下载掌阅APP,畅读海量书库
立即打开
第三次战略规划是一个套路形成的过程,经过本次制定经历,后面就形成惯性了,但第二次到第三次的套路转变,是个很长的思考过程。
经过两次战略规划,当时真的以为已经没有什么可以规划的了。
所以前半年一直在思考如何做,没有思考哪来战略。
最终想到可以从解决问题入手制定本次战略规划,所以提前把问题列出来,给到业务去选择,给到技术去投票,把最重要的三个问题找出来;后面运用起“五看”“三定”的方法论进行战略规划推演就比较容易,至少没有第一次和第二次制定起来那么艰难。
记得在开始启动本次战略规划制定之前,研发线启动了一个会议,讨论用户或业务的真正需求,真正痛点。
真正的需求痛点不是这个软件架构不好需要重构,或者公司没有自身的电视系统,或者是别人都在研发什么技术,自身的技术不够先进,需要跟上。
而是站在用户的角度上看,比如:设备运行长时间如何不卡顿不死机,如何便宜的看到更多内容,老人如何方便地看到自己想看的节目,等等。
而在产品网络安全和隐私合规的这个事情上,经过几轮的讨论,并且发给业务进行对齐确认,认可下面 3 个问题为产品网络安全的痛点问题。
图 60
可能有人会质疑:已经做了这么多网络安全和隐私合规动作,有了安全检测工具可以进行安全扫描,有了隐私评估平台可以线上进行PIA,产品肯定都合规啊,哪来不合规情况?
但其实不然,是否所有的项目都进行了扫描,是否所有的项目都有进行隐私合规审核,是需要拿出数据来证明的。
也会有人质疑:这么多年,没听说过出现什么安全事故,就算有事故,也花钱公关掉了。这个想法是很危险,开车十年没有出现过车祸,并不意味着开车就绝对安全,因为十年可没事,有事误十年。
以上三个问题,一个问题比一个问题难回答。
第三个问题肯定更加难回答,安全本是看不到摸不着的,除了在特定产品上,一般很难带来显著价值,但既然是战略规划,那么也需要探索其价值,即能给用户带来什么好处。
到目前为止,暂时还想不出来物联网安全中有比这 3 个问题更加重要的问题。
在定问题的时候,先不要考虑该问题难不难回答,只需要考虑这个问题是否是痛点问题,是否是当下业务最关注的,而本次战略规划的目标就是试图回答这些问题。
新的战略规划都需要对上一次进行回顾,看看上一次的规划落地情况如何,实际执行如何。
第一次战略规划的执行结果。
图 61
完整的回顾包括:
●当年的目标;(略)
●是否达到长期规划里的目标;(略)
●项目完成情况;(略)
●项目取得的价值;(略)
●差距在哪;(略)
●阶段性成果的展示;(略)
●根因分析。(略)
第二次战略规划里的内容,领导的结论是不需要进行全面的安全能力建设,所以并没有得到执行,就安全竞争力搞出一点噱头。
图 62
安全竞争力搞出的卖点也属于比较基本的,也反映出当时在智能门锁这个领域,大家的安全水平差距没那么大,而在安全能力建设上,也就是“战略”和“标准”两个维度还可以。
对第二次战略的回顾并没有包括根因分析等内容,因为本来就没怎么做。不是每次战略规划都能得到完美的执行,很有可能每次战略规划,也就是战略规划师在那里自嗨。
解答第一个问题,实际就是在找安全团队存在的价值。
图 63
对第一个问题的解答需要分两部分来看:
●现有产品的网络安全与隐私保护是否都满足现有的法律法规的要求;
●现有产品的网络安全与隐私保护是否都满足以后的法律法规的要求。
第 1 个问题包括两个小问题:是否有配套的设施获得数据,现有产品是否都合规。
第 2 个问题包括两个小问题:又出现了哪些法律法规,怎么解决新法规带来的变化。
后面有一个演讲把该问题拆成 7 个小问题展开,见第 9 章。
假如没有隐私评估平台、密钥系统平台、安全响应中心、安全检测中心的建设,问题“现有产品的网络安全与隐私保护是否都满足现有法律法规的要求”是无法回答的,因为没有数据来支撑,很难从某个途径获取具有多少项目,就更加无法统计多少项目做过隐私合规,做过安全合规。
有了以下几个平台:
图 64
对比法律法规的要求(这里对比的是GDPR),就能准确给出答案:
●隐私评估平台满足了法规对于个人信息必须进行隐私影响评估的要求;
●密钥系统平台满足了安全设计的密钥要求;
●安全响应中心满足了应急响应的要求;
●安全检测中心满足了安全检测的要求。
接下来就是问题:现有产品的网络安全与隐私是否都合规?
