》大量的网络安全检查伴随着问题的发现,发现问题就要分析原因,一切网络安全问题归根结底都是人的问题.只能起到短期的提升作用,长期的提升需要加强网络安全队伍建设,强化管理团队的网络安全意识,才有可能提升整体网络安全管理能力单位的。”本期安全牛专访有幸邀请到军工保密资格认证中心研究员黄慈辉,从单位角度,而不是国家、行业或网络的角度,谈一谈单位网络安全管理能力、管理层网络安全意识和网络安全队伍建设三点。思考和分析。一、网络安全管理能力一个单位的网络安全管理能力体现在以下几个方面:1、结合业务分析网络安全风险的能力。各单位的业务模式决定了其对信息环境的依赖程度。全球化的进程决定了其网络安全的风险点。梳理业务流程,深入分析网络安全风险点,确定网络安全风险接受程度、经营风险通过传统手段控制、网络安全风险通过加强网络安全管理控制程度.这是一个明确网络安全管理目标的过程。网络安全不是100%或万无一失的。同时,网络安全的成本相当大,应该有所取舍。有可以努力的目标,就有突破网络安全风险底线的对策。这个过程可以参考国家级保护管理办法,根据系统的重要程度投入相关资源。首先,需要划分保护对象的重要性等级。保护单元可以按照网络区域和应用系统进行划分,然后在保护单元被破坏时,从受损业务和受损程度两个角度考虑各个保护单元的重要性等级。.其次,各保护单位要从规划阶段就考虑自身的重要性和具体的安全需求,有针对性地部署安全措施,随着业务和信息技术的发展,对各保护单位的安全水平和安全进行监控。需要进行必要的调整。三是本单位根据信息系统的重要程度,确保网络安全投入,特别是人力资源投入,确保网络安全所需的人力、财力。对于不可避免的网络安全风险,必须考虑网络安全防护措施以外的业务管理风险控制措施。例如,依托互联网电子商务平台开展业务的企业,既要考虑数据备份等可实施的安全措施,又要考虑企业没有能力控制电子商务平台的安全风险。为了提供服务,还应考虑业务风险控制措施,以防电子商务平台发生影响业务的网络安全事件。2、能够合理规划信息化基础设施。信息系统结构清晰、层次分明、界面简洁、功能定位明确。在信息化规划过程中,充分考虑了网络安全需求,为网络安全管理打下了良好的基础。例如,涉密信息系统、非涉密信息系统和互联网安全风险之间存在很大差异。国家对这三个网络有不同的监管政策。各单位必须明确这三个网络的功能定位。秘法的运用,是毋庸置疑的。将其置于机密网络中。非机密应用程序可以放在机密网络、非机密或互联网上。应考虑非涉密应用的用户范围、工作流程、存储和处理信息的来源和使用等应用系统关系等因素,应用的合理部署可以使涉密信息系统、非涉密信息系统之间的界限分明信息系统、互联网畅通,信息交互接口少且易用可控,既有利于信息资源的合理利用,也有利于网络安全管理。再比如,大部分的网络安全控制目标都可以通过网络层和应用层来实现。在构建网络基础设施时,需要考虑网络层和应用层的安全划分,并考虑后续应用系统的安全需求。.3.依据网络安全法律法规进行网络安全管理的能力。网络安全管理的一大难点是难以评估网络安全投资的绩效。它为单位提供了一套可操作的绩效评价指标,是依据网络安全法律、法规、标准和政策进行单位网络安全管理的良好工作手段。我说的是以此为抓手,推进本单位网络安全管理工作,而不是机械地对标。不同的信息化对象适用不同的法规、标准和政策。弄清楚每个信息化对象需要遵循的要求很重要。其中一些要求是刚性的,必须严格执行,但大多数要求在执行时有很多选择。有些标准是一整套可选的安全措施,在实施时需要根据实际情况量身定做。这个过程中的沟通体现了管理水平和专业能力。例如,本单元实施时标准中可能存在不适用的条款,不需要实施,只需分析不适用的原因即可。例如,等级保护和等级保护标准都对应用系统的安全审计提出了要求。单位可以根据业务流程决定对哪些行为进行审计,记录哪些日志,对业务流程起到很好的监督作用。二、管理网络安全意识意识来源于知识。管理层缺乏网络安全知识很普遍。造成的后果是我们口头上重视网络安全管理,行动上忽视,投资上忽视。网络安全的投资是真金白银,但回报是隐性的。没有利润指标,更不可能用利润来衡量工作效率。这使得管理者很难就各种目标的相对重要性达成共识,从而导致网络安全。