外传过程中泄漏风险的重要手段，具体包括： 1.常态化内部管理，杜绝业务私设“外宅” （1）落实数据外传报备：金融机构应建立对外数据交换管理规范及报备机制，涉敏数据的外传都须事前报备。 （2）签署数据安全协议：为加强约束管理，控好“外宅”，对于涉敏数据传输，金融机构应要求对方签署数据安全协议，为数据接收方戴上“紧箍咒”。 （3）强化数据外传事后监督：金融机构还应定期开展数据外传专项检视，严查私设“外宅”搬运数据。 2.动态化外部监测，防范数据偷偷“搬家” 一是建设互联网资产监测与管理平台，建立外部合作互联网资产台账，并与采购环节关联，收集互联网资产涉及的合作供应商信息，挖出“偷搬”线索。 二是在邮件网关、终端、互联网等关键出口设置监控平台，配置监控规则，就未授权的敏感数据传输行为进行监控、告警及处置，反向推动数据受控外传。 （二）业务合作好兄弟，可能泄密 金融机构在业务实施过程中，不可避免与外部厂商进行业务合作。由于服务商安全能力高低不平，部分业务合作的好兄弟，很有可能成为泄漏我方数据的“猪队友”，对于此类情况，管控思路如下： 1.以自有系统为方向，主动防御，减少高敏数据外传 数据外传到合作方不可避免会增加数据安全风险。因此应提前识别业务合作关键内容及所涉数据的类型及安全等级，精准了解业务合作过程的高敏数据。对于存在高敏数据的业务合作，应以建设、使用自有系统为优先推进方向，可将涉及到的数据在系统中统一收口，控制合作方人员使用企业自有系统进行数据处理，避免数据离开内部环境。同时，将数据安全能力嵌入到自有系统作业流程中，如使用明水印增加威慑，使用暗水印用于追踪数据泄漏事件，对敏感信息掩码处理，对下载行为监测审计等。 2.以接口管理为抓手，精准保护，管好合作方数据交互 建设对外数据交换申报管理及评审平台，依托此平台与接口管理平台对接，实现数据交互类接口上线前的卡点，并通过卡点阶段对接口的风险评估，达成管理接口数据交互风险的目的。此外，还应利用平台实时监控接口网络流量，以发现异常数据访问、失活无效数据接口；通过提前预设规则，识别及记录非法操作、异常攻击；对数据接口访问进行监控，自动识别字段级别数据传输，并依托敏感数据管理系统对敏感数据使用、流转、解密情况进行分析，提高数据接口服务的安全性。 3.以真查实抓为方法，联防联控，督促合作方能力提升 金融机构与服务商的业务合作通常长达1-3年甚至更多的时间，在这样的时间跨度下不论是外部环境还是内部情况都足以发生较大变化。因此，在合作期间应该设置周期性信息安全检查的机制，并通过警示、罚款等措施督促合作方进行整改，提升其能力。 （三）勤奋工作的好员工，可能泄密？ 随着技术的成熟以及“随时”、“随地”、“随性”远程办公“内卷”文化的兴起，勤奋工作的好员工越来越不满足只在职场工作，而希望能在任何时间、任何地点、任何情况接入系统、访问数据、处理工作。但这种突破数据保护边界的远程办公模式，在便利的同时，也给敏感数据保护带来新的挑战。 1.限权限、限设备，让“勤奋”落到点子上 一是限员工帐号权限，提前划分员工角色、系统类别、数据类别及数据安全级别，动态维护数据清单-系统清单-角色清单间的权限匹配关系，依据最小化原则控制不同角色的操作权限和数据权限，定期清理权限，使得员工除工作所需外，不该看的数据看不到。 二是限远程访问系统范围，预先建立评审机制，对远程访问需求进行安全评审，以“先评审、后开放”为原则，从技术安全、数据安全等维度对远程访问方案、系统安全性、数据敏感性进行评审，只有符合安全要求的系统、数据才允许远程访问。 三是限数据暴露面权限，通过云桌面、受控APP程序等方式远程访问数据，限制远程下载；通过应用控制，禁止应用下载功能；通过前端展示控制，屏蔽展示的敏感信息。让数据“看的到，摸不着”、“用得到，拿不着”。 四是是强制要求所有VPN访问使用双因素认证方式，对于办公终端的远程访问要求配置远程访问证书，仅允许受信任的人员登录远程访问系统。 五是采取零信任技术，在员工家庭电脑安装客户端，并基于可信用户、可信设备和可信应用的可信身份三要素验证，仅允许受信任设备远程访问，非白名单设备无法入网。 2.盯操作、盯访问，让可疑事件无所遁形 为监控员工可疑的操作、访问，及时发现、拦阻数据安全事件，金融机构应在多层面部署监控、分析、拦截系统。 在终端层面部署DLP客户端,实时监控敏感信息终端操作行为；在网络边界部署网络DLP，对敏感信息上传行为进行监测阻断；在邮件系统部署邮件DLP，所有外发邮件内容及附件经敏感信息识别和阻断；在数据中心边界，部署文件摆渡平台，监控出数据中心文件；针对文件打印进行敏感信息检测，打印敏感信息需安全审批；对存在敏感信息展示和下载的应用系统进行日志埋点，记录访问和下载行为。 此外，为将有限的资源优先关注“真正有风险的员工”，应结合员工“动机”、“意愿”及“信息泄露的可能性”建立UEBA 终端用户行为分析智能平台，通过机器学习模型、员工画像、系统画像等分析手段，基于不同业务场景，实现对员工风险行为的识别、预警，并输出可疑的风险事件进行查追踪。

