目前安全热度已经上升国家安全的层次,伴随着各种有影响范围的安全事件频发,无论是来自国际的,还是国内的,使安全类工作逐渐在企业管理中成为了重要工作项之一。
今天博主就和大家讨论一下如何使安全部和运维部门如何高效的协同工作。
目前国内企业安全部和运维部在企业管理中所处的关系型如下几种:
<强> 1,死掐型
安全部站到安全视角发现识别安全风险,运维以运维带来成本砍掉安全需求。
<强> 2,相安无事型
安全部和运维部在处理已识别的企业安全风险时,大家明面不发生冲突,但是暗地是太极推手,左右互博,尽显甩锅技能。
<强> 3,协同型
安全部和运维部共同识别企业系统中资产存在的脆弱性,使用科学的风险评估的方法,将风险进行定量和定性的分析,识别了风险项和等级以后,双方能够根据实际业务系统的重要程度和影响范围,制定风险处置计划,划分风险种类分为可接受的风险,需处置的风险,不可处置风险。双方积极响应,共同推进。
安全无小事,安全问题不容忽视,因为一旦发生安全事件,几乎都不是小事。
博主在学习安全时候甚至大家学习安全的时候,都是将如何采取技术防护或者管理制度去提高整体安全防护能力,其实安全工作能否落地其<强>核心因素:就是高层领导,决策层领导是否支持安全工作,整个环境是否存在安全方针和纲领。
在这一点,必须的点赞央企或国企,一般信息安全小组总指挥都会是常务副总或者总经理担任,所以安全工作在央企或者国企中安全部和运维部有可能是一个首席技术官管理,若是协同性关系,则安全工作一般都会按照风险处置计划推进,安全问题也都能落实。
那么如何分别站在安全视角和运维视角做好安全工作呢?
<>强安全部
博主,始终提倡的一句话,人是办成一件事的最主要因素,事在人为,所以对人的要求是最高的。
毕竟是“三分靠技术,七分靠管理”
有多少漏洞利用,×××事件是由于人的使用不当,和操作不当导致,甚至是程序的编译代码设计额度逻辑缺陷是漏洞。
<>强安全建设
关于企业信息化建设过程中,是否具备和运维部门等同能力的安全架构设计能力,具体可落地的安全管理规范及相关操作指南和基线的形成。大家都是做技术的尤其是跨部门协作,只有知己知彼才会被技术同仁所尊重,最怕的是沟通不在一个频道。
<>强安全合规
相关的合规检查项自身的理解程度是否能结合自身现有基础环境制定可落地可执行的改进计划指导运维部门落地。(等保2.0 27000,行业相关的合规要求等)
<>强安全管理
管理要求的相关管理制度,规范,流程是否能够结合企业本身现状设定,并且能在企业管理中起到约束,预防,和执行。制度是约束人不去做违反规定的事,所以制度一定是经过高层领导多部门评审之后,择其善者而发布的具有力度的可执行条例。
安全教育和培训,新人入职培训,安全防范月考核,安全知识与个人kpi关联,考试不合格者相应处罚,使安全意识深入每个人内心,有益于安全工作的开展。
<>强安全运营
应急响应能力和应急处置的能力,也就是互联网公司的sec或者src,对于应急处置事务一定是和运维部门高度配合协同的事,首先是应急处置的人拥有安全能力,其次是具有整体协调资源和跨部门沟通的能力。
应急工作一定是建立在具有应急预案和应急流程的前提下,指导我们工作。
应急工作进展需及时向相关干系人通报。
应急处置报告应当具有应急步骤风险分析风险处置和预防措施,甚至高要求还需有样本分析。需要按时复盘,提高应急响应能力。
对全网日志及镜像流量的审计和分析,提取异常行为。
<>强安全运维
负责运维公司安全安全设备,制定相关安全策略,负责网路,主机,数据库,中间件,数据,云等安全基线的推进和落地。配合安全建设完成相应的安全架构的设计。对安全策略的定期审计,识别不合理的策略。
配合运维部门完成技术架构支撑的实施相关工作。
<强> web安全测试及产品内测
这部分工作对于对外有交易业务及产品的企业至关重要,对于对社会团体有影响力的组织对外发布的网站群也至关重要,具有适应企业现状的测试方法,能熟练使用各种安全工具,熟悉sdl安全开发流程,开发自动化测试工具。具备测试开发能力,都是企业安全保障的重要一环。
