下载掌阅APP,畅读海量书库
立即打开
企业的管理涵盖企业运作的方方面面,必然涉及企业的网络安全相关范畴。
从渊源上来说,企业中的网络安全话题相比于企业管理来说,只是个相对年轻的、次要的话题,而且也只是因为在近30年来,随着信息技术的快速发展对企业有了比较大的影响力之后,才开始走入大部分企业最高管理者的视线。
现代意义上的管理学的发展历程,可以追溯到20世纪40~60年代,是以彼得·德鲁克(Peter Ferdinand Drucker)博士的卓越工作所奠定的基础开始的。而网络安全工作,乃至其中的网络安全管理(以下简称为“安全管理”),则是在20世纪70~90年代才得以出现并开始发展的。
这为我们提供了一个绝佳的机会——可以从网络安全的视角来审视企业管理。我们正需要在新时代和新环境中反思企业的运作方式,以谋求能够有更加有效的战略或过程使企业实现自身的目的。可能正是因为网络安全管理的发展恰好是现代企业管理理论形成的时代,很多网络安全管理的要素和方法,与企业管理有着很直观的相关性,这恰好启发我们,如果可以从新时代网络安全专业的视角来审视进而借鉴一些已经经过实践检验且切实可行的企业管理方法,对于我们做好网络安全工作,是否会有积极意义?
1.管理(或企业管理)是什么?
企业管理无论表现为何种方式,最终都指向由人对人进行管理。管理的目的是使企业内部的人际之间的关联能够彼此和谐,人与人之间能够处在一种相互协作、互相配合的状态,以便最大化集体利益或企业的利益。企业的利益就是指实现企业之所以存在的任务和目的(或使命)所涉及的相关当事人的利益。相关当事人包括三类:企业内部的利益相关方(如企业的所有者、雇员等)、外部的利益相关方(如业务相关的上下游企业、消费者或服务对象)以及与企业有间接关系的利益相关方(如政府监管机构、网络空间、自然环境等)。
进一步来说,企业管理涉及人们共同在某项事业中进行的合作问题以及作为整体进行协作的问题,所以,企业管理绝对不是通过某种单一的方式或方法就可以达到预期目的的工作,也不是一件一劳永逸的工作。企业管理是企业当中一项“永恒”的事业:只有开始,没有终点。人们长期从事一项事业的动力来源,从根本上说是其自身的内因。即人们只有认可所从事的事业的价值或目的,乐于并对此满怀希望时,才会坚持下去,才会去克服一个个障碍,战胜一个个挑战,坚定地前进。文化是促成人的这种内因的形成,使人保持信念的重要原因和载体,是人的精神追求和心理寄托所构成的环境。
具体到对企业的管理而言,就需要从企业文化或企业所处的文化环境中寻求力量和灵感。所以,构建适合的企业文化,或者,如果能着意去发现并努力顺应文化发展的趋势,那么,企业的管理就会处在良性的循环之中,企业就会越来越兴旺。每一个企业都需要明确认识到自身的价值,为实现自身价值树立共同的目标并形成统一的价值观,还需要将这种价值观凝练成简明扼要、独一无二的表述,通过时常的、公开的强调来促进达成一种共同的愿景(即对完成使命的憧憬,给予希望)。使命感、价值观和愿景,构成了一种精神追求的氛围,这就是企业管理所需仰赖的企业文化,是“管理”所必须深深根植其中的土壤。
管理从来不是一个静止的状态或者某种预设的一成不变的规范。企业面临的环境在变,人是对环境最为敏感的环节,所以,管理就是要以最快速度适应人的变化,需要把握机会并根据需要而变。唯一不变的就是变化本身。企业管理的变化是为了促使企业及其成员能够得到更好的发展,是有目的地去变,这是对管理本身的管理。管理求变不是为了变而变,更不是随便去变。而且,管理的变化需要根据情况果断地变,大多数时候,变化所能带来的积极效果和变化所需的时间长短成反比关系,当然,这不是说要“瞬变”,而是要“慎变”,是“谋定而后动”地主动去变。管理的这种与环境的顺应之变不是出于追求效果而进行的权宜之变。德鲁克博士曾说:管理是一种实践,其本质不在于“知”而在于“行”;其验证不在于逻辑,而在于成果;其唯一权威就是成就。
管理的目的不是去约束人,而是去领导人,是使平凡的人在一起做出不平凡的事情。管理的过程是尊重人并激发人去发挥才能,将人的“学习能力”转化为企业的“核心竞争力”。当然,这里所说的“尊重”并不单单是一种礼貌的要求,更重要的是基于这样一个理念:以人为本。
2.更多事实以及本书的观点
现代管理学大致是因为人的认识的局限性而自然形成了很多学派,不同学派的研究所关注的角度大不相同,形成了很多理论,出现了“派系林立”的局面。这种现象被哈罗德·孔茨(Harold Koontz)博士形象地称为“管理理论丛林”(The Management Theory Jungle)。
孔茨博士于1961年12月在《管理学会杂志》( The Journal of the Academy of Management )发表了名为“管理理论丛林”( The Management Theory Jungle )的论文,将当时的管理学理论分为6个主要学派:管理过程学派、经验或案例方法学派、人类行为学派、社会系统学派、决策理论学派和数学学派。1980年4月,孔茨博士在《管理学会评论》( The Academy of Management Review )发表名为“重温丛林管理”( The Management Theory Jungle Revisited )的论文,提到“管理理论和科学还远未成熟,这在管理理论丛林的延续中显而易见”,并且一共总结出11种管理科学和理论的研究方法:经验或案例方法、人际行为方法、团体行为方法、合作社会系统方法、社会技术系统方法、决策理论方法、系统方法、数学或“管理科学”方法、权变方法、管理角色方法以及操作理论方法。
这是一种经典的分类方法。此后的40多年来,现代管理学大体上都围绕以上的学派(方法)进行发展,在数量上有些起伏和增减,但是门类上基本没有太多变化。在本书看来,“理论丛林”的存在,恰恰可以用一个中国传统哲学的观点——关于“(器)、技、艺、术、法、道”的观点来理解。本书无意评价这些经典学派中到底哪个是“法”,哪个是“术”,而是认为:这些学派所解决的问题和面临的对象各不相同,只要做到以人为本,明确目的,坚守初心,履行使命,就实现了管理。由此而得到启发,网络安全和企业管理有很多相通之处,当可借鉴一二。
网络安全工作带有管理工作的基因。安全管理是网络安全工作实践的重要组成部分。网络安全工作的具体范畴,有自己的历史发展脉络,从中可以清晰地看到网络安全对于企业的意义,以及对于企业管理的意义。在网络空间时代,企业的管理已经和组织、业务、应用、数据、基础设施等紧密相连,应当在企业管理的内容、方法、过程中统筹网络安全。
目前,世界各国和国内各行业对网络安全的众多实践已表明,对如何开展网络安全工作的基本观点已经趋于达成一致,安全管理和安全技术两者都要有,缺一不可。本书将此概括为网络安全的“管理统筹原则”。
原则2 管理统筹原则:企业在网络安全保障过程中,人的要素和物的要素之间,需要进行可控的互动。
对于这一原则的理解,可以从若干前提条件入手。
1)根据对企业网络安全生态环境的认知和理解,构成安全生态环境的因素是所有网络安全工作的约束条件,这些环境因素包括企业外部的网络空间环境和企业内部的文化、人员、企业管理和技术条件等。生物意义上的“人”及其组成的社会意义的“人”(集体),构成这里所说的“人的要素”。开展网络安全工作所需的工具或系统等,构成这里所说的“物的要素”。
2)网络安全工作中最大的不确定性因素是人。从开展工作的目的角度而言,只有关于人的不确定性不容易认知,也不容易进行控制。这里的“人”,可以理解成企业的相关利益者,既包括企业内部的人,也包括企业外部那些和企业相关的人,甚至是和企业只有间接关系的人。
3)从事网络安全工作的人可以不断地在自己认知能力范围内优化实现工作目标的方式,并且,应当在网络安全工作的全过程中理性迭代这一优化过程。在网络安全保障的过程中,人的要素和物的要素,必须都处在网络安全工作者的考虑范围之内。这些要素之间的关系是一种互动,应当可控或者受控,即要素之间需要相互配合,步调一致,及时纠偏,避免或消除异常。
根据这个原则,网络安全工作需要兼顾人的要素和物的要素,要将两者有机地联系在一起并采取协调一致的行动,而不能简单地将两种要素堆砌在一起,要防止弄成“两张皮”“两条线”。在方法上,可以根据两种要素各自的特点和属性形成独特的作业系统,但在观念上,应当兼顾两种要素。实现这种“兼顾”的基本方法就是进行统筹,即全盘考虑资源投入的相关问题,做到合理、必要和充分。统筹的过程可以借助量化处理的模式,例如,通过确定管理功能结构或质量技术标准等方法,根据目标需求来得以实现。
当人们考虑网络安全保障问题时,通常习惯上首要考虑的是应当或需要采用哪些“技术”来保证安全,包括为信息本身以及为承载或处理这些信息所需的应用系统等提供安全方面的保护。对这些信息的保护过程,还需要考虑到不论它们是处于存储状态还是处于传输或使用状态,都需要采取措施。而应用系统的范畴,也需要从具体的计算机或其他的终端设备,扩展到信息的处理系统以及为这些信息系统提供连接的网络系统(包括网络系统附带的接入、分发等子系统)等。
例如,人们通过密码学、安全协议和系统安全等技术,可以构建出更加安全的应用系统和网络系统,但这就是我们确保企业安全所需要的一切吗?技术系统是否足以确保企业和数据(包括企业自身的数据、企业在运营过程中产生的数据以及企业所服务对象的敏感数据或个人隐私数据等)的安全?
