企业安全建设技能树v1.0发布

企业安全建设技能树v1.0
2018/10/20 发布
by @君哥的体历 @立言 @xysky
后续动态请关注：jungedetili（君哥的体历）

技能树疑问和沟通，请添加文末君哥微信

如有帮助，请打赏一杯咖啡

• 1.说明

• 关于企业安全建设实践，关注企业安全最后一公里的问题

• 安全有效性和最佳实践，从解决实际问题出发

• 有关企业安全建设技能树任何疑问和沟通，请添加文末我的微信
  

• 2.安全观

• 安全本质

• 互联网本来是安全的，自从有了研究安全的人，就变得不安全了

• 计算机用0和1定义整个世界，而企业的信息安全目标是解决0和1之间的广大灰度数据，运用各种措施，将灰度数据识别为0（不值得信任），或1（值得信任）

• 信任是信息安全问题的本源，不同的信任假设决定了安全方案的复杂程度和实施成本

• 安全需要找到某个自己可以接受的“信任点”，取得成本和效益的平衡

• 安全原则

• 持续改进

• 安全防御技术本身并没有革命性的变化

• 持续改进，PDCA的循环，螺旋式上升，是信息安全的第一个原则

• 纵深防御

• 从网络层、虚拟层、系统层、应用层，到数据层、用户层、业务层、总控层，进行层层防御，共同组成整个防御体系，是信息安全的第二个原则

• 非对称

• 对于攻击者来说，只要能够找到企业系统的一个弱点，就可以达到入侵系统的目的

• 对于企业信息安全人员来说，必须找到系统的所有弱点，不能有遗漏，不能有滞后，才能保证系统不会出现问题

• 破坏比建设要容易

• 安全防护人员需要非对称思维，如：蜜网站、蜜域名、蜜数据库、蜜表、蜜字段、蜜数据、蜜文件

• 认识到非对称，并找到解决非对称问题的方法，这是信息安全的第三个原则。

• 安全观安全

• 对于信息安全人员来说，最重要的是“安全世界观”的建立，即解决安全问题的思路，以及看待安全问题的角度和高度

• 我的安全观：信息安全就是博弈和对抗，是一场人与人之间的战争。交战双方所争夺的是对信息资产的控制权，谁能够在博弈和对抗中，牢牢地把控住各类信息资产的控制权，谁就取得了胜利

• 正确处理几个关系

• 管理与技术

• 安全政策和流程如果没有技术和自动化手段保障，无法有效落地

• 脱离安全技术考虑的安全政策和流程也有可能失效

• 例如管理10台和10000台服务器，用同样的安全政策和流程肯定是行不通的

• 没有管理的辅助，可能会变成“为了技术而技术”的“自嗨”

