推动信息安全建设的三驾马车

---

前言

网络安全的ROI（return on investment 投资回报率）是极难判断的，这也是信息安全建设的推进难点。而推动信息安全建设出力最大的“三驾马车”分别是合规驱动、业务驱动、事件驱动。

一、合规驱动

推动信息安全建设的第一架马车肯定是合规建设，信息安全建设合规驱动最常见的便是《等保》《网络安全法》《密评》《关保》，除此之外，各个行业也有自身的一些合规要求驱动。例如涉密信息系统的《分保》、金融行业的《网上银行系统信息安全通用规范》、电力行业网络安全建设核心的36号文“安全分区、网络专用、横向隔离、纵向加密”、国资央企的态势感知合规要求等等。

《网络安全法》 第二十一条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：
（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；
（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；
（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；
（四）采取数据分类、重要数据备份和加密等措施；
（五）法律、行政法规规定的其他义务。

二、业务驱动

推动信息安全建设的第二架马车是业务驱动，随着各单位信息化能力的提升、系统与业务的结合，各个系统的数据越来越敏感、系统的业务连续性也越来越重要。在满足合规要求的情况下，如何切实的保障信息系统的安全、业务连续性、系统数据的安全、网络的安全，也是驱动力之一。

这里引入一些CISSP里业务连续性计划（BCP）相关概念进行举例
MTO（maxinum tolerable downtime）：最大允许停止时间；
RTO（Recovery Time objective）：在系统的不可用性严重影响到机构之前所允许消耗的最长时间, RPO之前备份了的数据也在这段时间里导入系统；
WRT（Work Recovery Time）：需要恢复丢失的数据，业务确认验证系统

三、事件驱动

推动信息安全建设的最后一架马车是事件驱动。信息安全事件比比皆是，通常伴随而来的也是信息安全的建设驱动，也是所谓的“亡羊补牢，为时未晚”

国外事件举例：
希腊电信巨头遭黑客攻击，大量用户个人信息被泄露：2020年10月，据外媒报道，希腊最大的电信网络公司Cosmote发生重大数据泄露事件，大量用户的个人信息遭泄露，可能会对“国家安全问题”产生重大影响。据报道，此次信息泄露是由国外黑客实施网络攻击造成的，黑客窃取了2020年9月1日至5日期间的电话等数据。Cosmote公司表示，被窃取的文件不包含通话(聊天)或短信内容、用户姓名或地址、信用卡或银行账户信息，用户无需采取任何行动。目前，该事件的调查正在进行中，还没有任何迹象表明遭窃取的信息已经被公开，或以其他方式被使用。

新西兰证交所连续一周遭受DDoS攻击导致交易中断：2020年8月31日上午，新西兰证券交易所网站在周一的市场交易开盘不久再次崩溃。这已是自8月25日以来，新西兰证券交易所连续第5天“宕机”。8月25日，新西兰证券交易所收到分布式拒绝服务（DDoS）攻击，袭击迫使交易所暂停其现金市场交易1小时，扰乱了其债务市场。8月26日再次受到攻击，暂停交易3小时。8月27日，由于无法发布公司公告，新西兰证券交易所暂停交易长达6小时，仅进行了1小时的交易。8月28日，新西兰证券交易所再度崩溃。根据该交易所此前的一份声明，之所以遭遇连接问题，与来自境外的严重DDoS攻击所造成的。新西兰财政部长表示，已要求政府通信安全局和打击网络犯罪的国家机构提供帮助。

美国200多个公检法部门泄露296GB数据文件：2020年6月，激进组织Distributed Denial of Secrets（DDoSecrets）声称从美国执法机构和融合中心窃取了296GB被称作BlueLeaks的数据文件，这些数据包含了美国200多个警察部门和执法融合中心（Fusion Centers）的报告、安全公告、执法指南等。据推测，某些文件还包含敏感的个人信息，例如姓名、银行账号和电话号码。据称，此次数据泄露事件的始作俑者又是黑客组织“匿名者”。

---