CSO进阶之路:从安全工程师到首席安全官
上QQ阅读APP看书,第一时间看更新

4.3 定义组织的网络安全边界

每一个组织对网络安全的认识都是不一致的,各组织之间对网络安全的看法会存在细微的差异。CSO首先要做的就是从组织的角度出发,重新定义网络安全在组织中的概念和定义,因为这个定义决定了CSO所负责的网络安全工作的职责范围和边界。

定义组织的网络安全边界实际上是定义一种职责边界,它应当由两部分组成,即物理边界和逻辑边界,这两部分互相匹配,最终形成组织的网络安全边界。假如这两部分不匹配,则会对后续网络安全工作的开展造成很大的问题。

物理边界一般指的是组织的物理场所或部门,而逻辑边界一般指的是虚拟网络或职责系统。举个例子来说,某CSO定义其组织网络安全边界为“企业数据中心的所有网络和系统的安全”,这里“数据中心”是企业的部门,也是其中的物理边界,“所有网络和系统”就是逻辑边界。

在另一个例子中CSO定义的网络安全边界是“企业ERP系统的使用安全”,那么其中的物理边界其实是指企业所有涉及使用ERP系统的部门,而逻辑边界指的就是ERP系统。这个例子与之前的例子中对网络安全边界的定义不同,主要在于CSO负责的安全职责范围不一样。在第一个例子中,CSO除了负责数据中心的安全外,其他部门的安全是不需要负责的。而在第二个例子中,对于不涉及使用ERP系统的部门的网络安全,CSO也是不需要负责的。

我们再来看一个例子,以细细品味一下CSO的职责范围。某公司CSO定义的网络安全边界是“公司所有IT系统内的信息与数据的安全”。在这个定义中,物理边界是“公司所有涉及IT系统的范围”,这个范围基本囊括了公司的所有部门。而对于“所有IT系统内的信息和数据”这一逻辑边界就值得玩味了,这家公司现实的情况是,内部已经有一个“保密办”在负责所有部门纸质文档的使用与保护了。因此,CSO在定义网络安全边界时特意强调了“IT系统内”,为的是与“保密办”的职责进行区分。也就是说,在公司所有IT系统内的电子数据和信息的保护由CSO负责,而一旦信息和数据被输出为纸质文档或存储在其他介质中,变成“IT系统外”时,则由“保密办”来负责相应的安全保护。

确定网络安全边界的定义是CSO的必修课,CSO要了解自身岗位的权利范围,结合实际,在可控范围内行使职责,切莫好高骛远,做自己做不到的事情。

另外,通过定义网络安全边界,CSO也须梳理所需要保护的信息资产的边界在哪里,避免发生错漏。以之前“企业ERP系统的使用安全”这一定义为例,在分析这个定义的边界时,考虑到使用ERP系统的用户应该不限于企业内部各部门,还可能包括企业供应商、相关机构或客户等。因此,需要保护的信息资产也就不局限于公司内部的信息设备了,还要包括供应商、相关机构连接ERP系统的前置设备、终端设备,以及客户的终端设备等,这些信息资产也应该纳入CSO的工作职责范围。