诸子云 | 活动：12.11上海网络安全专题研讨会

以此为背景，12月11日诸子云上海分会举办了“网络安全专题研讨会”。现场专家对网络安全工作当前所面临的各类问题和挑战，分别从员工数据如何保护、如何实现安全运营自动化，以及如何在实战演练的背景下建立安全团队等角度进行了探讨与解读。

本次研讨会由诸子云上海分会主办，有幸邀请天安财险、花旗集团、渤海证券上海分公司、KP、中通快递、德勤咨询、平安集团、银联、欧冶云商、民生证券、信也科技、某游戏公司、Honeywell、前程无忧、中国电信、普洛斯、伊士曼化学、ATS、美团、野村东方国际证券、奥克斯、非夕机器人、华瑞银行、成方金科、中通吉网络、南洋银行等企业单位的安全专家参与。

某跨国集团CSO赵锐，雾帜智能SOAR专家李益飞，某证券公司信息安全负责人蒋琼，三位专家分别进行了分享。

从2015年开始，我国先后颁布了《国家安全法》《网络安全法》《数据安全法》《个人信息保护法》以及《数据出境安全评估办法》。从企业的角度来看，一方面要知道监管机构会出台哪些法律，另一方面要知道自己行业会出台哪些法律。

相关法律通常可以在人大的网站进行查找，网站会公布当前法律的修订情况。法规从各监管的网站进行查询。从目前来看，和个人信息相关的标准有5项，和安全相关的标准有311项。

企业当下所关注的数据安全一般都围绕外部数据，比如客户、合作伙伴、供应商等。而对于内部员工的数据管理是有所欠缺的，比如企业给家属买的医疗保险里，就会涉及父母和孩子的姓名、身份证等个人信息。对于这些数据经历了哪些转移、处理、委托或共同控制，也都需要企业重视。

因此，除了在企业内部的一系列管理中，包括国内外总部、国内外分子公司以及国内外的第三方合作机构，都有可能在业务过程中处理到企业的员工数据。

员工数据有多种呈现方式，比如人力资源的管理系统，他们在收集简历的时候，无论面试者是否入职，都可能会把他们的简历打印出来，面试结束后是否销毁，我们就不得而知了。

再比如，董事长的秘书会为董事长买机票、办护照、办签证，有时在复印件的处理上会有所疏忽，从而导致董事长个人信息泄露。还有公司内部的监控系统，会不会通过生物识别将员工的个人数据记录下来？这些数据平时都是谁在管理，是物业还是行政？

通过梳理，企业可能会收集的员工信息主要包括姓名、生日、证件号、住址、电话号码，入职之前所使用的个人邮箱，此外还有照片、党派、体检数据、金融账户等。其中关于行踪轨迹的收集，是在工作时段通过打卡、加班、监控、报销等信息进行捕捉，家属信息则主要包括婚姻状况或有无子女等方面。

在分析业务流和数据流方面，《数据安全法》里有详细解释，需要注意的是，虽然涵盖了收集、存储、使用、加工、传输、提供、公开等流程，但却没有对删除明确说明。企业要确认自身对于保护员工数据安全的实际开展情况，同时按照《个人信息保护法》规定，企业所有使用员工个人信息的场景以及对外分享的场景，都必须要让企业员工知情同意。

此外，年度体检时，公司也会给员工买保险，这时就需要补充部分个人信息，而且公司福利越好，收集的个人信息就越多。年终考核时，也会要求员工提供相应的个人信息，而且这些信息可能还会分享给其他部门。最后，当员工职位变动时，同一个员工的信息可能会在多个部门领导之间流转。所以当企业制定针对员工的隐私政策时，需要网络安全部门或合规部门与人力资源共同合作。

企业在收集员工数据时，务必要注意是否合法正当，一定要在最小的、可以满足业务的情况下收集这些数据。此外，在制定隐私政策时，对于外部分享的第三方，无论是银行发工资时需要用到的个人数据，还是体检机构需要登记的个人数据，以及保险公司、票务公司等可能收集到的数据，企业都应该在隐私政策里对其进行明确的披露。

随着数字化转型的加深，企业的数据量不断增长、多资源访问增加、计算环境也变得更加复杂。在这种情况下，信息资产逐渐发生变化，对于企业来说，就面临着管不全、盯不紧、找不出、治理慢等问题。

由于传统的资产无法帮助企业驱动安全建设，支持安全运营，且传统的资产管理体系缺乏自动化、数字化的能力。所以根据数据安全能力成熟度模型（GB/T 37988-2019），雾帜智能认为应当关联安全运营过程。一是做好安全策略，比如终端管控、访问控制；二是完善安全功能，包括数据监控、分析评估、报告展出等。

如何实现，雾帜智能认为应当遵循发现、识别、评估、治理、展示这几个步骤。而其中最重要的是在业务流程中尽可能多地采集数据（信息资产的活动数据）。

第一步，通过丰富灵活且可扩展的数据接入适配器，从各种途径收集数据，并从响应过程中收集和更新。通过对接现有网络所有的资产点将数据进行汇总，作为基础数据，整理出企业的资产。