• 企业安全建设中，技术很多时候不是困难，至少不是最重要的点

• 技术人员能跳出技术思维，站在更高层面去思考安全问题解决方案，安全人员的境界就提高了好几层

• 业务与安全

• 本质上，安全是一项服务

• 如果安全方案和安全要求设计时没有最大化这种服务的价值，那么在充分竞争的情况下，安全团队也是要被市场淘汰的

• 安全方案和要求，能够在少降低甚至不降低业务发展的情况下还能保障安全，业务团队和开发运维当然是欢迎的，毕竟谁愿意冒着巨大的风险强行上线新的业务

• 坚持安全服务的做法，会让安全团队之路走的更为顺畅

• 甲方与乙方

• 甲方

• 应对自己承担的职责负责

• 不管用什么方法方案，结果是必须搞定安全问题

• 识别什么是能搞定的方案和哪些是方案中靠谱一员的乙方

• 乙方

• 对自己的承诺负责

• 合同落地才是刚刚开始，解决甲方问题

• 3.安全治理

• 安全战略

• 战略一致性

• 信息安全战略应与公司战略、IT战略保持一致

• 信息安全应服务于公司战略、IT战略

• 信息安全战略目标来源于公司战略和IT战略的目标分解

• 建设与公司业务规模、IT规模相匹配的安全水平

• 安全是生产力和核心竞争力

• 安全组织架构

• 公司级信息安全委员会

• 部门级信息安全团队

• 业务部门信息安全专员

• 安全职责

• 信息安全委员会负总责

• 信息安全团队负责具体落实执行，并对结果负责

• 各业务部门负责本部门信息安全责任，并对本部门结果负责

• 业务赋能

• 了解业务

• 业务模式是什么

• 业务盈利模式

• 业务核心流程

• 业务架构

• 支撑性的业务流程和职能

• 业务职责分工

• 关键业务人员和业务团队

• 核心业务能力

• 核心业务系统

• 技术团队关键人员

• 业务对信息安全团队有信心和信任

• 业务与信息安全团队相互背书

• 安全为业务服务

• 减少资损（创收）

• 降低系统性能压力（降本）

• 智能预警威胁感知（提效）

• 同人模型降低安全交付认证复杂度（提升用户体验）

• 安全应急和危机公关（保持和提升品牌公信力）

• 积累风险库和模型反驱动业务规则优化（反欺诈、降低坏账等）

• 风险管理

• 管理原则

• 事前预防为主

• 全面性

• 成本效益

• 风险偏好与容忍度

• 组织架构和职责

• 董事会

• 一道防线：信息科技部门

• 二道防线：风险管理部门

• 三道防线：稽核审计部门

• 管理领域

• IT治理

• 信息安全

• 信息系统开发、测试和维护

• 信息科技运行

• 业务连续性管理

• 外包管理

• 内部审计

• 外部审计

• 管理手段和流程

• 操作风险管理三大工具

• RCSA（Risk Control Self-Assessment，风险与控制自我评估)

