王勘：HW行动和企业信息安全体系治理逻辑

2023-05-12 10:48 王勘

作者简介：王勘，资深信息安全专家，网安加社区特聘专家，曾任腾讯出行学院信息安全讲师。具备互联网行业、金融、政务、能源、汽车出行、通信行业等领域的信息安全建设咨询与培训的实战经验，服务客户均为行业头部企业。

一、来自17年的预测

笔者在2017年《网络安全法》颁布之时，就已经在法律条文分析中向当时的业内客户汇报了关于“HW行动”的开展的预测。其实展开来《网络安全法》的法律条文，HW行动的规划也数次被提及。

当时预测的网络安全建设节奏应该是，立法及普法、扩大行业监管、提高演练频率，当初的预测或者说今天的治理历程如下图：

/ 《中华人民共和国网络安全法》 /

第三十四条规定：

除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：

（四）制定网络安全事件应急预案，并定期进行演练。

▷ 其中的演练包含企业的自行演练，还包括配合相应监管机构的联合演练。

第三十九条规定：

国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：

（二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力。

▷ 其中，“定期组织”、“应急演练”就是我们今天看到的“HW行动”，而参与HW行动的大部分企业其实也就是《网络安全法》中描述的“关键信息基础设施”。

第五十三条规定：

国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。

负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。

▷ 这条规定指导了省级单位、行业监管部门组织的“HW行动”或“应急演练”。

二、HW行动的意义

提到HW行动的意义就必须了解下国家的网络安全治理逻辑：

国家层面：立法，维护国家信息空间领土主权完整。
行业层面：执法，转译法律条纹至具体行业标准规范要求。
企业层面：守法，依托合规规范要求建设企业内部基础设施及制度流程。

而在信息安全治理过程中，不同的层面关注的点也不同：

企业关注：企业安全、企业利益不被侵犯窃取。
行业关注：行业稳定、业内发展符合规范预期。
国家关注：国家安全、网络空间领土主权完整。

这里也侧面解答了很多网络安全从业者和企业主的困惑：“我企业的网络一直很平稳，没出过什么大事儿，我不想花费这个预算，不做安全行不行？不演习不HW行不行？”

答案是：不行。享有财产被保护是每个公民和企业法人的权利，保障行业合规维护国家网络空间领土主权完整，行业稳定发展也是各位的义务。

第一是因为我国宪法已经规定了公民的合法的私有财产受宪法保护。公民的合法的私有财产不受侵犯。这样的规定一是涉及到企业所服务的用户的个人财产安全。

第二是企业在法律意义上其实也是一个完整的“法人”，其自身利益一样受法律保护，也就是说其企业所有者有义务保障企业的安全运营。

第三是被定义为关键信息基础设施的行业牵动了大量的民生和基础设施保障问题，一旦遭受到攻击或出现信息安全事故对国家和人民的损失是巨大的。

二、HW行动设计的意义

我们先来思考下为什么很多很多网络安全从业者和企业主会存在着：“我企业的网络一直很平稳，没出过什么大事儿，我不想花费这个预算，不做安全行不行？不演习不HW行不行？”这样的困惑？其根本原因是因为我国企业发展的周期太短了、速度太快了。相比较于国外的企业发展的历史沉淀还过于年轻。

在发展初期的核心目标一定是为了保障市场的繁荣扩张，保护企业健康茁壮成长，所以这个阶段国家在立法设置、合规管控、信息安全建设指导层面给予了相对微妙且平衡的节奏，这让我们拥有了高速增长的20年，但同时也意味着我国大部分企业的信息安全水平是“不及格”的，甚至很多企业是“交白卷”的。

从可持续发展的角度出发，我们依旧需要尽快的堵上这个窟窿。从现有的国际紧张的局势和竞争格局去看，信息安全能力也是我国企业的整体一个短板，很容易被降维打击。企业的安全能力不以人的主观意志决定水平，不以安全人才的高低决定水准浮动，企业的信息安全攻防线一定是基础设施加制度流程加响应机制综合形成一个整体的有机能力。