大量事实证明:安全性不仅与实现它的技术手段有关,还与这些业务过程中涉及的流程和人员有关。正如凯文·米特尼克(Kevin Mitnick)先生在其《欺骗的艺术:控制安全防护中的人的因素》( The Art of Deception : Controlling the Human Element of Security )一书中指出的那样:“这些保护信息的技术方法可能以各自的方式有效。但是,许多损失不是由于缺乏技术或技术缺陷造成的,而是由技术使用者和错误的人类行为造成的。”比如,如果员工的授权凭证使用了弱口令,那么,企业是否使用最安全的加密算法对业务系统中的数据进行加密就不重要了。从同样的意义上讲,如果企业配备了具有最先进的安全技术的软、硬件系统,而员工却可以随意地绕过那些安全措施,例如,能够随意地卸载工作终端上的安全软件或在办公网络的通信链路上随意将网络安全设备短路,那这些技术措施也就没有了意义。这就好比是锁头和钥匙的关系,再坚固的锁也可以被配套的钥匙或者被持有配套钥匙的人打开。
安全技术本身是中立的,并不会“自动”具有其所处环境所需要的安全能力或者“自觉”发挥安全保护作用。所以,对于它们被使用的流程和使用的过程以及使用它们的人,必须加以关注并采取适当的措施进行控制,以确保安全技术的应用和其运作效果符合预期。这些控制需要被管理,或者,这些控制本身就是管理的一部分。
没有被正确使用的安全技术无助于保护企业的资产,无助于企业应对威胁或者控制风险。网络安全管理不仅仅决定使用哪种安全技术,还需要将安全性、流程和人员的技术方面结合起来,决定如何恰当地使用这些技术,以便企业能够实现其业务目标。网络安全管理包括以下几个方面。
1)网络安全技术措施方面的管理。各种网络安全措施都需要被正确配置并被有效整合到企业的日常运行当中(包括企业的业务承载设施的日常运行,也包括企业自身运作所依赖的信息化设施的日常运行),根据需要调配资源对它们进行日常监视、维护更新或升级替换。并且,还需要维持并保障企业所必需的网络安全审计能力和人员问责机制,以有助于所有员工能够遵守行业标准和法律法规的要求。
2)人力资源方面的管理。例如,协助人事部门对新员工进行背景审查,评估新员工既往历史对企业网络安全可能的风险等,以及组织开展安全培训和模拟演练,不断强化员工的安全意识。
3)网络安全事件的管理。例如,协助业务部门制订和维护保障业务连续性的计划,确保企业能够在发生网络安全事件的时候继续开展业务,同时,将事件带来的影响降至最低。
因此,安全需要管理。或者,也可以说,管理是安全的一部分。
对网络安全进行管理,可以使企业能够有效地使用恰当的安全技术,这不仅会带来资源利用效率的提高,更重要的是,可以使安全技术应有的作用能够真正发挥出来。对企业来说,最重要的资源就是人才、资金、技术、机遇等构成的有形或无形的成本。这些资源利用效率的提高,可以为企业降低成本奠定坚实的基础。根据迈克尔·E·波特(Michael Eugene Porter)博士的研究,企业获得竞争优势的战略只有三种,“成本领先”只是其中之一。能够取得成本领先优势的方法对企业的意义不言而喻。当然,此处所说的获取“成本领先”优势,不是通过“偷工减料”或者“山寨”(仿制)的方法以减小必要开支的模式来降低成本,而是通过提高资源使用效率的方式,以获得更高“性价比”的模式来取得成本方面的优势。
网络安全管理能够为企业提供一种用来优化人与技术(措施)之间互动方式的工具,并且能够减小这些互动之中所蕴含的风险。但同时也要注意到,实施安全管理并不能使企业不再发生安全事故或免于安全事件造成的损失,只是,可以减少网络安全风险并帮助企业高效地实现其安全目标。
在这里,简单说明一下不同语境中“技术”一词在含义上的细微差别。在企业安全的范畴内,一般对“技术”一词有三种理解。第一种是从学术研究的角度来理解,指一些“底层”的实现方法,如具体的算法、协议等,甚至包括编码实现的方式方法等;第二种是从应用的角度来理解,指某种措施或手段,如具体的设备、系统、平台等;第三种是从操作性的角度来理解,指与思路、理念等相对的实施过程、操作流程等,更关注“如何做”“做得如何”等方面的含义。要注意结合不同场景对其含义进行理解。
企业的网络安全管理需要发展自己的框架并遵循标准。本书结合网络空间的新形势、新特点,在比较的基础上提出了一种网络安全管理的体系结构。
在企业实施网络安全管理方面,现在通行的做法是由企业自行选择某种常见的安全框架或标准作为指导来开展相关工作。由于这些工作的理论还没有形成公认的较为完备的体系,因此这些工作通常会被认为是一种安全实践。
企业在确定如何做出这种选择的依据时,往往出于某种直接的利益目的而并非出于实施安全保障的目的,而且,这种选择往往也是被动为之。但实际上,企业应当主动对自身所必须遵从的约束性条件进行审视,形成对自身所需的安全管理的基本理解,之后,基于这种理解,综合考虑自身运作需要和安全保障的技术性目的,来选择适合自己的网络安全管理框架或标准。
所谓“约束性条件”,是指企业所必须要满足的一些要求,主要包括:法律、法规方面的要求,企业与相关方所订立的合同(或协议)中的相关要求,以及企业所做出的公开承诺中的某些相关要求。所谓“对所需的安全管理的基本理解”,是指一个关于必要性的最小集合,包括但不限于:①企业可信地遵守了适用范围之内的法律、法规的要求,履行了与相关方所订立的合同(或协议)中的有关约定,兑现了自身的公开承诺;②企业对网络安全保护的整体目的(含对服务对象的隐私数据的保护)有明确的、合理的期望,能够确保不被外界视为对网络安全不重视、对网络安全保护相关事务漫不经心或故意对不安全情况持有纵容态度;③企业采取了适当的控制措施,能够保护自身的业务系统、数据和服务过程应对现实威胁的挑战。这里所说的“必要性”是指企业对安全管理的需求方面的必要性。
目前常见的安全管理框架、标准,大致可以分为几个典型的“流派”。
1)由美国国家标准与技术研究院(National Institute of Standards and Technology, NIST)主导的一系列成果,包括“网络安全框架”(Cybersecurity Framework, CSF)、“风险管理框架”(Risk Management Framework, RMF)和美国“联邦信息系统安全系列(建议)”(NIST's Spe-cial Publication, NIST SPs)
等。
2)由国际标准化组织(International Organization for Standardization, ISO)制定的“ISO/IEC 27000系列标准”(ISO/IEC 27000-series, ISO27K)。
3)由国际信息系统审计协会(Information Systems Audit and Control Association, ISACA)制定的“信息及相关技术控制目标”(Control Objectives for Information and Related Technology, COBIT)。
4)由英国商务部(Office of Government Commerce, OGC)主导的“信息技术基础架构库”(Information Technology Infrastructure Library, ITIL)以及由其衍生的ISO 20000标准、“信息技术服务管理”(IT Service Management, ITSM)、“信息技术服务标准”(IT Service Standards, ITSS)等。
5)由开放组织(The Open Group, TOG)主导的“信息风险的因素分析”(Open Factor Analysis of Information Risk, Open FAIR)等。
据不完全统计,截至2022年初,世界各国共有约350种与安全管理相关的框架、标准。
(1)NIST的网络安全框架
该框架由美国国家标准技术研究院编写,初版(V1.0)于2014年2月发布,旨在“改善(美国的)关键基础设施的网络安全性”。2018年4月,NIST根据美国2014年版《网络安全增强法》( The Cybersecurity Enhancement Act of 2014)要求,对该框架进行了升级。截至本章内容成稿之时(2020年),该框架的最新版本为V1.1。自2022年2月起,NIST已正式启动了该框架2.0版本的升级工作。
这个框架是基于已有标准、指南和实践经验开发出来的指导文件,供企业(倾向于或建议那些运行有关键信息基础设施的企业)自愿使用。该框架主要说明了:①在企业内部,有助于改善企业的IT、规划和运营等部门之间,以及企业的高级管理人员之间的沟通、感知和理解,以助于确定哪些活动对确保企业的关键业务和服务交付最为重要;②在企业内外之间,即企业与客户、企业与供应商之间,有助于相互说明企业当前的或被期望的网络安全态势方面的需求或要求。这最终将能够帮助企业更好地理解、管理和降低其网络安全风险。其内容主要是IPDRR(Identify Protect Detect Respond Recover,识别、保护、监测、响应、恢复)模型,也可称为“五元功能模型”(Five Functions Model, FFM)。
NIST网络安全框架能较好地适应网络空间的概念。
(2)ISO的安全管理系列标准
ISO/IEC 27000系列标准是现行的关于安全管理的国际标准,被认为是关于安全管理“最佳实践”经验的总结。该系列标准由国际标准化组织和国际电工委员会(International Electro-technical Commission, IEC)联合发布,也被称作是信息安全管理体系系列标准(ISMS Family of Standards),具有较为广泛的国际影响力。该系列标准自2005年首次发布以来一直持续保持扩展和更新(每个标准自首次发布后每5年更新一次),至2019年已经发布50多个标准。这些标准中也陆续涵盖了金融服务、关键基础设施保护、隐私信息管理等范畴的内容。其中,信息安全管理体系(Information Security Management System, ISMS)是指一种系统化的方法,通过应用包括人员、流程和IT系统在内的风险管理流程,来管理敏感的企业信息,帮助企业管理“信息资产的安全”(如财务信息、知识产权、员工详细信息或第三方委托给企业的信息),保证其安全。
ISO/IEC 27001是这个系列标准中最著名的一个。我国于2008年开始引入该标准,将《ISO/IEC 27001: 2005信息安全管理体系要求》( ISO/IEC 27001 : 2005 Information Security Management Systems-Requirements )转化为我国的推荐性国家标准《信息技术 安全技术 信息安全管理体系要求》(GB/T 22080—2008)。其后,我国还多次引入了ISO/IEC 27000系列标准中的其他标准。
这些主要的(即广泛使用的,和具体行业属性无关的,可不局限在某个应用业务场景之内的)安全管理的框架或标准大致都起始于20世纪80年代中期至90年代早期,并且都保持着较为旺盛的生命力,绵延至今仍然在不断地更新和完善。由于历史的原因,它们不可避免地都和计算机安全管理具有一定的渊源。概括而言,从演进的角度来看,这些框架或标准的发展大致可被划分为两个时代。并且,还有几种不同类型的发展路径贯穿其中。
1.两个时代
划分不同时代的基准(分水岭)是网络空间概念的形成以及“网络空间纪元”的开始,大致对应的年代是21世纪最初的10年。
第一个时代(20世纪80年代早期至2010年前后):其特征是人们从无到有,逐步认识到安全管理的重要性和必要性;在进行安全管理的过程中,普遍以计算机系统、计算机信息系统、企业IT技术管理或IT环境治理中涉及的计算机安全的内容为主要出发点和关注点。管理过程的技术导向鲜明,局限在IT技术本身或IT领域本身,比较明显的特点是只关注“物”而较少关注“人”。此时,“管理”的含义更多的是指“如何做正确的事”。这一时代的典型代表是ITIL、COBIT、BS7799(即British Standard 7799,是ISO 17799的前身)。
第二个时代(2010年前后至今):其特征是人们从小到大,逐步认识到安全管理对于依赖于IT技术的现代社会发展的重要性和必要性,开始以IT技术(工具)与现实社会的耦合与相互作用作为关注点,普遍开始尝试以人的行为模型、心理模型为出发点开展安全管理。整体过程中,安全文化的特点越来越突出,管理过程不再局限于技术本身。可以说,“管理”的含义,更多的是指“如何正确地做事”。这一时代的典型代表是ISO27K、NIST SP、NIST CSF等。
2.几种路径
识别不同框架或标准所经历的发展路径,主要依据是它们各自体现出来的特征,即它们在不同时代都保持着自身体系的某种迭代或演进的特征。首先可以发现的是服务管理型、内部治理型和ISMS型三种路径。
1)“服务管理型”路径主要以IT管理为内容发展而来。关注IT服务的管理,将安全问题视作企业IT环境中,因发展而逐步出现的一种伴生问题加以关注。其认为安全管理是IT系统或环境中(即IT服务)的子集,侧重计算机系统的应用业务交付、软件产品质量管理、IT开发过程管控等内容。这一路径中的典型代表是ITIL系列(ITIL4、ITSM、ITSS等)。
2)“内部治理型”路径主要以内部控制,即以内控(Internal Control)为内容发展而来。关注企业内部风险控制,将安全问题视作IT能力治理(指企业IT部门与企业内部其他部门之间寻求平衡的过程)的子集,侧重审计。这一路径的典型代表是COBIT系列(COBIT5、COSO-ERM等)。
3)“ISMS型”路径以信息安全管理体系(ISMS)为主要内容发展而来。从企业整体视角着眼,以信息安全风险控制过程的管理为主,侧重于实践经验的固化和沉淀。这一路径的典型代表是ISO27K。
此外,可能还存在某些未经识别的新类型的发展路径(暂且笼统称为“第四路径”)。例如,在2014年之后,以美国NIST CSF、NIST SP800s、NIST SP1800s等为典型代表的一些框架和标准表现出与上述三种类型的发展路径都不相同的特征。
3.不同路径之间的关系
传统上,企业中的IT部门一般都会因为具有某种相对独立的地位而在企业内部体现出某种“独特性”,所以,网络安全管理也就常常被“独特地”看待而不太容易融合在企业管理过程中。在网络空间环境下,这种情况已经越来越不利于企业的安全管理。NIST识别了这种情况的隐患,正在试图融合或消除IT部门的这种独特性。NIST系列标准认为,IT是基础设施的一部分,在企业内部的“IT可达”之处,以及企业的相关利益者之间,都应该(广泛地)进行风险管理,这样才能有效地控制企业的网络安全风险。
“IT服务管理型”和“IT治理型”两种路径则实际上都默认IT系统在企业(或企业的业务)中具有某种独立的地位,认为企业所不得不予以关注的(安全)风险,大多由IT服务过程或IT体系的安全问题所引发,具有局部性质。因此,安全管理只是在IT服务过程或IT体系内部进行管理,或者以IT部门的身份参与到企业的内部治理之中。“ISMS型”路径虽不强调IT的必要性,但并没有在更宏观的结构上提供网络安全管理的方法,所以,与第四路径也存在较为明显的区别。由此可见:
一方面,不同类型的发展路径的形成应有其历史原因,但都是在为了满足一定需求的条件下逐步发展而来。不同的框架或标准之间并没有本质上的对立,它们只是适用的环境不同,或者说对同一件事的关注点不同,这和选用它们的企业对自身安全管理的需要有关,而且,更关键的是它们之间在控制措施、管控流程等具体的方面还有交集,可以彼此配合和相互补充。非常常见的情况是,企业大都不会单独采用某种框架或标准作为遵循,而是结合自身的情况综合选用若干框架或标准。这种情况也可被称为“框架、标准的实施路线图”方法。
例如,COBIT本身就是一种框架,虽然它提供的很多方法也是事实上的标准,但是并不妨碍企业同时在IT服务的范畴内引入ITIL,同时,也不妨碍企业根据ISO27K的认证要求,在CSF内补充实施若干措施,甚至在产品的开发中还会应用“舍伍德商业应用安全架构”(Sherwood Applied Business Security Architecture, SABSA)等。
另一方面,由于这些框架或标准之间存在一定的交集且彼此之间有技术层面上细微的差别,所以,在客观上也形成了一种知识门槛,比较容易在实施过程中让非专业人员产生各种混淆甚至抵触,特别是对企业的管理者(甚至最高管理者)而言有些不太容易把握。套用孔茨博士的“管理理论丛林”的观点来说,这种情况也可算是一种“框架标准丛林”。
图2-1简单示意了常见框架、标准之间的关系。图中,用椭圆图形表示框架或标准,用椭圆图形的面积表示某种框架或标准所涵盖内容的多少,图形面积越大则表示其代表的框架或标准所涵盖的内容越多。椭圆图形重叠的区域表示各自代表的框架或标准之间有交集。坐标轴的横轴表示框架或标准的概念化程度,即理论完备程度,从左至右逐渐增大。坐标轴的纵轴表示框架或标准的可直接操作的程度,即内容的详细程度,从下至上逐渐增大。该图仅为示意,图形之间没有严格的比例关系。图中的省略号表示被忽略了的其他框架或标准。
•图2-1 常见网络安全管理框架、标准关系示意图
再者,进入网络空间时代之后,不同路径之间呈现了某种融合的趋势,除在不断完善已有优势之外,还在努力扩展自己的适用性。例如,根据各自发布组织的说明,综合来看:①2019年发布的ITIL(ITIL4)中,将重点放在综合服务管理上,通过服务价值体系(Service Value System, SVS)促进服务关系共同创造价值,安全管理融入SVS之中,而不仅仅局限在IT服务管理之内;②2018年发布的COBIT(COBIT 2019)中,将重点放在了企业的信息和技术治理上,侧重于治理和管理企业接收、处理、存储和传播信息所需的IT组件,并且认真考虑了利用COBIT 2019映射和适配NIST CSF的问题。
以上的比较,无意为得出孰好孰坏的结论。可以注意到,有一些框架和标准的发展正在经历不同的时代。这不是说它们存在的时间长短能够充分说明它们存在的价值,也不能反证那些已经消失的框架或标准毫无意义,而是希望能够通过对它们发展路径的观察,来获得一些有益的经验。网络安全管理基本上都是某种实践过程,只要能够适合企业的需要,满足企业内外部约束条件的要求就基本达到了目的。
前面对安全管理的框架和标准进行了一些简单讨论,但是关于什么是框架和标准,却还没有进行说明。而且,随着不同框架和标准的不断演进,它们之间似乎又有一种相互融合的趋势,这就很容易使读者在概念的理解上产生某些困惑。因此有必要澄清一下“框架”和“标准”之间的区别。特别需要注意,在安全管理的范畴内提到“框架”和“标准”这两个词,还要考虑到它们各自所具有的引申含义。
1.框架
无论是进行学术研究还是技术或产品的研发或是在企业的运作管理中,都会面临着方法论的问题,而这正是使得人们在“框架”和“标准”之间产生混淆的地方。习惯上,人们对“框架”的理解就是指方法论。以“科学”的观点而言,人们在解决问题之前,需要发现问题;发现问题之后,需要明确定义问题;只有能够明确定义问题,才能够分析问题;而能够准确分析问题,才能找到有效解决问题的措施。对问题缺乏明确的定义或者没有足够的实践经验可供参考的情况下,面对所有这些可能的措施,如何进行取舍就需要一些技巧和方法。
通常,人们会首先粗略地构建一个“框架”,来列出所有可能措施的清单,然后用实践来检验——根据实际场景来选择性地执行这些措施,检查或测量这些措施的效果并进行适应性调整(或改进),直至问题被彻底解决或使问题的影响减小到可承受的范围之内。这种方法就是找到方法的方法,即方法论。解决一个问题或者一类问题的,叫作方法;解决一个“框架”内涉及的一众问题的方法,就是方法论。方法论通常都需要足够宏观,需要有足够的深度和广度,因此,它虽然是一个写满各种情况下可采取措施的清单,但由于不够细致而会表现为一种思维方式、一系列要求,甚至是一些具有普适性的原则,而不会那么精确,甚至可以说是可操作性不强。可见,“框架就是方法论”这种看法,是人们基于科学的朴素的直觉。
事实上,一旦人们在明确定义问题的环节遇到障碍,那么后续的分析问题和寻找解决问题的措施的环节就会变得复杂起来,即从方法变成了方法论。当这些障碍足够大时,“科学”甚至就要让位于“艺术”。比如,安全管理框架在一定意义上说,已经可以算是一种艺术。因为,安全框架的搭建、实施和维护都需要聚集一群不同知识背景的人,通过他们的发挥和演绎才能得以实现。每个运转着的安全框架都各不相同,可以说就像人的指纹一样,独一无二。并且,运用每个框架的实际过程都难于描述和记录,正所谓“运用之妙,存乎一心”。
2.标准
标准比框架的情况相对要简单一些。标准,用来衡量做事的度,是经过协商达成一致并得到公认的做事规则或做事结果的特性;可以是供遵循的方法,也可以是供测度的指标。这个“事”是指具有重复性的事物。处理偶发的、孤立的事,没有标准可言。标准存在的目的,就是提供一种规范,使得人们做某事时,可以在一定范围内获得当时条件下所能达到的最佳效果。此外,标准还有一个非常重要的作用——为相关各方的交流提供共同语言。
标准所代表的方法,就是对广为接受的实践经验的总结。对这种总结,往往还有另一种说法,称其为最佳实践。虽然说,通过最佳实践获得的结果通常优于通过其他替代方法获得的结果,但最佳实践通常具有普适性,不考虑企业之间的差异,不考虑行业之间的差异,而是“非常”专注于方法本身的结果。当然,最佳实践具备普适性并没有什么不对,但是人为地忽略这种普适性就会造成很多不必要的困扰。请注意,“结果”是相对概念,掺杂有主观判断的成分,和人(以及人所处的社会环境或文化环境)有关,不单纯是狭义的、客观上的事实。
例如,某企业开展安全管理工作时,遵循了某些最佳实践的要求,那就意味着,该企业是遵循了一些被广泛接受的惯例方法,其安全管理工作所能达到的水平就比较容易被全国各地,甚至是世界各地的合作伙伴或服务对象所接受,具有了普遍的信服力,而不再需要花很大的力气去从头证明自己。当然,是否如企业所说那样是遵循标准开展的工作,则还需要有专门机构来评价。
3.框架和标准的区别与联系
通常,标准都是最著名的实践经验的总结,但对实施者来说却未必是最适用的经验的总结;而在框架中则可以较为随意地选用适合的措施,这些措施可能是某些成熟的经验总结,但可能尚未被广泛接受。标准通常是僵化的,不允许实施者随意进行修改、适配,具有一定的约束性,人们必须遵循特定的方法来完成规定的工作;而框架却保持着某种开放性,它至少是灵活的,允许实施者利用框架所提供的一套准则,来发展最适合的、属于自己的方法。也就是说,框架只是定义了一种“思想体系”,并不涉及具体的方法。所以,在某些不严格区分的场合,框架也可以被称为“体系架构”或“架构”。
简单来说:①框架提供了思路来指引人们在实践中找到最恰当的措施,这些措施通过检验(或得到公认)则可以成为标准;②标准规范了具体的方法,受此约束,人们在实践中遵循标准以取得可以得到公认的效果;③框架的范畴更大,虽然要实现框架中规定具体的目标可以遵从不同的标准,但标准对框架而言只是一个可选项。
企业开展网络安全管理的实践意义通常大于其理论意义,大多数人总觉得方法比方法论更重要,标准比框架更“实用”。方法是具体的,是可以直接操作的,风险较小,而方法论虽然在观点上鲜有不被接受的错误,但需要耗费较多的精力并承担着失败的风险去尝试可行的方法,而且,还会在效果评价的公信力、接受度方面遇到一些挑战。
网络安全管理不能脱离企业的实际,例如,需要统筹考虑企业的管理模式、业务结构、人员组成等方方面面。通常认为,层次分明、规范有序,是网络安全管理所期望达到的目标,但这种期望在网络空间时代却未必现实。安全管理的对象是人而不是机器,所以安全管理是十分困难而又微妙的工作。如果不结合事实和环境而是根据管理者的意志进行安全管理,比如用专断的命令强制施行某些要求等(这在企业中很常见),那么,安全管理工作恐怕会很难取得理想的效果。
网络空间时代,企业的正常运作乃至社会的运转,都需要网络安全的保障。在这种条件下,网络安全是企业赖以生存发展的必需资源。
任何资源的供给对于企业乃至整个社会来讲,都非常有限,我们没有无限的能力去获取它们。网络安全作为一种资源供给,同样也面临这个“稀缺”问题。这是一种矛盾:正如人们常听到的“不管怎么重视安全都不过分”那样,企业对网络安全的需求没有止境,对安全总有无限的需求,但在现实中,受各种条件限制,网络安全的供给却不可能没有限度。企业必须要有某种方法来解决这种矛盾或化解这种矛盾,至少,也要能够运用某种可以达成平衡的方法,在获得网络安全资源所应提供的效用的同时,也能获得利益。
安全管理的“资源论”观点
能够被直接利用或可被使用而为企业产生效用或利益的事物,都可被视为资源。因此,网络安全就是企业的一种资源。
定义10 网络安全资源是指企业中可以为实现网络安全目的提供效用和结果的物和人,以及由这些人所组成的工作团队或他们在网络安全工作关系方面形成的社会关系网络。
可以从三个方面来理解网络安全资源的概念。
第一,企业的网络安全(工作)不仅涉及那些基本的用于网络安全目的的软、硬件设施设备(可称为工具),以及使用这些软、硬件设施设备开展工作的人,还涉及与他们相关的人(可称为“干系人”),比如,他们的管理者(或领导者)以及他们的同事等。在工作的过程中,人形成或发展了专门的技能,建立并扩展了与干系人之间进行交流和沟通的社会关系网络。工具不能被视为网络安全资源的全部,它们只是工具,不经人使用发挥不出全部的作用,甚至它们仅仅是企业用来构建网络安全屏障的一些“材料”。网络安全的资源属性,真正体现在使用工具开展工作并形成了相关经验和技能的人身上。但这不是说网络安全资源就是某种人力资源,而是说网络安全资源是一种知识资源。虽然上述定义中包含了物的因素,但这不是主要关注点,因为物可以被替代,相对于知识资源而言并不稀缺。
第二,网络安全(工作)是网络空间的历史发展所不可缺少的基础,其本身就是历史与传奇的体现,而且还逐渐发展成为企业、社会在网络空间形态下正常运转的核心之一,甚至一定程度上还可以深刻影响企业在网络空间中前进的方向。这种特性,使得网络安全与天然的物质和自然的能源一样,与信息一起成为企业发展所必需的资源。德鲁克博士曾预言说,“现在真正控制资源的决定性的‘生产要素’既不是资本也不是土地或劳动力,而是知识”。在网络空间时代,这个预言已经成为现实,一些知识型企业取得巨大的成功。我国正在建设网络强国,大力发展知识经济。因此,广义上讲,网络安全资源也可以说是企业的信息资源或知识资源的一部分,对网络安全资源的开发和利用将会对企业的发展具有基础性影响。
第三,网络安全资源也可以被视为“网络安全即资源(Cybersecurity as a Resource, CSaaR)”。网络空间时代的到来,带来了理念、方法和技术的创新,并且由于这些创新打破了原有的格局,引发或加剧了竞争,这将迫使企业更加关注网络安全问题。网络安全问题的复杂性决定了网络安全问题不仅仅是一种技术问题,还是企业运营所面临的一项风险,是企业作为整体所面临的问题。
这就进一步决定了企业的专业部门,如从事主要业务的部门(主业部门)或IT部门等,都无法按照以往的方式来处理网络安全问题。或者,如果不改变处理网络安全问题的方式,将会很难收获到良好的效果。企业中的专业部门都应该专注于它们各自职责和资源禀赋所决定的、比起从事网络安全工作来说所应该更擅长的事情,即服务创新、创造并保有客户(服务对象)以及灵活和敏捷地支撑业务的运营等。而这就需要在企业内部提供经济、灵活、快捷、可控的网络安全服务,将网络安全作为一种业务资源来管理,以更有效地获取更加富有弹性的保障,从而在网络安全风险面前更有韧性。
那些旨在单纯通过加强网络安全技术(甚至是IT技术)以加强运营保障的战略,具有内卷性。因为它们忽视了企业中从事网络安全的工作团队在为企业服务过程中获得的隐性知识所具有的不可替代性、稀缺性、排他性(例如,制定安全防护策略的具体方法应当是受控信息,不宜随意公开或分享)和增值性——它们无法可靠地应对网络安全的挑战,甚至会将企业的运营拖入困境。
为确保网络安全资源的可用(即“有得用”以及“用得上”“用得好”等)而进行管理以满足企业的需要,就是企业进行网络安全管理的理论意义之所在。也就是说:
定义11 网络安全管理是企业对网络安全资源进行开发和利用的总的方法和过程。
如果从企业运营的视角来看待网络安全管理,则网络安全管理可以是一个为完成网络安全保障任务而被定义的过程。网络安全管理需要规划、组织、执行和控制运营网络安全资源的过程,协调网络安全涉及的人的要素和物的要素之间的关系。
1.全局性与困难性
在这种“过程”中会涉及不同的人或工作角色,如管理者、执行者、操作者、利益相关者等。员工的工作角色并不影响他们是否属于企业的网络安全“资源”,只有他们所具有的经验、技能、思想,才是真正的资源。
在网络安全管理过程中,需要网络安全的管理者履行一些职能,包括规划(或计划)、组织、人员配备、指导(或指挥)以及控制,还包括为了履行这些职能而付诸的行动。所有的行动,都应该是有效果的(不能为了做而做)并且要具有可被企业的运作需要所能接受的效率。网络安全管理者需要保持这种有效性和高效率之间的平衡,尽可能以最优的资源投入方式来实现网络安全目标。这意味着网络安全管理除了保证必需的安全技术手段的有效性和开展安全工作的效率外,还需要参与到企业运作过程中的很多方面:
1)财务方面,如预算计划和控制等。
2)人事方面,如待入职员工的背景评估、安全意识教育培训、安全责任考核、员工离职的安全审计等。
3)市场(泛指企业的业务或服务的“变现”过程,变现是指将应得利益兑现成现金)方面,如新技术新业务的安全评估、潜在消费者(或服务对象)信用的安全评估等。
4)生产(泛指企业的主要业务或服务的实现过程)方面,如生产技术和工艺的安全控制(监测和分析)、安全检查、安全评估、安全加固以及安全需要的升级或改造等。
5)研发方面,如生产技术、市场等的实验和研究过程中的安全保障以及建议和评估等。
6)采购方面,如供应链的网络安全评估、招投标条件审查等。
7)信息传输或通信方面,如企业员工之间或企业运作过程所需的信息交换、信息分发、信息传播和信息处理过程中的安全保护等。
8)日常方面,如企业安全事务的对外接口、为管理层参谋安全战略、向管理层反馈基层安全状况等。
这是网络安全管理的一个很重要的特点,即全局性(或全覆盖性),这同时也是网络安全管理的困难性所在。