• LDC（Loss Data Collection，损失数据收集）

• KRI（key risk indicators，信息科技关键风险指标）

• 管理流程

• 风险识别

• 风险分析与评估

• 风险控制

• 风险监测

• 风险报告

• 报告机制

• 逐级上报

• IT业务条线、风险管理条线、审计条线各自汇报

• 监控指标

• 监督检查

• 制度和公文管理

• 业务连续性管理

• 分支机构管理

• 安全规划

• 几个因素

• 凡事预则立，不预则废

• 看起来高大上，实际实施又接地气

• 企业战略规划、IT战略规划、信息安全三年规划、XX年工作计划，是自上而下、一脉相承的

• 时间因素、监管要求、企业风险偏好、IT战略目标、技术发展、资源约束、安全价值体现

• 规划框架

• 概述

• 安全目标

• 现状和差距分析

• 解决方案和计划

• 当年重点项目和重点任务

• 上一版安全规划目标差距分析

• 制定步骤

• 调研

• 三个问题（难回答版）

• 未来三年，本团队要做的最牛的三件事

• 未来三年，你认为世界最好的团队会做哪三件最牛的事（我们不做的原因）

• 未来三年想做但没敢写入规划的三件事；本团队领域，很有价值但技术没有可能实现的事情

• 三个问题（简答版）

• 这个领域最好的团队做什么（最佳实践）

• 我们在同业处于什么水平（自我感知）

• 我们的现状（存在哪些差距）

• 实地调研

• 向大型互联网企业学习

• 拥有一定的安全圈人脉资源也是企业安全负责人的必备要求之一

• 多参加这些互联网企业举行的年度会议

• 向同业学习

• 向规模比自己大的企业学实践中遇到过的问题

• 向规模差不多的企业学习了解资源配置情况

• 向规模比自己小的企业学习单点突破能力强的领域

• 确定规划目标、现状和差距

• 总体目标，应尽可能清晰、简洁

• 通过综合应用各类安全解决方案，发现并预防各类安全风险

• 能够承受除DDOS以外的黑客高手或者黑客集团的攻击

• 内部系统能有效防止非专业人员有意或者无意的数据泄露

• 能发现对内部重要服务器的普通内部黑客的攻击

• 对人员进行安全合规教育、违规、违纪现象持续降低，安全审计发现持续降低

• 具体目标，应尽可能明确、数字化

• 非本企业组织的互联网系统漏洞发现为0

• 安全防护100%全覆盖

• 互联网基础设施风险在2小时内化解

• 自动化验证平台100%覆盖所有管控措施

• 管控措施失效能够在24小时内发现

• 注意事项

• 目标绝对不合理

• 实现目标的行动必须合理

• 建议

• 目标一定是从上往下走

• 目标必须是个人的目标

• 每一个人承接的不是目标，而是一套解决方案

• SMART原则

• Specific

• Measurable

• Attainable

• Relevant

• Time-bound

• 制定解决方案

• 体系化

• 可持续

• 可接受

• 迭代修改

• 向上层汇报

• 回顾

• 一个看似一般但严格执行的规划，远胜于一个看似很好却无法或未能执行的规划

• 安全规划目标分解落实到安全重点项目和工作任务

• 重点项目和工作任务分解落实到安全团队每位员工的年度绩效考核

• 每季度开展一次重点项目和工作任务的回顾

• 每半年开展一次安全团队员工绩效的回顾

• 回顾后需要制定针对性的改进措施

• 方向可以大致正确，组织必须充满活力

• 安全体系

• 安全度量

• 一项工作不能测量衡量，就很难提高

• 技术维度

• 防病毒安装率、正常率，安全事件响应时长、处理时长，高危预警漏洞排查所需时间和完全修复时间

• 安全运维平台可用性、事件收敛率

• 合规性方面可以设置合规率、不合规项数量、内外部审计发现数量和严重度等

• 安全运营成效

• 覆盖率、检出率、攻防对抗成功率。有多少业务和系统处于安全保护之下，有多少无人问津的灰色地带，安全能在企业内部推动的多深入，多快速

• 检出率和攻防对抗成功率都是衡量安全有效性的重要指标，安全不能靠运气和概率活着

• 安全满意度和安全价值

• 安全对业务支撑的能力，TCO、ROI，安全用多少资源，支撑了多少业务

• 内部的影响力以及对业务的影响力

• 4.通用技能

• 安全推动

• 如果资源是无限的，每个人完成了配合工作，都可以发一枚钻石，那这个就简单了，可惜资源是有限的

• 考核和晋升是组织活力、推动工作的重要手段

• 分赃要分好，还要及时分

• 免费的胡萝卜

• 表扬

• 排名

• 通报

• 扣分

• 给荣誉奖项

• 人怕见面，树怕剥皮，为了推动工作，达到想要的目标，找到关键干系人。一次不行两次，两次不行再来，多去找几次，见面谈，成功概率很大