在需要输入时没有得到他们应得的资源。由于这些特点,网络安全工作一般依靠三种力量共同推进。第一个优势来自领导力。网络安全是一把手的工程。最高领导重视,自上而下的各级管理人员都会重视。这有赖于单位领导的网络安全意识强。第二种力量来自制度。网络安全已成为强制性要求,融入操作流程,成为考核各级管理人员和员工的指标。第三股力量来自全员安全意识。将网络安全需求内化于心,外化于行动。其中,系统的强弱取决于第一力和第三力的大小。如果安全意识不足,制度很容易流于形式,雷声大雨点小,投入大,效率低。员工网络安全意识教育相对容易做。目前的网络安全意识教育基本上是针对员工的,而不是针对管理层的。管理层的安全意识很难掌握,但管理层的意识比员工的意识更重要。管理层不热衷于学习网络安全知识。领导认为网络安全是专业的东西,没必要学。另一个原因是目前的网络安全意识教育没有纳入管理学习和培训的视野。培训机构和人事部门领导干部网络安全意识培训市场尚未充分培育。管理层对网络安全的认识和员工应该有不同的看法。如何进行这方面的培训,是一个值得深挖的问题。培训师需要结合业务管理来分析网络安全问题。只有这样的课程才对高级管理人员具有吸引力和价值。2017年习近平总书记在国家安全工作座谈会上指出,要筑牢网络安全防线,提高网络安全防护水平,加强关键信息基础设施保护,加大核心技术研发力度努力和市场化引导,加强网络安全预警和监测,保障大数据安全,实现全天候全方位感知和有效防护。在机关事业单位审计工作中,国家已将开展网络安全工作纳入审计内容,对机关事业单位领导人员的网络安全意识培训将越来越受到重视。将网络安全意识教育融入到管理人员的学习和培训中将是一种发展趋势。3.网络安全团队建设说到网络安全团队建设,首先要说说网络安全团队架构。一个单位在网络安全方面可以投入的力量一般分为以下几类,其中前两类必须是单位内部人员,第三类可以是内部人员,也可以委托外部团队,第四类和第五类是外部力量,通过契约关系为单位提供服务:网络安全管理。统筹管理单位网络安全,将网络安全与单位运行管理活动相结合。信息管理。统筹管理本单位信息化工作,将信息化工作与本单位经营管理活动相结合。信息系统运行维护。信息系统的运维工作重点是对信息系统投入使用后的管理工作。信息系统集成商或网络安全厂商的技术支持。单位集成系统或购买产品后,可以获得后续服务或长期购买,一般仅限于所购买产品相关的服务区域。网络安全咨询服务和技术服务。根据组织需要购买网络安全专业服务。以上五类人员,2类、3类、4类人员是当前网络安全所依赖的主要力量,但他们的工作重心和重心在信息化方面,网络安全并不是他们关注的重点。一类和五类人员是本单位网络安全的专业力量,但目前这两支队伍都比较薄弱。先说网络安全管理团队。弱势表现有两种。一是岗位设置过低,与职责不匹配。这是一个普遍的现象。这里的团队建设首先是指岗位设置、岗位职责和权限分配。业务对信息化依赖度高的单位,需要一个高级职位。对单位网络安全进行规划、管理和监督,将网络安全与单位运行管理活动相结合,不仅需要专业背景和管理能力,还需要相应的权限和沟通渠道,做好。但是,这些单位中有不少只设置了低级别的网络安全管理岗位,难以履行相应职责,有的甚至没有专职岗位。这方面的普遍不足也意味着网络安全管理人员没有向上发展的通道,这也是整个社会网络安全管理人员严重短缺的原因之一。二是网络安全管理人员素质与职责不匹配。这是一个对综合素质和专业素质要求很高的岗位。现在的市场很缺人才,学习成长周期也很长。我们经常看到信息化是单位二级部门的职责。信息化管理由两人负责,其中一名兼任网络安全负责人,信息系统运维委托外部机构。信息化或网络安全的规划也有运维机构支持。二级部门负责人和上级部门负责人都没有网络安全专业基础。这样的网络安全管理团队很难满足信息化高度发达条件下的网络安全管理需求。网络安全管理人员队伍薄弱,直接导致本单位网络安全需求不明确,网络安全目标意识淡薄。而这一问题阻碍了网络安全咨询服务和技术服务市场的良好培育。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
