freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

张天意:网络安全不是堆砌产品,而是管理和技术相结合的艺术
2021-10-12 16:09:35

在21世纪之交,一部好莱坞大片《黑客帝国》风靡全球,影片讲述了一个年轻的网络黑客,发现世界实际上是一个名为“矩阵”的人工智能所创造的虚拟世界。为了摆脱“矩阵”的控制,使人类重新获得地球的主宰权,他和盟友们共同斗争,最终实现人类与人工智能的和平共处。

那时,互联网概念和技术刚进入国内,这部影片在当时的青少年心中埋下了一颗通过网络改变世界的种子,立志要像《黑客帝国》中的“Neo”那样,用黑客技术去维护网络秩序。

张天意也是电影《黑客帝国》的忠实拥趸,从高中时期就对网络安全技术产生了浓厚兴趣,大学也选择了攻读计算机专业,毕业后心怀一颗成为白帽黑客的初心投身了网络安全领域,先后辗转于咨询、快消等行业,如今在金融标杆企业从事网络安全管理工作

《黑客帝国Ⅰ·矩阵》剧照

从业近十年,他见证了网络安全领域从萌芽到快速扩张,在各行业的网络安全工作中不断实践,逐渐摸索出一套网络安全体系建设的理论。

在他看来,网络安全建设不仅是单纯的技术问题,网络安全涉及企业运营管理的方方面面,要结合企业文化意识、制度流程等多方面统筹考量。张天意表示,“网络安全不是一劳永逸的阶段性建设项目,而是持续不断的长期运营过程。真正将网络安全融入企业的业务运营中,成为风险管理的重要一环。”

PPT体系(People、Procedure、Technology)是张天意推行的网络安全体系建设的核心思想,通过“以人为本,流程为辅,技术为器”的常态化运营模式,提升企业网络安全防御水平。

十年网安路

从高中时代起,张天意就开始钻研网络安全技术,混迹于各大网络安全技术BBS。高考填报志愿时他也同样选择了与网络安全相关的计算机专业。

彼时,网络安全概念在国内起步不久,计算机专业的课程大多面向程序开发与网络工程,没有系统的安全技术课程。他通过自学掌握了当时在国内尚属小众的网络安全理论与技术。

我国网络安全产业从启蒙到逐渐发展成熟的十多年,恰好也是张天意摸索网络安全领域的时间。毕业后不久,他获得了首批国家信息安全技师资格。2013年,他和团队一起代表所在企业参加了第二届ISG信息安全技能竞赛管理运维赛,获国资组一等奖。

2013信息安全技能竞赛颁奖仪式(右三)

2014年是业内公认的“网络安全元年”。在这一年,中央网络安全和信息化委员会(原为中央网络安全和信息化领导小组)宣告成立;中央第一次提出“没有网络安全就没有国家安全”,这标志着网络安全上升至国家战略高度,越来越多的企业开始重视自身的网络安全建设。

张天意也乘着这股东风,明确了职业发展定位,从网络安全技术方向逐步转型至网络安全管理方向,协助各企业搭建完善网络安全防护网。

网络安全技术

“网络安全领域不是技术至上,它其实是一门融合管理、法律等多领域知识的学科。”张天意表示,不少企业在网络安全建设上存在误区,重技术建设,轻统筹规划。

在实践案例中,他发现有些企业一味采购安全技术产品,但未梳理各产品间的功能联动与技术特点,忽略了安全技术产品与企业自身现状的适配度,缺乏有效的运维管理。这导致企业网络安全防护体系中产品功能重复或利用率低下,大大削弱了安全技术产品的投入产出比。

有些企业对不同安全需求则过度依赖单一厂商,部署“全家桶”式的安全技术产品或解决方案,使企业与厂商间的耦合度过高。假如厂商自身安全服务能力存在限制,企业的整体网络安全防护体系也很容易存在缺陷。

“网络安全建设与传统的信息系统建设一样,都讲究‘三分靠技术,七分靠管理’。”张天意告诉FreeBuf,网络安全构架类似艺术创作,不是技术产品堆砌的产物,而是管理和技术相融合的艺术。

他认为,艺术创作不能一味追求难度与技巧,网络安全构架同样不能执着于堆砌高精尖的安全前沿技术产品,也不能过度依赖厂商视角的“保姆式”解决方案,而是应当根据企业网络安全现状与面临的网络安全威胁,构建企业自身的网络安全技术体系,并通过管理手段将技术体系有效运转起来,使短期的网络安全建设向长期的网络安全运营转变,才能真正增强企业抵御网络安全风险的能力。

PPT体系:管理技术结合的网络安全建设框架

PPT体系(人员People、流程Procedure、技术Technology)是张天意在工作中总结出的网络安全体系建设理论,该体系将人员的网络安全意识与专业技能、制度流程的约束与管理、网络安全技术的引入与应用,三者相互融合联动。

他向FreeBuf展示了一幅图案,以漫威电影中的“美国队长之盾”元素形象地诠释了“PPT体系”的网络安全建设思路。

《美国队长1:复仇者先锋》剧照

他表示,网络安全建设对于企业而言,其价值就如同一块盾牌,抵御着来自互联网空间的侵袭,为企业的业务安全提供屏障。

其中,外层红圈意为“以人为本”,代表企业人员的网络安全意识与专业技能,网络安全建设不仅需要技术人员,更需要企业全体人员的支持与配合,因此“人员”是“PPT体系”中最基础也是最根本的因素。

白圈表示“流程为辅”,象征着制度流程的约束与管理,将企业的工作制度与业务流程作为“PPT体系”中的辅助手段,推动网络安全技术嵌入各项业务发展的全过程,以便能够尽早发现并介入处置网络安全风险。

内层红圈代表“技术为器”,通过网络安全技术的引入与应用,从专业的角度运用技术手段构建网络安全防御网。中间五角星表示分别从五个维度支撑起网络安全防御网络。

谈及该体系的构想,他表示,“PPT体系”不依赖于安全技术产品,它改变了当前事件驱动型的安全建设思维,变被动防御为未雨绸缪。“PPT体系”是根据业务对网络安全的实际需求,从技术和管理的角度构建一个网络安全基础架构,以达到整体提升企业网络安全防御水平的目的。

张天意强调,网络安全建设不是亡羊补牢的阶段性整改,也不是大而全的安全技术产品堆砌,网络安全是抵御网络威胁的动态过程。只有立足于企业自身,通过更深入的企业网络安全文化、更严谨的安全运维流程以及更强大的网络安全管理能力和威胁处置能力,才能形成可落地实施的安全业务闭环,持续有效地提升企业网络安全防御能力。

本文作者:, 转载请注明来自FreeBuf.COM

# 安全管理
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