• 安全考核

• 考核评价体系与原则

• 几点原则

• 赛马胜相马，让员工在实际的工作岗位中竞争，选出最终脱颖而出的人才

• KPI的考核成绩是德、能、勤的函数在概率分布下的结果

• 长短期利益相结合

• 现金收入是短期利益，是个人价值贡献回馈体系的一部分

• 承担重要领域、重要任务的机会，让员工实现的个人价值提升，属于长期利益

• 只有日常工作的辛勤积累，才能造就每年的丰硕果实，体验奋斗带来的丰收喜悦

• 企业应该将部门利益和个人利益挂钩

• 如果部门因为某个员工的努力获取了利益，就应该以某种形式反馈为员工利益

• 如果因某个团队的努力使部门获取了利益，也应该以某种形式反馈给团队，再由团队以公平的形式反馈给员工

• 评价员工的要素（德能勤绩）

• 德代表思想品行

• 这活给钱我干，不给钱我也干

• 能代表能力

• 别人不行，我行

• 勤代表工作表现

• 别人休息了，我拼搏

• 绩代表绩效

• 白猫黑猫，抓了老鼠

• 奖惩机制

• 奖励与惩罚并重

• 物质奖惩与精神奖惩相结合

• 充分利用好人的趋利主义动机和精神主义作用

• 人才选拔机制

• 择优

• 择优包括品德、绩效、能力、贡献、合作、责任

• 奋斗

• 奋斗包括额外工作时间的投入

• 企业应当创造多种机会以便于人才的脱颖而出

• 虚拟条线

• 轮岗锻炼

• 跨界学习

• 管理者的权利和义务

• 管理者负有帮助下属员工成长的责任

• 下属优秀员工的数量和质量是管理者绩效的重要指标

• 考核对象

• 团队

• 总部IT部门

• 总部IT部门安全团队

• 总部IT部门非安全团队

• 总部非IT部门

• 业务部门

• 职能部门

• 分支机构IT部门（或有）

• 分支机构IT部门安全团队（或有）

• 分支机构IT部门非安全团队（或有）

• 分支机构非IT部门

• 业务部门

• 职能部门

• 个人

• 总部

• 公司安全负责人

• 总部IT部门负责人

• 总部IT部门安全团队负责人

• 分支机构

• 分支机构IT部门负责人（或有）

• 分支机构IT部门安全团队负责人（或有）

• 公司员工

• 团队考核指标

• 安全事件数

• 合规率

• 安全建设项目完成率

• 扣分项

• IT部门内其他团队对自己的安全结果负责，安全团队对整个部门的安全结果负责

• 个人考核

• 结果第一，过程也是为结果服务，能力必须通过结果体现

• 职责和职级匹配，薪酬高的员工，就应承担同等薪酬的职责和绩效考核

• 建设性、事务性工作结合，工作和学习结合，多维度考核

• 考核方案

• 考核内容

• 考核周期

• 考核权重

• 考核分数

• 考核注意事项

• 防止恶性竞争

• 大小团队规模不均带来的公平性问题

• 防止秋后算账

• 5%实现100%的效果

• 正向还是负向激励

• 没有唯一标准答案，在于实践

• 内部问责

• 安全汇报

• 安全汇报是管理好你的上级非常非常非常重要的一环

• 理论上汇报层级越高，越能拿到“令牌”，管理权限越大，推动一些基础安全措施时会更顺利一些

• 汇报对象

• 监管层

• 公司经营管理层

• 跨业务和IT的跨部门

• IT部门和总经理

• 安全团队内部

• 汇报形式

• 正式会议

• 正式报告

• 正式流程阅签

• 邮件和非正式汇报（电话、微信，吃饭和路边交流）

• 汇报载体

• PPT

• Word

• 邮件、短信、微信等一切可以传递交流信息的载体工具

• 汇报目标

• 进展和问题报告（沟通信息、取得理解）

• 结果和成果（讲成绩也讲问题）

• 要资源和支持

• 推动工作（表扬先进督促后进）

• 安全团队管理

• 在企业不同阶段，会采取不同的安全团队建设策略

• 文化建设

• 格局为先

• 认同价值

• 专业自信

• 处处用心

• 养成习惯

• 培养洁癖

• 意识建设

• 客户意识

• 责任意识

• 风险意识

• 创新意识

• 学习意识

• 沟通意识

• 能力建设

• 团队成员有能力离开，团队成员不愿意离开

• 细分团队职能

• 安全管理

• 监管要求和行业组织标准

• 国家法律法规

• 中华人民共和国网络安全法

• 商用密码管理条例

• 国外法律法规

• GDPR

• 反洗钱

• 监管机构

• 中国人民银行

• 银保监会

• 商业银行数据中心监管指引

• 商业银行信息科技风险管理指引

• 商业银行业务连续性监管指引

• 银行业金融机构重要信息系统投产及变更管理办法

• 银行业金融机构信息科技外包风险监管指引

• 证监会

• 证券期货经营机构信息技术治理工作指引(试行)

