3.企业安全建设指南(金融行业安全架构与技术实践) --- 安全规划

1.规划前的思考
	著名企业战略专家陈春花说过，要经常问自己3个问题：
		1.你为什么会辛苦？很多人会发现你想做的事情下属没帮你去做
		2.你为什么很辛苦？你发现每一个小时的效率不够
		3.你为什么那么辛苦？是因为你发现很多人做的事情并不真正的产生效益

	金融企业战略规划(通常5年为周期)，IT战略规划(通常3年为周期)，信息安全三年规划，XX年工作计划。负责制定IT战略规划的人，通常会要求
  企业安全负责人提供信息安全三年规划作为基础材料。能否做一个看起来高大上，实施起来又接地气可执行的信息安全规划，是金融企业安全负责人
  的必备技能。

  	信息安全规划，以及在此框架下的年度工作计划，决定了新一年的安全投入，包括人员和预算。而预算的大小，往往和IT战略中信息安全相关的内容
  的篇幅形成正比关系。

  	在信息安全规划编制启动时间点选择方面，建议选择每年10月份启动，12月定稿。有的企业喜欢12月启动，春节前后甚至3月底定稿，这个时间安排弊端
  很大。企业工作中，总结，考核，预算，通常以自然年为单位，而企业员工概念中，一年工作结束一般以农历年为单位。因此到了春节前后，各种年会，总结，
  庆祝，基本上处于一个工作断档期。如果是3月份定后，那么和规划相关的重点项目的资源准备(如合作厂商技术交流测试)，就会浪费自然年的第一季度。
  如果每年10月启动，12月定稿，就可以利用元旦到春节前后的时间，进行规划相关的项目，资源的准备工作(比如，采购文档编制，采购流程发起)，春节后就
  可以开足马力，立刻开干。

  	安全规划考虑的因素，除了时间外，还应该考虑监管要求，企业风险偏好，IT战略目标，技术发展，资源约束，安全价值体现等。


2.规划框架
	安全规划框架，应包括概述，需求分析和安全目标，各个安全领域的现状和差距分析，解决方案和计划，安全资源规划，当年重点项目和重点任务，
  上一版安全规划目标差距分析等。
  	概述部分主要包括信息安全形势分析，安全形势可以是外部安全形势，行业形势，监管和股东要求，对手分析(攻击者，内部异常员工)等。
  	安全目标是指规划周期结束组织应该达到什么样的信息安全水平。安全目标应该是跳一跳，拼命跑才能达到的，甚至很大概率达不到，而不应该是躺在床上就能
  实现的。
  	对现状和差距的分析相当于自我体检，最重要的是能从过往的安全检查中分析管理差距，以及从白盒检测，黑盒检测失效中获得技术差距。其中黑盒检测有两大利器，
  即安全众测和红蓝对抗，能够先于对手发现自己我漏洞和弱点，对这类检测失效的原因进行深挖，是差距分析的重点。
  	解决方案和计划，解决方案提出的一条条解决措施，最终要落实到重点项目和任务实现上。计划分解的额度方面，当年的至少细化到月，未来两年的细化到季度即可。
  	当年重点项目和重点任务，是解决方案落地的关键，当年的工作目标靠重点项目和重点任务实现。差距，解决方案，重点项目和任务，计划要形成一系列有继承关系的
  完整链条才是克罗地亚的整套计划。项目和任务的区别是，项目比任务要大和复杂一些，任务属于优化改进的小措施，项目通常是要立项和花钱的。
  	上一版安全规划目标差距分析，是针对上一阶段的规划执行情况进行回顾和检讨，排查实际完成效果与规划目标的差距，分析造成差距的原因，避免新规划执行过程中
  重蹈覆辙；分析后认为需要调整或者补充执行的内容，放入新的规划中落地。

第1章 概述
第2章 安全管理框架介绍
第3章 需求分析和安全目标
	3.1 需求分析
		3.1.1 安全形势分析
		3.1.2 金融行业分析
		3.1.3 互联网行业分析
		3.1.4 其他重点行业分析 
		3.1.5 对手分析
		3.1.6 监管要求
		3.1.7 运行中心要求

	3.2 安全目标
	3.3 具体目标分解思路

第4章 安全防护建设框架
第5章 安全防护重点解决方案
第6章 安全运维建设框架
第7章 安全服务建设框架 
第8章 安全合规建设框架 
第9章 安全验证建设框架
第10章 安全反制建设框架
第11章 安全度量建设框架 
第12章 安全资源建设框架 
第13章 20XX年重点项目 
第14章 20XX年重点工作 
第15章 附录


3.制定步骤
	制定安全规划的步骤包括：
		1.调研
		2.确定规划目标，现状和差距
		3.制定解决方案
		4.一稿，二稿...直到定稿
		5.向上汇报
		6.回顾

	1.调研
		大boss一般喜欢问我们几个问题：
			1.未来三年，本团队要做的最牛的三件事是什么？
			2.未来三年，你认为世界上最好的团队会做哪三件最牛的事情(我们不做的原因)？
			3.未来三年，想做但没敢写入规划的三件事是什么？本团队领域，很有价值但技术没有可能实现的事情是什么？
		接地气：
			1.这个领域最好的团队在做什么(最佳实践)
			2.我们在同业处于什么水平(自我感知)
			3.我们的现状(存在哪些差距)

		回答上述问题的最好渠道是实地调研，多方学习:
			1.向大型互联网企业学习
			2.向同业学习
				向规模比自己大的企业学习实践中遇到过的问题，向差不多规模的企业学习资源配置情况，向规模比自己小的企业学习单点突破能力强的领域。