图 65
通过上图各个平台的数据,可以清清楚楚看到符合程度。
●对于隐私影响:上平台的项目只有实际项目的一成多,其他接近九成无法保证是否合规。
●对于测试漏洞:还有大量的高危漏洞没有得到及时修复。
●对于安全设计:每年上百万的销量,其中落实通信密钥的也就几万台,大部分的终端设备在密钥方面是不安全的。
●对于安全响应:大量的白帽子提的漏洞和事件都停留在平台,并没有分发出去,得不到妥善的处置。
上面数据只是举例,不是实际数据。
所以得到第一个问题第一部分的答案:现有基础保障措施满足了产品网络安全与隐私保护的要求,但不是所有产品的网络安全与隐私保护都完美合规。(工作没做到位不代表不合规)
对于往后怎么做,要分两个方面:一方面,从平台的数据统计可以看到还有多少项目没有完全执行合规工作,可以看到哪个单位的执行率比较低;另一方面,在平台能力上需要看到还有什么新的功能甚至新的平台需要开发的。
图 66
所以重新进行了“五看”。
●看对手:可以清楚知道检测能力还远低于对手。
●看行业:主要是中国信息通信研究院的新闻数据,看到了大部分的软件缺陷在于开源和第
三方SDK上。
●看自身:看到了安全覆盖度不够,必须持续加强推进,让所有项目都上平台,让所有的高
危都能得到解决,让所有的数据都能得到妥善的保密,让所有事件都能落实到单位进行处理。
得出机会点和下一步应该怎么做:
●加强检测能力的建设;
●建立自有开源软件管理平台;
●提高安全支撑平台的覆盖率。
以上可参阅第 8 章。
上面依据的法规主要是GDPR,那是 2018 年发布的法规,这么多年过去了,肯定有人质疑:有没有新出现的法规?产品是否也都满足?
所以对新出现的权威法律法规进行分析。
图 67
还缺了欧洲的CRA,因为它在这个规划制定完成后才出来。
网络及信息安全指令NIS2.0 现在在制定中,后续会发布,在家电方面适用于智能电视机、手机、平板、联网“冰洗空”等家电,罚款比GDPR少点,但强调管理层的责任和公司的安全处理机制。
无线电设备指令RED适用于所有联网的设备,后果是东西没法在欧盟卖,这个指令是现在欧洲各大认证公司主要关注的点,会是个强制标准,已经发布,后续会强制实施,提的要求主要是技术方面的:防止当肉鸡、保护个人数据、防止网络欺诈。美国各州对于物联网设备的安全要求有所不同,也许其cyber trust mark应该会成为最基本的要求;英国和澳大利亚的法规都差不多,叫《消费者物联网代码》COPCS(本书简写的),对消费者设备提了十点安全技术要求。而国内就更加复杂了,国家标准有很多,行业标准就更多了,这给智能家电物联网带来更多的安全方案。
通过调查多个工程师,请他们自评估距离新出现的法律法规要求有多大距离,用雷达图来表示:
图 68
判断是否符合该项法规要求是无法准确量化的,很多人会认为有这个技术或者文件就可以了,但实际的衡量应该是能否落到实处,落到每个产品上。
●大家认为和COPCS要求的距离比较小,那是因为在智能电视机上的某些机型上已经做了303645 认证,可以认为完全满足COPCS的要求,但实际上很多产品并没有做类似的认证。
●大家认为和无线电设备指令RED要求的距离比较大,因为它提出的是防威胁要求:防止当肉鸡、保护隐私和防止欺诈。在实际的产品研发过程中、RED的三个威胁要求实现起来就有点麻烦,比如用什么安全技术防止当肉鸡,什么措施能防止当肉鸡,做到什么程度能防止当肉鸡,好在当时看到欧盟的相关部门已经在制定一些标准满足RED的三个防威胁要钱。
●大家一致认为和NIS2 要求的距离最大。NIS2 法规更多的是看顶层领导层的重视程度,顶层都不关注,下面的怎么蹦跶都事倍功半。
