西电捷通：让安全对抗行走在安全体系框架中

引言：很难想象，即使在目前发展正如日中天的网络安全行业，安全对抗的落地实施也有些举步维艰的意味。我们时常听到有人抱怨：企业的安全对抗很难开展，总是遇到各种问题，分工不明，权责不清，配合变成对抗，最后导致虎头蛇尾，甚至是执行难产，流于形式，实际作用甚微。安全对抗似乎成了一个不可触及的“天花板”。面对上述各种疑问和困境，作为一家成长型企业，西电捷通亦在思考：到底成长型企业内部整体安全体系工作该怎样开展，怎样做才能使其既有效执行，又事半功倍呢？只有弄明白这个问题，才能清楚地根据公司的实际需求，让安全工作为公司提供真正有效的帮助。本文将结合西电捷通的实践探索和认识，站在安全部门的角度来分享西电捷通公司开展安全对抗工作的一些思路。

　　让安全对抗行走在安全体系框架中

　　大量研究表明，企业面临安全风险和威胁可以归纳为两个原因：一方面源于安全意识淡薄，危机意识不强；另一方面则是安全技术能力欠佳，安全合规意识缺失。看起来，这两个原因都与企业日常经营管理的各个环节密不可分。的确，安全是一个在治理、管理、运营和技术等环节都必须发力的工作，需要兼顾公司内外、大小部门、不同级别干系人的立场，最终引导一致性的目标和行动。

　　正因如此，如何形成持续地、一致地安全实践至关重要。以西电捷通为例，我们设计出一个适合目前公司情况的“企业安全体系框架”，尝试进一步梳理、分析安全实践深层次的问题。

图1 企业安全体系框架参考图

　　如图1所见，该安全体系框架分为四个层次，分别是安全管理制度/流程/规范层、安全工作渠道层、安全目标层、安全干系人层，体系框架层次分明，具备了横向扩展性，更有利于日后的体系框架调整与发展。

　　“首席安全官”们明白，光有安全体系框架远远不够，关键是框架落地时的“控制要求”。在安全实践中，“控制要求”能够有机地运转才是有效推动工作的关键。

　　“控制要求”是安全体系框架落地的关键举措

　　毋庸置疑的是，考虑安全势必会导致企业整体成本增加，如何平衡各种因素，以及各个利益主体。这里牵涉到“局部效率 VS整体效果“的问题。具体来说，在企业内部，即使一件再小的安全事情都会“一石激起千层浪”，牵涉到多个环节，各个层面。倘若每个环节都很重视安全并可以及时地发现安全问题，这样的做法，尽管会导致局部效率低，但是穿串在一起，整体上却能极大地降低风险，减少修复成本。

　　为此，西电捷通将四个相互独立的层次进行贯穿，相互牵动，形成一个上通下达的有效的整体。

　　1、用最务实的方式解决认知偏差，打造影响力

　　用最务实的方式解决认知偏差，打造影响力，简而言之，即不要试图通过制定大而全的安全管理制度解决所有问题。安全管理体系的价值实现，不是因为无关紧要，而是在于开销太大。对于绝大多数成长型企业来说，首先最应该关注的是安全管理体系所能产生的直接价值，安全人员不能完全依赖于“制度”行使“管理”职能，应该用最务实的方式解决认知偏差，打造影响力，让企业内部大小部门、不同级别干系人都沿着既定的安全管理思维行动，这才是王道。

图2 安全体系框架之安全管理制度/流程/规范 思维导图

　　知易行难。现实中，战略制度很容易规划出来关键还是战略执行。国内的企业的短板通常是欠缺保障制度执行的治理机制，这涉及到公司治理层面的问题，同时与各个领域的行业特点有关，这里不做过多讨论。

　　2、 以“安全工作开展的目标“为中心

　　以“安全工作开展的目标“为中心，西电捷通希望达成的安全工作目标很容易理解。

图3 安全体系框架之工作目标 思维导图

　　（1）安全工作目标一：提高安全意识

　　很多业内人士把“人”戏称为TCP/IP协议的“第八层”，大意是安全工程师必须受到良好的安全意识教育，才能降低系统、产品、企业的潜在攻击面，对于网络安全企业尤其如此。有一句老生常谈的话就是，任何安全问题的本质最终都被归责于人，人一旦丧失安全意识，不管是多么优秀的安全制度，也会因为人的懈怠变得形同虚设。所以，安全工作的首要目标，即通过系统成熟的安全实践持续改变企业人员的积极安全意识和行为。

　　（2）安全工作目标二：输出安全能力

　　透过以往发生的安全事件，我们发现当企业人员知道需要做（need to do），但是不知道应该怎么做（how to do）时，安全隐患犹如一颗定时炸弹，时刻存在被引爆的风险。通过增加安全实操训练进而加强安全能力，让员工自己面对和解决安全问题，都是可行的选择，这也是西电捷通希望达到的第二个目标。

　　（3）安全工作目标三：强化安全性审计

　　“审计”顾名思义实施独立性的监督。强化安全审计，意味着强化产品安全性测试，驱动并建立有效的反馈渠道，使产品安全对抗真正具有持续改进和闭环的运转机制。同时，也避免开发人员既作“运动员”又作“裁判员”的情况，真正引导安全团队在产品安全审计方面发挥作用。

　　3、安全对抗工作开展的三个重点

　　作好安全工作不能单纯依靠安全部门，而是需要在完整的安全体系框架下，将安全部门和测试部门、研发部门凝聚成为一个共同体与此同时，安全工作的落实需要各个部门分工明确，权责清楚，积极配合，方可实现明确一致的安全保障目标。

图4 安全体系框架之工作开展渠道与要点 思维导图

　　我们将图4简单概括之后，可以通过以下三种方式来达到上述工作目标：

图5 安全对抗工作开展的三个重点简图

　　（1）渗透测试工具导入工作：有形的方式（授之以渔）

　　事实上，单纯依靠安全培训是无法有效地提高员工信息安全意识，正如同仅靠培训就能提高员工的开发质量那样。关于能力提升有一个“721模型”的说法，即70%靠实战，20%靠师傅带，10%靠培训。渗透测试工具导入工作更注重实战，我们将以工具为主线，加大案例比重，相较传统的安全培训缺少生动案例的情况，这样比抽象的安全漏洞演示更加具有代入感。同时兼顾安全能力输出，进而不断更新和完善安全团队的Sec-Box（安全工具集）。

　　（2）安全合规性审计工作：强化产品安全性测试

　　此项工作由安全部门主导，开发团队和测试团队辅助，三方共同制定出安全对抗标准。该标准要求既能满足安全部门安全防范，又要能保证测试和开发部门真正落地执行，进而驱动并建立有效的反馈渠道，使安全审计测试真正具有持续改进和闭环的运转机制。更进一步地来说，“产品安全性审计”不能仅仅在产品研发之后开展针对性测试，应参与到整个研发活动当中，比如在设计、开发过程时即参与进去。

　　（3）响尾蛇专项行动：无形的方式（授之以鱼）

　　作为安全团队工作的一部分，适当结合现实案例，通过解构和分析相关问题，同时结合公司办公/生产网络和产品进行安全对抗，进而寻找出对应的安全解决方案，西电捷通将这个工作形象地取名为“响尾蛇专项行动”。

　　我们认为响尾蛇专项工作均需要遵循事前记录并提前报备的原则，图6即是响尾蛇专项工作记录的一个简单模板示例。

图6 响尾蛇专项工作记录（报备）表

　　响尾蛇专项行动的核心在于发挥前车之鉴的作用，通过这样一种方式来培养员工安全意识，加强处理这类问题的经验，这也是公司塑造“自然抵制”安全威胁的好方法。因为意识不仅是一种“知识”，更是一种能力。

　　总结

　　对于成长型企业来说，有时候安全总是被排在最后位置。面对预算不足，人力不足、意识不足、支持不足等各种不足，如何确保安全体系实施落地，这中间Top-Down and Bottom-up完全是两个概念。对于西电捷通而言，安全体系框架搭建过程是一个不断自我改造的过程。我们将继续秉承心中有框架的概念，不再为制度大而全而纠结；集中优势资源，基于风险的方法，针对性地建立安全体系框架；根据企业的安全现状，调整框架实施的优先级；在安全体系框架的指导下，以持续驱动企业人员行为变化为核心。