在2016云栖安全大会上,华为信息安全运营总监孙颖老师分享了华为在做内部安全管理和运营的宝贵经验,受益匪浅。记录笔记如下,我的感悟是黑斜体部分。
原则
- 明确核心信息资产清单
- 流程、组织、技术三方面建设整体方案
资产清单是管理的抓手,只有明确了要保护什么,才能有的放矢。但梳理信息资产清单,并设计可落地的分级分类措施,这是难点。如何让员工短时间内学会并准确执行分级分类的要求?如何以流程化的方式确保分级分类的落地?这才是管理的核心问题。信息分级分类
- 明确核心资产在业务流程中的流转过程
- 明确核心资产在不同系统中的流转过程
四大的方法论中也有类似的内容。难点仍旧是落地。不能指望业务部门的员工认真分析这两个流转过程,而安全部门又没有能力分析准确。如何有效率的与业务部门结合,花最小的成本高质量的完成梳理工作,这是重点融入业务流程
- 按流程划分SDLC阶段
- 每个阶段明确核心资产清单是什么
- 明确在每个阶段,每个核心资产所在位置
- 明确每个阶段、每个资产,在每个位置的安全要求
- 实现安全融入流程,化整为零,完成对业务流程的安全改造,润物细无声
- 补充:数据上载PDM后,本机不留源码副本,并有专人检查
这是对前文所述的两大流转过程梳理的细化描述。目标是改造出安全的业务流程,达到润物细无声的境界,难度很大安全服务举例
- 一键式获取权限,减少对业务影响
- 在申请流程中明确告知事项,不需要用户自己去找
- 直接主管负责审批
安全流程
- 细化业务流程的操作阶段
- 每个阶段留存独立的日志:授权日志、查询日志、导出日志、加密授权日志、邮件发送日志
留存日志并定期审计,这是对安全态势的监控,也是对员工的威慑与引导
上述思路其实四大顾问曾经带着我们做过一轮,华为的确是把这套方法论完整落地执行,并且看到了产出物与收益的。这一点的确要佩服华为安全部。
务虚的东西看似美好而遥不可及,但真正落地执行了才知道其中的艰难辛苦。