解决新法律法规所出现的新问题,最简单的解决办法就是看行业领先企业怎么解决的。
图 69
可以从三个方面看。
●认证:认证是比较好看出来的,一般过了认证,都会进行宣传,所以资料比较好收集和分析,领先企业的认证都非常的多,向市场证明自己的同时也提升自己的实力。
●技术:这点比较难收集到,所以这个图意味着也是不准确的,只是个人的一些看法。
●宣传:宣传点也比较好找,有些公司巴不得只要稍微涉及就大传特传。从图上看IOS系统和某米在安全技术上差距不大,但实际差距应该是较大的。
根据以上结论,可以整理出以下解决新问题的策略架构图:
图 70
NIS提出的大部分是组织管理的能力要求,所以放在最底层,是基石;而RED提出的大多是对于智能终端、上网产品的基础技术要求,这些要求需要对应的标准进一步细分。在合规这个问题上,还需要一些隐私增强技术,基于这个技术能够更加顺利地为业务服务。最上层就是看能否把合规技术包装成卖点,用户就能够感知到,而进行权威认证背书是很好的检验安全措施和技术是否实施到位的有效措施。
没有时间研究与实现本次洞察出来的策略,所以大都没能再详细分解描述。
终于可以比较完整地回答下面的问题了。
图 71
●平台和技术基本能满足现有法规对产品网络安全与隐私保护的要求——肯定以前的所做。
●产品的安全与隐私合规评估没能全部覆盖,特别是问题解决率不够——团队存在的价值。
●平台和技术未能满足新出现法律法规对网络安全与隐私保护的要求——团队持续的必要。
回答完问题了,可得到阶段性的结论:补短板、强基础、控制点。
图 72
●把NIS2 列为补短板,因为它是能力,是基础,是意识,该法律的级别也较高。
●把RED要求列为强基础,因为它是条例,比法律低一些,是市场准入规范。
●把卖点、宣传点、竞争力列为控制点,是因为它能体现和同行的差异化。
RED的详细描述可查阅第 6 章。
解答第二个问题,实际就是在给安全团队发展找机会。
图 73
回答这个问题其实没那么难,通过看自己出现什么问题就解决什么问题。
针对这个问题,实际上做一份更加详细分析与年度计划的。
看面临哪些威胁可以从三个方面来收集。
●网络攻击分析方面:可通过查看云端防火墙受攻击数量,附加收集物端的,但有难度。
●收到漏洞情况方面:可通过安全响应中心收集,附加从三方报告收集,但有难度。
●安全事件影响方面:可通过安全响应中心收集,附加从三方发函的统计,再从网络收集。
收集到的情况示例如下(数据做了脱敏):
图 74
●由于云端服务有目标固定、攻击手段成熟等特点,安全爱好者大多会攻击云服务。
●漏洞统计中也显示云服务的漏洞是最多的,从另一方面证明上面的判断是没错的:云服务是比较受关注的,所面临的安全威胁也最大。
●云服务防火墙一年多就受到 500 多万次攻击,再一次说明云服务受到的威胁是最大的。虽然数量集中在恶意请求和自动程序攻击上,但实际上SQL注入、XSS攻击、漏洞攻击的威胁更大。
●收集到的安全事件更能说明威胁所造成的损失,虽说大部分事件都是小事情,但假如上了媒体的安全事件就是大事件了,会让整个单位都被动起来;比如曾经就发生过一次比较大的安全事件,导致单位几年都没缓过来。
从以上可以看到,物联网安全威胁最大的云端服务。
接下来需要统计一下物联网云服务上都部署了哪些安全措施。
图 75
●云基础安全:主要部署了HIDS防护,云应用安全部署了WAF,重要的云服务通过了等保三级的评测,但对容器的防护能力相对较弱。
●云业务安全:已经开展专项风险分析,清理恶意账号等,但未建立起专业的风控平台。●云数据安全:已经制定了相关的数据安全规范,但还未开展业务数据的风险识别和治理。
这个措施看起来还行,那么和竞争对手的差距有多大呢?
这里省略了App和物端威胁的分析。
云服务安全措施在业界其实非常成熟,通过调查很容易得到大概情况。
图 76
对于云基础安全,大都购买成熟工具保障云基础云安全。对于公有云,一般都选择公有云提供商提供的HIDS、WAF、漏洞扫描等工具;对于本地云,选择的工具会更多。
产品的云服务一般都会放在公有云上,比较少放在本地云。云上的业务安全,就算有风控平台,需要靠人力去运维,去巡检,去审核。
对于数据治理,业界比较出名的应该就是数据安全治理能力DSG的建设与评估,通过DSG可以建设比较完善的数据安全能力。
云服务安全还有一个非常重要的方面,就是云应用安全、云API安全,强依赖于架构评估、代码审核、接口评审、工具扫描等。
各家怎么做的是一个比较机密的事情,洞察出来肯定和实际有所差异。
有了行业是怎么解决的方法,接下来就可以确定自身的解决方案。
图 77
上面这些做法都是非常通用的,这里展示一下思路。
●对于云基础安全,应该建立起基于主机、镜像、容器运行全流程的容器安全能力。(第3 章)
●对于云业务安全,开展账号安全防护、用户权益保障、运行时风险控制建设等,最好能部署云风控平台进行专业的运维。
●对于云数据安全,可依据数据管理成熟度模型DSMM,对关键业务数据进行风险识别与治理。
实际的情况需要根据实际的业务、数据量而制定不同的治理策略,除了一股脑购买云服务基础安全的几个工具,这几个工具的使用、运维以及对应的账号整理、业务整理、数据整理的人力投入才是大头。
数据治理也试图搞了几次,但每次都没有取得成绩,跟业务形态、数据量和投入有关。(见第 4 章中的数据治理内容)
终于可以比较完整地回答下面的问题了。
图 78
这题的回答大体是这样:物联网云服务所面临的网络攻击和威胁是最大的、App威胁次之,终端威胁最小,而威胁主要集中在云服务的XSS攻击、SQL注入、薅羊毛以及App隐私、终端阻塞网络上。
做完安全合规评估以及安全平台设施的工作,持续降低安全威胁就是安全团队发展的机会。
回答完问题了,可得到本阶段性的结论:
图 79
●把云基础安全列为补短板,因为它是物联网云服务安全的基础;
●把云业务安全列为强基础,因为它和用户、业务、营收都是强相关的;
●把云数据安全列为控制点,因为它能体现和同行的差异性,基于数据安全的基础上能开展用户画像等增值业务。
前面也说过,数据是物联网的灵魂,数据安全能力做得好才可能成为控制点。
作为研发线的战略规划,最终要回到技术上和产品功能上做洞察和规划。
回答该问题实际就是在给安全团队的发展找未来。
图 80
有显著价值,业务线才能认可它。
做安全能带来什么价值呢?在第一次做战略规划的时候就试图回答了,同时贯穿了整个安全职业生涯。
显著价值意思就是:提升物联网产品的安全水平能否打造卖点,或能否给用户带来可感知到的价值,或能否多卖几台产品,或能否提升单台的价格,或能否提升当下的利润。
这个问题不仅是同行难题,在安全行业估计也是个难题,因为安全厂家他们回答起该问题来也很困难。
既然是看价值,那么可以看同行跨行在干什么了。
在家电行业,领先企业持续在宣传其网络安全与合规的卖点。
图 81
宣传的点大多集中在安全与隐私合规的认证以及各种保护用户隐私上,最重要的原因还是智能家电遇到的安全事件并不多,并不像路由那样经常遇到木马,也不像手机那样有很多黑产和广告。
因此,在家电行业的安全上,安全技术确实不太需要很大的关注,除非该技术能给用户带来便利,比如多端身份协调,只要手机靠近电视,只要身份一样,就能自动同步配置、软件、会员信息、各种记录,而且安全性也能得到保障。这是比较便利的,并且又安全体验感又好。