2.更多特点
总结起来,网络安全管理的特点还有以下几个方面。
第一,网络安全管理是一个“从上到下”的管理过程,是企业管理的重要组成部分。每个企业都有自己的基本目标,这是企业存在的根本原因,而网络安全管理的目标应当也被认可包含在这些基本目标之中,否则,企业将很难适应网络空间时代的环境。这意味着,应当是企业的管理层主动地将企业中的所有员工为实现这些目标而做的努力统一起来(请注意“管理统筹原则”),而不是反过来靠基层的员工自觉自愿来实现网络安全的管理(当然,这不是否定基层的员工会自觉自愿地参与到网络安全管理的过程中)。
第二,网络安全管理是一项复杂的活动。这种复杂性体现在多个维度,主要涉及:①岗位职责与安全责任的划分和认定。为实现目标而需要对每个工作岗位的安全职责进行认定,需要对每个员工的行为所涉及的安全风险进行评估,既要保证安全措施不影响业务流程的正常运转,又要平衡业务流程的运转与安全措施之间的效率问题。②网络安全工作任务的拆解与分配。网络安全管理需要将必要的网络安全要求转化为具体的工作事项,按照最优的方案将这些工作事项进一步拆解和分配给每个岗位或相关的员工,并且还要为完成这些工作事项分配必要的措施、手段。③网络安全事务运作过程的控制。安全管理需要控制上述这些“投入”的流动,需要将“投入”转化为效果的技术,需要测量网络安全工作事项完成的效果和进度,以保证企业整体运行在期望的状态。
第三,网络安全管理是一个连续的、动态的、复合的功能。很难将网络安全管理的过程划分为独立的步骤或区分成“段”——即便从规划的角度来看,习惯于并且经常是有着不同的划分——但运行起来的安全管理过程就是一个富有弹性的循环,会与企业的运作交织在一起,会根据环境的需要调整(或改变)自己。因为,企业很难预知自己将要面对什么样的网络安全挑战。这也是企业进行“敏捷”服务与“灵活”运营的趋势下,对网络安全管理的重大考验。
第四,网络安全管理是一项开展集体活动的艺术。网络安全管理不仅仅是看得到的各种约束、流程、工具,更是一种无形的力量,它的存在可以被人感受到。企业由具有各种不同需求的个体组成,因此,安全管理虽然可以是规划(或计划)、组织、人员配备、指导(或指挥)以及控制的过程,但从以人为中心的角度来看,网络安全管理也可以是一种动员不同个体参与集体活动以实现共同目标的艺术。这需要网络安全管理者以及管理团队,能够通过某种方式(例如,构建网络安全生态),使得企业中所有个体都能随着网络安全环境的持续优化和安全风险的持续可控,而能够有机会同步获得成长和发展。这将体现出一种非凡的领导力,可以说是一门艺术:这既是协调、组织、引领网络空间环境下的企业员工控制自己并利用物力资源,为实现共同的企业目标而努力的艺术,也是企业以最小的代价来确保获取最大发展的艺术。
实施网络安全管理有三个要点:科学的方法、定量的技术以及社会化的关系(作为个体的员工与作为整体的企业之间所呈现出来的社会网络关系)。有效发挥作用,就是网络安全管理的目标所在。可以从战略、战役和战术三个层面,分别进行说明。
(1)战略目标
网络安全管理的战略目标,主要是指:
1)合理利用网络安全资源。不限于以最经济的方式利用资源,还包括以最公平的方式利用资源。
2)提高企业的效能。网络安全管理所期望得到的结果是企业的网络安全生态活跃,企业运作过程中的每个要素(生产要素)都发挥了正向的效能,而不是给企业带来不可控的安全风险。
3)帮助企业的管理者规划未来。企业的未来表现将取决于当下的基础,网络安全管理的效果决定基础的质量。
(2)战役目标
网络安全管理的战役目标,主要是指:
1)识别并持续评估企业所面临的不断变化之中的网络安全风险,以便合理地控制网络安全风险。
2)减少企业关键服务(业务)的脆弱性,采取措施以减少企业信息系统中的安全漏洞,与主要的利益相关者合作来确保企业的基础服务设施达到适当的网络安全水平。
3)抑制或反制来自网络空间的安全威胁,与治理机构和执法力量合作,配合预防和打击网络犯罪的工作。
4)控制或缓解网络安全事件对企业造成的实质性影响,通过协调性的快速响应工作,最大限度减小潜在重大网络安全事件所带来的后果。
5)在网络安全领域取得成就或成果,实现网络安全管理的战役目标,促进和提高企业网络安全生态的健壮性。
(3)战术目标
网络安全管理的战术目标,主要是指那些具体到管理过程中的细节活动的目标,是为达到战役目标而建立更加具体化的目标。战术目标的数量极多,实现起来既有现场紧迫性,也有循序渐进性。这些目标无论大小,应当都是出于安全的目的,以保障企业处于安全的状态。非安全目的的行动目标不属于安全管理的战术目标。
在战术的层次上可以不需要考虑太多宽泛的内容,将细小而明确的任务按要求完成就行。通常,战术目标来自战役目标,战役目标来自战略目标,它们的级联反馈最终能够形成整体的工作合力。
除此之外,临时性的、小规模的任务目标也可以被归为战术目标。这是一种灵活性的体现,其结果最终也将汇聚到战略决策者那里。
网络安全管理是企业在网络空间时代保持正常运作所必需的一项机体功能,因此,网络安全管理应当在企业中无处不在——它的范围会非常大。尽管很难精确定义网络安全管理的范围,但通常会在实际工作中将网络安全管理分成“管理实质”的“点”和“管理功能”的“面”。并且,还会进一步将管理功能范围内所涉及的工作内容细分为几个主要的分支,比如企业生产过程的网络安全管理、企业市场活动的网络安全管理、企业日常运作的网络安全管理等。
1.管理实质
管理实质主要是指网络安全管理自身包含的一些管理实质性工作内容,即保证网络安全管理工作质量的那部分工作,分别是教育培训并达成对网络安全管理目标的共识,围绕目标制订计划、实施计划或采取计划所需的措施,对实施过程和效果的研究分析以及进一步对原定计划进行改进等活动构成的循环。
网络安全管理实质是在PDCA方法的基础上扩展而来,本书将其称为“协商学习改进循环”(Negotiating Plan-Do-Study-Act, NPDSA)。PDCA方法是指“计划、实施、检验和改进”的循环(也可被称为“持续改进”循环模型),最早起源于沃特·A·休哈特(Walter A. Shewhart)博士提出的现代质量管理(质量控制)思想,后经过W·爱德华兹·戴明(W. Edwards Deming)博士的发展而被广泛接受并被列入了ISO27K之中。PDCA方法是目前已知的网络安全管理方法中,可被验证的、最为有效的方法之一,可以说是一种标准工作方法和基本工作方法。
2.管理功能
管理功能主要是指网络安全管理体现出“机体功能”的工作内容,主要分支包括以下几个方面。
(1)生产过程的网络安全管理
生产,泛指企业的主要业务或所提供服务的实现过程。对制造业而言,就是制造产品;对服务业而言,就是提供服务。生产是将原材料转化为成品的过程。原材料和成品的形态,可以是物质,也可是能量和信息。转化的过程就是加工的过程,是人的脑力劳动和体力劳动作用的过程和结果。在将原材料加工为成品的过程中,必然需要科学的计划和规定作为指导,否则就无法实现规模化作业并保证成品的质量。网络安全管理的内容就包含在这些计划和规定之中,也包含在执行这些计划和规定的效果评价过程之中。
网络安全管理的功能就是保障生产过程正常、稳定和持续地进行,其具体的工作内容需要根据其保障的生产过程而确定,通常包括:生产设施(基础设施)的安全保护(防攻击、防破坏、防滥用措施的管理)、生产原材料供应链的甄别与风险控制、生产过程中的安全合规性检查(含操作人员的行为审计)、生产技术和工艺的安全控制(安全事件的监测、分析、响应和处置)、安全风险评估(含决策建议)、安全加固(含漏洞管理、情报管理)以及出于安全目的的技术升级或工艺改进(安全开发和标准化)等。
(2)市场活动的网络安全管理
市场活动,泛指企业将通过生产过程得到的成果“变现”的过程。“变现”是指将企业输出生产成果后应得的利益兑现成现金(流)。市场活动是生产过程的依据和导向,是用生产过程的成果满足消费者(或服务对象)需求的关键过程。将需求导入生产以及将产品导入客户的过程中,必然需要科学的分析和可靠的渠道作为指导,否则就无法稳定获取利益。网络安全管理的功能就是保障市场活动正常、敏捷和高效地进行,其具体的工作内容需要根据其保障的市场活动而确定,通常包括:业务营账设施(计费、账目管理等IT支撑手段,含云化资源、智能终端的App等)的安全保护(防攻击、防破坏、防滥用措施的管理)、IT支撑过程中的安全合规性检查(含操作人员的行为审计)、数据保护(防泄露、防窃取、防失密措施的管理,含大数据部分)、分销渠道或分支机构的IT资源保护(安全事件的监测、分析、响应和处置)、安全风险评估(含决策建议)、安全加固(含漏洞管理、情报管理)以及新技术新业务的安全评估、潜在消费者(或服务对象)信用的安全评估、潜在合作伙伴的网络安全信用评价等。
(3)日常运作的网络安全管理
日常运作,泛指企业运作过程中必需的财务、人事、行政等业务部门的运作过程,涉及企业正常运转所必需的职能条线,是对生产过程和市场活动等条线的支撑、保障和服务,也是贯彻企业管理者意图的主要载体。网络安全管理的功能就是从企业整体的角度去开发网络安全资源,为生产过程和市场活动等条线的网络安全管理提供根本的保障。具体的工作内容需要根据企业的决策导向和企业内部对网络安全资源的需求来综合确定,通常包括:企业网络安全战略管理(含网络安全预算计划的编制和执行过程的控制等)、人员安全(控制措施的管理,含待入职员工的背景评估、正式员工的安全意识教育培训、全员安全责任考核、员工离职前的安全审计与信息脱敏等)、研发过程的安全控制(含“规划—开发—投产”过程中的安全措施合规控制)、供应链的网络安全评估、招投标条件审查、企业安全事务的对外协调联络等。
网络安全管理既是企业的基础管理又是企业的“安全专业”的管理,核心目的是在企业建立网络安全工作的秩序。此外,网络安全管理还需要有更深层次的目的,即引领企业产生变革以顺应网络空间的时代要求。因此,与此对应的管理功能还包括:①管理企业的网络安全文化并融入企业文化之中;②管理网络安全领域的发展趋势在企业观念创新方面的影响,促进企业形成新的核心竞争优势;③管理与企业利益相关者(包括企业的客户或服务对象、监管者等)在网络安全领域开展的合作,构建企业的网络安全生态。这三个功能,还可以被合称为企业的战略级网络安全管理。