📝 内容摘要 本期播客围绕"安全威胁与事件运营指标体系"展开，通过"安全体检表"的比喻，系统讲解了指标体系的定义、核心价值、运营过程分解及20项关键指标。用"金库与零钱""拼图游戏"等生动案例，将复杂的安全运营知识转化为易懂的内容，帮助快速掌握如何通过数据化指标衡量安全运营成效。 🔑 关键话题与时间戳 开场与主题引入 * 安全运营指标体系的核心价值：像"仪表盘"一样监控安全状态 * 为什么需要指标体系？——从"凭感觉"到"靠数据"的安全管理升级 什么是安全运营成效指标？ * 三大衡量维度：过程覆盖全面性、结果准确性、响应及时性 * 应用场景：目标制定、团队对比、上级监督评价 * 关键概念辨析：成效（目标达成度）vs 成果（直接产出物）vs 成熟度（体系完善度） 安全运营过程分解 * 四阶段闭环：安全监测（发现线索） 告警监控（筛选有效信息） 威胁研判（判断事件真实性） 事件处置（解决并闭环） * 类比：安全运营就像"破案"，四阶段缺一不可 指标体系与统计方式 * 20项指标分类：35%定性指标（人工评估）+ 65%定量指标（数据统计） * 三大统计方法：模拟测试+人工验证（如漏报率） 环境采样+人工评估（如误报率） 运行数据统计（如平均处置时间） * 工具支撑：XDR平台、BAS模拟攻击工具、AEV对抗性暴露验证工具 核心指标详解 * 监测覆盖类：监测类别覆盖率（15类日志完整性） 监测位置完备率（工作负载:网络边缘:终端=4:3:3权重） * 告警与研判类：误报率：避免"狼来了"效应 平均研判时间（MTTA）：从发现到分析的效率 * 处置与闭环类：自动化抑制占比：减少人工干预，提升响应速度 平均恢复时间（MTTR）：业务中断损失的关键指标 总结与实践建议 * 指标体系价值：不仅衡量现状，更驱动持续改进 * 落地技巧：标准化流程（如调查checklist） 📚 延伸思考 * 如何平衡指标考核与实际安全效果？ * 中小团队如何低成本落地指标体系？ * 未来安全运营指标的发展趋势（AI驱动？自动化闭环？） 🎧 适合人群 * 企业安全运营团队成员 * 网络安全管理者与决策者 * 对安全指标体系感兴趣的IT从业者