	2.目标，现状和差距
		1.目标
			目标来自于企业战略规划和IT战略划分，分为总体目标和具体目标。
			1.总体目标
				应该尽可能的清晰，简洁，相对宏观和务虚。企业安全目标可以定义为"通过综合应用各类安全解决方案，发现并预防各类安全风险，能够承受除
			  DDoS以外的黑客高手或者黑客集团的攻击；内部系统能够有效防止非专业人员有意或者无意的数据泄露；能发现对内部重要服务器的普通内部黑客
			  的攻击；对人员进行安全合规教育，违规，违纪现象持续降低，安全审计发现持续降低"。
			2.具体目标
				应该尽可能明确，数字化，相对微观和"务实"。例如，非本企业组织的互联网系统漏洞发现为0；安全防护100%全覆盖；互联网基础设施风险在2
			  小时内化解；自动化验证平台100%覆盖所有管控措施，管控措施失效能够在24小时内发现...

			关于目标需要注意：
				1.目标绝对不合理
					目标是一种预测，每人敢说预测是合理的；而且，目标是一种决心，你要发誓做什么，目标就会出来。目标其实是你自己战略的一个安排，决定
				  你目标的是三个要素：你对未来的预测，你下的决心，你的战略想法。
				2.实现目标的行动必须合理
					要理解这一点，规划就成功了一半，才能围绕实现目标制定行动计划。如果实现目标的行动是合理的，那么看似不合理的目标反而有实现的可能。

			关于目标:
				1.目标一定是从上往下，一定不要从下往上。其他东西可以授权，但是目标设定不能授权。
				2.目标必须是个人的目标。目标一定要给到个人，而不可以给到部门
				3.每一个人承接的不是目标，而是一套解决方案。他必须去承若这个解决方案，怎么让这个目标实现。
				4.smart 原则

		2.现状和差距	
			主要考虑以下2点：
			1.分析维度要全
				建议分成安全管理，安全防护，安全运营，安全资源，安全度量5个维度；
				安全管理考虑，组织架构，职责，制度，考核；
				安全防护考虑，覆盖网络层，虚拟层，系统层，应用层，数据层，用户层的纵深防御技术体系；
				安全运营考虑，安全运维，安全验证，安全反制；
				安全资源考虑，人员，流程，资源；
				安全度量考虑，技术维度，安全运营成效，安全满意度和安全价值；
			2.敢于自揭老底，自我否定

		3.制定解决方案
			目标确定并分析差距后，必须针对性的指定解决方案，才能确保目标落地实现。有几个原则：
			1.要体系化
				遇到问题，最好从管理和技术两个方面考虑解决措施。
			2.要可持续
				每项安全措施，每套安全设备都有管理成本的，如果仅仅上一个技术手段，而不考虑持续运营，那么这个解决方案整体看起来是无效的。
			3.要可接受
				制定解决方案后，要确保安全团队的每个成员都从心里认同它，接受它，这样执行才会有效率和有效果。提高团队成员接受程度的一个好办法是，
			  先让团队成员熟悉目标，现状，差距，然后找晚上时间进行头脑风暴，强化训练。当然，头脑风暴过后，要记得去"撸串"，团队建设，凝聚力，肚子饿
			  的问题就都一并解决了。

		4.定稿
			一稿，二稿...定稿。关键是迈出第一步，完成第一稿，万事开头难。一旦开始就停不下来了。

		5.上层汇报
			如何管理你的上级，将上级作为你的工作的资源之一。
			首先，要建立面向高层，IT部门总经理，安全团队内部的安全汇报体系。每年至少向高级管理层汇报1~2次，内容包括安全规划，安全形势，重大安全决策等。
		  汇报的形式可以是IT治理委员会或总裁办公会框架下的正式会议，也可以是定期的签报形式，这取决于企业内部的流程规定和具体需求。
		  	其次，要在IT部门和安全团队内部进行常态化的安全汇报，此类汇报的内容要围绕三个目的展开---介绍取得的成果(邀功)，表扬先进和督促后进，索要资源。
		  	具体到安全规划的汇报，建议先向IT部门经理汇报，就目标，计划，资源达成一致。但大部分总经理没有精力也不应该过多关注解决方案等细节，最多关心下
		  现状分析中存在的问题。达成一致最好能在高级管理层汇报一次，可以是单独的安全规划议题，也可以合并在IT战略规划中，向高级管理层报告。

		6.执行与回顾
			安全规划的执行与回顾，是规划生命周期中非常重要的一个环节。因为一个看似一般但严格执行的规划，远胜于一个看似很好却无法或者未能执行的规划。为了
		  确保安全规划的落实，最好的办法是将安全规划目标分解落实到安全重点项目和工作任务，再将重点项目和工作任务分解到安全团队每个员工的年度绩效考核中。
		  至少每个季度展示一次重点项目和工作任务的回顾，至少半年展开一次安全团队成员绩效的回顾，回顾之后需要制定针对性的改进措施。
		  	坚定不移的执行规划并做好定期回顾，将规划作为真正的行动指南，规划才能避免成为空中楼阁。通常信心安全规划一次做3年，每年滚动更新。任正非说过，
		  方向可以大致正确，组织必须充满活力。就是说，大家必须充满活力的取执行规划，但在执行中可以随时调整规划。


4.注意事项
	从某种意义上来说，安全规划其实是一套行动方案。规划不是目标分解，而是行动指南。要注意：
	1.要有逻辑，切记堆砌。
	2.既要有实(可落地)，也要有虚(远大目标)，虚实结合。总体目标，方向上可以务虚，眼光看远一点，目标定高一点；具体措施上，行动上必须务实，脚踏实地，分解成
    一项一项的行动，才可以确保规划的最终效果。

 

安全规划: