3.3　制訂步驟

制訂安全規劃的步驟包括：

1）調研。

2）確定規劃目標、現狀和差距。

3）制訂解決方案。

4）一稿，二稿……直到定稿。

5）向上層匯報。

6）回顧。

3.3.1　調研

做規劃前，大BOSS一般喜歡問我們幾個問題：

·未來三年，本團隊要做的最牛的三件事是什么？

·未來三年，你認為世界最好的團隊會做哪三件最牛的事（我們不做的原因）？

·未來三年想做但沒敢寫入規劃的三件事是什么？本團隊領域，很有價值但技術沒有可能實現的事情是什么？請列出1~2件。

每年最痛苦的就是怎么填這個大坑了，后來，我們將大BOSS的問題轉換了一下，更接地氣一點：

·這個領域最好的團隊在做什么（最佳實踐）。

·我們在同業處于什么水平（自我感知）。

·我們的現狀（存在哪些差距）。

回答上述問題的最好渠道是實地調研，多方學習，例如：

一是向大型互聯網企業學習，這些大型互聯網企業無論是面臨的安全威脅、全量的攻擊場景、復雜的網絡和應用環境，還是海量的服務器、終端、人員數量、遇到過的坑等，都是寶貴的實踐經驗。稍顯遺憾的是，互聯網企業（特別是做安全的）不太可能敞開心扉進行傳道授業解惑。因此，擁有一定的安全圈人脈資源也是企業安全負責人的必備條件之一，越來越多的企業安全人員招聘也要求這點。同時，注意參加這些互聯網企業舉行的年度會議，也能收獲很多干貨，建議多參加此類會議，遠離廠商自嗨會。

二是向同業學習。可以抓住一切了解金融同業的機會，向規模比自己大的企業學習實踐中遇到過的問題，向規模差不多的企業學習資源配置情況，向規模比自己小的企業學習單點突破能力強的領域。每年開春后，北上廣深走一圈，基本上就能大致了解整個行業的概況。

3.3.2　目標、現狀和差距

調研結束后，金融企業安全負責人通常對行業的未來趨勢和規劃方向有了大致了解，接下來就需要明確本企業的目標，分析現狀和差距。

1.目標

目標來自于企業戰略規劃和IT戰略規劃，分為總體目標和具體目標。

·總體目標，應盡可能清晰、簡潔，相對宏觀和“務虛”。企業安全目標可以定義為“通過綜合應用各類安全解決方案，發現并預防各類安全風險，能夠承受除DDoS以外的黑客高手或者黑客集團的攻擊；內部系統能有效防止非專業人員有意或者無意的數據泄露；能發現對內部重要服務器的普通內部黑客的攻擊；對人員進行安全合規教育，違規、違紀現象持續降低，安全審計發現持續降低”。

·具體目標，應盡可能明確、數字化，相對微觀和“務實”。例如，非本企業組織的互聯網系統漏洞發現為0；安全防護100%全覆蓋；互聯網基礎設施風險在2小時內化解；自動化驗證平臺100%覆蓋所有管控措施，管控措施失效能夠在24小時內發現……

關于規劃的目標，有兩點注意事項需要說明。

一是目標絕對不合理。目標是一種預測，沒有人敢說預測是合理的；而且，目標是一種決心，你發誓要做什么，目標就會出來。目標其實是你自己戰略的一個安排，決定你目標的是三個要素：你對未來的預測，你下的決心，你的戰略想法。

二是實現目標的行動必須合理。理解了這點，規劃就成功了大半，才能圍繞實現目標制訂行動計劃。如果實現目標的行動是合理的，那么看似不合理的目標反而有實現的可能。

關于目標，陳春花老師有三個建議，筆者很贊同，在此也做些分享：

·目標一定是從上往下，一定不要從下往上。我們最喜歡犯的錯誤就是團隊或者個人將自己要做的工作一報，報完集合起來然后往下一拍就行。目標絕對不能從底往上報，目標一定是上邊來定，其他東西都可以授權，但是目標設定是不授權的。