📝 内容摘要 本期播客围绕"安全威胁与事件运营指标体系"展开，通过"安全体检表"的比喻，系统讲解了指标体系的定义、核心价值、运营过程分解及20项关键指标。用"金库与零钱""拼图游戏"等生动案例，将复杂的安全运营知识转化为易懂的内容，帮助快速掌握如何通过数据化指标衡量安全运营成效。 🔑 关键话题与时间戳 开场与主题引入 * 安全运营指标体系的核心价值：像"仪表盘"一样监控安全状态 * 为什么需要指标体系？——从"凭感觉"到"靠数据"的安全管理升级 什么是安全运营成效指标？ * 三大衡量维度：过程覆盖全面性、结果准确性、响应及时性 * 应用场景：目标制定、团队对比、上级监督评价 * 关键概念辨析：成效（目标达成度）vs 成果（直接产出物）vs 成熟度（体系完善度） 安全运营过程分解 * 四阶段闭环：安全监测（发现线索） 告警监控（筛选有效信息） 威胁研判（判断事件真实性） 事件处置（解决并闭环） * 类比：安全运营就像"破案"，四阶段缺一不可 指标体系与统计方式 * 20项指标分类：35%定性指标（人工评估）+ 65%定量指标（数据统计） * 三大统计方法：模拟测试+人工验证（如漏报率） 环境采样+人工评估（如误报率） 运行数据统计（如平均处置时间） * 工具支撑：XDR平台、BAS模拟攻击工具、AEV对抗性暴露验证工具 核心指标详解 * 监测覆盖类：监测类别覆盖率（15类日志完整性） 监测位置完备率（工作负载:网络边缘:终端=4:3:3权重） * 告警与研判类：误报率：避免"狼来了"效应 平均研判时间（MTTA）：从发现到分析的效率 * 处置与闭环类：自动化抑制占比：减少人工干预，提升响应速度 平均恢复时间（MTTR）：业务中断损失的关键指标 总结与实践建议 * 指标体系价值：不仅衡量现状，更驱动持续改进 * 落地技巧：标准化流程（如调查checklist） 📚 延伸思考 * 如何平衡指标考核与实际安全效果？ * 中小团队如何低成本落地指标体系？ * 未来安全运营指标的发展趋势（AI驱动？自动化闭环？） 🎧 适合人群 * 企业安全运营团队成员 * 网络安全管理者与决策者 * 对安全指标体系感兴趣的IT从业者

文章选自：https://www.csoonline.com/article/4104472/how-to-justify-your-security-investments.html 作者：Chritstoph Schuhwerk.Christoph Schuhwerk, CISO in Residence bei Zscaler. 在本期播客中，我们深入探讨了CISO（首席信息安全官）如何向决策层证明网络安全投资的明智性。从安全技术与企业战略的关联，到风险与收益的沟通语境，再到如何考量股东价值，全面解析了CISO在向董事会阐述安全战略时的关键要点和有效方法。 《网络安全AI说》补充：如何要到网络安全预算，真的真的真的很难！和几个CSO聊过后，发现“在可控范围内放大安全事件的影响”是要到预算的不错途径。

文章选自：https://www.csoonline.com/article/4104472/how-to-justify-your-security-investments.html 作者：Chritstoph Schuhwerk.Christoph Schuhwerk, CISO in Residence bei Zscaler. 在本期播客中，我们深入探讨了CISO（首席信息安全官）如何向决策层证明网络安全投资的明智性。从安全技术与企业战略的关联，到风险与收益的沟通语境，再到如何考量股东价值，全面解析了CISO在向董事会阐述安全战略时的关键要点和有效方法。 《网络安全AI说》补充：如何要到网络安全预算，真的真的真的很难！和几个CSO聊过后，发现“在可控范围内放大安全事件的影响”是要到预算的不错途径。

全面介绍了数据安全领域的核心概念和演进历程，旨在帮助理解数据安全工作。首先定义了数据安全及其常用术语，如API、数据字段和数据库，并区分了结构化与非结构化数据。接着，阐述了数据分类分级、数据脱敏、数据水印和数据防泄漏等关键技术。还回顾了数据安全体系从静态防护到大规模数据流动的演进，并指出传统安全方案在面对复杂数据环境时的局限性，最后强调了识别数据资产、监控数据流动风险以及实施分级管控的重要性。

全面介绍了数据安全领域的核心概念和演进历程，旨在帮助理解数据安全工作。首先定义了数据安全及其常用术语，如API、数据字段和数据库，并区分了结构化与非结构化数据。接着，阐述了数据分类分级、数据脱敏、数据水印和数据防泄漏等关键技术。还回顾了数据安全体系从静态防护到大规模数据流动的演进，并指出传统安全方案在面对复杂数据环境时的局限性，最后强调了识别数据资产、监控数据流动风险以及实施分级管控的重要性。