第二步，构建模型梳理关系。通过模型化定义资产数据类型，形成拓扑图，既可以明确看到当前的资产状况，也可以通过拓扑图来拓扑化地对资产进行管理。

第三步，建立风险量化评估模型，帮助企业对风险进行整体评估，从多维度判断资产的安全状况。同时通过可视化分析挖掘，比如属性等维度，能够快速地从此前收集和梳理出来的数据中，检索找出自己所需要的资产。

在完成了资产的收集、展示和分析后，就需要对其进行治理。所以第四步，就是通过前几个步骤对资产安全状态进行量化，从而针对性地进行自动化治理。雾帜智能通过自动化编排平台，实时执行剧本对漏洞进行补丁安装，信息反馈回来后，再将属性标签更新到资产列表里，通过检索再确认补丁是否完成以及版本更新情况，从而实现完整的自动化治理闭环。

最后一步是指标化运营。安全工作最怕的就是难以体现工作成果，所以做了这么多事，就需要形成指标化数字。这样才能够在工作总结或领导询问时，通过直观的数据展示安全工作的价值。

通过上述几个步骤，企业资产治理基本可以满足全量、实时、拓扑、治理、开放这几个特点。几乎可以收纳所有信息资产任意信息面，每分钟可实时发现上万条资产轨迹，自动生成一目了然的可视化资产关系拓扑，批量给成百上千的风险资产修漏洞、打补丁，并无需AGENT连接、编排任何品牌安全系统的开放平台。

从价值收益角度来看，雾帜智能的方案可以帮助企业构建安全自动化运营基础，节约/优化资产管理成本，提升安全运营团队效率，最终实现数字化安全运营。

从2020年首次被提出至今，我认为我们才真正进入了“后疫情时代”。过去三年加速了网络安全行业的新一轮重大变革，我们的安全工作路径也与这些变化和趋势密不可分。所以在后疫情时代，我们要更加重视安全工作的“可持续性”。

我们都知道安全合规很重要，但除了合规以外，能够将实战融入到安全建设当中的却是极少数的。虽然它的成本很大，但在当前的时代背景下，我们不仅要做好合规，也要考虑从实战的视角来做安全，将实战引入成为安全建设的一个重要指标。

想要真正做好安全治理，除了治理工作本身以外，还需要让安全真正能够进入公司的治理层。这个过程中，仅仅和业务部门建立好协同关系是不够的，更重要的是要能够让安全工作传导到管理层的耳朵里。作为安全负责人，想要做好安全汇报，除了一定的技巧外，我认为更多的是“真诚”。真诚地高度管理层我们做了哪些事情，还有什么没做好，为什么没做好，让管理层清楚地了解到安全工作的具体情况，感知并理解安全工作的不易。

在安全能力建设方面，我们尝试了一些新的变化。构建了常态化攻防态势下的安全能力建设，整合分散式安全建设为体系化协同安全运营中心建设，提高了安全自研比重，实现公司安全实效与投入成本的最优，逐步达成由被动防御到主动风险发现并自动化运营处置的可持续安全能力提升体系。

其中需要注意的是，新技术的运用难点不在于技术本身，而在于管理和落地。所以在应用新技术的时候，我们需要尽可能把切口缩小，把风险控制好。之所以自研，是因为在国家提倡自主可控的大环境下，企业也需要把主动权掌握在自己的手里，无论采购的解决方案多么优秀，但如果企业自身不具备相关的能力，很难做好后期的运营。

之所以我要用“立与成”作为主题，是因为安全工作并不是我们想做就能做好的，也不是轻而易举就能做成的。在“成”之前，我们需要先“立”，只有先将安全工作实实在在地立起来，我们才能有所成。

在这个过程中，资源匹配非常重要。无论是从0到1的安全建设，还是在取得了一定的成绩，有了新的规划以后，都需要向管理层申请资源。资源分为内部资源和外部资源，以我们自身为例，首先是明确岗位需求，包括管理、运营、开发、攻防。其次，根据岗位类别再结合最小配置来说，我们至少需要5-6名安全团队专职人员，事实上我们也成功达到了这个规模。

此外，我们认为各业务部门需要设立至少1名对口安全岗位人员，这会大大降低解决问题所花费的时间，极大地提升效率。尤其在攻防实战演练的大背景下，如果企业定期开展实战演练，那么就更加需要相关的对口人员。

而从外部资源来看，我们需要对特殊时期（如HW）的安全进行第三方人员保障。同时，专业培训及安全行业交流资源保障也非常重要，因为安全不能闭门造车，不仅需要通过交流汲取经验，也应该走出去将自己的经验实践对外输出，和同行进行交流。对于安全来说，这确实是一个非常重要的资源。

安全的本质是风险管理，安全的目标是润物无声。所以在我看来，安全虽然不需要走的太快，但必须要始终保持前进的脚步。安全就像一个驾驶员，轮子虽然可能转的很慢，但却要确保不停。

我们难免会在工作中遇到很多不可抗力，导致既定的目标没能完成，这是非常正常的。只要在这个过程中，我们在某些地方实现的推进，并且达到甚至超过了预期的效果，就值得我们在新的一年里继续努力和期待。将信心和目标立起来，再去将事情做成。