HW行动的核心价值是一个相对较低成本的、可以快速查缺补漏的优质方法：

是的，和各位印象相反的是，HW行动是所有的建设方案中，成本最低的。相比于给出一套通用的行业建设标准，动辄几千万投入的“马奇诺防线”，HW行动其实是给企业一个动态寻找自身短板的过程，原有的投入无需浪费，找到企业核心的短板快速补足。

三、HW行动的误区

我来给一个非常武断的观点，如果作为一个信息安全行业从业的读者，在读到上面两个篇章的时候只感觉到了乏味和枯燥，没有任何共鸣点，那很遗憾您并不是一位合格的从业人员，或是在这方面没有天赋，或是专业知识面储备欠缺。这并非是对笔者的认同感，而是说各位对国家在网络安全空间治理和企业安全治理的政策和出发点并没有深刻的理解。如果没有这方面的理解，那在企业做信息安全也永远是与企业主做成本与预算的对抗，并不能帮助到企业切身实地的将信息安全的ROI做到最优解。

实际上近年来的HW行动，对于很多企业而言也确实走到了一个偏门的误区。进入到了一种为了HW而HW的状态。

国家设计HW行动的初衷其实是让企业能够以最小代价、可迭代的找到自身的企业信息安全建设路径。HW行动本质是一场“测评”，其核心的意义不在于其过程，或者“通过”，而在于企业能通过本次“测评”发现多少自身能力的缺失，或是内部基础设施的短板，或是响应机制的短板，或是一些流程的不合理。当然这其中的原因复杂繁琐，或有企业的理解不到位，或有企业主的安全意识不足，或有测评监管机构的力度过于严苛或者因为行业的“一刀切”。但无论如何，对于一家企业尤其是中大型企业，如果每年度的信息安全演习只有一次HW行动，每年集全公司力气护一次网，那无疑是遗憾的，毕竟真正的“敌人”不会如HW行动一般“一板一眼”，手段可控且将手段和威胁以及攻击周期提前通知到企业。

更令人遗憾的是，企业仍旧习惯利用自己在甲方优势地位，每年在测评期间“借调人员”、“借调设备”，甚至将HW行动变成了一场分门别类的生意。一个行业如此发展注定是不能持久的，也不能给这个行业注入任何新的活力，如此做法的代价也终将有一天会从某些突如其来的事件中告知我们答案。“作弊”代价的种子早已经埋下，问题是谁来为这样的错误进行买单罢了。

四、依托HW行动的建设思路

企业该如何利用HW行动的思路，来实现企业信息安全的有机建设。这里我们提出一个概念叫做信息安全弹性能力。其核心思想是：企业压根没必要建设极高成本的安全马奇诺防线，只需要建设符合自身水准的安全能力即可，只需要具备发现风险的能力以及向监管机关及时汇报的制度和流程。

当然这样的核心思想也并非笔者杜撰或是原地感悟出来的，这就是等级保护的核心思想，分级而治。企业并不要承担来自未知的极度不确定的威胁的代价，企业只需要做到对应自身企业标准，有能力响应有能力汇报即可。这也是为什么各位在HW行动过程中，不只有防护的过程还要发现风险及时上报的原因，也在训练企业的响应上报机制。

其中的建设思路可以参考如下：

1. 构建自身业务模型，拆分不同业务板块的被损坏可接受度；

2. 分级治理，核心业务提高检测以及响应权重；

3. 分层建设，建设以业务为导向的IT基础设施；

4. 流程构建，很多企业缺乏流程响应机制的建设；

5. 演习测评，内部组织定期演习，交叉演习强化应对风险的能力；

6. 人才培育，构建企业内部的人才培养机制，培育企业自身的信息安全人才以及IT人才的信息安全能力；

7. 常态化培训，固化信息安全至企业的文化意识当中。

其中的建设原则如下：

1. 合理的分层建设胜过完整的大而全的建设；

2. 及时的风险识别机制胜过一味的设备堆叠；

3. 高效的汇报机制胜过于大而全的条纹制度；