• 证券期货业信息安全事件报告与调查处理办法

• 证券期货业信息安全保障管理办法

• 证券期货业信息系统审计规范

• 公安部

• 行业组织

• 物理安全相关的GB 50174-2017 《数据中心设计规范》

• 数据安全相关的GB/T 35273-2017《信息安全技术 个人信息安全规范》

• 等级保护相关的GB/T 22239—2008《信息安全技术信息系统安全等级保护基本要求》

• JR/T 0068—2012 《网上银行系统信息安全通用规范》

• JR/T 0071—2012《金融行业信息系统信息安全等级保护实施指引》

• 最佳实践

• ISO27001

• Cobit

• COSO

• ISO20000

• 企业已有制度和流程

• 企业级制度

• 其他部门相关制度

• 信息科技部门相关制度

• 监管要求符合性分析和排查技能

• 安全检查技能

• 安全风险监测技能

• 应对内外部审计和检查的技能

• 安全技术

• 参见专业技能

• 建设路径

• 与其他团队关系处理

• 安全人员招聘

• 招聘原则

• 小胜在智，大胜在德

• 价值观一致

• 用人所长

• 中低阶考察做过什么，高阶考察过往经历是否成功

• 招聘渠道

• 熟人口碑，成功概率更大

• 猎头

• 各大媒体

• freebuf

• 安全牛

• secwiki

• 安在

• 安全大V公众号、知乎

• 厂商管理

• 建立软件厂商安全标准并监督落实

• 对软件厂商交付的代码进行黑盒检测，有条件的白盒检测

• 发现未满足安全要求的进行整改，并追究内部人员（安全测试和开发人员）责任

• 安全要求写入合同，反复违反的进行高层约谈和行业通告，特别难推动的及时向监管层报告

• 产品选型

• 自己的需求和想解决的问题放首要考虑因素，对产品功能的预期一定要克制

• Gartner魔力象限

• 用过的同业的评价

• 细致测试

• 安全知识更新

• 首选纸质书、首选纸质书、首选纸质书

• 安全会议

• 网站、论坛、手机app

• 打造自己的知识管理体系

• 每天半小时深度阅读

• 每天半小时速览各类安全新闻、热点安全事件

• 保持一定频度自己动手练习，保持基本奔跑能力

• 注意积累安全素材，进印象笔记（有道云等等）

• 安全认证

• 认证分类

• Hacking & Pen Testing certifications

• Computer Forensics certifications

• Management/Others certifications

• Auditing Certifications

• Web Applications Security certifications

• Vendor’s certifications

• 认证机构

• (ISC)²

• CompTIA

• Offensive Security

• ISACA

• GIAC

• Mile2

• EC-Council

• EITCI

• 十大热门认证

• CISSP

• CISA

• CISM

• GSEC

• CRISC

• CEH

• ECSA

• GPEN

• CompTIA Security+

• SSCP

• 安全价值展现

• 安全意识与培训

• 培训对象

• 企业高管

• 了解金融企业信息安全战略方向

• 信息安全相关法律法规

• 主要的信息科技监管要求和监管趋势

• 金融科技时代下信息安全新形势和管理新特点

• 信息安全组织架构

• 金融企业信息安全的特性

• 主要的风险事件案例

• “大数据时代下的个人隐私保护”“大数据时代下的个人隐私保护”等

• 中层管理者

• 信息安全基本概念

• 信息安全相关法律法规

• 信息科技监管要求及趋势

• 信息安全管理体系

• 主要的风险事件案例

• 业界最新风险防控思路及措施等方面

• 理解什么是信息安全，为什么要重视信息安全，本人管辖领域内哪些工作会涉及信息安全，以及怎样做好信息安全风险防控

• 所有部门基层员工

• 信息安全相关的制度和流程的具体内容

• 信息安全行为相关的法律法规

• 敏感信息保护要求

• 敏感信息泄露行为导致的不良后果和真实案例

• 违规处罚措施

• 基本的信息安全操作技能和防护手段等方面

• 帮助基层员工树立信息安全保护的理念，提高合规操作、风险防范的意识，掌握具体的信息安全风险防控技能，降低员工工作疏忽、操作不规范或有意泄露造成的威胁

• 信息科技员工

• 开发测试人员，应侧重于企业信息安全政策和制度、监管和行业组织发布的应用安全相关技术规范、安全要求，代码审计相关知识，以及系统和应用安全常见漏洞的原理

• 运维人员，应侧重于企业信息安全政策和制度、监管和行业组织的信息系统运维相关技术规范、机房安全、网络安全、主机及系统安全、终端安全、信息安全技术工具、故障应急、业务连续性等

• 外包人员

• 金融企业外包制度和流程的具体内容

• 金融企业信息的分类和信息安全保护具体要求

• 与信息安全行为相关的法律法规、泄密行为导致的不良后果和真实案例等方面

• 外部用户

• 具体的案例说明、主要的诈骗手段拆解、简明扼要的信息安全宣传标语等

• 培训形式

• 现场培训

• Elearning在线培训

• 内外部信息安全专栏

• 以赛代训

• 实战演练

• 信息安全活动宣传周、宣传月

• 无处不在的安全宣传

• 宣传动画、海报、易拉宝、屏保、邮件、安全知识笔记本

• 定期发送风险提示

• 信息安全智能机器人系统

• 外部提供的信息安全培训组合服务

• 培训时机

• 全员每年例行做

• 员工入职马上做

• 高危人士时常做

• 专业人士专场做

• 特殊事件重点做

• 培训矩阵

• 培训对象

• 培训内容

• 安全审计

• 审计其他方

• 审计准备

• 审计目标

• 审计对象、重点

• 审计范围

• 审计计划

• 审计工具

• 审计执行

• （也可以不通知，如飞行审计、抽查突击类审计）

• 审计手段

• 安全评估

• 审计特有的工具与方法

• 抽样数据测试

• 穿行测试

• 监督环境下的流程重放

• 沟通审计结果

• 审计结果跟踪

• 结果复测

• 验证审计与后续优化效果

• 迎接审计

• 审计准备

• 针对审计提纲准备

• 被审计人员安排

• 先行内审一次

• 审计执行

• 按需提供