·目標必須是個人的目標。目標一定要給到個人，而不可以給到部門。

·每一個人承接的不是目標，而是一套解決方案。他必須去承諾這個解決方案，怎么讓這個目標實現。目標不是要確保實現1億的銷售額，而是要告訴我為了實現這個銷售額的行動方案是什么。

此處，科普一下目標設定的SMART原則及在安全規劃領域的應用，如圖3-3所示。

圖3-3　SMART原則

（1）Specific—明確性

所謂明確的就是要用具體的語言清楚地說明要達成的行為標準。明確的目標幾乎是所有成功團隊的一致特點。很多團隊不成功的重要原因之一就是目標模棱兩可，或沒有將目標有效地傳達給相關成員。

舉個例子，安全目標中有一條是“防黑反黑”。這種對目標的描述就很不明確，因為我們不知道要防護哪些目標，防護什么級別的黑暗力量。所以最后可以改成：能夠承受除DDoS以外的黑客高手或者黑客集團的攻擊；內部系統能有效防止非專業人員有意或者無意的數據泄露；能發現對內部重要服務器的普通內部黑客的攻擊。

（2）Measurable—衡量性

可衡量的是指應該有一組明確的數據，作為衡量是否達成目標的依據。如果制訂的目標沒有辦法衡量，就無法判斷這個目標是否實現。

舉個例子，定安全目標時，常見的用詞是“提高××水平”“加強××能力”“完善××措施”，這些目標是無法衡量的，因為不知道要提高到什么水平，加強到什么能力，完善哪些措施。在內部定具體安全目標時盡量使用可量化的目標，例如，非我公司組織的互聯網系統漏洞發現為0；管控措施失效能夠在24小時內發現，等等。

（3）Attainable—可實現性

目標是能夠被執行人所接受的，目標設置要堅持員工參與、上下左右溝通，使擬定的工作目標在組織及個人之間達成一致。目標不能是躺在床上就能完成的，也不能是“摘星星”的工作任務。

舉個例子，中小金融企業如果提出所有安全防護系統和工具都自研這一目標，雖然勇氣可嘉，然而實現起來卻非常困難。當目標完全不可實現，會打擊團隊士氣，造成“死豬不怕開水燙”的后果。

（4）Relevant—相關性

目標的相關性是指實現此目標與其他目標的關聯情況。如果實現了這個目標，但對其他目標完全不相關，或者相關度很低，那么即使達到這個目標，意義也不大，還很有可能勞民傷財，得不償失。

舉個例子，所有安全規劃的目標和任務都是圍繞保障企業安全性，并最終促進企業戰略目標來計劃的，如果一項工作與企業戰略目標完全無關，不管其技術先進性多么強，都應該忽略。

（5）Time-bound—時限性

目標的時限性是指目標是有時間限制的，沒有時間約束的目標是沒有辦法衡量和評價的。

舉個例子，安全工作的目標和任務需要時間約束，比如三年后達到什么安全水平，每一年提升哪些安全能力，每個季度完成哪些安全任務，都是時間條件強約束。

2.現狀和差距

對于現狀和差距主要考慮以下兩點：

一是分析維度要全，建議分成安全管理、安全防護、安全運營、安全資源、安全度量五個維度。安全管理考慮組織架構、職責、制度、考核；安全防護考慮覆蓋網絡層、虛擬層、系統層、應用層、數據層、用戶層的縱深防護技術體系；安全運營考慮安全運維、安全驗證、安全反制；安全資源考慮人員、流程、資源；安全度量考慮技術維度、安全運營成效、安全滿意度和安全價值。現狀和差距最好能做到全量摸底，重點突出。

二是敢于自揭老底，自我否定。不要自我感覺良好，沒發現異常很可能是發現能力不夠，沒有事件很可能是運氣好。

3.3.3　制訂解決方案

目標確定并分析差距后，必須針對性地制訂解決方案，才能確保目標落地實現。制訂解決方案要注意以下幾個原則：

一是要體系化。頭痛醫頭腳痛醫腳，可能短時間得到一點效果，但禁不住大BOSS問，怎么又是這個問題，怎么又要這個投入，你們能一次性和我說清楚嗎，等等。有些問題，初看是技術問題，仔細想想，其實根源還是管理問題。遇到問題，最好從管理和技術兩個方面考慮解決措施，得到綜合的結果。