这可给打造安全卖点带来了思路:可把安全置于快捷的功能中。
在本行业很难看到所需的未来,说明已经走在本行业前列了,那么还可以看相关行业以寻找出路。
智能门锁作为新业务,和传统家电也很相关,也发展得比较好,对其洞察很有必要。
在上次的战略规划中只看了该行业的整体实力,对于所具备的领先安全技术或功能并没有深入的洞察;
自第一次战略规划已经过去两年,在智能门锁上确实出现了很多新功能、新技术。
图 82
●安全功能:开门的功能越来越多:钥匙开门、卡片开门、密码开门、指纹开门、人脸开门、手机开门、远程开门、证件开门等,智能门锁系统的安全威胁会体现在最短的那个开门方式,所以需要多端身份协同、异常检测、可信运行环境等物端安全技术。
●安全感知:感知方式越来越多,如异常侦测、实时监控、主动识别、变声技术、主动唤醒、整体布防等,物端对环境的感知和对自身运行状态的感知将是一个趋势,物联网安全的一个重要分支就是感知安全。
●安全技术:安全技术越来越多,如安全芯片、端到端加密、公安接入、多因子认证、群组密码协商、声纹鉴别、设备纹鉴别等,安全技术的增加并不等同于整个门锁系统安全水平的提升,后面门锁的相关安全认证肯定会更加完善。
看领先行不能随便看,而要有目的地看,此次看领先的行业,主要是看智能汽车。
汽车是智能家居聚散地,智能汽车里的各种技术大多能用到智能家居中。
现代消费电子公司或多或少要和汽车行业牵扯上关系,汽车的安全有国际标准,也有国家标准,这里不详细展开,这里主要看和消费物联网相关的。
图 83
车联网的高安全技术更多,比如车内模块、车车之间、车云之间的可信安全通道、可信安全通信,车内分布着多个单片MCU及操作系统,所以可信分布式操作系统是车联网特征。一辆车可能有几十几百个传感器,多传感的安全防护系统肯定也有。经常看到有破解车门车钥匙的事件,所以一般具有车辆入侵感知系统。车内的通信是CAN总线的,基于CAN总线的安全体系也是车联网的特征。智能汽车是成套安全体现最密集的地方,一个安全问题就可能导致品牌倒闭。对于智能汽车品牌来说,谁风险控制得好,谁就能笑到最后。
通过洞察领先行业,也就是车联网行业,清楚车联网安全技术已经发展到什么程度了,特别是还有更多不知道的安全技术。
接下来就是分析数据,通过雷达图找到机会点。
图 84
找机会点只能在力所能及的范围内寻找,看的行业越多能找到的机会点也就会更多。
●本行业的机会点:自身的安全支撑平台已经建立得差不多,已经比较完善了,让长板更长,这其实是机会点;很多同行都在宣传合规卖点,这应该能给产业带来价值,应该也是机会点。
●相关行业的机会点:对于安全就有高要求的智能门锁来说,安全卖点自身就是个机会点;而生物识别等开门方式对于智能门锁来说尤为重要,肯定也是机会点。
●领先行业的机会点:很多技术都需要长时间的投入,水平距离领先行业太远,还找不到机会点。
这里更多的是个人看法,比较合理的看到机会点方式应该举行多方研讨,特别是有产品方一起参加的研讨,讨论出机会点在什么地方,达成共识,这才是好机会点,因为该机会点实现起来不会遇到多方阻力。
不同物联网产品需要的安全水平是不一样的,必须规划出符合的安全策略分级才行。
图 85
根据不同的业务形态、智能程度、数据浓度,可把物端分为四类。
●第一类,冰箱、洗衣机、小家电。其智能化程度较低,数据浓度肯定也低,那么只需要隐私合规进行评估以及保证通信的安全就行。
●第二类,空调、空气净化器、扫地机器人,它们的智能化程度会高些,数据浓度也会高些,需要的安全措施多一点,但也不会多太多,比如增加安全更新和漏洞修复。
●第三类,电视、手机、会议机。这类的电器,要不就能够安装应用,要不使用场合要求比较高,需要的安全措施只多不少。需要增加合规评估、安全通信、安全更新、漏洞修复,这是常规,还要增加本地数据加密、访问控制、流量监控、权威认证、合规卖点,这是增强或领先。
●第四类,智能门锁、智能汽车、虚拟现实。门锁本来就是卖安全的、智能汽车关系到人身安全、虚拟现实可能会关系到精神安全,这类产品,做多少安全措施都不为过。
这些行业发展到最终,肯定会比大家谁做得更加安全,因为其功能总能够做完的,但安全却无上限。
前期投入多,护城河越深,后面回报也大,这是第四类的未来。
看第三个问题如何回答。
图 86
可能下面这个回答不是很理想:
●现阶段可以在重点的领域进行不大的安全投入,维持现有状态,满足合规要求、保持社会责任度,为未来积累技术。
●积累安全基础技术,可支撑从本行发展到相关行,创造有机会到领先行可获取更高利润。
●从很多国家政策上看到,做安全还能拿到国家各种补贴和退税,这也是不错的显著价值。(第 9 章)
经过回答第 3 个问题后,对于补短板、强基础、控制点可得出新的定义。
图 87
●维护现有的支持平台并且持续完善,使其尽可能覆盖更多的合规业务,这是补短板。
●新业务安防类产品的网络安全,已经有了一定基础,需要持续加强,这是强基础。
●统一安全技术架构可以持续的沉淀一些安全技术,为后面打造更多的领先技术做准备,这是控制点。
这就是此次战略规划得到的机会点,这个结论并没有得到战略解码。
没有写到推导出统一安全技术架构的逻辑,这里省略了,在第 8 章有提及。
略
列出现有组织架构下所面临的问题、市场的要求和法规的要求:
图 88
解释:略
通过洞察同行、同行领先企业、通信行业、通信领先企业的组织架构:
图 89
可以看出:
●同行传统企业:同行假如有IoT的事业部,该事业部一般会设置产品网络安全部门。
●同行领先企业:会有专业的安全与隐私委员会,直属董事会,为副总裁级别。
●通信行业企业:在产品研发部分都有安全治理团队,有专业的产品安全部负责能力开发安全治理和直接汇报给产品安全委员会。
●通信行领先企业:其产品网络安全组织架构就更加复杂,会有项目的安全工程师,也有事业部的安全工程部和渗透测试部,总部还有安全能力中心与评估实验室,还有专业研究基础安全、领先安全技术的实验室。
可以总结出业界大体框架为:
图 90
●同行企业:
一般有安全治理一线负责产品的安全,安全治理二线负责安全策略、安全测评、安全考核、安全赋能等。
●通信行企业
■安全治理一线:负责自身的安全,其治理范围包括产品、供应链、平台、服务等。
■安全治理二线:负责安全策略、安全测评、安全响应、安全实验室、安全赋能等。
■安全治理三线:进行安全审计。
●通信行领先企业:
■为项目安全负责:每个项目都有安全团队,这是安全治理一线。
■为单位安全负责:团队所属的单位有安全工程部负责安全赋能还有渗透测试部负责安全测评,这是安全治理二线,二线的安全赋能和安全测评还能互为考核参考。
■为企业安全负责:集团还有安全能力中心和评估实验室,安全能力中心赋能给安全工程部,而安全评估实验室抽查审核产品,为安全治理三线。
■为客户安全负责:还和知名测评机构成立独立于公司的评估中心,此为安全治理四线。
匹配现有的组织架构,结合同行的经验,建立起安全治理一线、安全治理二线是合理的。
图 91
其中:
●安全治理一线负责产品安全流程建设、安全测试、隐私保护、应用安全、物端安全、云端安全,还可以进行符合自身产品安全的技术研究与开发,比如显性的安全功能;
●安全治理二线负责安全策略、安全测评、安全平台的开发等。
打算想借此次汇报,进行部门性质转变的,也更加合理,可惜没有成功。
虽然在解答每个问题的时候已经列出机会在哪,但在整体战略规划中,需要做个总结;特别是结合价值判断与投入筛选出机会点。
把各种技术和措施列到一个坐标里面,通过调查,统计出每个技术或措施的价值。和工程师进行沟通,对原理进行研究,大概就知道投入应该是多少,虽然不是很准确,但用来判断哪些具备有投入价值绰绰有余。
汇总三个问题的机会点,如下:
图 92
位于顶层虚框内的就是能取得高价值的安全技术或措施。
一般不会追求右上角,因为右上角需要高投入,低投入高价值是优先追求的,当然高投入高价值的技术可算作护城河。
处于同一个起点,一个公司 500 人花了一个月研发出某个技术,另一个公司不可能只用 50人就搞出一模一样的东西出来。
●合规技术措施机会点在于:
■补短板:下一阶段在基础性措施(NIS)。
■打基础:下一阶段重点在基础技术(RED)。
■锻长板:长期规划落地及研发隐私增强技术和卖点上(一直在规划一直没实现)。
●风险管控措施机会点在于:
■基础安全:下一阶段建立更广范围的基于主机、镜像、容器运行的安全能力。
■业务安全:下一阶段建设防薅羊毛的风险控制。
■数据安全:长期规划基于DSMM,对关键业务数据进行风险识别和治理。
●安全竞争力技术机会在于:
■补短加固:下一阶段审计现有的薄弱点加固。
■重点突破:下一阶段从安全芯片架构等突破。
■长期积累:产期规划端到端加密和无感双因子。
这同时回答了本次规划提出的三个问题,不可能所有规划出来的结论都落实到位。
尽量做到百分百合规、尽量降低物联网风险、尽量给公司创造价值,是每一个安全人的职责。做安全,就是管控风险,就是把高风险变为低风险、把高概率事件变为低概率事件,而不是完全杜绝风险。
新的战略规划哪些人才,是需要根据上面的机会点推导出来的。
图 93
机会点必须匹配相应的人才才能事半功倍,假如公司已经有这样的人才,那么说明这个事情已经是在做了,可能也不是机会了;而假如一切靠现有的人力进行摸索,那么过程会比较长,而且很容易走弯路。
根据上面的机会点以及对于人才人力的推断,也很容易确定大概的组织架构。
图 94
再基于业界组织架构框架,可以建立适合本战略规划的安全组织架构,如下:
图 95
这和前面的匹配的组织架构基本吻合,必须有一个类似总部的组织制定安全的规划和策略。同时,业务的合规与技术、业务的风险控制,就是安全治理一线,一般设立在业务一线研发部门里;安全效果评测一般在安全治理二线,通过渗透、评测、抽查评估业务安全执行的程度;而最终一些安全技术需要来自公共的安全技术或安全平台开发团队。
每一次新战略的路标都和上一次路标有所不同,主要是因为受到了战略规划制定者认知的提高、战略方向的转变、组织架构的变化、预算机制的变化等的影响。
比如顶层领导认为安全支撑平台已经比较完善了,那么平台建设就会停滞;比如单位的重心从产品转向云服务,那么就会转为云风险控制。
此次的路标更新保留了上一年度的两个通道,新增加了合规技术和风险控制两条通道,去掉了安全能力和AIoT安全两个通道:(原因略)
图 96
省略掉每一个通道、每一步具体需要做什么、达到什么目标。
下图是实际的第三次战略规划报告:
图 97
本节浓缩了实际报告的精华,试图讲明第三次战略规划的制定逻辑。