第一部分

安 全 架 构

第1章　企业信息安全建设简介

第2章　金融行业的信息安全

第3章　安全规划

第4章　内控合规管理

第5章　安全团队建设

第6章　安全培训

第7章　外包安全管理

第8章　安全考核

第9章　安全认证

第10章　安全预算、总结与汇报

第1章

企业信息安全建设简介

      企业信息安全越来越受到关注，但企业信息安全的本质和原则是什么？该怎么做？趋势如何？我们从更接近实战的角度进行探讨。

1.1　安全的本质

      在企业做信息安全会遇到很多困惑，企业信息安全到底应该怎么做？管理、技术、流程和人员哪个更重要？安全团队和安全人才该怎么建设、培养和激励？笔者带着这些问题。

      与各种安全圈内各种安全人士交流过，笔者发现长期以来一直困扰的问题与信息安全的本质有关，或者说，需要了解信息安全问题的本质是什么？

互联网本来是安全的，自从有了“研究安全”的人，就变得不安全了。比如SQL注入攻击，自从1999年首次出现后就成为互联网应用安全的头号大敌，SQL注入攻击的本质是把用户输入的数据当作代码执行，而开发人员设计用户输入的功能时，本意只是提供一个用户交互功能，根据用户的输入返回动态页面结果，以便提供更好的用户体验。这个好的出发点，很不幸被恶意的人滥用了。再比如，***网站目前已成为很多金融企业的首要安全威胁，而在2011年以前，很多金融企业的安全人员甚至都没有考虑过这个问题。时至今日，他们仍会觉得很无辜，因为企业的网站并没有任何安全漏洞，是***网站的“狡猾”和用户的“傻”，才让攻击者有机可乘。

      上面两个例子中，开发人员信任用户输入，用户信任***网站，从而导致信息安全问题。所以说，信息安全问题的本质是“信任”。计算机用0和1定义整个世界，而企业的信息安全目标是解决0和1之间的广大灰度数据，运用各种措施，将灰度数据识别为0（不值得信任）或1（值得信任）。信任是信息安全问题的本源。比如，某些普通企业设计信息安全方案时，会假设安全人员、开发人员、运维人员是默认被信任的；比普通企业安全要求更高的金融企业、国家机构等设计信息安全方案时，安全人员、开发人员、运维人员可能就是默认不被信任的。不同的信任假设决定了安全方案的复杂程度和实施成本，安全需要找到某个自己可以接受的“信任点”，并在这个点上取得成本和效益的平衡。