企业实施网络安全管理,除了在本书前述的两个基本原则基础上之外,还需要遵循其他一些基本原则,分别是:富生产力原则、服务属性原则和松耦合性原则。同时,也要兼顾效率原则、效益原则和适度原则等通用的原则。
这里所说的“原则”,是从网络安全学科的角度提出,并未包括一些带有监管色彩的规定性原则,如“谁主管谁负责”“谁接入谁负责”“谁使用谁负责”“谁运营谁负责”“管生产必须管安全”以及网络安全的“一票否决”原则等。
原则3 富生产力原则:企业开展网络安全管理工作,须确保工作的效果能够增加企业的生产力,产生效益。
网络安全管理的关注点首先应当是“人”以及人的行为,其次才应当是选取什么样的控制措施以及如何去具体实施控制措施。网络安全管理的全过程以及网络安全管理对企业的全部功能中都不应当将“人”视作“默认忽略”的选项。是“人”构成了企业的组织并驱动着企业开展各种业务,企业的生产力来源于人以及人对生产要素的利用过程和方式,所以,开展网络安全管理就是要保证“人”的因素能够始终发挥积极因素,通过员工的努力和配合来提高生产力,进而促进产生效益。不能以开展网络安全管理的名义排斥正常的业务需求,或不计成本地片面强调网络安全管理的意义而造成“为了安全而安全”的局面。同时,安全管理工作必须要有实际效果并产生效益。虽然“效益”可能从避免损失的角度体现出来,是间接的经济效益,但不可否认安全管理工作能够产生效益而且必须产生效益;否则,就没有必要开展这种“安全管理”工作。避免任何工作的内卷化,是每个企业的管理者都需要冷静思考、明智判断、认真对待的事情,这对于网络安全工作也不例外。
按照保障网络安全的要求来组织工作,仅仅只是网络安全管理的第一步。接下来需要做的是,使网络安全工作中的具体要求与其他业务工作中相应岗位上的员工能够相互配合起来,这将要困难很多。因为不从事网络安全专业的人的逻辑与从事网络安全专业的人的逻辑存在明显的差异,所以,必须正视这种差异,把人看成活生生的人而不是机器或者冷冰冰的岗位职责,然后才能去开展网络安全管理工作。员工变被动为主动、变消极为积极,会使网络安全管理的约束感变得不那么强烈,处处受人抵触的情况就会有根本改观。安全管理人员与业务条线的员工相互配合开展工作,将安全管理带来的不便变得更让人乐意理解和接受,则能够在很大程度上提高生产力,为企业产生更多的效益。从这个角度来说,坚持富生产力原则就是坚持合作,就是谋求企业的业务与安全共赢。
在这个原则中,隐含一种前提:员工的能力是企业的生产力。在网络空间时代,知识就是生产力,而如何使掌握知识的人为企业贡献生产力,将是企业管理者所不得不面对的问题。
原则4 服务属性原则:企业开展网络安全管理工作的本质,是为员工在网络空间环境下发挥正常作用而服务。
网络安全管理工作的方法中包括很多控制措施,这在客观上会对被管理的对象形成诸多限制和约束,要么会使被管理的对象失去一定的自主性,要么会使被管理的对象失去一定的便利性。而这些“被控制”的工作属性,如果加诸于非生命体上,如工具、流程、系统等(可以统称为“机器属性”的工作),并不是问题,但如果针对人类员工进行控制,则会在很大程度上使员工积累出负面情绪。此外,从主观上来说,如果负责网络安全管理的员工将自己的工作目的视为针对受其管理的对象本身而不是聚焦于受其管理的对象为企业发挥正常作用,或者刻意忽略自己所从事的工作中同样具有的被管理属性,则往往会加剧被管理对象的抵触心理,甚至引发对立。因此,对安全管理工作的本质应当加以澄清并作为开展网络安全工作的原则加以贯彻应用。
服务属性是网络安全管理的基本属性
一方面,从“是什么”的角度来看,有三个原因:
1)网络安全管理不是为了管理而管理,其出发点是为了企业的运作可以更安全,或者说是为了控制企业运作过程中的风险。网络安全管理的目的性非常明确,这决定了网络安全管理的方法或管理过程是出于企业发展的需要而不是出于网络安全管理人员的个人需要,也就是说,网络安全管理的目的是服务于企业利益,是企业实现自身目的的需要。
2)网络空间环境下,网络安全管理为企业的正常运作提供保障,这是网络安全管理所应发挥的作用或者职能,具体的管理措施和方法构成了网络安全管理的过程,用以保障在网络空间环境下,员工能够发挥正常的作用,不受破坏或不实施破坏。也就是说,网络安全管理的职能是服务于企业正常运作。
3)网络安全管理过程由一系列具体的实施管理的方法组成。企业的运作受限于自身的资源禀赋,因此必须要选择恰当的方法来保证用最小的代价满足网络安全的需要,达到企业控制自身风险的目的。这决定了网络安全管理方法的选择,也就是说,网络安全管理的过程是服务于企业的需要。所以,网络安全管理的目的、职能、方法和过程都是服务于企业的利益或需要,这决定了网络安全管理的本质是服务。
如果从这个角度来看,企业中的所有工作都会有服务属性。因为它们和网络安全管理一样,都是服务于企业需要。那么,强调网络安全管理的服务属性有什么意义?关于这个问题的解释,可以参阅本书“安全生态与安全管理”一节(2.5节)。
此外,在当前和未来一段时间内,网络安全管理工作只能由人来实施,其本质是一种劳动,其成果以非实物形式存在。所以,单纯从经济学意义上,也能理解企业的网络安全管理具有服务属性。
另一方面,从“怎么做”的角度来看,安全管理非常依赖于受其管理的对象之间的关系。企业是一个整体,安全管理的对象相当于这个整体的不同“器官”,因此,善待每个“器官”就成了基本要求。也就是说,安全管理应当是“服务型”管理,否则每个“器官”都不愿相互配合,其结果于整体而言就不言而喻了。在具体实施安全管理的过程中,需要从事安全管理的人员必须具备足够的知识、能力并自重形象,不能把安全管理单纯视为目的,而是应当视为服务:需要以友好的态度、富于理解和同理心,与受其管理的对象开展合作;否则,安全管理就会和安全管理的工作对象脱节,寻求安全的努力最终会付之东流。
需要补充一点:网络安全管理虽然需要遵循服务属性的原则,但并不是要求网络安全管理人员去一味迁就被管理的对象,而是要去坚持工作要求,不悖职业操守,平等、高效地为被管理的对象提供服务。
原则5 松耦合性原则:企业的网络安全管理工作应当具有普适性或基础共性。
回顾网络安全管理发展的历史,可以看到,网络安全管理在相当长的时期内,曾经是计算机安全管理、IT管理的一部分,所以,很容易给人们造成一种假象:网络安全管理仅仅是个计算机相关的技术问题。所幸,随着时间的推移,人们已经逐渐认识到了网络安全管理不是IT问题,而是企业管理的一部分。
例如,在普华永道会计师事务所于2019年9月公布的《2019年数字信任洞察之中国报告》中显示,“81%的(中国)受访者认为,其网络安全团队在网络风险和相关风险问题上能够与董事会和高级管理层进行有效沟通(全球:70%)”。
做一个比较:据由美国国土安全部所属的美国特勤局(United States Secret Service, USSS)和卡内基梅隆大学软件工程学院计算机应急响应小组(CERT of SEI)等机构于2018年8月联合发布的一项调查报告显示,在美国受访者中,有“20%的首席安全官或首席信息安全官每月都会向董事会进行安全报告”,环比增加了3个百分点,但仍“有61%的董事会将安全视为IT问题,而不是公司治理问题”,这个比例环比下降了2个百分点。
可见,在典型发达国家,企业的高层正在越来越关注网络安全问题,而我国这一趋势更加明显。这种情况至少说明,网络安全管理已经从“IT耦合状态”逐步转向了“企业耦合状态”,甚至是“社会耦合状态”(即网络空间的一个特性,本书在前面已经进行了简要介绍)。所以,无论是理论分析还是实践经验的统计,网络安全管理都呈现出一种与IT“解绑”的特性,这意味着“松耦合性原则”正在成为企业的选择。
松耦合(Loose Coupling)是指网络安全管理工作应当是企业内部的基础性工作,应当是对内
提供的一种共性服务而不应当被局限在某些部门或者专业之内。如果不然,轻则在技术层面,会不可避免地受到安全技术手段之间的“短板效应”影响,严重破坏网络安全防护措施的整体性和有效性;重则在企业运作层面,会出现监管“真空地带”或工作“无人区”,同时,在安全防护投资方面会出现重复投资或过度投资问题,给企业的成本管理造成混乱或带来人力、物力方面的巨大浪费与损失,这都会严重影响企业的运作。
事实上,从企业的内部格局上也可以看出:
1)网络安全管理在其提供服务的过程中体现出一种非竞争性,即在企业拥有一定的网络安全管理能力的情况下(当然,也是在合理的工作量的前提下),多一个或多一些额外的被管理的对象,所需的成本可以忽略不计。一个部门接受网络安全管理并不会减少其他部门能够接受的网络安全管理。
2)网络安全管理工作不具有排他性,企业的任何部门或员工,接受网络安全管理并不影响其他部门或员工也接受网络安全管理。或者可以说,网络安全管理工作取得的效用无法分割,不能将其分割成若干部分然后分别归属于某个员工或部门。
3)网络安全管理具有强制性,这意味着员工或部门对网络安全管理不应有选择余地。因此,网络安全管理的能力供给,天然地具有垄断性,任何员工或部门都不应自行拥有“独享的”网络安全保护措施,否则势必会破坏企业的整体安全防护能力。
网络安全管理工作应当遵循松耦合性原则,但这并不意味着网络安全方面的技术手段或措施可以松耦合于具体业务场景或被管理的对象。对于它们,需要具体情况具体分析:分别对待,精准施策。
其他原则
网络安全管理的过程中,还应当遵循合理性原则、必要性原则、效率原则、效益原则和适度原则。同时,还应当遵循一些更细化的原则,如权责匹配原则、统一指挥原则、军民融合原则等。关于这些原则,有一个基本的“原则之原则”,就是无论遵循什么原则,都应当着眼网络攻防实战和风险控制的实务需要,既要利于各级员工能够发挥正常作用完成工作任务,也要兼顾处置突发事件或进行日常培训和演练的需要,并且还要确保网络安全管理过程自身的安全。
网络安全管理工作始终涉及不同员工(其实是不同的人)之间的关系,这无疑是十分复杂的,其复杂性一定会影响到实施安全管理的实际操作所能达到的效果。如果安全管理可以作为一种安全生态机制存在,那么是否可以适当简化其中的结构?
前面已经讨论发现安全管理具有服务属性。在开展安全管理的工作时,从业人员需要遵循服务属性原则。从安全生态理论的观点来看,识别出安全管理所具有的服务属性,可以更好地确认网络安全专业在企业内部的“生态位”。正是因为网络安全具有管理职能,不仅仅是对安全业务的管理,而且是涉及企业运作的管理,才使得网络安全管理具有了服务属性的本质。从这个角度可以清晰地看到网络安全工作不是企业的附属品或者可选项,而是在网络空间环境下企业的“机体功能”,失去网络安全,企业就会失去活力和能力。这是强调网络安全管理具有服务属性的意义所在。
通常,“服务”一般是指人为他人的需要而付出的劳动,包括脑力劳动和体力劳动,服务过程可能并不可见,劳动的结果也没有物质形态,这是和生产过程很明显的一个区别。通常,生产总是要有产品出来,即劳动成果有物质形态(称为“有形”)或者可以被人直接转移。因此,习惯上,把劳动结果是否有形作为区分服务和生产的标志。在企业中,如果一个部门或员工的劳动成果有形,则不强调其服务属性,而主要依靠知识提供服务,劳动成果无形,才会被关注其具有的服务属性。同样道理,“产品”通常是指生产的结果,“服务”通常是指生产之外的劳动结果。例如,常说的“安全产品”就是用以描述和“安全服务”相对的概念。
企业中不管是生产、市场,还是其他日常工作,之所以能够体现出“服务于企业需要”的属性,恰恰是因为它们含有管理具体业务的职能,其“服务属性”是因其为了本部门业务开展的方便而扩展出来的专业管理职能所体现,而不是其业务职能所体现。所以,通常企业中负责具体业务(主要用以实现企业目的,具体为服务对象提供服务)的部门称为“业务部门”,而将其他的提供内部保障和管理的部门称为“管理部门”,就是为了区分不同性质的部门的“生产属性”和“服务属性”,这对企业的现代化管理而言具有非常重要的意义。
另外,从组织结构的角度来说,这种情况(指同时存在“业务部门”和“管理部门”)属于一种“事业部”形式的组织结构,特别是在“大型”企业中,为了有效地开展多样化经营的需要而普遍采用。“大型”企业是指业务多样化的企业,不是单纯指规模和体量上的“大”。
近年来,逐渐出现一种“中台”的概念,可以作为一个说明“生产属性”和“服务属性”之间关系的示例:企业中一些传统的“管理部门”具有在企业范围内支撑业务部门开展工作的“生产属性”,并且这些“生产属性”具有通用性,在技术上存在复用的可能。因此,形成了一种业务导向的基础,将服务固化为生产,可以更好地为“前台”提供服务、为“后台”提供驱动。
安全管理虽然是安全工作的必要组成部分,不可或缺,但也有自己的局限性:第一,具有明显的历史继承性,实施过程自身的过程性明显,预备期较长;第二,本质上具有服务属性,不可转移、不便理解,在实际操作过程中依赖具体的场景,结果存在不确定性;第三,虽然是以保障发展机会和发展成果为出发点,但容易造成业务发展和安全保障之间的二元对立,因而对安全管理人员的能力要求较高。存在这些局限性的原因,或许可以被简单地归纳为一条规律,本书称之为“重演现象”。
“重演现象”
这里所谓“重演现象”(Recapitulation)其实是一种比喻的说法,用以比喻企业在预备实施安全管理的过程中,通常都会在一定程度上完整地“重温”安全管理方法的发展历史:从着重业务过程、层级控制为主的“古典方法”,到重视人的因素,强调行为管控的“现代方法”,再到系统分析、科学管理的“当代方法”。
定义12 重演现象是企业的网络安全管理总要重复网络安全管理发展历史进程的一种现象。
几乎每个企业都会完整地重新经历这样的历史过程。当然,企业在预备实施安全管理的早期,比如,在为什么要实施安全管理(即动因方面)这个问题上肯定存在各种差异,情况各不相同。但是到了一定阶段,在方法上似乎就有些“殊途同归”的意思。所谓“重演”也就是以这个阶段为起点。而当安全管理步入了正轨之后,不同企业的安全管理理念和方法便又各具特色,最终可能是“百花齐放”的场景。这其实很好理解,因为安全管理活动的基础一样,存在所谓共性的东西,而且安全管理是体系化的活动,其构建过程不会一蹴而就,构建它的方法和构建过程中的试错将保持一致,符合人们的认知规律。
使用“古典方法”带来的结果就是“岗哨林立”、层层设防,成本和业务规模大都呈指数关系,以至于可能最终因为无法负担的资源投入而“塌缩”;使用“现代方法”带来的结果就是“有罪推定”会给员工带来的诸多心理阴影,信任感缺失甚至会引发严重的反感与对立情绪;使用“当代方法”带来的结果就是安全管控措施会“科学地”介入业务细节,最终导致业务创新的活力被严格限制,给安全工作甚至是企业的发展带来内卷化效应。
“重演现象”的存在,提示人们应当深入研究和把握安全管理的内容和原则,客观冷静地看待安全管理的特点及其局限性;不应夸大网络空间的安全问题(指大幅超出当前的认知水平和企业的整体基础),要稳妥地推进网络安全工作,既不能盲目地对待网络安全工作甚至故意忽视它,也不能盲目地崇拜安全工作的效果,更不能一味地借助“外脑”而放弃自身在安全工作中的主导作用。
对安全管理的局限性也需要不断地进行管理,这是企业内部的复杂性和安全管理的复杂性相结合的产物。
安全管理是企业管理的一部分,但有相当大的专业特色,因此需要在实施安全管理的过程中妥善处理与传统的企业管理之间的关系。
1.和资源投入的关系
实施安全管理需要企业管理者给予相应的资源投入。这不同于网络安全本身也是一种资源的概念,这里所述的资源是指安全管理工作在实施过程中所需要的“人”“财”“物”“时间”等基础性的资源,不仅指有形资源,还包括无形资源。可以从以下几点来理解。
1)这些必需的基础性资源是保障网络安全资源运营的基础,也是一种促进所有参与网络安全工作的人员的激励因素。安全管理的“责”“权”“利”必须要与企业提供的基础性资源相适应,这是安全管理能够达到效果的最低要求。安全管理的目标、方式等细节必须要考虑到企业的资源条件的限制,有关安全管理的决策必须建立在现有资源条件的基础上,即需要遵循合理性原则、必要性原则;否则,就是一种不切实际的、激进的行为,是为了安全而安全的形式主义。请注意:这不是说如果企业的资源条件不够就可以不开展网络安全工作——《网络安全法》以及配套的法律法规已经划定了底线和红线,以企业不具备开展安全工作的基础性资源条件为借口不开展网络安全工作,将会是一种非常不明智的选择。
2)这些基础性资源的配置,需要企业决策者亲自决定并组织实施,否则,安全管理的“生态位”就会得不到良好的确认,不但安全管理不能有效推进,还会损害员工的积极性。这就要求企业最高管理者必须建立足够的安全意识并最好能深刻理解网络安全对企业的意义。因为他要比企业的中层和基层管理人员以及普通员工对企业的整体情况更了解,对企业运作过程涉及的各个方面的情况以及相互之间的关联关系了解得更为全面,更适合统一领导和指挥资源投入与分配工作。只有这样,企业对安全管理的资源投入与分配,以及在此过程中可能涉及的企业组织机构的调整、企业(安全)文化的建设、人员激励制度的建立等各方面事务才能相互协调并尽快达成平衡,取得效果。比如,有来自企业最高管理者的决策和实际支持会比较容易抵消或抑制那些来自传统职能部门的“本位主义”的影响。由企业最高管理者亲自决定并组织对网络安全管理的资源投入与分配,其实也是一种具体的安全管理机制,其作用在构建网络安全生态的过程中至关重要。
3)为安全管理配置基础性资源,需要特别注意那些往往会被忽视的“软性”的资源,即高层管理人员、关键业务人员对网络安全管理的参与支持,特别是要包括他们的工作时间、精力、绩效和观念等。这种要求,是为了在为安全管理投入资源的过程中,既要立足于当前,又要着眼于未来——要着眼于企业的长久发展。一个企业是否真正实施网络安全管理,不是看它说要实施什么,而是要看它真正投入了什么,实施的又是什么。这些“软性”的资源既是网络安全生态系统的环境要素,是现实的工作配合方面的要素,也是安全管理的关键成功因素。
2.和“人”的关系
网络安全管理重要的工作内容就是和人打交道——对人实施管理,因此,在工作开展过程中,就不得不妥善处理和“人”的关系。
第一,需要有结构合理的、数量足够的、专业技能合格的工作团队——安全管理人员,来实施安全管理。可以按照三个类别设置网络安全管理的工作岗位:事务管理类、专业技术类和监督检察类。不应将安全管理“行政化”或者“机械化”,因为这是一个专门的工作领域,需要工作人员以足够的知识来完成而并不能完全依靠所谓的安全设备或行政管理来完成。在企业中常见任意指定安全管理人员上岗的现象,这将会导致该企业的安全管理要么虚无缥缈,要么不得要领,不论是对企业来说还是对网络安全工作来说,这都不是值得期待的结果。
第二,需要有科学的、适合安全管理工作性质的绩效考核制度——不能简单、机械地照搬其他工作岗位的考核制度。直观而言,网络安全工作给人的印象是并不能产生直接的效益(特别是在非专业进行网络安全生产或服务的企业),因此,那些传统的基于产量或质量评价的岗位薪酬制度在此就并不适用。事实上,网络安全问题是一种风险,与采取措施控制它的工作过程并不存在绝对的因果关系:控制得好,未必不出问题;出问题,未必是控制得不好。比如,很可能会在未知时间,因为某种企业不可抗力的原因而出现问题,但无法就此而说出现问题的原因是控制过程的失灵或错误;也有可能仅仅是因为恰好错过了触发问题的条件幸运地避免了问题,从而并没有暴露出控制的缺失或不足,很显然,也并不能以没有出现问题而作为十足的证据,认为是控制过程正常发挥了其效用才没有出现问题。因此,对于网络安全工作人员的绩效考核必须有别于其他部门的工作人员,更应该是从理性的角度出发,采用某种综合评价法,统筹网络安全对企业的战略性贡献和一些阶段性的战术成果情况,来对工作人员进行绩效考核。
第三,需要处理好工作授权问题。安全管理工作团队必须代表企业的最高管理者开展工作,而不是作为一个职能部门或生产单元的若干员工在开展工作。安全管理工作,在性质上不排除计划、组织、指导和控制其他部门员工行为的内容,如果对他们授权不足,他们显然会无法履行职责;而对他们授权过度,又很容易形成对其他部门的干扰,甚至是破坏。
还有很多诸如储备人才、开发人才、教育员工、延伸服务利益相关者等和“人”相关的问题,都需要妥善予以处理。这些问题宜在安全管理启动之初就能够有足够的顶层设计进行保障,而不宜在安全管理的实施过程中一点点去探索,否则,不但因此而付出的时间成本和机会成本可能会让企业难以承受,更为重要的是安全管理的目标将很难真正实现。
3.和“财”的关系
网络安全管理工作需要足够的资金支持,这是一项旷日持久的管理水平竞争和专业技术竞争并驾齐驱的工作。如果企业舍不得在安全方面投资或者在安全方面盲目投资,都会导致安全工作的“行政化”或者“机械化”,投资回报将经不起任何考验。简单说,负责企业财务的部门、负责企业发展(计划)的部门、负责生产的部门,应当与安全管理工作团队密切联系,应当听取他们的专业意见并统筹考虑资金使用问题。一方面,安全管理工作团队需要有自己的独立预算并且必须得到保证;另一方面,其他部门的预算中最好有一定比例的部分用来和安全管理的要求进行对接。
此外,还应当充分利用政府给出的政策调节工具或利用市场给出的机会“开源节流”,通过与企业所处的网络空间环境的互动,配合产业链分工,优化配置资金资源,为网络安全工作获取充足的发展动力,进而保障企业持续发展。当然,在网络安全工作的资金投入方面,还需要加强财务管理和效能审计,不可盲目投资。更多内容,可以参阅本书“投资回报问题”一节(4.4节)。
4.其他
网络安全管理工作还需要妥善处理和其他方面因素的关系。例如,网络安全管理工作要处理好和“物”的关系问题,主要是做到物尽其用:一方面,要保证存量的安全设备正常发挥效用;另一方面,要结合技术的进步适当升级新设备,做好技术手段的规划和建设,确保技术手段的有效性。此外,网络安全管理工作还要处理好和“时间”的关系问题,把握好效率因素:一方面,宜将安全管理当作“事业”来做,而且很可能是企业的“世代工程”;另一方面,要兼顾“当下”,兼顾时间、机会的资源属性,尽可能提高效率,为企业发展争取更多的回旋余地。
以上“人”“财”“物”“时间”等实施安全管理所需的基础性资源,同时也是企业管理所涉及的几个核心要素,处理好它们与网络安全管理的关系,也是开展网络安全工作的必由之路。
本书在前面章节已经简单讨论了什么是企业的安全生态(可参看“定义6”),而经过本章前面部分对网络安全管理的讨论可以发现,安全管理涉及企业的方方面面,与企业的基础性资源密不可分,与各部门之间的关系天然复杂,因此,有必要讨论一下安全管理与安全生态之间的关系,这可能会更有助于企业的管理。
1.概念的再认识
网络安全生态的概念主要强调的是企业内部各专业条线以及各个部门的员工在开展网络安全工作方面的系统性,而不是不加区别地强调所谓普遍性和一致性。网络安全管理虽然是企业管理的一部分,但这不是要求企业内部所有部门和人在网络安全方面要做到同一化或者均质化。这就好比,企业在运作过程中,需要标准化,但不是凡事都用同一个标准,或者,凡事都追求同一个标准。
此外,网络安全生态的概念还强调生态主体的多样性,以及多样性的统一,这有助于安全生态整体保持平衡,维持其应有的功能和效率。安全生态整体应该处于某种平衡态,尽管这种平衡态也不是不可打破。同时,这种平衡态绝不应该靠安全管理来对企业的部门或者员工施加强制性甚至是压制性而取得。网络安全生态伴随企业的运作而存在,平衡态也是动态平衡,是包括主体多样性所引发的变化在内的环境因素、机制因素等的各种变化不断累积的结果。如何精确描述网络安全生态的这种动态平衡现象和过程,是个难题。本书认为,这应当需要综合运用博弈论、信息论的有关方法和工具等加以研究解决。杨义先教授已在其《安全通论》一书中进行了开创性的研究,有兴趣的读者可以参阅。
在网络安全生态中,还存在“生态位”的概念(应该是一种功能性生态位)。这意味着生态中的不同主体之间应该会存在一种秩序,并且在秩序中的位置和他们在企业中各自占据的资源以及彼此之间的人际关系应该都会直接相关。比如,为了定量说明生态位,可以设定若干关于生态位资源禀赋、人际关系的指标,然后按照一定的时间周期进行统计学分析,进而可以得出更丰富的结论。例如,可以将这些定量分析的结果作为一种参考,用以识别出企业对安全管理的资源投入方面的某些特征;也可以作为一种辅助评价手段,应用在安全管理制度或流程的设计与优化工作中。
2.构建安全生态
构建安全生态可以是安全管理的一种方法,反之,也可以将安全管理作为安全生态之中的若干生态机制来看待。大致而言,构建安全生态可以从以下三个方面着手。
第一,丰富生态主体。首先,识别出企业内部与安全管理相关的部门和员工,作为最基本的生态主体。其次,可以根据业务需要和其他的内外部需要而进一步扩大主体的范围。丰富安全生态主体的目的是保持安全生态的多样性。识别生态主体的标准并不固定,本着有利于开展安全工作的目的即可。
第二,营造生态环境。综合运用企业管理的各种工具和手段,从生态主体的存在性条件入手,逐步营造生态环境。例如,以顶层设计的方式构建满足安全需要的企业组织结构或在现有组织结构的基础上进行专门的优化与改造。此外,以提倡恰当的网络安全观念的方式凝聚并形成适合企业的网络安全文化,将其逐步沉淀形成企业的品牌价值并体现在企业的日常经营或运作活动中。
第三,确定生态机制。处理“人”“财”“物”“时间”等几个关系的具体方法和操作流程,就是一些具体的生态机制。此外,不同生态机制适用在企业的管理框架之内,也是一种生态机制。例如,安全事件(信息)就是安全生态中不断循环的一种要素,可以围绕这个要素构建某种处理中心并将其与其他部门以接口的形式沟通起来,从而针对这个要素形成一个完整的处理机制,使得不同的生态主体之间可以平衡地实现各自的价值。
网络安全涉及企业的方方面面,将会与企业管理逐步进行深度融合。网络安全和其他安全工作一样,带有“管理”的基因,并且,经过几十年的发展,已经形成了自己的框架和标准。网络安全事实上并不是附属于企业IT的某种分支——是时候正视这个事实了。
企业的网络安全,离不开企业的经营和运作,需要遵循三个基本原则来开展工作。将安全和企业存在的目的相对立或者相剥离的方法,不但不会使企业变得更安全,而是必将会导致企业反受其害——片面强调或者试图压制两者中的任何一方,都将导致战略危机。
构建安全生态将是企业安全工作的发展方向之一,甚至将是企业保持可持续发展所应遵循的方向。以生态观的视角审视和总结过去所获得的安全经验,将会是一种新颖的思路,应该会为管理者带来更多的启发。不难得出这样一条关于安全生态观的推论——企业利益相关者应当是理性的,会逐步践行“命运共同体”的理念,以便在新时代取得新的发展。