二是要可持續。金融企業有個常見的例子，給分行或分支機構上IPS/IDS，但分行或分支機構根本就沒有能看懂IPS/IDS日志的管理員，如果合規要求必須上，那一定要考慮日志如何收集、分析和處理。最好的做法是將日志統一上收到總部，由總部統一管理和運營（注意不是運維，日常開機等還是分支機構管，日志分析和異常告警由總部完成）。每項安全措施、每套安全設備都是有管理成本的，如果僅僅上一個技術手段，而不考慮持續的運營，那么這個解決方案整體看來就是無效的。

三是要可接受。制訂解決方案后，要確保安全團隊的每位成員都從心里認同它、接受它，這樣執行才會有效率和有效果。提高團隊成員接受程度的一個好方法是，先讓團隊成員熟悉目標、現狀、差距，然后找晚上時間進行頭腦風暴，連續一周，強化訓練。當然，頭腦風暴過后，要記得去“擼串”，團隊建設、凝聚力、肚子餓的問題就都一并解決了。

3.3.4　定稿

一稿，二稿，……，定稿。關鍵是邁出第一步，完成第一稿，萬事開頭難，一旦開始就停不下來了。這個過程還有一個很重要的環節—征求意見。首先，在安全團隊內部充分討論、碰撞，形成共識；其次，在IT內部其他團隊征求意見，取得共識；再次，要做好上層匯報，完成定稿。

3.3.5　上層匯報

管理領域有個話題—如何管理你的上級，將上級作為你工作的資源之一。這是非常重要而有趣的話題。安全匯報是“管理”上級工作中非常重要的一環，往往也是安全人員最不擅長的一環。

首先，要建立面向高級管理層、IT部門總經理、安全團隊內部的安全匯報體系。每年至少要向高級管理層匯報1~2次，內容包括安全規劃、安全形勢、重大安全決策等。匯報形式可以是IT治理委員會或總裁辦公會框架下的正式會議，也可以是定期的簽報形式，這取決于企業內部的流程規定和具體需求。

其次，要在IT部門和安全團隊內部進行常態化的安全匯報，此類匯報的內容要圍繞三個目的展開—介紹取得的成果（邀功），表揚先進和督促后進，索要資源。

具體到安全規劃的匯報，建議先向IT部門總經理匯報，就目標、計劃、資源達成一致。但大部分總經理沒有精力也不應該過多關注解決方案等細節，最多可能關心現狀分析中存在的主要問題。達成一致后最好能在高級管理層匯報一次，可以是單獨的安全規劃議題，也可以合并在IT戰略規劃中，向高級管理層報告。

3.3.6　執行與回顧

安全規劃的執行與回顧，是規劃全生命周期中非常重要的一個環節。因為一個看似一般但嚴格執行的規劃，遠勝于一個看似很好卻無法或未能執行的規劃。為了確保安全規劃的落實，最好的方法是將安全規劃目標分解落實到安全重點項目和工作任務，再將重點項目和工作任務分解落實到安全團隊每位員工的年度績效考核中。至少每季度開展一次重點項目和工作任務的回顧，至少每半年開展一次安全團隊員工績效的回顧，回顧后需要制訂針對性的改進措施。

在實踐中，經常可以聽到關于規劃無用論的抱怨，如果做完規劃就將之束之高閣，那么規劃當然沒用。而堅定不移地執行規劃并做好定期回顧，將規劃作為真正的行動指南，規劃才能避免成為空中樓閣。

通常信息安全規劃一次做三年，每年滾動更新。任正非說過，方向可以大致正確，組織必須充滿活力。就是說，大家必須充滿活力地去執行規劃，但在執行中可以隨時調整規劃。