精华内容
下载资源
问答
  • 企业安全管理组织架构图
    千次阅读
    2021-05-12 22:58:21

    作者:随亦

    前述

    经过我和我的团队一年的不懈努力,基本完成了公司信息安全体系的初步建设,我设计的安全体系架构分为六大块:安全开发体系安全防御体系数据安全体系隐私合规体系资产管理体系安全管理体系,六大体系共同构成了完整的信息安全体系。

    完整的信息安全体系架构图:

    我设计的企业安全体系架构

    六大体系建设总结:

    企业安全开发体系建设总结
    企业安全防御体系建设总结
    企业数据安全体系建设总结
    企业隐私合规体系建设总结
    企业资产管理体系建设总结
    企业安全管理体系建设总结

    一、安全管理体系介绍

    安全管理体系是信息安全体系架构中的基础模块。从安全工程实施的角度来说,安全管理理论上是一个大概念,其涵盖的范围非常多,重要性与所产生的价值也远超技术安全,俗话说三分技术七分管理就是指这个。但单从安全体系架构的不同模块来讲,我这里的安全管理体系并没有那么高端,它在整个信息安全体系架构中扮演辅助角色,主要承担一些非技术的内容。

    在实践中,这里的安全管理体系根据实际情况已被狭义化和裁剪化,狭义化和裁减化之后,我将安全管理体系分为安全培训安全运营安全制度人员安全知识沉淀等五大块,接下来我将逐一展开论述。

    这里的安全管理体系属性偏辅助,优先级也不算高,不过其重要性却不可忽视,因此属于慢建设的部分。

    二、安全培训

    安全培训的目的一般是为了提高公司人员的安全素质,避免因人员自身的问题而带来安全风险。此前有机构调研得出,在信息安全的各个分支领域中,安全培训属于产出投入比(比重=产出/投入)最高的一个分支,在安全培训开展得当的情况下,简单的安全培训就能提高人员的安全意识,而人员的安全意识提升上来之后,很多安全风险就大大降低了。

    从某种程度讲,人员的安全意识是一个大概念,除了指例如设置复杂密码、离开座位要锁屏之类的琐事外,开发人员的安全编码意识也是一个方面,如果开发人员的安全编码意识强,代码逻辑中的各个环节就会添加校验,业务中的技术漏洞也会大大减少。

    在实践中,根据安全培训内容的不同,将安全培训分为安全意识培训安全技术培训两方面。

    2.1、安全意识

    安全意识培训的目的是提高公司员工的信息安全认知与防范意识,其面向的群体一般是公司所有员工。要开展安全意识培训,首先要做的是和培训的相关负责人搭上关系,了解清楚目前培训体系的具体情况,然后再视具体情况制定对应的培训计划。需要了解的情况如:

    1、是否有新员工培训,培训的周期是怎样的,能不能加课?
    2、新员工培训是否有考试,考试的形式是怎样的,是否可以加入安全意识考试?
    3、安全宣传的准备流程是怎样的,要不要审批,海报谁来设计,谁来负责落地?
    4、讲公开课的前期准备流程是怎样的,要不要审批,怎么做前期宣传?
    5、公司是否有考试系统,权限由谁管理,该系统是怎么使用的?

    了解完以上的具体情况后,接下来就可以制定计划并开展工作了,工作分为三块

    第一块:新员工安全意识培训

    1、第一步,确定新员工安全培训范围。这一步需要安全部门确定培训范围并撰写培训课件,培训课件内容要事先和培训相关负责人同步,双方确认无问题即可;

    2、第二步,确定新员工安全考试范围。这一步需要安全部门确定考试范围并编写考试试题,考试试题建议以选择题和判断题为主,不要出其他类型的题,以方便批阅;

    3、第三步,执行新员工安全培训。这一步需要安全部门参与到实际的现场培训中,讲解安全培训内容;

    4、第四步,执行新员工安全考试。按新员工培训结业考试的方式,将安全意识考试搭车进去,考核方式与新员工培训结业考试的考核方式一致,例如考试不通过不能毕业等;

    5、第五步,持久化该项目。安全部门应参与每一届的新员工培训,通过安全培训与考试,提高新员工的安全意识。

    第二块:安全意识宣传

    1、第一步,确定安全宣传的准备流程。一般情况下,安全部门只负责出内容,其他专业的事情需要让专业的人去做,例如宣传执行、海报设计、原料采购、摆放展位等等,因此,要做安全宣传,第一步应该是确定安全宣传的准备流程;

    2、第二步,启动流程。例如提海报设计需求给UED、提海报采购需求给行政、确定宣传海报摆放位置如大厅等;

    3、第三步,摆放宣传。海报设计完成并制作成实物后,由宣传执行部门摆放在预定的位置进行宣传。

    第三块:全员安全意识培训

    1、第一步,确定培训周期与考试周期。培训周期可以一季度一次,考试周期一般一年一次即可;

    2、第二步,确定安全培训范围。这一步需要安全部门撰写培训课件,培训课件内容要事先和培训相关负责人同步,双方确认无问题即可;

    3、第三步,培训前准备。这一步需要安全部门提请公开课审批,以及开展相关的宣传工作等;

    4、第四步,执行全员安全培训。这一步需要安全部门参与到实际的现场培训中,讲解安全培训内容;

    5、第五步,全员考试调研。这一步需要安全部门确定公司是否有考试系统,如果公司没有考试系统,则全员考试不开展。如果公司有考试系统,则申请相关权限,并与培训相关负责人沟通好考试事宜;

    6、第六步,确定全员安全考试范围。这一步需要安全部门编写安全意识考试题,建议以选择题和判断题为主,不要出其他类型的题,否则不好自动化批阅;

    7、第七步,执行全员安全意识考试。安全部门通过通过考试平台,向全员推送安全意识考试,并以固定时间间隔对未考试人员重新推送安全意识考试;

    8、第八步,安全培训后续工作。后续工作例如对于未参加考试的员工如何处置、对于考试不及格的员工如何处置等等。

    以上操作执行下来,员工安全意识这块的工作就算完成了。

    2.2、安全技术

    上一节所说的安全意识培训属于普惠式的安全培训,即适用群体是所有员工,并不会涉及专业知识。除了开展普惠式的安全培训外,还需要对技术人员进行安全培训,而对技术人员的安全培训则是需要涉及到专业知识的。

    安全技术培训实际上是SDL的第一部分,属于安全开发体系的内容,但在实践中,出于安全整体的考量,我将其划分到了安全管理体系下的安全培训里面。

    从培训周期来讲,安全技术培训由于受众群体较少,培训周期可以根据实际情况自行决定。从培训内容来讲,安全技术培训分为两块,一块是对技术人员的安全培训,另一块是安全部门内部的安全分享。

    对技术人员的安全培训一般包括:

    1、对产品部门的安全培训。对产品设计人员进行安全培训可以提高他们的安全素质,从而在设计产品时无需安全部门介入就能规避掉一部分安全风险,同时让产品设计人员知道哪些功能需要安全部门审计,哪些功能不需要安全部门审计,这样可以大大节约安全部门在产品需求上所耗费的时间和精力。

    2、对研发部门的安全培训。对研发部门的安全培训主要是安全编码培训,通过培训提高产品开发人员的安全编码能力,从而在编码时知道怎样规避常见的安全漏洞,进而提升产品的技术安全性,降低产品的技术安全风险。

    除对技术人员进行安全培训外,还有安全部门的内部安全分享,这里的内容就很多样化了,例如各自负责业务的详细说明、新安全技术的研究、新安全政策的研究、安全漏洞分享等等,组内分享比较随意,分享内容也可以根据实际情况自行决定。

    三、安全运营

    这里的安全运营也是一个小概念,它并没有通常所说的大安全运营那么高端(大安全运营是指:除了开发部署,一切皆运营),在实践中,我将这里的安全运营分为应急响应中心SRC安全影响力提升两大块。

    应急响应中心SRC

    实际上,我司是没有SRC的,我仅在这里谈谈我对SRC的一些想法。

    众所周知,随着公司的不断壮大,公司的影响力不断提升,肯定会有越来越多的白帽子关注到公司,如果这些白帽子发现的安全漏洞没有地方安放,这些漏洞就会流入未知的地方,对公司造成的威胁也将大大增加。因此,SRC应用而生,用来收集社会上白帽子提交的安全漏洞。

    建设SRC是需要一定时机的,首先公司影响力要足够大,大到有安全白帽子关注到,否则建设完SRC又让它常年在那里吃灰,是没有意义的;同时再加上有外部安全事件推动,在外部安全事件引起老板们的重视后,建设SRC的时机就成熟了。

    在SRC的建设历程中,我认为最难完成的一点应该是漏洞奖励的落地,因为这对于公司来说是一笔额外开支,老板们能否认可这笔开支的价值,就看缘分了。如果对白帽子提交漏洞不设奖励或奖励度低于公共漏洞平台,那白帽子为什么要将漏洞提到你的平台上呢?

    满足前置条件之后,剩余的工作应该是没有太大难度的,首先搭建一个SRC平台,之后就是运营的工作了,例如等待白帽提交漏洞,在漏洞提交上来之后,安全部门对漏洞做评估定级,之后安排奖励发放,并对漏洞做修复推进等等。当然,实际上可能会更复杂一些。

    安全影响力提升

    安全部门的影响力可以分为外部影响力和内部影响力,内部影响力是指在公司范围内的影响力,外部影响力是指在公司范围外的影响力。

    提升影响力的方式有很多,对于内部影响力来说,如安全培训、安全宣传、安全周或安全月活动等等,都是提升内部影响力的方式。对于外部影响力来说,开设公开的安全博客、定期更新安全文章、参加一些大会的演讲、赞助CTF比赛……等等,也都是提升外部影响力的方式。

    提升影响力对于安全部门来说是很有益处的,对外影响力高了,能汇集各路大牛加盟,大牛加盟能让影响力更高,从此走向正循环;对内影响力高了,则能更轻松的开展一些安全工作,少一些妨碍。

    四、安全制度

    安全制度即需要目标群体去遵守的信息安全相关的规章规范,该工作在实施时主要分为两步,第一步是安全部门编写安全制度或安全规范,第二步是推动这些安全制度落地,这里主要谈谈我对安全制度的一些看法。

    众所周知,制度是需要人来遵守的,但人是灵活的,会不会遵守这个制度,每个人有每个人的想法。那么一个制度如果要落地实施,就必须要有相对应的惩罚规则,并且惩罚规则必须要先落地实施。如果一个制度没有惩罚规则,或者惩罚规则没有实施落地,那这份制度基本就会成为纸上谈兵的空中楼阁,没有人会去遵守。

    再说到惩罚规则实施,实施惩罚需要有一个强有力的执行部门,在实践中,这个部门一般是人事部,如果人事部强势,违反规则就实名通报批评或进行更进一步的惩罚,那自然会形成一定的威慑力,大家就会开始关注这些规则的具体要求了。如果人事部不够强势,总是担心通报会动摇军心或影响犯错员工的形象等等,从而进行匿名通报或不通报,如此一来,不遵守这些制度的成本变得非常低了,长期以往会导致更多人不遵守公司的规章制度,公司的规章制度就会成为一纸空文。

    一般情况下,对于全公司的安全制度,如果有较为苛刻的条款的话,落地起来都有一定的困难,比如设置电脑密码复杂度这种,该类型的制度只能配合安全培训和安全宣传来贯彻,就实际情况来看,效果非常一般,目前也没有什么好的解决办法。但是对于面向小众群体的安全制度,落地情况就很可观了,比如敏感数据提取规范这种,对要提取敏感数据的需求,一律按照敏感数据提取规范来进行,制度落地相当于100%。

    总而言之,制度编写很简单,但制度落地,还是需要安全部门的长期努力。

    五、人员安全

    人员安全是指人本身的安全,它所涵盖的范围就非常广了,从公司的业务发展角度讲,其包括内鬼安全、公司外部人员安全、人员入职离职安全等等。

    内鬼安全

    内鬼动机一般包括系统破坏、数据窃取、内部欺诈、商业间谍、偶然间失常等。内部人员作案一般是一个持续过程,在这个过程中逐渐变化,一开始可能是“小偷小摸”,多次得手后,胆子越来越大,最后导致灾难性安全事件发生。内部人员并非指“纯粹”的内部人员,也包括生态上下游合作伙伴、外包、访客等任何具有内部访问权限的人。若要给内部人员下一个清晰定义,可从知识、访问、信任几方面来描述。

    抓内鬼,不是由单一的安全技术部门负责这么简单,而是由跨部门工作组负责,需要有组织保障。可能涉及信息安全、内部监察、内控、廉政、HR等部门,具体落在哪个部门取决于内部博弈,但一般企业内不会先设立这么一个组织再来开展活动,而是谁能干这件事,责任就落在谁头上。

    另外,这个团队需要高层授权,解决“谁来监视监视者”的问题。这个组的工作是保密的,因此需要做好信任管理,确保监视者会受到监视,因为这个组掌握的信息太多且太敏感。

    内鬼安全在实践中非常难以防范,目前来看对于内鬼安全除了加强思想教育以及发生事件后溯源追责,并没有好的解决方案,这个就不具体说了。

    公司外部人员安全

    公司外部人员有很多,例如外包人员、第三方驻场人员、外卖员、快递员等等,对于这些人员的管理主要涉及物理安全与权限安全。在实践中,对于像外包人员、第三方驻场人员这种和公司业务沾边的外部人员,除了限制其物理活动范围外,还应当做好业务权限管控,仅赋予相应的最小权限,防止公司业务信息泄露。而对于像外卖员、快递员这种不和公司业务沾边的外部人员,只需做好物理范围隔离即可,比如设置单独的快递收发室或外卖存放区等。

    人员入职离职安全

    对于人员入职这块,主要有以下三块:
    1、背景调查。这块主要由人事部进行执行;
    2、保密协议与竞业协议。协议的起草主要由法务部开展,协议的签署工作主要由人事部进行执行,在签署保密协议或竞业协议时,要注意协议的有效性问题;
    3、入职培训。入职培训中,应设置网络安全培训,这块主要由安全部门执行。

    对于人员离职这块,安全部门需要关注的就是防止离职人员造成公司业务信息泄露。从实际实施上来讲,主要是两块的内容,一块是在提出离职后,通过数据防泄露系统重点审查其办公终端历史数据,确保在整个工作期间内没有过信息泄露记录,若有信息泄露记录,则要进行面谈及信息确认,并重申保密协议的法律效力。另一块是离职员工的各个账号权限的回收清除,确保在离职后没有任何与业务有关的账号及权限。而对于人员离职产生的其他工作,则是其他部门的事情。

    六、知识沉淀

    公司是铁打的营盘流水的兵,安全部门也是,除了部门内的员工入职离职要做好知识传承外,部门内的同事之间协作也要做好知识传承,例如部署一个系统,具体是怎么部署的?运营一个系统,每期运营解决了哪些问题?测试一个系统,测试账号是什么?等等……

    实际上,不光是安全部门,任何一个团队若要长远发展下去,都离不开知识沉淀,知识沉淀是每一个团队都需要好好去做的事情。在实践中,知识沉淀即文档体系,将安全部门所有工作的记录和结果都以文档的形式记录下来,让每一个接手该工作的人都能够快速的熟悉原先的工作内容,从而在原工作基础上高效的向下开展新的部分,让安全团队始终保持较快的前进速度。

    七、总结

    安全管理体系是整个安全体系架构中的基础模块,属于重要但不紧急象限的部分。出于公司的实际情况考虑,这部分工作内容并没有设定很多,但基本能满足一个小团队的需求。实际中安全管理的方式也有很多,不同的团队有不同的管理方式,本文在此谨以抛砖引玉供大家参考。

    更多相关内容
  • 企业网络与信息安全管理组织构架 公司成立信息安全领导小组 是信息安全的最高决策机构 下设负责信息安全领导小组的日常事务 二信息安全领导小组负责研究重大事件 落实方针政策和制定总体策略等 职责主要包括 1....
  • 企业网络与信息安全管理组织构架 公司成立信息安全领导小组是信息安全的最高决策机构下设负责信息安全领导小组的日常事务 二信息安全领导小组负责研究重大事件落实方针政策和制定总体策略等职责主要包括 1....
  • 企业安全管里组织架构图.doc
  • 企业管理-网络安全-基于组织架构的国有煤炭企业管理控制体系研究.pdf
  • 如何创建企业网络安全组织架构.pdf
  • 2020 年信息安全企业组织架构和部门职能 一公司组织架构 . 3 二部门主要职能 . 3 1审计部 .3 2产品开发部 .4 3产品测试部 .4 4平台研发部 .4 5国内市场行销管理部 .4 6国内市场销售管理部 .4 7 国际市场行销管理部 ....
  • 建立了面向煤矿安全生产管理企业架构,给出了包含业务主线、业务构件、标准业务流程和组织架构的业务架构框架;介绍了以业务流程为源头的数据架构建立步骤、数据驱动的应用架构定义模式和反映煤矿信息化特点的技术...
  • 企业需设置或指定网络与信息安全主管部门(如信息安全领导小组、信息安全工作组、信息安全部等),负责本企业网络与信息安全...企业网络与信息安全管理组织架构:包括主管部门、配合部门, 网络与信息安全管理机构职责
  • 公司与组织架构设计 下一代安全服务架构 企业安全技术架构演进 多 VPC 互联架构设计 用自适应安全架构来应对高级定向攻击 零信任架构及解决方案 零信任安全架构的探索和实践 NIST零信任架构正式版 SDP安全架构技术...
  • 讲解苏宁的转型之道、苏宁的企业架构演进、苏宁的技术路线、苏宁的技术管理组织治理等
  • 企业微信组织架构同步优化的思路

    万次阅读 2018-02-12 16:03:25
    企业微信初版的全量同步方案在快速的业务增长面前已经捉襟见肘,针对其遇到的问题,怎样做好组织架构同步优化?这是又一篇来自微信团队的技术实战。写在前面企业微信在快速发展过程中,陆续有大企业加入使用,企业...

    作为企业级的微信,在业务快速发展的背景下,迭代优化的要求也越发急迫。企业微信初版的全量同步方案在快速的业务增长面前已经捉襟见肘,针对其遇到的问题,怎样做好组织架构同步优化?这是又一篇来自微信团队的技术实战。

    写在前面

    企业微信在快速发展过程中,陆续有大企业加入使用,企业微信初版采用全量同步方案,该方案在大企业下存在流量和性能两方面的问题,每次同步消耗大量流量,且在 iPhone 5s 上拉取 10w+ 成员架构包解压时会提示 memory warning 而应用崩溃。

    全量同步方案难以支撑业务的快速发展,优化同步方案越来越有必要。本文针对全量同步方案遇到的问题进行分析,提出组织架构增量同步方案,并对移动端实现增量同步方案的思路和重难点进行了讲解。

    企业微信业务背景

    在企业微信中,组织架构是非常重要的模块,用户可以在首页的 tab 上选择"通讯录"查看到本公司的组织架构,并且可以通过"通讯录"找到本公司的所有成员,并与其发起会话或者视频语音通话。

    组织架构是非常重要且敏感的信息,企业微信作为企业级产品,始终把用户隐私和安全放在重要位置。针对组织架构信息,企业管理员具有高粒度隐私保护操作权限,不仅支持个人信息隐藏,也支持通讯录查看权限等操作。

    在企业微信中,组织架构特征有:

    1、多叉树结构。叶子节点代表成员,非叶子节点代表部门。部门最多只有一个父部门,但成员可属于多个部门。

    2、架构隐藏操作。企业管理员可以在管理后台设置白名单和黑名单,白名单可以查看完整的组织架构,其他成员在组织架构里看不到他们。黑名单的成员只能看到自己所在小组和其所有的父部门,其余人可以看到黑名单的成员。

    3、组织架构操作。企业管理员可以在 web 端和 app 端添加 / 删除部门,添加 / 删除 / 移动 / 编辑成员等操作,并且操作结果会及时同步给本公司所有成员。

    全量同步方案的问题

    本节大致讲解下全量同步方案实现以及遇到的问题。

    全量同步方案原理

    企业微信在 1.0 时代,从稳定性以及快速迭代的角度考虑,延用了企业邮通讯录同步方案,采取了全量架构同步方案。

    核心思想为服务端下发全量节点,客户端对比本地数据找出变更节点。此处节点可以是用户,也可以是部门,将组织架构视为二叉树结构体,其下的用户与部门均为节点,若同一个用户存在多个部门下,被视为多个节点。

    全量同步方案分为首次同步与非首次同步:

    首次同步服务端会下发全量的节点信息的压缩包,客户端解压后得到全量的架构树并展示。

    非首次同步分为两步:

    服务端下发全量节点的 hash 值。客户端对比本地数据找到删除的节点保存在内存中,对比找到新增的节点待请求具体信息。

    客户端请求新增节点的具体信息。请求具体信息成功后,再进行本地数据库的插入 / 更新 / 删除处理,保证同步流程的原子性。

    用户反馈

    初版上线后,收到了大量的组织架构相关的 bug 投诉,主要集中在:

    流量消耗过大。

    客户端架构与 web 端架构不一致。

    组织架构同步不及时。

    这些问题在大企业下更明显。

    问题剖析

    深究全量同步方案难以支撑大企业同步的背后原因,皆是因为采取了服务端全量下发 hash 值方案的原因,方案存在以下问题:

    拉取大量冗余信息。即使只有一个成员信息的变化,服务端也会下发全量的 hash 节点。针对几十万人的大企业,这样的流量消耗是相当大的,因此在大企业要尽可能的减少更新的频率,但是却会导致架构数据更新不及时。

    大企业拉取信息容易失败。全量同步方案中首次同步架构会一次性拉取全量架构树的压缩包,而超大企业这个包的数据有几十兆,解压后几百兆,对内存不足的低端设备,首次加载架构可能会出现内存不足而 crash。非首次同步在对比出新增的节点,请求具体信息时,可能遇到数据量过大而请求超时的情况。

    客户端无法过滤无效数据。客户端不理解 hash 值的具体含义,导致在本地对比 hash 值时不能过滤掉无效 hash 的情况,可能出现组织架构展示错误。

    优化组织架构同步方案越来越有必要。

    寻找优化思路

    寻求同步方案优化点,我们要找准原来方案的痛点以及不合理的地方,通过方案的调整来避免这个问题。

    组织架构同步难点

    准确且耗费最少资源同步组织架构是一件很困难的事情,难点主要在:

    组织架构架构数据量大。消息 / 联系人同步一次的数据量一般情况不会过百,而企业微信活跃企业中有许多上万甚至几十万节点的企业,意味着架构一次同步的数据量很轻松就会上千上万。移动端的流量消耗是用户非常在乎的,且内存有限,减少流量的消耗以及减少内存使用并保证架构树的完整同步是企业微信追求的目标。

    架构规则复杂。组织架构必须同步到完整的架构树才能展示,而且企业微信里的涉及到复杂的隐藏规则,为了安全考虑,客户端不应该拿到隐藏的成员。

    修改频繁且改动大。组织架构的调整存在着新建部门且移动若干成员到新部门的情况,也存在解散某个部门的情况。而员工离职也会通过组织架构同步下来,意味着超大型企业基本上每天都会有改动。

    技术选型-提出增量更新方案

    上述提到的问题,在大型企业下会变得更明显。在几轮方案讨论后,我们给原来的方案增加了两个特性来实现增量更新:

    增量。服务端记录组织架构修改的历史,客户端通过版本号来增量同步架构。

    分片。同步组织架构的接口支持传阈值来分片拉取。

    在新方案中,服务端针对某个节点的存储结构可简化为:

    vid 是指节点用户的唯一标识 id,departmentid 是指节点的部门 id,is_delete 表示该节点是否已被删除。

    若节点被删除了,服务端不会真正的删除该节点,而将 is_delete 标为 true。

    若节点被更新了,服务端会增大记录的 seq,下次客户端来进行同步便能同步到。

    其中,seq 是自增的值,可以理解成版本号。每次组织架构的节点有更新,服务端增加相应节点的 seq 值。客户端通过一个旧的 seq 向服务器请求,服务端返回这个 seq 和 最新的 seq 之间所有的变更给客户端,完成增量更新。

    图示为:

    通过提出增量同步方案,我们从技术选型层面解决了问题,但是在实际操作中会遇到许多问题,下文中我们将针对方案原理以及实际操作中遇到的问题进行讲解。

    增量同步方案

    本节主要讲解客户端中增量同步架构方案的原理与实现,以及基础概念讲解。

    增量同步方案原理

    企业微信中,增量同步方案核心思想为:

    服务端下发增量节点,且支持传阈值来分片拉取增量节点,若服务端计算不出客户端的差量,下发全量节点由客户端来对比差异。

    增量同步方案可抽象为四步完成:

    客户端传入本地版本号,拉取变更节点。

    客户端找到变更节点并拉取节点的具体信息。

    客户端处理数据并存储版本号。

    判断完整架构同步是否完成,若尚未完成,重复步骤 1,若完成了完整组织架构同步,清除掉本地的同步状态。

    忽略掉各种边界条件和异常状况,增量同步方案的流程图可以抽象为:

    接下来我们再看看增量同步方案中的关键概念以及完整流程是怎样的。

    版本号

    同步的版本号是由多个版本号拼接成的字符串,版本号的具体含义对客户端透明,但是对服务端非常重要。

    版本号的组成部分为:

    版本号回退

    增量同步在实际操作过程中会遇到一些问题:

    服务端不可能永久存储删除的记录,删除的记录对服务端是毫无意义的而且永久存储会占用大量的硬盘空间。而且无效数据过多也会影响架构读取速度。当 is_delete 节点的数目超过一定的阈值后,服务端会物理删除掉所有的 is_delete 为 true 的节点。此时客户端会重新拉取全量的数据进行本地对比。

    一旦架构隐藏规则变化后,服务端很难计算出增量节点,此时会下发全量节点由客户端对比出差异。

    理想状况下,若服务端下发全量节点,客户端铲掉旧数据,并且去拉全量节点的信息,并且用新数据覆盖即可。但是移动端这样做会消耗大量的用户流量,这样的做法是不可接受的。所以若服务端下发全量节点,客户端需要本地对比出增删改节点,再去拉变更节点的具体信息。

    增量同步情况下,若服务端下发全量节点,我们在本文中称这种情况为版本号回退,效果类似于客户端用空版本号去同步架构。从统计结果来看,线上版本的同步中有 4% 的情况会出现版本号回退。

    阈值分片拉取

    若客户端的传的 seq 过旧,增量数据可能很大。此时若一次性返回全部的更新数据,客户端请求的数据量会很大,时间会很长,成功率很低。针对这种场景,客户端和服务端需要约定阈值,若请求的更新数据总数超过这个阈值,服务端每次最多返回不超过该阈值的数据。若客户端发现服务端返回的数据数量等于阈值,则再次到服务端请求数据,直到服务端下发的数据数量小于阈值。

    节点结构体优化

    在全量同步方案中,节点通过 hash 唯一标示。服务端下发的全量 hash 列表,客户端对比本地存储的全量 hash 列表,若有新的 hash 值则请求节点具体信息,若有删除的 hash 值则客户端删除掉该节点信息。

    在全量同步方案中,客户端并不能理解 hash 值的具体含义,并且可能遇到 hash 碰撞这种极端情况导致客户端无法正确处理下发的 hash 列表。

    而增量同步方案中,使用 protobuf 结构体代替 hash 值,增量更新中节点的 proto 定义为:

    在增量同步方案中,用 vid 和 partyid 来唯一标识节点,完全废弃了 hash 值。这样在增量同步的时候,客户端完全理解了节点的具体含义,而且也从方案上避免了曾经在全量同步方案遇到的 hash 值重复的异常情况。

    并且在节点结构体里带上了 seq 。节点上的 seq 来表示该节点的版本,每次节点的具体信息有更新,服务端会提高节点的 seq,客户端发现服务端下发的节点 seq 比客户端本地的 seq 大,则需要去请求节点的具体信息,避免无效的节点信息请求。

    判断完整架构同步完成

    因为 svr 接口支持传阈值批量拉取变更节点,一次网络操作并不意味着架构同步已经完成。那么怎么判断架构同步完成了呢?这里客户端和服务端约定的方案是:

    若服务端下发的(新增节点+删除节点)小于客户端传的阈值,则认为架构同步结束。

    当完整架构同步完成后,客户端需要清除掉缓存,并进行一些额外的业务工作,譬如计算部门人数,计算成员搜索热度等。

    增量同步方案 - 完整流程图

    考虑到各种边界条件和异常情况,增量同步方案的完整流程图为:

    增量同步方案难点

    在加入增量和分片特性后,针对几十万人的超大企业,在版本号回退的场景,怎样保证架构同步的完整性和方案选择成为了难点。

    前文提到,隐藏规则变更以及后台物理删除无效节点后,客户端若用很旧的版本同步,服务端算不出增量节点,此时服务端会下发全量节点,客户端需要本地对比所有数据找出变更节点,该场景可以理解为版本号回退。在这种场景下,对于几十万节点的超大型企业,若服务端下发的增量节点过多,客户端请求的时间会很长,成功率会很低,因此需要分片拉取增量节点。而且拉取下来的全量节点,客户端处理不能请求全量节点的具体信息覆盖旧数据,这样的话每次版本号回退的场景流量消耗过大。

    因此,针对几十万节点的超大型企业的增量同步,客户端难点在于:

    断点续传。增量同步过程中,若客户端遇到网络问题或应用中止了,在下次网络或应用恢复时,能够接着上次同步的进度继续同步。

    同步过程中不影响正常展示。超大型企业同步的耗时可能较长,同步的时候不应影响正常的组织架构展示。

    控制同步耗时。超大型企业版本号回退的场景同步非常耗时,但是我们需要想办法加快处理速度,减少同步的消耗时间。

    思路

    架构同步开始,将架构树缓存在内存中,加快处理速度。

    若服务端端下发了需要版本号回退的 flag,本地将 db 中的节点信息做一次备份操作。

    将服务端端下发的所有 update 节点,在架构树中查询,若找到了,则将备份数据转为正式数据。若找不到,则为新增节点,需要拉取具体信息并保存在架构树中。

    当完整架构同步结束后,在 db 中找到并删除掉所有备份节点,清除掉缓存和同步状态。

    若服务端下发了全量节点,客户端的处理时序图为:

    服务端下发版本号回退标记

    从时序图中可以看出,服务端下发的版本号回退标记是很重要的信号。

    而版本号回退这个标记,仅仅在同步的首次会随着新的版本号而下发。在完整架构同步期间,客户端需要将该标记缓存,并且跟着版本号一起存在数据库中。在完整架构同步结束后,需要根据是否版本号回退来决定删除掉数据库中的待删除节点。

    备份架构树方案

    架构树备份最直接的方案是将 db 中数据 copy 一份,并存在新表里。如果在数据量很小的情况下,这样做是完全没有问题的,但是架构树的节点往往很多,采取这样简单粗暴的方案在移动端是完全不可取的,在几十万人的企业里,这样做会造成极大的性能问题。

    经过考虑后,企业微信采取的方案是:

    若同步架构时,后台下发了需要版本号回退的 flag,客户端将缓存和 db 中的所有节点标为待删除(时序图中 8,9 步)。

    针对服务端下发的更新节点,在架构树中清除掉节点的待删除标记(时序图中 10,11 步)。

    在完整架构同步结束后,在 db 中找到并删除掉所有标为待删除的节点(时序图中 13 步),并且清除掉所有缓存数据。

    而且,在增量同步过程中,不应该影响正常的架构树展示。所以在架构同步过程中,若有上层来请求 db 中的数据,则需要过滤掉有待删除标记的节点。

    缓存架构树

    方案决定客户端避免不了全量节点对比,将重要的信息缓存到内存中会大大加快处理速度。内存中的架构树节点体定义为:

    此处我们用 std::map 来缓存架构树,用 std::pair 作为 key。我们在比较节点的时候,会涉及到很多查询操作,使用 map 查询的时间复杂度仅为 O(logn)。

    增量同步方案关键点

    本节单独将优化同步方案中关键点拿出来写,这些关键点不仅仅适用于本文架构同步,也适用于大多数同步逻辑。

    保证数据处理完成后,再储存版本号

    在几乎所有的同步中,版本号都是重中之重,一旦版本号乱掉,后果非常严重。

    在架构同步中,最最重要的一点是:

    保证数据处理完成后,再储存版本号。

    在组织架构同步的场景下,为什么不能先存版本号,再存数据呢?

    这涉及到组织架构同步数据的一个重要特征:架构节点数据是可重复拉取并覆盖的。

    考虑下实际操作中遇到的真实场景:

    若客户端已经向服务端请求了新增节点信息,客户端此时刚刚插入了新增节点,还未储存版本号,客户端应用中止了。

    此时客户端重新启动,又会用相同版本号拉下刚刚已经处理过的节点,而这些节点跟本地数据对比后,会发现节点的 seq 并未更新而不会再去拉节点信息,也不会造成节点重复。

    若一旦先存版本号再存具体数据,一定会有概率丢失架构更新数据。

    同步的原子性

    正常情况下,一次同步的逻辑可以简化为:

    在企业微信的组织架构同步中存在异步操作,若进行同步的过程不保证原子性,极大可能出现下图所示的情况:

    该图中,同步的途中插入了另外一次同步,很容易造成问题:

    输出结果不稳定。若两次同步几乎同时开始,但因为存在网络波动等情况,返回结果可能不同,给调试造成极大的困扰。

    中间状态错乱。若同步中处理服务端返回的结果会依赖于请求同步时的某个中间状态,而新的同步发起时又会重置这个状态,很可能会引起匪夷所思的异常。

    时序错乱。整个同步流程应该是原子的,若中间插入了其他同步的流程会造成整个同步流程时序混乱,引发异常。

    怎样保证同步的原子性呢?

    我们可以在开始同步的时候记一个 flag 表示正在同步,在结束同步时,清除掉该 flag。若另外一次同步到来时,发现正在同步,则可以直接舍弃掉本次同步,或者等本次同步成功后再进行一次同步。

    此外也可将同步串行化,保证同步的时序,多次同步的时序应该是 FIFO 的。

    缓存数据一致性

    移动端同步过程中的缓存多分为两种:

    内存缓存。加入内存缓存的目的是减少文件 IO 操作,加快程序处理速度。

    磁盘缓存。加入磁盘缓存是为了防止程序中止时丢失掉同步状态。

    内存缓存多缓存同步时的数据以及同步的中间状态,磁盘缓存用于缓存同步的中间状态防止缓存状态丢失。

    在整个同步过程中,我们都必须保证缓存中的数据和数据库的数据的更改需要一一对应。在增量同步的情况中,我们每次需要更新 / 删除数据库中的节点,都需要更新相应的缓存信息,来保证数据的一致性。

    优化数据对比

    内存使用

    测试方法:使用工具 Instrument,用同一账号监控全量同步和增量同步分别在首次加载架构时的 App 内存峰值。

    内存峰值测试结果

    分析

    随着架构的节点增多,全量同步方案的内存峰值会一直攀升,在极限情况下,会出现内存不足应用程序 crash 的情况(实际测试中,30w 节点下,iPhone 6 全量同步方案必 crash)。而增量同步方案中,总节点的多少并不会影响内存峰值,仅仅会增加同步分片的次数。

    优化后,在腾讯域下,增量同步方案的 App 总内存使用仅为全量同步方案的 53.1%,且企业越大优化效果越明显。并且不论架构的总节点数有多少,增量同步方案都能将完整架构同步下来,达到了预期的效果。

    流量使用

    测试方法:在管理端对成员做增加操作五次,通过日志分析客户端消耗流量,取其平均值。日志会打印出请求的 header 和 body 大小并估算出流量使用值。

    测试结果

    分析

    增加成员操作,针对增量同步方案仅仅会新拉单个成员的信息,所以无论架构里有多少人,流量消耗都是相近的。同样的操作针对全量同步方案,每次请求变更,服务端都会下发全量 hash 列表,企业越大消耗的流量越多。可以看到,当企业的节点数达到 20w 级别时,全量同步方案的流量消耗是增量同步方案的近 500 倍。

    优化后,在腾讯域下,每次增量同步流量消耗仅为全量同步方案的 0.4%,且企业越大优化效果越明显。

    写在最后

    增量同步方案从方案上避免了架构同步不及时以及流量消耗过大的问题。通过用户反馈和数据分析,增量架构同步上线后运行稳定,达到了理想的优化效果。


    展开全文
  • 本文对《大型互联网企业安全架构》里的核心内容做了梳理,并加入了深层解释。很适合安全小白入门企业安全

    文章目录


    Part one:安全理论体系

    第一章 安全理念

    一、企业安全风险综述

    1. 业务与运维安全(生产网安全)

    包括两个层面:业务开发和基础运维

    1. 业务开发

      互联网企业涉及的研发业务主要为Web服务、App移动应用以及PC(个人电脑)端软件等。

      业务开发方面的安全问题主要是由于软件开发人员安全编程能力(SDL)差、安全意识薄弱以及配套的企业安全制度规范及流程建设不到位造成的。很多安全事故产生的原因都是研发人员进行开发时编写了有漏洞的代码。

    2. 基础运维

      业务开发(Dev)完成后,就进入运维(Ops)阶段了,该阶段的资产管理、漏洞与补丁管理、安全配置基线、应急响应等如果没有做好也容易造成各种安全风险。

    2. 企业内部安全(办公网安全)

    据统计,70%以上的安全威胁来自企业内部。

    1. 隔离安全

      隔离包括网络隔离和物理隔离。
      网络隔离主要包括网络边界隔离,例如VPN、防火墙、Wi-Fi、部门间的网络隔离等。
      物理隔离主要包括门禁系统、摄像监控等方面的隔离。

    2. 终端安全

      终端主要包括PC、打印机、电话及BYOD(Bring Your Own Device,指携带自己的设备办公,这些设备包括个人电脑、手机、平板等)设备等。

    3. 办公系统安全

      办公系统主要包括Mail、OA、CRM、ERP、HR、BOSS等方面的系统,还有针对研发的代码管理和测试系统(如SVN、Git、Wiki、Jenkins系统等)。

    4. 员工安全

      涉及员工安全的问题比较多,比如弱口令、离开工位后电脑不锁屏、外部人员尾随进入、私自接入BYOD设备、安装盗版软件、复制公司产品代码和数据、使用私人邮件处理公司事务、将公司最新产品的未公开信息告诉亲朋好友等。这些问题造成的最大也最普遍的危害就是数据泄露,内部安全做的好不好和是否进行了有效的员工安全意识培训、是否具备完善的安全流程制度及技术管控手段息息相关。

    3. 法律法规与隐私保护

    为保障网络空间安全、用户数据隐私安全,一些法律出台。对我国影响较大的法律:

    1. GDPR(General Data Protection Regulation),即《通用数据保护条例》。
    2. 《中华人民共和国网络安全法》

    4. 供应链安全

    常见的供应链风险通常会发生在基础设施、生产软件和加密算法这三个方面。

    1. 基础设施

      芯片可能被植入硬件木马。路由器、服务器和其他计算机网络设备可能被安装后门监听工具。

    2. 生产软件

      开发软件可能被污染、植入后门。

    3. 加密算法

      加密算法在很多方面都是保障安全的基础。如果加密算法在底层被嵌入后门将非常可怕。

    二、业界理念最佳实践

    1. 阿里云
      三个安全手段:
      (1)安全融入设计
      (2)自动化监控与响应(大数据处理平台辅以 AI 等技术):例如SOAR
      (3)红蓝对抗与持续改进
    2. Google
      (1)安全文化:员工培训、专职安全团队
      (2)安全运营:漏洞管理流程体系
      (3)安全事件管理系统
      (4)以安全为核心的技术驱动

    第二章 国际著名安全架构理论

    网络安全体系是一项复杂的系统工程,需要把安全组织体系安全技术体系安全管理体系等手段进行有机融合,构建一体化的整体安全屏障。下面介绍一些知名的安全架构模型。

    1. P2DR模型

    P2DR是Policy(安全策略)、Protection(防护)、Detection(检测)和 Response(响应)的缩写。P2DR模型以PDR模型(Protection、Detection、Response)为基础。

    (1)Policy(策略):定义系统的监控周期、确立系统恢复机制、制定网络访问控制策略和明确系统的总体安全规划和原则。

    (2)Protection(防护):采用一系列手段(识别、认证、授权、访问控制、数据加密)保障数据的保密性、完整性、可用性、可控性和不可否认性等。通常是通过采用一些传统的静态安全技术及方法来实现的,主要有防火墙、加密、认证等方法。

    (3)Detection(检测):利用各类工具检查系统可能存在的供黑客攻击、病毒泛滥的脆弱性,即入侵检测、病毒检测等。通过不断地检测和监控网络和系统,来发现新的威胁和弱点,通过循环反馈来及时作出有效的响应。

    (4)Response(响应):在检测到安全漏洞和安全事件之后必须及时做出正确的响应,从而把系统调整到安全状态,杜绝危害的进一步蔓延扩大,力求将安全事件的影响降到最低。

    P2DR是动态安全理论的主要模型,可以表示为:安全=风险+分析+执行策略+系统实施+漏洞检测+实时响应。

    动态安全理论的最基本原理是:安全相关的所有行为(包括攻击 、防护、检测、响应)都需要消耗时间。因此可以用时间来衡量一个体系的安全性和安全能力,即提高系统的防护时间(PT)、降低检测时间(DT)和响应时间(RT)。
    (1)PT:攻击成功所需时间被称做安全体系能够提供的防护时间;
    (2)DT:在攻击发生的同时,检测系统发挥作用,攻击行为被检测出来需要的时间;
    (3)RT:检测到攻击之后,系统会作出应有的响应动作,所需时间被称作响应时间。

    要实现安全,必须让防护时间大于检测时间加上响应时间:PT > DT + RT。为什么?
    (1)PT > DT + RT,系统安全,即在安全机制针对攻击、破坏行为作出了成功的检测和响应时,安全控制措施依然在发挥有效的保护作用,攻击和破坏行为未给信息系统造成损失。
    (2)PT < DT + RT,系统不安全,即信息系统的安全控制措施的有效保护作用,在正确的检测和响应作出之前就已经失效,破坏和攻击行为已经给信息系统造成了实质性破坏和影响。

    P2DR模型是在动态安全理论的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的响应将系统调整到“最安全”和“风险最低”的状态。
    防护、检测和响应组成了一个完整的、动态的安全循环,在动态安全理论的指导下可以有效地保证信息系统的安全。

    2. IPDRR模型

    IPDRR模型包括识别(Identify)、防护(Protect)、检测(Detect)、响应(Response)和恢复(Recovery)的缩写。

    (1)Identify:风险识别(在实践中表现为定义业务的安全需求)。识别网络资产及风险,是指对系统、资产、数据和网络所面临的安全风险的认识及确认。该功能的几个子域包括:资产管理、商业环境、治理、风险评估、风险管理策略、供应链风险管理。

    (2)Protect:制定和实施合适的安全保护措施,确保能够提供关键的基础设施服务。在受到攻击时,限制或阻止潜在网络安全事件对系统造成的影响。Protect强调的是,在人为介入之前,能够自动运行的防御机制,如网络安全中的防火墙、waf等。在业务安全中,更倾向于将其定义为产品机制上的安全防御。

    (3)Detect:发现攻击。制定并实施适当的方案来识别网络安全事件的发生。检测功能能够及时发现网络安全事件。该功能的几个子域包括:异常和事件、安全持续监控以及检测处理。在攻击产生时即时监测,同时监控业务和保护措施是否正常运行,制定和实施恰当的行动以发现网络安全事件。业务安全中,Detect和Protect的主要区别在于:Detect会基于数据进行分析,然后找出有问题的数据,并进行处理;而Protect并不区分正常和异常数据,只是普适性的提高成本,来加强安全。因此,Detect就是所谓的风控系统。

    (4)Respond:响应和处理事件,指对已经发现的网络安全事件采取合适的行动。响应功能可以控制潜在的网络安全事件对系统的影响。具体程序依据事件的影响程度来进行抉择,主要包括:事件调查、评估损害、收集证据、报告事件和恢复系统。严格意义上来说,Detect只负责识别,而具体的处理和响应,要靠Respond。当然,对于异常数据的处理方式,也就常规的几种:稍重一些的直接拦截,稍轻一些的则插入各种验证方法(图片、短信、滑块等)。这里需要额外强调一点的是,在处理异常数据的过程中,一定要考虑到反馈入口的添加。比如拦截时,可能弹出一个操作异常的页面,但在页面中添加一个投诉反馈的入口。对于投诉的信息,不一定要全部处理,但一定要监控其波动水平。比如说:某天投诉的用户量突然上涨了好几倍,那么很可能就是风控出现误伤了,亦或是黑灰产发起了集中的攻击。不论是哪种情况,都需要及时人工介入来进行分析处理。

    (5)Recover:恢复系统和修复漏洞。能够及时恢复由于网络安全事件而受损的任何功能或服务。将系统恢复至正常状态,同时找到事件的根本原因,并进行预防和修复。如果被薅羊毛了,就及时冻结资金,避免提现转出;如果被刷了,就撤销行为,还原真实数据;如果实在弥补不回来了,就可以寻求法律援助。

    IPDRR的五大能力可以由市面上哪些常见的安全产品来实现?

    (1)识别(Identify)提供识别能力的产品包括资产管理平台、资产测绘平台、基线管理平台、漏洞扫描工具等。

    (2)保护(Protect)提供保护能力的产品包括主机防御类EDR、VPN、4A、防火墙、IPS、WAF、抗DOS等

    (3)检测(Detect) 提供威胁检测能力的产品包括IDS、NTA、蜜罐、恶意代码检测、用户异常行为检测等。

    (4)响应(Respond):提供响应能力的产品包括SIEM、安全审计、态势感知、SOAR等

    (5)恢复(Recover):提供恢复能力的产品包括NG-SOC,NG-SOC理论上应该是覆盖了IPDRR所有的能力。

    3. IATF

    信息保障技术框架(Information Assurance Technical Framework,IATF)是由美国国家安全局(NSA)制定并发布的,其前身是网络安全框架(NetworkSecurity Framework,NSF)。自1998年起,NSA就开始着眼于美国信息化现状和信息保障的需求,建立了NSF。1999年,NSA将NSF更名为IATF,并发布IATF 2.0。直到现在,随着美国信息技术的进步和对信息安全认识的逐步加深,IATF仍在不断完善和修订。

    如果要用一句话来概括IATF,那就是:一个核心思想、三个核心要素、四个焦点领域。

    1. 一个核心思想:纵深防御。

      纵深防御也被称为深度防护战略(Defense-in-Depth),是指网络安全需要采用一个多层次、纵深的安全措施来保障信息安全。在一个规范的信息网络中,我们可以看到在网络出口有防火墙,在DMZ区有防火墙,在服务器前端还有防火墙,这就是纵深防御思想的一个体现。需要在多个位置部署安全措施,看似重复,但是因其面对不同的业务、其安全策略有很大的差异。

      IATF信息保障的核心思想是纵深防御战略,该战略为信息保障体系提供了全方位、多层次的指导思想,通过采用多层次、在各个技术框架区域中实施保障机制,以最大限度降低风险、防止攻击,保障用户信息及其信息系统的安全。在IATF的纵深防御战略中,人(People)、技术(Technology)和操作(Operation)是主要核心因素,是保障信息及系统安全必不可少的要素。

    2. 三个核心要素:人(People)、技术(Technology)、运营(Operation)。

      网络安全三分靠技术、七分靠管理,三要素中的 “人” 指的就是加强管理。

      (1)人是信息系统的主体,包括信息系统的拥有者、管理者和使用者,是信息安全保障的核心;人是第一要素也是最脆弱的要素,对人采取的措施包括意识培训、组织管理、技术管理、运营管理等。
      (2)技术是重要手段,需要通过技术机制来保障各项业务的安全,是一种被动防御;技术是实现信息保障的重要手段,包括安全平台建设、安全工程开发等。
      (3)运营也称为运行或运营安全,运营是将各方面技术紧密结合在一起的过程,是一种主动防御的体系和机制,包括风险评估、监控、审计、入侵检测、跟踪告警、响应恢复等。

    3. 四个焦点领域,也称为四个信息安全保障区域,这就是安全分区的标准化描述:局域计算环境(Local Computing Environment)、区域边界(Enclave Boundaries)、网络和基础设施(Networks & Infrastructures)、支撑性基础设施(Supporting Infrastructures)。这四个领域构成了完整的信息保障体系,在每个领域范围内,IATF都描述了其特有的安全需求和相应的可供选择的技术措施。IATF提出这四个焦点域的目的是让人们理解网络安全的不同方面,以全面分析信息系统的安全需求,考虑恰当的安全防御机制。
      四个焦点域中,局域计算环境包括服务器、客户端及其上所安装的应用程序、操作系统等。区域边界是指通过局域网相互连接、采用单一安全策略且不考虑物理位置的本地计算设备的集合。网络和基础设施提供区域互联,包括操作域网(OAN)、城域网(MAN)、校园域网(CAN)和局域网(LANs),涉及广泛的社会团体和本地用户。支撑性基础设施为网络、区域和计算环境的信息保障机制提供支持基础,包括KMI / PKI(密钥管理架构 / 公钥架构)及检测响应等。

      不管网络规模的大小,都可以套用这个标准对网络结构进行安全分区。基于这四个焦点领域,结合IATF纵深防御的思想,就可以进行网络安全防御,从而形成保障框架。

      以网络和基础设备的保护为例,常用的保护措施包括但不限于:
      (1)合理规划确保骨干网络可用性
      (2)使用安全的技术架构,例如在使用WIFI时考虑安全的技术架构
      (3)使用冗余设备提高可用性
      (4)使用虚拟专网VPN保护通信

    4. CGS框架

    基于美国国家安全系统信息保障的最佳实践,NSA于2014年6月发布《美国国家安全体系黄金标准》(Community Gold Standard v2.0,CGS2.0),CGS是社区黄金标准的缩写。

    CGS 2.0 标准框架强调了网络空间安全应当具备的四大总体性功能:治理(Govern)保护(Protect)检测(Detect)响应与恢复(Respond & Recover)。这些功能聚焦于提供可信的网络空间所需要的能力和方案。

    其中:
    (1)治理功能为企业全面了解整个组织的使命与环境、管理档案与资源、确保全体员工参与进来并能够被通知、建立跨组织跨机构的安全韧性提供指南和保障;
    (2)保护功能为机构保护物理和逻辑环境、资产和数据提供指南;
    (3)检测功能为识别和防御机构的物理及逻辑事务上的漏洞、异常和攻击提供指南;
    (4)响应与恢复功能则为建立针对威胁和漏洞的有效响应机制提供指南。

    CGS框架的设计使得组织机构能够应对各种不同的挑战,为决策者提供了考量信息安全的全局视角。该框架没有像开处方那样给出单独的一种方法来选择和实施安全措施,而是按照逻辑,将对组织结构的理解和已有的基础设施作为框架基础,并协同防御与检测来保护企业安全。

    5. 自适应安全架构

    自适应安全框架(Adaptive Security Architecture, ASA)是 Gartner 于 2014年 提出的面向下一代的安全体系框架,以应对云大物移智时代所面临的安全形势。传统安全体系框架在面对新的威胁和攻击时已经显得落伍,ASA的主要目标是解决越来越具有针对性和技术含量更高的网络安全威胁。

    ASA主要由 4 部分组成:阻止(Prevent)、检测(Detect)、响应(Respond)、预测(Predict),该框架可通过持续的安全可视化和评估来动态适应不断变化的网络和威胁环境,并不断调整和优化自身的安全防御机制。

    1. 阻止(防御):主要通过加固、隔离、拦截等手段提升攻击门槛,并在受影响前拦截攻击。

    2. 检测:用于发现那些逃过防御网络的攻击。主要通过感知探头(Sensor)发现绕过防御措施的攻击,减少攻击所带来的损失。检测能力非常关键,因为企业应该假设自己已处在被攻击状态中。

    3. 响应:主要通过漏洞修补、设计和模型策略改进、事件调查分析等措施来恢复业务并避免未来可能发生的事故。

    4. 预测:通过防御、检测、响应结果不断优化基线系统,逐渐精准预测未知的、新型的攻击。主动锁定对现有系统和信息具有威胁的新型攻击,并对漏洞划定优先级和定位。该情报将反馈到阻止 和检测功能,从而构成整个处理流程的闭环。

    ASA和其他安全架构的不同之处主要体现在 预测 这一部分上。通过对已知的威胁情报、入侵攻击进行分析和学习来自动调整其他3个环节,不断适应环境变化,从而使企业能够应对各种不同的安全挑战。预测新型威胁和自动化响应是自适应安全架构的主要特色。高级分析能力是下一代安全保护的基础,我们可以通过机器学习和人工智能(AI)的相应手段来提高分析能力,比如UEBA(用户实体行为分析)。

    6. IACD

    (1)前言

    安全自动化是安全从业者的梦想。

    安全主要解决两方面问题:时间问题(速度越来越快)和空间问题(规模越来越大)。安全归根结底是要在时间空间这两个维度上,提高自动化防御的有效性。

    提高自动化水平:提高整个防御体系的自动化程度进而优化人力成本;提高整个安全防护体系对威胁的响应速度,即发现可疑行为,并快速将防护和响应策略分发到相应的防护设备。这包括两种主流方法:
    (1)SOAR(Security Orchestration, Automation and Response,安全编排、自动化和响应):代表性SOAR平台为Phantom(https://www.phantom.us/);
    (2)OODA循环(Obeserve-Orient-Decide-Act,观察-调整-决策-行动):代表性OODA框架为IACD(集成自适应网络防御框架)。

    SOAR(Security Orchestration, Automation and Response,安全编排、自动化和响应) 作为安全自动化的实现技术,已经广为人知。
    如果非要说说 IACD(集成自适应网络防御,Integrated Adaptive Cyber Defense) 与SOAR的区别,笔者认为,SOAR更像一个具体技术平台,而IACD更像一种网络空间防御框架和理念。简言之:SOAR是术,IACD是道。而且,目前的SOAR主要应用于企业级场景,而IACD则一直瞄准跨企业场景的应用。两者更多的是配合关系。

    如果仔细思考企业级和跨企业级之间的区别,就会发现协调联动是关键所在。因为企业级安全通常考虑的是企业内部环境,责任主体明确,环境完全可控,不太需要考虑外部安全协作问题;而跨企业级安全则通常考虑的是国家级别或行业级别的整体环境,环境不大可控,必须考虑不同责任主体之间的相互协作关系。

    实际上,IACD横跨了企业级、行业级、国家级的网络空间防御。事实上,IACD由DHS(美国国土安全部)、NSA(国家安全局)、约翰·霍普金斯大学应用物理实验室(JHU/APL)联合发起。其中,DHS恰恰就是美国联邦安全的主要负责单位,NSA是最重要的技术情报部门,APL是美国最主要的科研机构之一。三强联手,将网络空间防御框架做到极致,也就不是什么难事了。

    但是,如果说IACD和SOAR的技术已经成熟,恐怕还为时尚早。就像人工智能和自动驾驶的成熟度一样,必将是一个不断发展演进的过程。安全不简单,安全无止境。在安全自动化这条路上,尤其如此。

    (2)IACD(集成自适应网络防御,Integrated Adaptive Cyber Defense)

    IACD基于OODA(Observe-Orient-Decide-Act,观察-调整-决策-行动)循环:IACD试图将物理世界中传统的控制和决策方法,转换用于网络空间。IACD概念将OODA循环活动转换为感觉-理解-决策-行动,并设想通过一个公共消息系统在这些活动之间共享信息。

    IACD框架由传感器组成,传感器引入共享和可信信息,以触发编排服务,来响应网络事件。IACD框架包括以下8个组件:
    在这里插入图片描述
    上图是有内在顺序的,整体上是按照 顺时针 方向进行,即从传感器(S接口)->传感器接口->理解分析框架(SMAF)->决策引擎(DME)->响应行动控制器(RAC)->执行器接口(A接口)->执行器。
    还需提醒的是,所谓的编排服务(OS)是图中右边虚线框中的所有五个组件的集合,而不仅仅是其中的编排管理(OM)。

    IACD理念认为,如果能够在速度(时间)规模(空间) 两个维度上实施OODA循环,则可以将网络防御时间从几个月缩短到几分钟到几毫秒。所以,IACD的目标是:通过 自动化 来提高网络安全防护的速度和规模;通过集成、自动化、信息共享,来显著改变网络安全防御的及时性和有效性。

    IACD利用自动化的优势来提高防护人员的效率,让他们跳出传统的安全响应循环,更多地在 “网络安全防御循环” 中担当响应规划和决策的角色,以此增强网络防御的速度和范围。

    7. 网络韧性架构

    网络韧性架构,即CR架构,CR是网络韧性(Cyber Resilience)的缩写。该架构基本上将信息安全、业务连续性和企业人员组织弹性结合在了一起。网络韧性架构的目标是使整个网络始终保持提供预期结果的能力,这意味着即使在常规运行机制失败时,在遭遇安全灾难或受到攻击之后,整个网络依旧可以正常运行。
    最新的网络韧性架构的技术框架由NIST于2018年提供,技术点如下:

    1. 自适应响应(Adaptive Response):通过敏捷的网络行动方案来管理风险。包括动态更改配置、动态分配资源、自适应管理。
    2. 监控分析(Analytic Monitoring):持续和协调地监控和分析各种属性和行为。包括进行检测和损失评估、进行综合数据分析、进行取证分析。
    3. 协调保护(Coordinated Protection):确保保护机制以协调有效的方式运作。包括纵深防御、一致性分析、安全编排。
    4. 欺骗防御(Deception):误导攻击者,隐藏关键资产或将隐蔽的受污染资产暴露给对手。包括混淆手段、污染手段。
    5. 多样性(Diversity):使用异构性来最小化通用模式故障,尤其是使通用漏洞攻击造成的故障最小化。包括架构多样性、设计多样性、合成多样性、信息多样性、路径多样性、供应链多样性。多样性可以避免单一化造成的通用漏洞带来毁灭性的打击。
    6. 位置变换(Dynamic Positioning):分布式动态化重定位功能和系统资源。包括探头位置变换、资源位置变换、资产移动、碎片化、分布式化。
    7. 动态呈现(Dynamic Representation):基于网络事件和网络行动过程呈现当前任务或业务功能状态。包括动态地图和画像、动态化威胁模型、将任务依赖和状态可视化。
    8. 非持久性(Non-Persistence):根据需要在有限的时间内生成和保留资源。包括信息非持久性、服务非持久性、连接非持久性。
    9. 权限限制(Privilege Restriction):根据用户和系统元素的属性以及环境因素限制权限。包括基于可信的权限管理、基于使用属性的限制、权限动态化。
    10. 整治(Realignment) :使系统资源与组织任务或业务功能的核心方面保持一致。包括用途变更、减负、限制、替换、定制化。
    11. 冗余(Redundancy):提供多个受保护的关键资源实例。包括备份和恢复的保护、容量冗余、同步复制。
    12. 分段(Segmentation):根据关键性和可信度定义和分离系统元素。包括预定义分段、动态分段和隔离。
    13. 证实可信性(Substantiated Integrity):确定关键系统元素是否已损坏。包括可信性检查、溯源追踪、行为验证。
    14. 不可预测性(Unpredictability):随机或不可预测地进行更改。包括时间不可预测性、方式不可预测性。

    网络韧性架构基于入侵的不可避免性,从如何在遭遇入侵后依然能够保证不至于受到毁灭性打击的角度来部署网络安全。它一方面强调系统增强自己的 抗打击能力,另一方面强调系统要在遭到破坏后具备 快速的恢复能力,是在原有安全容忍(Fault Tolerance)架构基础上的进一步发展。

    第二章总结

    安全架构模型和框架为制定 企业安全架构 提供了理论依据。无论是自适应安全架构所强调的安全预测与调整能力,还是网络韧性架构所强调的能够适应不断变化的条件并能够承担风险且迅速从破坏中回复过来的能力,都是业界研究探索的最佳网络安全实践,这些安全架构没有绝对的好坏,安全管理者 可以根据企业发展现状来选择最适合自身的安全架构。

    第三章 大型安全体系建设指南

    3.1 快速治理阶段

    1. 选择合适的安全负责人

    2. 识别主要的安全风险

    互联网企业的安全风险大多来自 在线业务,同时 企业内部 也随时面临风险。

    1. 在线业务:包括Web安全风险、业务自身的安全风险及移动应用的安全风险。

    (1)Web安全风险:Web漏洞、SQL注入、XSS跨站、越权、逻辑漏洞、JSONP注入、SSRF、XML实体注入、Java反序列化。Web框架漏洞、第三方组件漏洞。Web接口。

    (2)业务自身的安全风险:账户体系安全、交易体系安全、支付体系安全。

    (3)移动应用的安全风险:跨域访问漏洞、远程代码执行漏洞。Android应用上的Log敏感信息泄露、Web HTTPS校验错误忽略漏洞、Provider组件暴露漏洞、Activity安全漏洞、使用不安全的加密模式等40多种漏洞风险。还有iOS应用上存在的未打开安全编译选项、不安全的随机数加密等几十种安全风险。另外,Android和iOS移动应用还存在二次打包、反编译、破解、外挂、数据加密等安全加固问题。

    1. 企业内部:员工、口令安全、钓鱼攻击和社会工程学的安全风险。

    3. 实施快速消减战略

    安全负责人的初期工作除了识别常见的风险,还应采取快速有效的针对安全隐患的处置措施,解决主要安全风险。

    1. 解决Web安全风险可采取的处理方式:
      (1)全站清理Webshell后门,购买或采用开源WAF(Web应用防火墙,如ModSecurity等)快速解决OWASP十大安全问题。
      (2)使用DAST(动态应用安全测试)、SAST(静态应用安全测试)、IAST(交互式应用安全测试产品)等对Web业务进行黑盒、白盒扫描和人工测试,解决线上主要漏洞。
      (3)部署RASP(运行时应用自保护)时应当使用自保护产品对Web进行自免疫保护。
      (4)提供安全代码过滤库和安全编码培训。

    2. 解决来自业务的安全风险可采取的处理方式:
      (1)针对业务特点选择合适的第三方风控安全产品。
      (2)从接入层、处理层和数据层构建自有的安全风控平台。

    3. 解决移动应用安全风险可采取的处理方式:
      (1)APP漏洞扫描和安全加固。
      (2)深入的人工安全测试。
      (3)提供基础移动安全组件和安全编码培训、安全编码规范。

    4. 解决来自员工的安全风险可采取的处理方式:
      (1)部署可以统一管理的EDR安全产品,在生产环境中统一使用堡垒机进行远程审计管理,采用DMS审计进行数据库访问。
      (2)安全培训、背景调查、行为规范考试、安全审计。
      (3)对重点人员建立隔离受控网络,统一访问互联网的代理服务器,确保包括HTTPS在内的网络流量可审计。
      (4)建立基于机器学习的用户异常行为发现系统。

    5. 解决口令安全风险可采取的处理方式:
      (1)弱口令扫描器。
      (2)建设基于OpenLDAP的统一单点登录系统,并使用基于TOTP方案的动态口令双因素认证。
      (3)建立更加严格的基于FIDO U2F认证协议的实体安全密钥登陆系统和BeyondCorp账户安全体系.

    6. 解决来自钓鱼攻击和社会工程学的安全风险可采取的处理方式:
      (1)员工安全意识培训。加强办公场地物理安全管控。避免使用第三方通信软件建立的工作群。
      (2)强化对钓鱼攻击和社会工程学攻击的技术监控。沙箱技术进行隔离访问。远程安全浏览产品。
      (3)加强BYOD设备的安全管理。

    3.2 系统化建设阶段

    经过第一阶段救火式的快速治理后,企业中存在的大部分安全隐患基本被解除,所以第二阶段刻意系统地完善企业安全架构,将1.3节中所提到的 “将安全融于体系,建立自动化监控与响应系统” 的理念落地。这一阶段的工作归结为如下三个层面。

    1. 依据 ISMS 建立安全管理体系

    Information Security Management Systems,ISMS,信息安全管理体系是组织在整体或特定范围内建立信息安全 方针目标 ,以及完成这些目标所用 方法 的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。

    信息安全管理体系(ISMS)是针对任何类型的组织用于建立、实施、运行、监控、审核、维护和改进信息安全的一个政策、程序、指南以及相关资源的框架。

    ISMS已经成为被国际标准化组织认可的国际标准、ISO/ IEC27000系列标准定义了ISMS的要求,奠定了信息安全管理体系的认证基础。标准解释了整体 计划 – 执行 – 检查 – 行动(PDCA) 的方法,并为其实施提供了详细的指导。

    ISMS 具体依据 PDCA 循环原则建立。
    P即Plan:制定政策、目标、流程和程序。
    D即Do:利用ISMS 政策对流程和程序进行控制。
    C即Check:评估并交给上层审核。
    A即Act:根据审核结果采取纠正和预防措施,不断改进上述系统。

    ISMS提供了一个大而全的指导性要求框架,可用于企业建立安全管理体系。

    2. 基于 BSIMM 构建安全工程的能力

    互联网企业业务的基石建立在软件上,而软件开发是一个系统工程,如何构建 软件安全工程 是每个互联网企业都必须考虑的课题。

    BSIMM全称是Building Security In Maturity Model,即软件构建安全成熟度模型。是一种软件安全计划,是衡量软件是否安全的标尺。推荐企业选择BSIMM标准来实施自身安全开发建设。通过BSIMM可以很方便地将 “安全融于体系” 的理念落地。

    构建安全成熟度模型 (BSIMM) 是一种数据驱动的模型,采用一套面对面访谈技术开展 BSIMM 评估,唯一目标就是观察和报告。企业通过参与 BSIMM 的评估,不仅可以更加具体的了解自身 SSI 的执行情况,还可以从行业视角明确所处的具体位置。

    BISMM 模型,是一把衡量企业在 软件开发阶段 构建软件安全能力 的标尺。BISMM 具体由三大部分组成:

    1. 软件安全框架(SSF):支撑BISMM 的基础结构由划分为4个领域的12项实践模块组成。
    2. 软件安全小组(SSG):负责实施和推动软件安全工作的内部工作小组。
    3. 软件安全计划(SSI):一项涵盖整个组织机构的项目,用于以协调一致的方式来灌输、评估、管理并演进软件安全活动。

    BSIMM 软件安全框架(SSF)包含四个领域 — 治理、 情报、 SSDL 触点、部署。这四个领域又包括 12 个实践模块,这 12 个实践模块中又包含 119 项 BSIMM 活动。

    在这里插入图片描述

    3. 参考 Google 云平台设计安全技术体系

    Google 云平台的基础安全设计采用了从硬件基础到服务、用户身份、存储、通信和运营的分层纵深防御架构,每层都有严格的访问和权限控制。

    重点层次结构:

    1. 硬件基础安全
      安全的启动栈和机器身份标识、硬件的设计和来源、物理场所的安全性
    2. 服务部署安全
      服务身份标识、完整性和隔离、服务间访问管理、服务间通信的加密、最终用户数据访问管理
    3. 用户身份
      认证、登陆滥用保护
    4. 数据存储安全
      静态加密、数据删除
    5. 互联网通信安全
      Google 前端服务、防御拒绝服务攻击、用户身份验证
    6. 安全运营
      入侵检测、降低内部人员风险、员工设备及凭据安全、安全的软件开发

    纵观Google 云平台的安全技术体系,可以看到其设计是基于 纵深防御架构安全融于体系 的理念的。

    3.3 全面完善与业界协同阶段

    经过第二阶段的系统安全建设后,企业已经基本形成了完整的安全体系,因此第三阶段的安全体系建设主要集中在 全面完善业界协同 两方面,以实现在1.3节中所提到的 “以安全文化建设为中心,将安全融于体系,建立自动化监控与响应系统,持续进行攻防对抗与安全创新” 的新安全建设理念。这一阶段的工作归结为如下三个方面。

    1. 强化安全文化建设

    2. 完善安全韧性架构

    如何在被入侵成功的情况下依然能保障企业正常运转 正是安全韧性架构(Cyber Resiliency)要解决的问题。

    大型互联网公司在系统安全体系建设完成后可以考虑进一步向完善安全韧性架构发展,建立适应不断变化的条件,以及能够承受风险并可以迅速从破坏中恢复的能力。

    安全韧性架构主要实现4种能力:

    1. 预料能力。保持对入侵的知情准备状态。
    2. 承受能力。即使被入侵仍然可以继续执行基本任务或业务职能。
    3. 恢复能力。在入侵期间和之后恢复任务或业务功能。
    4. 适应能力。修改任务或业务功能的支持能力,以预测技术、运营、威胁环境中的变化。

    3. 建立协同安全同态

    网络安全的复杂性和基础设施的相互依赖性使得未来任何一家互联网企业都不可能靠自己解决所有的安全问题。我们的互联网业务相关支撑平台来自不同的公司与组织。因此,安全的未来是由大数据驱动的协同安全时代,需要个人、企业、国家共同参与治理。

    协同安全时代需要威胁情报共享,需要共同制定行业安全标准,需要大企业开放自己的安全能力。


    Part two:基础安全运营平台

    基础安全运营平台是集威胁情报、漏洞检测、入侵感知、主动防御、后门查杀、安全基线、安全大脑于一体的综合安全平台,承担着企业抵御各种网络攻击和防范内部风险的重任。

    首先通过威胁情报从外部获取最新的攻击数据和趋势,其次通过漏洞检测统计企业资产并周期性巡检、修补安全漏洞,再基于入侵感知发现各种网络、主机、服务的攻击,随后使用主动防御、后门查杀及安全基线实现对入侵攻击免疫和安全加固,最后通过安全大脑统筹分析和自动化响应,一气呵成完成互联网企业的基础安全运营工作。

    第四章 威胁情报

    Gartner:威胁情报是关于现有或即将出现的针对资产有威胁的知识,包括场景、机制、指标、启示和可操作建议等,且这些知识可为主体提供威胁的应对策略
    Forrester:威胁情报是针对内部和外部威胁源的动机、意图和能力的详细叙述,可以帮助企业和组织快速了解到敌对方对自己的威胁信息,从而帮助提前威胁防范、攻击检测与响应、事后攻击溯源等能力。

    对于互联网企业,掌握威胁情报(TIP)可以帮助公司及时对公网资产面临的安全威胁进行预警、了解最新的威胁动态,实施积极主动的威胁防御和快速响应策略,结合安全数据的深度分析全面掌握安全威胁态势,并准确的利用 SIEM 进行威胁追踪和攻击溯源。

    总的来说,威胁情报的作用是:
    主要帮助安全管理人员及时了解系统的安全态势,并对威胁动向做出合理的预判。

    一个概念:SIEM ( Security Information Event Management,安全信息与事件管理),SIE技术通过对来自各种事件和上下文数据源的安全事件的实时收集和历史分析来支持威胁检测和安全事件响应。它还通过分析来自这些来源的历史数据来支持合规报告和事件调查。SIEM技术的核心功能是广泛的事件收集,以及跨不同来源关联和分析事件的能力。

    1. 公共情报库

    互联网公司可以建立自己的情报库。

    1. 关于情报的收集,一方面可以从 开源情报渠道 抓取(如VirusTotal、Cymon等),另一方面可以从内部安全组件获取(如WAF、NTA),还可以通过批量扫描、DDoS攻击等渠道获取。

    2. 也可以使用一些 开源工具 来收集处理威胁情报:
      威胁情报收集梳理框架:GOSINT(Go语言写的威胁情报收集处理框架)、Spiderfoot
      查询Whois及历史DNS信息比较好的工具有:SecurityTrails
      查询综合性威胁情报比较好的工具有:IBM X-Force Exchange、Crymon
      在综合性互联网端口查询、服务统计方面做的比较好的工具有:SHODAN、Censys、FOFA
      在恶意文件、URL、域名、MD5的分析方面做的比较好的工具有:VirusTotal

    2. 漏洞预警

    很多漏洞发布往往不会第一时间被录入CVE漏洞库,可以通过 CMDB 统计自己生产环境用到的各种组件,再对相应的官网漏洞页面和一些黑客发布漏洞 POC 的论坛或站点进行监控,一旦有新的漏洞出现便通过邮件或短信通知应急响应安全团队处理。

    两个概念:

    1. CVE 的英文全称是 “Common Vulnerabilities & Exposures” 通用漏洞披露。
      CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个 公共的名称 。使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据,虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题。
    2. 配置管理数据库(Configuration Management Database,CMDB)是一个逻辑数据库,包含了配置项全生命周期的信息以及配置项之间的关系(包括物理关系、实时通信关系、非实时通信关系和依赖关系)。
      CMDB存储与管理企业IT架构中设备的各种配置信息,它与所有服务支持和服务交付流程都紧密相联,支持这些流程的运转、发挥配置信息的价值,同时依赖于相关流程保证数据的准确性。

    3. 信息泄漏

    公司对内网管理松散的情况下,经常会有员工将代码上传到GitHub等平台,还有一些黑客拖库后会在暗网上买卖数据,所以需要自建一些漏洞抓取系统及爬虫系统来监控公司的信息泄漏情况。

    扫描GitHub信息泄漏的开源工具:Gitrob、小米的x-patrol
    对暗网扫描的开源工具有:OnionScan
    比较好的综合分析框架有:AIL

    第五章 漏洞检测

    在运营阶段,常常会爆发很多新型漏洞或第三方组件漏洞,因此周期性的漏洞巡检必不可少。

    按照漏洞检测方式的不同,漏洞大致可以被分为以下三种类型:

    1. 网络漏洞:可以通过对 端口 直接进行远程扫描而发现的漏洞,如 OpenSSH 远程溢出漏洞、MySQL 弱口令等。
    2. 主机漏洞:只能在 本地 利用和检测的漏洞,如 Linux内核提取、gligc漏洞提权等。
    3. 网站漏洞:需要通过爬虫和遍历网站页面提取 URL和参数 才能检测的漏洞,如SQL注入、XSS跨站、命令执行、SSRF。

    比较好的多种漏洞集成扫描平台有 Archerysec。

    1. 网络漏洞

    由于软件或系统没有及时更新而导致的漏洞攻击案例比比皆是,而且还会出现诸多由于运维配置不当而导致的安全问题。为了避免类似的网络漏洞威胁到企业的安全,对网络漏洞进行日常的扫描是必不可少的工作。

    常见的网络漏洞扫描软件有:Nessus、OpenVAS(免费开源,只有Scanner部分的代码比较可用)、Core Impact、Nexpose等
    另外还有一些专项扫描工具,如:nmap、zmap、masscan
    口令暴力破解工具如:medusha、hydra、Ncrack
    网络漏洞扫描器:Safe3CVS

    2. 主机漏洞

    很多互联网公司的主机在安装Linux系统后便很少进行升级。

    主机漏洞主要是因为机器上安装 Linux / Windows 系统后不升级导致存在大量的可在本地利用的安全漏洞。黑客通过 Web 渗透入侵后比较容易利用这些漏洞获取 root 最高权限。

    NIST(美国国家标准与技术研究院)针对主机漏洞提出了SCAP(Security Content Automation Protocol,全内容自动化协议),还建立了信息安全类产品的SCAP兼容性认证机制。SCAP版本1.0包含以下六个SCAP元素:XCCDF、OVAL、CVE、CCE、CPE、CVSS。

    安全合规与漏洞评估软件有:OpenSCAP(RedHat公司基于SCAP主导开发)
    专门扫描 CVE 漏洞的开源工具有:cvechecker、cve-checker-tool
    针对Java组件库进行漏洞检测:OWASP Dependency-Check
    针对Javascript和Node.js库进行漏洞检查:Retire.js
    针对容器漏洞进行扫描:Clair

    3. 网站漏洞

    网站漏洞(Web漏洞)在所有类型的漏洞中风险最大,常见的有不时爆出的Java框架漏洞,也有与Web Server相关的漏洞,还有程序开发中的安全漏洞(如逻辑漏洞、越权漏洞等)。

    常见的网站漏洞扫描器有:Acunetix、AWVS、AppScan、HP WebInspect
    常见的网站漏洞扫描器开源的有:Arachni

    一款好的网站漏洞扫描产品除了要有比较丰富的漏洞库,还需要有很好的 URL 和参数提取、爬虫及参数去重等能力,这就需要较强的 Web 2.0 交互爬虫技术 的支持,如自动化点击、智能化 Web 表单填写。

    当然,现在也有不少被动模式的代理扫描产品,无需较好的爬虫能力就可以提取扫描参数,但此类产品的使用场景有限,不适合扫描第三方网站。

    第六章 入侵感知

    入侵感知技术是一种通过监控一系列与安全相关的异常指标来达到发现入侵目的的手段。

    一般可以从 被动 渠道感知入侵:

    1、网络异常,如DDoS攻击、异常DNS请求、ARP欺骗
    2、主机异常,如暴力破解、反弹shell、系统提权
    3、隔离异常,如虚拟机逃逸、容器逃逸
    4、应用异常,如命令执行、文件读写、SQL注入

    也可以从 主动 渠道来感知入侵:

    如蜜罐、诱饵、蜜签等

    1. 网络流量分析(NTA)

    网络流量分析简称为NTA,主要用来监控网络流量中的安全攻击。

    常见的网络流量中的攻击有:

    1、由于早期的网络协议考虑不完善而造成的 协议安全隐患 ,如BGP协议攻击、CDP协议攻击、MAC地址欺骗、ARP缓存投毒、DHCP饥饿攻击等;
    2、由于恶意并发请求而造成的 拒绝服务攻击(DDoS),如SYN Flood、UDP Flood、NTP反射攻击、SSDP反射攻击、DNS反射攻击等;
    3、各种 探测扫描 ,如IP扫描、端口扫描、漏洞扫描、病毒蠕虫传播、挖矿传播、勒索软件传播、暴力破解等;
    4、APT和C&C通信,如硬编码IP域名、DGA随机域名、DNS tunnel、加密流量分析等;
    5、可解密的应用协议攻击,如HTTP攻击、SMTP攻击、MySQL攻击、SMB攻击等。

    除了NTA,还可以结合机器学习与大数据分析发现异常流量,并进行事后流量的调查取证分析等。

    NTA安全产品:

    1. 商业的网络流量分析产品:Greycortex、RSA NetWitness Network、ProtectWise、Moloch等,这些产品又被称为NDR(网络检测和响应)产品。
      数据流量采集可以通过路由器、交换机镜像口或分光器获取,也可以通过一些硬件防护设备(如防火墙、IPS、UTM等)获取,还可以通过自行开发流量探针获取。获取后可以通过常见的流量协议传输收集,如NetFlow、IPFIX、sFlow、jFlow等,最后通过Spark、Flink进行大数据实时分析、离线机器学习和聚合分析,最后输出告警并展示数据。
    2. 开源的网络流量分析产品:Bro、Apache Spot、Stream4Flow、NetCap
    3. 开源的高性能负载均衡产品:Katran、DPVS
    4. 开源的网络入侵检测产品:Snort、Suricata
    5. 网络流量索引回溯分析:Moloch

    2. 主机入侵检测(HIDS)

    主机层可检测的入侵威胁有很多,如系统提权、异常登录、反弹shell、网络嗅探、内存注入、异常进程行为、异常文件读写、异常网络通信、病毒后门、安全漏洞、配置缺陷等。

    支持Linux的主机安全检测的开源产品:OSSEC、Osquery、Elastic/beats、sysdig、Capsule8
    支持Windows系统的主机安全检测产品:Sysmon(非开源)

    3. 欺骗(Deception)技术

    以往的很多安全检测技术由于会影响性能和稳定性,因此很难全面部署,即使部署了,误报率也比较高,很难聚焦真正的入侵,加之APT等高级攻击越来越隐蔽,因此诞生了一种新的解决方案——欺骗技术。

    欺骗技术的本质就是有针对性地进行网络、主机、应用、终端和数据的伪装,在攻击链的各个环节中布满诱饵蜜签和假目标来扰乱攻击者的视线,将其引入死胡同,大大延缓攻击时间,并准确有效地发现攻击者,可以快速响应。欺骗技术也是安全韧性架构的重要组成技术之一,就像有句老话说的,“所有的战争都基于欺骗”。

    欺骗技术在以往蜜罐技术的基础上进行了加强,运用了诱饵、蜜签和自动化蜜网创建等技术。蜜罐又分为高交互蜜罐和低交互蜜罐,为了达到较高的迷惑性,欺骗技术通常以高交互蜜罐为主。

    欺骗技术发展到现在越来越 动态化 ,通过 机器学习 学习网络环境动态地创建诱饵、蜜签、蜜罐,使得迷惑性越来越强,并与路由器、防火墙联动形成了欺骗平台。

    1. 开源蜜罐产品:Honeytrap(Go语言开发)、OpenCanary(Python语言开发)
    2. 开源诱饵产品:honeybits(Go语言开发)
      诱饵的主要作用是将黑客引入蜜罐。
    3. 开源蜜签产品:Canarytokens(Python语言开发)
      蜜签和诱饵的主要区别为蜜签可以不依赖蜜罐直接触发,当然也有将诱饵和蜜签合称为蜜签的。
    4. 可以在虚拟机层实现监控的开源软件:LibVMI、rVMI
      评价欺骗技术的好坏可以从伪装的程度和是否易被识别来进行,好的欺骗技术可以利用容器或虚拟机来达到高交互效果,再辅以容器或虚拟机层进行无感知监控。

    第七章 主动防御

    主动防御技术通常以保护为主。在系统默认安全的基础上加入主动防御技术通常有助于拦截已知或未知的安全威胁。比如,对于主机层 Linux 内核提权漏洞,在内核层再加上一层内核保护技术即可拦截提权进程;在应用层的Struts2、Spring框架基础上加入RASP技术即可拦截绝大部分零日漏洞。通过主动防御来层层设防,如使用HIPS、WAF、RASP、数据库防火墙等,即可实现纵深防御架构,从而保障业务的安全性。

    1. 主机入侵防御(HIPS)

    所谓的主机入侵防御就是对主机进行主动加固防护以杜绝各种已知或未知攻击,主要有 内核层 漏洞攻击防御和 应用层 漏洞攻击防御两种。

    Linux自带的安全机制:LSM(Linux安全模块,Linux security module)、KSPP(内核自保护项目)
    针对内核提权攻击的解决方案:AKO(Additional Kernel Observer)使用动态可加载内核模块(LKM)
    开源内核主动防御产品:LKRG(Linux内核运行时保护,Linux Kernel Runtime Guard)使用对内核代码打补丁的加载方式(更加方便,可以实现的功能更丰富)

    2. Web应用防火墙(WAF)

    Web应用防火墙,简称WAF,作为Web安全的主要防护手段,其扮演着重要的作用。很多公司的安全开发流程(SDL)做的不到位甚至没有做,会导致上线的Web业务存在SQL注入、XSS、SSRF、命令执行、反序列化、XML实体注入XXE、越权、逻辑错误等诸多漏洞。由于业务的复杂性和对兼容性、稳定性的要求,业务开发人员要在出现漏洞的第一时间进行漏洞修补,并需要花费时间进行大量质量测试,导致项目往往不能很快上线。这时在WAF上添加一条规则进行漏洞拦截既方便又快捷,可以利用时间差弥补漏洞。

    开源WAF产品:ModSecurity(支持Nginx)、OpenStar
    基于AI的WAF:Wallarm
    开源的反欺诈应用安全产品:Repsheet

    3. 运行时应用自保护(RASP)

    运行时应用自保护,简称为RASP,是近几年来新兴的一种Web安全防护技术。

    与WAF相比,RASP工作在应用程序内部,可以获取更多的程序运行细节,从而可以解决很多WAF误报的问题;另一方面,通过与应用程序关键函数挂钩观察程序行为,也可以解决基于签名的WAF产生的拦截绕过问题,所以RASP在拦截黑客攻击方面强于WAF。但是,在性能、稳定性、DDoS拦截方面,由于传统WAF是独立部署的,因此更具优势。

    同时支持Java和PHP的开源RASP产品:OpenRASP

    4. 数据库防火墙(DBF)

    数据库防火墙(Database Firewall),简称为DBF,是对数据库进行查询过滤和安全审计的安全产品。

    通过数据库防火墙可以拦截SQL注入攻击,对敏感数据脱敏,阻止高危数据删除操作,记录并发现违规行为等。相比于WAF和RASP,DBF提供了最后一层对SQL注入的安全防护能力。

    数据库防火墙安全模式可分为如下4种:

    1. 代理模式
      基于代理模式的开源产品:DBShield(Go语言开发)、Acre(Go语言开发)
    2. 插件模式
      基于插件模式的开源产品:mysql-audit
    3. 组件模式
      数据库连接池:Druid
    4. 旁路模式
      有时为了性能考虑也可以将数据库防火墙做成旁路的数据库安全分析工具:mysql-sniffer

    数据库防火墙是Web安全纵深防御的最后一环。

    第八章 后门查杀(AV)

    黑客入侵服务器后为了长期控制或便于操作系统通常会在主机中留下后门。

    一般后门大致分为3类:
    1、高度隐蔽性后门 Rootkit
    2、一般性远程控制后门
    3、在web环境下执行的Webshell后门

    1. Rootkit

    Rootkit按作用阶段主要分为3种:应用层Rootkit、内核层Rootkit、引导启动型Bootkit(底层的Rootkit后门)。这三种Rootkit的检测难度依次递增。

    对于Rootkit的检测问题,现在业界趋向于通过软硬件结合的方式来解决,比如Google的Titan芯片就很好地解决了启动前和启动过程中的系统完整性问题。一般没有维护硬件能力的互联网公司则主要从软件检测和可信供应链两个方面来解决Rootkit问题。

    开源工具:

    应用层的Rootkit检测:rkhunter、chkrootkit
    离线内存Rootkit分析工具:Volatility
    Rootkit进程隐藏检测:Linux Process Hunter
    全面的Rootkit检测:Tyton、kjackal

    2. 主机后门

    主机后门通常为一般性的远程控制应用层后门。这类后门比较多,且往往会和Rootkit技术结合使用。

    主机后门为了长期驻留,一般会加入系统启动项。

    还有一些后门会替换系统文件或以模块形式加载。

    工具:
    Linux后门扫描工具:clamav
    开源扫描脚本工具:malscan
    开源主机后门检测工具:binaryalert
    开源分布式扫描工具:klara
    开源威胁情报响应和分析工具:rastrea2r
    动态分析检测工具:cuckoo、sandbox
    恶意软件企业级自动化分析框架:stoQ

    另外,现在机器学习在恶意软件分析中的应用也越来越广泛,而且已经取得了一些不错的成果。

    大型互联网公司可以建立自己的病毒库和分析中心,如Google建立的virustotal。恶意软件自动化分析平台方面的产品有企业级自动化分析框架stoQ。

    3. webshell

    webshell即专门的web后门,通常是通过脚本语言编写的,灵活性高且易变形。常见的webshell有PHP、ASP、ASP.NET、JSP、Python、Node.js这些类型的后门。其功能丰富,可导出数据库,对互联网业务危害较大,也是黑客入侵的首选远程控制工具。

    工具:

    开源的PHP webshell检测工具:php-malware-finder
    监控文件变动的工具:masc
    开源的使用机器学习检测webshell的工具:MLCheckWebshell
    在线webshell检测平台:百度的WEBDIR+

    第九章 安全基线

    配置安全问题在安全漏洞中占很大比例,涉及的范围包括网络、操作系统、各种应用服务器、数据库系统等。常见的安全基线包含 默认安全配置安全加固 两部分。

    工具:
    安全基线模板网站:cisecurity(最有价值的地方是提供了各种安全加固模板)
    开源的合规软件:Lynis、inSpec
    开源的持续审计和配置管理平台:Rudder

    第十章 安全大脑

    安全大脑即安全数据的综合分析与编排自动化响应中心,主要功能包含安全态势感知(SSA)安全信息和事件管理(SIEM)安全编排和自动化响应(SOAR)

    前面提到的各种安全技术需要一个集中管理与协同处置的安全中心,这与集成式自适应网络防御框架IACD一致。IACD框架通过SOAR技术将各种安全产品进行整合,从而协同应对安全威胁。

    而我们的安全大脑除了可以进行安全编排与自动化响应,还必须具备大数据处理、机器学习智能分析功能,并提供安全态势以便于安全管理者对当前和未来工作做出合理的安全决策与计划。

    1. 安全态势感知(SSA)

    SSA涉及的主要部分是安全大脑的前端展示。安全涉及的数据比较复杂且关联性很强,需要比较好的 前端展示框架

    安全大脑需要能够处理涉及 多个实体相互作用关联复杂 的安全事件,为此必须综合运用知识图谱、图计算、数据语义化、机器学习等技术才能产生比较好的效果,另外还需要和外部的各种系统(如身份管理和威胁情报等方面的系统)对接,同时还需要安全团队的不断改进。

    参考:
    前端展示框架:Sqrrl
    素材网站:SecViz
    JS框架:D3.js、vis.js、three.js

    2. 安全信息和事件管理

    产品:
    SIEM产品:Splunk、QRadar、LogRhythm(新的SIEM产品都具备了UEBA(用户与实体行为分析)和SOAR(安全编排与自动化响应)功能)

    大数据存储和处理项目:Hadoop、ClickHouse
    日志数据索引和查询项目:Elasticsearch/Elastic Stack、Graylog

    安全大脑除了要具备海量安全日志的存储和分析能力,还必须具备智能决策和自动化响应能力。智能决策依靠机器学习和数据流处理能力。

    智能决策解决方案:Spark、Flink、Storm

    UEBA技术使用机器学习技术,能够在缺少匹配的情况下通过行为异常发现攻击。UEBA技术会用到的机器学习算法如下:

    1. 监督机器学习:学习已知的良好行为和不良行为
    2. 贝叶斯网络:结合监督学习和相应的规则创建行为画像
    3. 无监督机器学习:学习正常行为,将偏离正常值的行为认定为异常行为
    4. 增强/半监督机器学习:混合模型,基础是无监督机器学习。实际警报的误报百分比被反馈到系统中,以允许机器学习微调模型并降低信噪比
    5. 深度学习:用于虚拟警报分类和调查。可以系统地训练代表安全警报及其分类结果的数据集,使其具备自我识别的功能,并能够预测新的安全警报集的分类结果。

    常见的基于时序的异常检测算法有随机森林、独立森林等。

    开源的日志安全规则:Sigma
    开源的大数据安全解决方案:Elastic、Metron
    开源的图数据库项目:HugeGraph(图数据分析的另一个发展方向是图神经网络GNN,用于解决深度学习无法做因果推理的核心问题)

    3. 安全编排与自动化响应

    智能决策的下一步便是安全编排与自动化响应(SOAR)。

    SOAR的核心部分是剧本(Playbook),这方面需要有较好的前端交互界面和灵活的脚本语言。
    大部分SOAR产品选择的脚本语言都是Python。

    产品:
    开源的SOAR产品:StackStorm、MozDef(Mozilla防御平台旨在实现安全事件处理流程的自动化,并便于实时处理安全事件活动)
    开源的安全运营编排产品:PatrOwl


    Part three:综合安全技术

    本部分将对基础安全运营平台以外的其他各种安全技术项——展开分析,包括安全开发生命周期、企业办公安全、互联网业务安全、全栈云安全、前沿安全技术。

    安全开发生命周期的管理是保障互联网企业业务正常运行的重要举措,直接关系到企业 线上业务运行 的安全性。
    企业办公安全涉及的安全隐患则更加复杂多样,各种数据泄露、人员违规、外部入侵、物理安全等问题数不胜数。
    同时随着移动互联网技术的蓬勃发展,各种 业务安全对抗攻击 也愈趋激烈,如验证码识别对抗、营销活动薅羊毛对抗、业务欺诈对抗、数据窃取与隐私保护技术对抗等。
    加之云化技术的普遍应用, 云上安全风险 也与日俱增,如计算不可信风险、虚拟机逃逸风险、容器逃逸风险、安全隔离风险等。
    最后,量子计算、AI技术等前沿科技的兴起也给传统安全带来了新的挑战。

    第十一章 安全开发生命周期

    构建安全开发生命周期(SDL)可以帮助开发人员构建更安全的软件、满足安全合规系统的要求、降低开发成本。SDL的核心理念就是将 安全 方面的考虑集成在 软件开发 的每一个阶段:计划、编码、测试和维护各阶段。

    互联网公司的 SDL 必须和现有的 CI/CD(持续集成/持续部署)系统(如IDE、Gitlab、Jenkins、JIRA等)集成才能产生较好的效果。SDL的建设必须置于敏捷开发、持续交付、技术运营之中,也就是要符合 安全融于设计 的思想。

    SDL在实际落地中大体上可以分为4个阶段:计划阶段、编码阶段、测试阶段、部署阶段。

    1. 计划阶段

    计划阶段需要做的工作有明确安全需求,进行安全设计、威胁建模、供应商安全评估、安全培训等。

    安全需求 需要融入软件需求度量、UML建模、条目化项目管理等工作中。

    进行 安全设计 需要从可信性、完整性、可用性这三个方面出发来制定安全设计原则。
    安全设计原则包括:

    1. 最小化攻击面:尽量减少系统脆弱面的暴露。
    2. 建立默认安全机制:在初始情况下,系统的相关设置应该默认是安全的。默认安全的应用系统应该初始化一个复杂的管理口令或要求第一次登陆必须修改默认口令。
    3. 执行最小权限原则:建议账户具有执行其业务流程所需的最少权限,包括用户权限和资源权限。例如,在设计系统时新建用户应该默认只拥有最小权限,后续权限都需要管理员授予。
    4. 执行纵深防御原则:以更多不同的控制措施处理同一个风险。例如,可以在WAF层、RASP层、数据库层以及防火墙层都针对一个SQL注入漏洞做好防御,当在这四个层面都做好防御时,黑客便很难入侵系统。
    5. 安全处理异常事物:由于许多原因,应用程序经常面临无法处理的异常事物,是否正确处理异常事物决定了应用程序是否安全。正确处理程序异常 是很重要的。例如,不少程序员在编码时对程序异常没有做出处理,导致报错信息出现在返回页面上,而这些报错信息中可能包含了敏感数据内容,正确的做法是使用 try catch 语句做处理。
    6. 应对第三方的不可控情况:应对外部系统不可控情况的安全处理措施。许多企业的业务都需要利用第三方合作伙伴的处理能力,这些合作伙伴的安全策略和能力可能与企业自身的不同。因此,对于所有外部系统,企业都应有应对不可控情况的安全处理措施。
    7. 职责分离:针对不同管理角色做权限分离。系统都具备不同的管理角色,针对不同角色,关键的安全控制方法是职责分离。例如,日志审计人员只有查看日志的权限,而不能删除日志。
    8. 避免安全保密化:关键系统的安全性不应该只依赖于保密。例如Linux的源代码广泛可见,但在适当的安全措施下,Linux是一种可信赖、安全且强大的操作系统。
    9. 保持安全简单化:业务逻辑应尽量简单有效,越复杂的实现方式越有可能产生安全漏洞。
    10. 正确修复安全问题:找出产生问题的根本原因,并进行必要的功能测试,彻底修复。安全问题的修复需要规范化。

    威胁建模 是设计阶段的一个重要组成部分。
    威胁建模工具:

    1. SeaSponge是Mozilla提供的开源 Web 威胁模型建模工具,通过浏览器就能很方便的建立 Web 威胁模型。
    2. OWASP Threat Dragon是由 OWASP 提供的免费开源威胁建模工具。
    3. Microsoft Threat Modeling Tool 2016 是微软提供的免费威胁建模工具。

    在业务开发中有些组件来自供应商或合作伙伴,这也是设计阶段必须考虑的一块。
    第三方安全评估:可以使用 Google 开源的 VSAQ(供应商安全评估调查问卷)安全评估工具。

    最后,设计阶段还必须进行安全培训工作。
    安全培训是一项长期的工作,从员工入职开始就应该进行。
    建立内部安全门户网站,建立安全知识库和安全考试平台。

    2. 编码阶段

    编码阶段的主要安全工作有:

    1. 建立安全编码规范
    2. 静态源代码安全分析
    3. 开源组件安全扫描(OSS)
    4. 安全过滤库&中间件
    5. 安全编译检查

    下面详细介绍上述五个方面。

    公开的 安全编码规范 参考对象:OWASP Secure Coding Practice

    静态源代码安全分析
    通过 IDE 结合的代码检测插件解决编码过程中的安全问题:
    Java编码规范方面的插件:P3C IDE
    Java漏洞检测方面的插件:Findbugs及继任者Spotbugs
    .NET漏洞检测方面的插件:Puma Scan
    支持C/C++的插件:cppcheck

    编码过程中会不可避免地用到很多第三方类库组件,过时的组件库有的会存在安全漏洞,还有的会存在授权协议合规问题,所以需要对其进行安全扫描。
    开源 组件安全扫描(OSS) 工具:
    OSS方面的商业产品:BlackDuck
    开源授权协议合规检查产品:FOSSology
    组件漏洞检查方面的开源产品:Dependency-Check(可以结合maven或Jenkins使用)
    组件漏洞检测产品:synk(可以扫描node.js、nmp、ruby、java依赖中的漏洞)
    依赖方面的安全检查产品功能最为丰富的是SourceClear公司的:EFDA

    各种漏洞的修补和过滤 可以通过自研或第三方的 安全过滤库&中间件 来进行。
    安全过滤库&中间件:
    常见的java安全过滤库:ESAPI
    Node.js的web安全过滤库可以参考:egg-security
    浏览器端的过滤库有:DOMPurify

    安全编译是一个在程序编译过程中可选的安全检查和安全加固的过程。
    安全编译检查
    Visual studio编译选项中的/GS选项检查缓冲区溢出,/guard:cf选项检查控制流安全。
    iOS APP安全编译选项有-fobjc-arc、-fstack-protector-all、-pie。
    Linux 二进制文件安全编译选项与 iOS 的类似。

    3. 测试阶段

    测试阶段的安全工作包括自动化安全测试和人工安全测试。

    3.1 自动化安全测试

    自动化安全测试又包括静态应用安全测试(SAST)、动态应用安全测试(DAST)、交互应用安全测试(IAST)等技术。

    1. 静态应用安全测试(SAST)

    是指对源代码进行白盒扫描的安全测试,又称白盒测试。

    商业产品有:Fortify、奇安信代码安全卫士
    开源 PHP 源代码漏洞扫描产品:RIPS、progpilot
    针对 Python、Ruby、Go 语言安全扫描的综合工具:huskyCI(集成产品)
    针对 java 的安全扫描综合工具主要有:spotbugs以及相关插件fb-contrib、find-sec-bugs
    针对 C/C++ 的安全扫描综合工具:flawfinder
    支持多种语言的综合安全扫描工具:Infer
    静态应用安全测试的综合平台:SonarQube(支持多达 25 种语言安全检测)

    1. 动态应用安全测试(DAST)

    是指运行时安全漏洞测试,通常为黑盒测试。

    Web 相关的 DAST 商业产品有:Acunetix、AWVS、AppScan、绿盟漏洞扫描器
    开源产品有:Arachni
    针对 REST API 自动化测试的产品:Astra
    针对 Web Service 进行安全测试的产品:WSSAT
    针对Android的开源DAST测试产品:Qark

    1. 交互应用安全测试(IAST)

    是指运行时安全漏洞测试,与前两种测试不同,IAST 通常作用于应用的内部。
    可以在应用运行时通过插入应用内部的代码自动跟踪输入变量并实时生成安全报告。
    IAST 实现的主要思路是在应用内部对所有用户输入的污染源进行 变量跟踪 ,并将其标记为 tainted;如果碰到安全过滤函数处理过的变量,则移除 tainted 标记;最后在 sink 点,也就是漏洞触发点(如数据库查询、命令执行等函数)检测变量是否被污染,如果被污染了就是有漏洞的。
    IAST 可以解决其他测试的路径爆炸、路径覆盖不全,以及误报和拖慢 CI/CD 进度等问题。

    商业产品有:Synopsys Seeker、Veracode、CxIAST
    针对PHP的开源产品有:PHP taint、PHP Aspis
    针对Java的开源产品有:security_taint_propagation

    3.2 人工安全测试

    人工安全测试是指 有人工参与半自动化 安全测试,主要包含对自动化测试结果的进一步分析,以及不能自动化因而需要人工参与的安全测试工作,如代码审计、模糊测试、Web 安全测试、移动安全测试、二进制安全测试等。

    1. 代码审计和模糊测试

    人工安全测试也包括白盒测试和黑盒测试。

    白盒测试的主要工作为人工代码安全审计。
    人工代码审计:OWASP 代码审计指南

    黑盒测试的主要工作为模糊测试。
    针对协议的常用模糊测试工具:Peach fuzzer(可以对各种文件和协议进行黑盒测试)
    针对二进制漏洞的模糊测试工具有:Asan、Tsan、Msan、UBsan
    开源的Fuzz测试平台有:OSS-Fuzz

    1. Web 安全测试

    web安全测试:OWASP安全测试指南
    主要使用的工具:BurpSuite、Fiddler

    1. 移动安全测试

    移动安全测试:OWASP移动安全测试指南
    移动安全测试综合平台:MobSF
    Android人工测试的工具有:Drozer、AppUse、Xposed、Frida
    ios的人工测试工具有:needle、iOSSecAudit

    1. 二进制安全测试

    现在不少公司除了开发常规的 PC 端软件,还生产手机、IoT相关产品,这就涉及二进制漏洞挖掘。
    各种黑客大赛也基本以二进制漏洞挖掘为主。

    二进制漏洞挖掘技术中的 动态符号执行 成为主流的漏洞挖掘技术,KLEE是常见的动态符号执行引擎。动态符号执行可以将代码转换为中间语言IR,并对执行路径进行模拟执行,缺点是可能碰到路径爆炸问题。
    二进制分析框架:Angr
    二进制反编译逆向分析的工具:IDA、Radare2、Binary Ninja等
    expoits编写方面的工具:pwntools

    4. 部署阶段

    部署阶段主要保证开发的产品可以安全发布,相关的工作有:证书密钥管理、安全配置加固、操作审计、渗透测试。
    互联网公司应建立安全可控的发布平台,保证配置的自动化,且保证发布是可信和可审计的。

    1. 证书密钥管理

    证书密钥管理系统(KMS)主要用来负责 API 私钥、云 IAM/STS 证书、数据库密码、X.509证书、SSH证书、应用签名证书、加密通信密钥等的安全保存、发放和撤销。这些证书密码的泄露直接关系到公司的数据安全。
    开源的KMS产品:Vault

    1. 安全配置加固

    主要保证上线的系统默认安全,以及满足 PCI 合规安全需求,相关技术参考第九章“安全基线”相关内容。

    1. 操作审计

    主要保证发布过程的可控和可安全审计。与操作审计配套的技术有 DMS 数据库管理系统、堡垒机等。

    DMS 数据库管理系统可用来负责互联网企业统一的数据管理、认证授权、安全审计、数据趋势、数据追踪、BI图表和性能优化,解决了以往运维和研发对数据库访问的不可控和不可审计的问题。
    阿里云的DMS是商业的数据库管理系统
    支持MySQL的开源产品有:Yearning

    堡垒机又称跳板机,是运维安全建设的一个必备产品,可以对运维操作进行记录和追踪,并对主机访问提供细粒度和集中的权限控制,同时减少了关键业务主机对外的暴露面。
    开源的堡垒机产品有:JumpServer、Guacamole

    1. 渗透测试:

    它是安全开发的最后一关,通过对业务、系统、网络的综合渗透测试来保证业务上线后的安全,这是一个长期持续的过程。

    集成各种渗透测试工具的Linux发行系统:Kali Linux、backbox
    常见的渗透测试框架:MetaSploit
    渗透自动化编排框架:Decker

    由于聘请安全人员的成本越来越高,现在也有不少趋向于研究自动化渗透测试的尝试:
    如基于机器学习技术来做渗透测试的GyoiThon(朴素贝叶斯算法识别返回网页的类型)
    自动化渗透测试产品:Infection Monkey

    面对大量业务时,互联网公司应尽量将安全专家的经验固化和自动化,以节约成本。

    第十二章 企业办公安全

    办公安全历来是信息安全的薄弱环节,常见的威胁有数据泄露、内部恶意人员、APT攻击、病毒蠕虫等。相比线上业务安全,企业内部办公安全更为复杂,如存在移动办公、自带设备BYOD办公等场景。传统以网络边界为防御对象的办公安全架构越来越不适用于新的跨领域、跨场地、跨设备办公场景。
    为了适应新时代的互联网企业办公安全需求,由Google率先提出的 零信任网络架构 BeyondCorp 逐渐被各大公司所认可。

    1. 人员管理

    人是办公安全中最重要的因素。

    在员工入职前,企业就应该对员工进行背景审查、入职后应对其进行安全意识培训,研发等岗位还应该进行专门的安全开发培训,严格一点还应该进行考试。宣扬企业安全文化,定期组织安全周、安全月等活动。应将安全违规的处理和安全审批流程等纳入流程制度,并制定必要的处罚和 KPI 考核制度。此外,还应当对各种办公活动进行安全审计,对企业内部环境和外部业务服务进行合规审查,以满足法律和行业规范的要求。

    2. 终端设备

    终端设备的安全直接关系到生产的安全。

    企业应该部署集中管理式的 AV 杀毒软件EDR 终端检测与响应产品,以抵御病毒和 APT 攻击:
    开源的 EDR 产品: Facebook 的 Osquery 、 Mozilla 的 MIG
    综合的安全事件响应平台:TheHive

    重要业务部门应该部署 DLP 数据防泄露DRM 数据版权管理产品,防止企业关键资产(如数据、代码、文档)泄露。另外还可以通过 vDesk 瘦客户机(thin client)建立完全隔离的虚拟桌面云(VDI)网络:Citrix、VMware

    现在使用移动终端工作的情况也很普遍,因此,移动办公产品也应当加强管控,常见的 移动终端安全 产品有 MDM 移动设备管理和 MAM 移动应用管理。商业产品有IBM MaaS360、SAP Mobile Secure等,开源产品有flyve-mdm等。

    广义的终端设备还包括门禁系统、打印和传真系统、电话会议系统、视频监控系统、Wi-Fi 路由系统等,应当对这些设备也考虑安全方案。

    最后,可以通过 SIEM 产品(如Splunk)的 UEBA 用户实体和行为分析发现由用户主动行为或账号被盗、终端被控制引起的异常安全行为攻击。

    3. 办公服务

    办公服务是指企业内部的办公支撑服务平台,如企业邮箱、企业网盘、CRM、ERP、OA、HR、BOSS等系统和研发支撑平台。这些平台常成为 APT 攻击的重要目标。

    访问权限控制 是办公服务安全的一个重点。传统企业依赖于网络边界防护和VPN加密通信来保证访问安全,这种架构一旦被突破将威胁企业内部的各种服务。于是Google提出了基于 零信任网络架构BeyondCorp,它通过将访问权限控制措施从网络边界转移至 具体的设备 ,让员工可以更安全地在任何地点工作。

    使用 欺骗技术 可以很好地在办公网内检测外部 APT 和内部恶意攻击,并得到具体的入侵细节。蜜罐可以模拟真实服务,蜜签可以守株待兔般地等待触发。

    云安全访问代理(CASB)与软件定义边界(SDP)适合于企业将办公环境中的各类业务系统(包括企业邮箱、企业网盘、CRM、ERP、OA、HR等)均托管给云服务商的安全场景,如办公Office365、企业网盘Dropbox、邮箱Gmail。CASB 的功能主要有访问控制、权限管理、数据防泄漏、恶意软件检测、安全监控和合规检查等。从功能上看,CASB 是 “4A认证+DLP+UBA+堡垒机” 的集合体。

    互联网企业常用的过滤网关有 代理上网的 Web 过滤网关邮件过滤网关 。通过过滤网关,隔离网中的终端只允许通过 HTTP 代理才能访问外网,可以在满足上网需求的同时对员工上网行为进行审计。企业的另一重要保护对象为邮件系统,邮件系统常见的安全问题有垃圾广告邮件、鱼叉式网络钓鱼和电子邮件欺诈、恶意软件和 APT 攻击、外发公司敏感数据、邮箱用户密码被利用等。这些威胁需要通过邮件安全过滤网关来应对。

    最后,渗透测试 是检验办公安全环境的有效途径,通过渗透测试可以发现企业办公网络中的各种薄弱点,以便于不断改进和完善自身安全。

    4. 实体场地

    实体场地安全即办公场所的物理安全,包括门禁、安检、安保人员、摄像监控、防火防震、灾备等。

    第十三章 互联网业务安全

    随着移动互联网的快速发展,在线交易的安全需求也日益凸显,盗号、欺诈、刷单、薅羊毛等恶意行为给在线业务带来了极大损失。手机应用的普及使得个人敏感数据更容易被非法收集利用,各种数据泄露事件频发,网民的财产安全和个人隐私安全问题突出。

    互联网公司必须建立业务风控和数据安全与隐私等 业务安全 体系来解决这些安全问题。

    1. 业务风控

    一般互联网企业常见的业务风险:

    1. 移动端
      破解外挂
      应用仿冒
      短信电话钓鱼
      流量劫持
      数据泄露

    2. 账户(注册、登录、找密三个主要入口):
      账号撞库攻击
      盗号洗号
      验证码安全
      机器注册
      垃圾注册(虚假刷单、发送垃圾消息)
      暴力破解
      身份伪造
      信息重放(短信验证码、邮箱验证码重放)
      找密/改密安全(找密逻辑缺陷可修改邮箱,账号检存。改密通过id可修改他人密码,批量重置)
      信息泄漏(客户交易的cvv码,用户账号、密码、邮箱)

    3. 交易
      恶意抢购、权限绕过(通过id可遍历到末对用户开放或已下线的商品;通过暴力手段用末购买的激活码激活游戏)
      薅羊毛
      刷排名
      欺诈
      刷库存
      刷单(业务数据造假)
      活动作弊(攻击者修改或写js自动点击刷活动、自动化脚本秒杀商品)
      营销作弊
      恶意贷款

    4. 支付
      套现(信用卡套现、抵用券套现、类似“京东”白条类信用产品套现)
      高并发缺陷(交易类重放攻击导致购买限制的绕过)
      挤兑提现
      盗刷
      数据篡改(金额任意更改,溢出,负金额)
      支付行为可信(支付确认阶段无法确定支付是否发生于账户真实主人)
      洗钱

    5. 内容
      垃圾广告
      淫秽色情
      涉暴涉恐
      政治敏感
      虚假信息
      违禁内容
      恶意爬虫

    针对移动端APP,常见的技术解决方案有:

    1. 加固保护(代码混淆、虚拟指令、加壳保护、防篡改、反调试、环境监测)
    2. 使用安全组件(安全键盘、数据加密、反劫持、防盗用)
    3. 仿冒检测(渠道监控、钓鱼监控、伪基站监控)

    一般 风控系统 的架构(四个部分):
    管理面板:统计分析、数据报告、运营审核、事件处理、模型规则管理
    数据处理(包括数据获取和安全验证):设备指纹、智能验证、实人认证(人脸识别、活体检测)、短信语音验证、生物识别
    风控引擎(业务风控系统的核心部分,常见的风控引擎由 模型引擎决策引擎 组成):模型引擎(对业务进行安全建模,运用机器学习算法)、安全画像、知识图谱、机器学习、决策引擎(一系列风控规则的集合,实时的事件和事务决策处理,如Drools,n-cube)
    技术平台:Spark(离线数据分析)、Flink(实时数据流处理)、Hadoop(离线数据存储)、Tensorflow(机器学习任务),H2O(金融信用卡评分、欺诈检测、异常检测机器学习算法)

    将机器学习运用在风控系统中的实践越来越普遍。例如支付宝第五代风控引擎 AlphaRisk(智能风控引擎),其套现风险识别模型采用了基于主动学习与两步正例和无标记学习的半监督学习方法。
    互联网公司的很多风控系统采用的都是 Spark MLlib 的机器学习库。
    其他风控相关的安全项目有:
    利用 PyTorch 框架的 Autoencoder 神经网络检测账户异常的项目
    利用机器学习检测信用卡欺诈的项目
    利用图可视化分析金钱交易的项目
    利用图数据库进行欺诈检测的项目

    2. 数据安全与隐私

    大数据应用涉及海量数据的分散获取、集中存储和分析处理,更容易造成数据泄露。
    移动互联网的发展使得手机上的个人敏感数据增多,不当的数据收集行为更易发生,严重影响个人隐私。

    各国相继出台对应的法律法规,在隐私保护方面尤以欧盟的 GDPR 最为严格(通用数据保护法案)。GDPR 强调数据隐私是公民的基本权利,企业有责任部署数据隐私策略以积极确保数据安全,并需在设计之初考虑数据隐私的问题。

    数据安全体系的建设可以依照《信息安全技术 数据安全能力成熟度模型》着手进行,其架构如下图:

    数据安全技术体系:
    应用层:版权保护(数字版权管理 DRM,最常用的技术是数据水印)、隐私保护(对敏感数据进行脱敏,k-匿名、差分隐私)、可信计算(解决数据流通中的安全问题,安全多方计算、同态加密、安全隔离)、数据加密、数据合规(数据血缘关系、数据地图)
    平台层:(基于云的数据安全服务)DLP、KMS、IAM、CASB、堡垒机
    基础层:物理销毁、HSM、环境安全、网络安全、安全管理

    第十四章 全栈云安全

    云计算使得基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)成为可能,越来越多的互联网企业将业务向云服务迁移,而各种信息安全问题也随之出现,相应的安全技术也发展了起来,主要包括可信计算、内核热补丁、虚拟化安全、容器安全、安全沙盒。

    1. 可信计算(TC)

    目的是通过广泛使用基于 硬件安全模块 计算和通信的可信计算平台,来提高系统整体的安全性。

    随着可信计算的发展,可信平台模块不一定再是硬件芯片的形式,特别是在资源比较受限的移动和嵌入式环境和云平台中,可信执行环境(TEE) 逐渐发展起来。

    可信计算可解决的主要问题有:

    1. 硬件篡改问题
    2. 启动完整性校验问题
    3. 隔离认证缺乏问题

    公开的可信计算技术分析:
    Google 的 Titan 安全芯片(主要用于为云服务器建立硬件的根可信)主要有以下两项安全功能:

    1. 基于 Titan 实现安全启动(对运行内存进行内置自检、对主机的启动固件闪存进行完整性检测、验证操作系统等)
    2. 基于 Titan 的加密认证

    2. 内核热补丁(KLP)

    云服务通常由成千上万台虚拟机组成,这些虚拟机通常由 Linux 启动。Linux 内核每年都会出现各种漏洞和 bug,这就需要为 Linux 内核打补丁升级。升级意味着要重启服务器、中断业务以及做好繁重的准备工作。能否实现在升级的同时系统不必重启?这就是内核热补丁,它是一种无需重启操作系统便可动态地为内核打补丁的技术。

    内核热补丁开源方案:

    1. Ksplice
    2. kGraft
    3. Kpatch
    4. Livepatch
    5. LernelCare

    3. 虚拟化安全(VMS)

    各种云的建设都基于虚拟化方案,一旦这些虚拟层出现漏洞就会直接影响上层各个租户的主机安全。
    为了加强云环境的虚拟化安全性,各个公司都给出了自己的解决方案。

    都在 KVM 平台上构建云的虚拟化层:
    AWS:轻量级微虚拟机产品 Firecracker
    Google:轻量级VMM(虚拟机监控器) —— CrosVM

    4. 容器安全(CS)

    以容器为基础的微服务架构逐渐发展起来。
    容器的轻量化、高性能、高隔离性以及结合 Kubernetes 的编排能力使得自动化部署业务、构建大规模可伸缩弹性架构更加容易。不过,容器在普及的同时也带来了新的安全问题。

    容器中常见的安全问题有容器镜像不安全(镜像中的应用存在漏洞或镜像被篡改)、内核等漏洞造成的容器逃逸、容器的网络缺乏微隔离(容器网络隔离有助于限制容器间的横向移动攻击和外部 IP 对内部服务的访问)、运行时安全问题(监控容器内运行进程的异常行为),以及安全合规问题。

    Twistlock 是一款商业容器安全产品,它提供了漏洞管理、运行时防御、合规、CI/CD集成、云防火墙功能。

    5. 安全沙盒(Sandbox)

    对软件运行环境做隔离限制,通过严格控制执行的程序所访问的资源来达到限制恶意行为的目的。

    安全沙盒有用于多用户多进程隔离以确保安全运行的,也有用于恶意软件行为识别的。

    主机层沙盒:
    Windows:Sandboxie、AppContainer、Hyper-V虚拟化沙盒
    Linux:Setuid/Chroot、Cgroup/Namespace、LXC/Docker、Seccomp-BPF

    应用层沙盒:Java安全模型、JVM-Sandbox、Cuckoo Sandbox

    在 Linux 系统上,用户可以通过 systemd 服务来配置一系列沙盒功能,从而保护由 systemd 启动的服务。systemd 的沙盒功能主要有以下几项:

    1. 限制文件读写和访问权限
    2. 限制 syscall 系统调用
    3. 限制用户权限
    4. 限制网络访问
    5. 限制内存的写执行

    第十五章 前沿安全技术

    1. AI与安全

    包括两个方面:AI技术在安全领域中的应用、AI技术自身的安全性

    自动化机器学习框架:MLBox、auto_ml、H2O

    1. AI技术在安全领域中的应用
      入侵检测:dga_predict、Salad、seq2seq-web-attack-detection、dataShark
      恶意软件分析:malware-classification、CuckooML、adagio
      漏洞发现和修补:Pulsar、Sapfix
      数据挖掘与风控:信用卡欺诈检测项目、机器学习欺诈检测项目
      自动化渗透测试:DeepExploit

    2. AI技术自身的安全性
      对抗样本攻击:防御方法是使用自动生成对抗样本工具来验证模型的安全性,并提供额外的补充修正样本。开源:CleverHans、AdvBox
      机器学习框架及依赖库漏洞(UAF、溢出等):语言性的安全漏洞,需要加强安全开发(代码漏洞扫描、Fuzz测试等)
      模型算法被逆向破解:Python等解释型语言的代码逻辑容易被逆向破解,需要代码混淆(针对python:pyminifier、Opy、PyArmor)、加壳等保护措施
      机器学习与隐私:用噪声打乱数据,差分隐私库
      隔离逃逸风险:需要对代码执行环境做隔离保护,运行不可信的机器学习模型代码需要做沙盒保护(nsjail)

    2. 其他技术

    光子计算机、量子计算机的出现给现有密码体系带来了巨大的挑战。

    对抗量子计算破解能力的研究主要聚焦在 后量子加密技术 上。


    参考链接

    1. 安全模型和业务安全体系IPDRR
    2. 如何理解企业安全能力框架(IPDRR)
    3. 不懂信息保障技术框架(IATF),还怎么做网络安全?
    4. 美国网络安全体系架构简介
    5. 美国网络安全体系架构
    6. 安全自动化和IACD框架
    7. 美国安全自动化和IACD框架
    8. 什么是信息安全管理体系?(ISMS)
    9. BSIMM(构建安全成熟度模型 version 10 ) 模型介绍
    10. 软件安全构建成熟度模型(BSIMM)十年:一文了解BSIMM10
    11. 安全架构–2--甲方基础安全运营平台建设实践
    12. 安全架构–3--SDL安全与企业办公安全落地实践
    展开全文
  • 医院组织架构的重要性  一个机构的组织结构的形成,受组织内政治、经济以及历史等多种因素的影响。网络上流行着一张图片,戏说互联网巨头们的组织架构。虽然只是戏说,但可以看出不同的组织结构反映了不同的公司...

      医院组织架构的重要性

      一个机构的组织结构的形成,受组织内政治、经济以及历史等多种因素的影响。网络上流行着一张图片,戏说互联网巨头们的组织架构。虽然只是戏说,但可以看出不同的组织结构反映了不同的公司文化,也决定了公司的决策流程和管理方法,更影响着公司的发展趋势。

      如果说医院的文化是它的精神,决定着它的发展轨迹与方向,那么组织架构就是医院的骨架,决定了它能够成长多大、发展多快。美国现代医院管理模型中第二层,建立适当的组织结构和团队指的是一个组织的主要决策、执行、监督部门、跨部门委员会的设立和重要岗位的制定。通过这些部门、岗位和委员会的设立,以及相应职能的确定,帮助医院管理者有效地管理医院或者医院内的部门。

      大型学术医学中心的组织架构

      美国医院的内部管理、治理结构与现代美国大公司相类似,也有董事会,对于非营利机构也称做理事会。董事会/理事会制度仍然是美国医院内部的最高管理权力机关,把握医院宏观战略、财政预算、发展方向、高层任免等重要事务。在董事会的领导下,医院院长或首席执行官是行政和执行团队的总负责人,直接向董事会汇报。首席执行官带领着执行团队完成董事会制定的医院整体战略和目标。很多高管岗位和大公司类似,例如,医院也有主管人力资源的人力资源副院长、主管信息的首席信息官、首席财务官等现代企业中的高级管理职位。医院的高管,直接向医院的首席执行官汇报,首席执行官则向董事会汇报。

      医院董事会

      医院的董事会是医院的最高管理机构,董事会的主要职责包括制定医院整体战略和方向,并任命医院首席执行官等医院高管。董事会最高职位是董事长,一般情况下,董事长不兼任医院的首席执行官,但很多医院的董事长曾经在医院担任过高管,例如首席执行官。董事长对医院本身的运营和管理非常了解,能很好地把握医院的发展方向和战略决策。首席执行官负责医院目常的运营与管理,董事长则只负责医院重大的战略、方向以及发展等问题。

      董事会开会的频率因医院章程而异,有些医院董事会每年开一次。会上董事们要接受首席执行官的汇报,审批上一年工作总结,并听取首席执行官和高管团队汇报下一年的工作计划、预算计划、质量等重要医院指标和高管调动等重要工作,并对这些工作给予批准。

      对于大多数非营利性医院,很多董事会成员不在医院领薪水,而是在社会上担任重要的职位和工作。一般情况下,非营利性医院董事会成员由4类人群组成:

      (1)医院内部的高管:医院首席执行官、首席医疗官等医院高管。

      (2)医生代表,以及与医院合作的医学院、高校或医生组织代表:

      大的临床科室的主任与学科带头人,以及与医院合作的医学院院长等医生领袖和学术界领袖。这些重要的医生代表作为董事会成员,首先有利于帮助其他董事会成员了解医院地临床工作;其次可以让他们更好地领会董事会的决议和战略,以便临床工作与管理工作更好地配合完成医院的使命;第三增加其个人归属感,让重要医生领袖成为医院核心决策的一部分,更好地激励他们为医院做出贡献。

      (3)当地社区居民代表:

      由于医院的主要职能之一是为当地的居民提供医疗和健康服务,所以社区代表有责任、也有义务在医院的董事会上对医院的质量、病人的风险以及医疗的公益性进行监督。社区代表更是医院与社区居民的组带和桥梁。患者满意度是社区代表在董事会上关注的重要问题之一。在社区医院和地区性医院中,社区代表在董事会中所占比例比较高。

      (4)社会上有一定成就及影响力的企业家和社会知名人士:

      在美国,商界成功的企业家和有影响力的社会公众人物成为医院董事会成员非常普遍。例如,哈佛大学麻省总医院现任董事会主席(2016年)凯茜·梅尼根(Cathy E.Minehan)女士曾任波士顿美联储主席兼首席执行官。成功企业家的经验一方面可以帮助医院在商业运作模式上更加成熟;另一方面,在战略制定和医院发展方向等大问题上,他们能够根据自己在其他行业的成功经验,为医院提出建设性意见。更重要的是,社会上成功的企业家将会利用自己的影响力和号召力帮助医院募集资金。

      当然,由于医疗系统的复杂性,很多社会上成功的企业家不一定非常了解医疗系统,对于医院的战略和管理更不一定熟悉。医院首席执行官和医院高管的重要工作之一,就是在董事会或者日常的工作汇报和交流中“科普”医疗行业以外的董事会成员,让他们了解医疗系统,意识到自己的医院在医疗系统中的作用和功能、给社会带来的利益,以及日后会面临的挑战,这样才能引导这些在其他行业颇有建树的董事会成员,就医院的发展方向提出合理的建议,对医院的战略贡献独到的见解。

      “董事”不只是一个头衔,更是对社会责任的承诺。根据具体的董事会章程,董事会成员需要定期开会,对于医院的计划、绩效、财务、质量、战略以及重大人事变动等议题听取医院首席执行官的汇报,提出意见,并投票通过。

      每次会议的时间需要4~5个小时。对于平时非常紧忙的社会成功人士和医院重要学科带头人而言,4~5个小时非常珍贵。他们付出自己宝贵的时间,体现作为董事对于医院的承诺。

      不仅是对医院的承诺,董事会成员参加董事会更重要的是对社会责任的承诺。根据马斯洛的需求理论,人的最高追求是“自我实现”。很多成功企业家已经在社会某个领域取得了年著的成就,这时他们更希望回钱社会,依靠自己的经验和资源为社会公益事业做出贡献。当董事会成员任期结束并提出不再担任董事会成员时,董事会内部成员会提名其他候选人,由董事会现任成员投票表决。

      案例 耶鲁一纽黑文医院2014年董事会成员

      2014年,耶鲁一纽黑文医院共有26名董事会成员,来自纽黑文甚至康州的各行各业,既有成功企业家,也有耶鲁大学及周边高校领导和知名学者,还包括慈善基金和非营利性组织领导者为代表的社区群众。其中医院内部高管4名,占15%;医生代表和医院合作的医学院、高校或医生组织代表8名,占31%;社区代表5名,占19%;社会上有一定成就和影响力的企业家和社会知名人士9名,占35%。以下是2014年耶鲁一纽黑文医院董事会成员组成。

      医院首席执行官(Chief Executive Officer)

      首席执行官的职责

      医院的首席执行官向董事会汇报,对董事会负责。首席执行官是医院的最高行政执行长官,负责医院内部每日的运营。主要职责包括:

      (1)制定医院每年的工作计划,并向董事会汇报上一年的工作总结;

      (2)向其他医院高管传达董事会的重要决议及医院战略发展方向,带领、协调其他高管和各部门主管完成董事会制定的战略;

      (3)和董事会一起招聘医院其他重要高管和学科带头人,并制定这些高管的详细工作职责与评估方案;

      (4)在董事会战略方针下,领导医院其他高管及各部门主要负责人,开展医院文化建设、学科建设、社区活动、医疗质量提高等重要工作;

      (5)与医院其他高管一起协商并分解董事会制定的医院整体战略目标,把整体目标布置到其他高管的主管区域,并与他们一起制定高管和重要科室的工作任务及工作目标;

      (6)与医院其他高管与相关部门合作,分析医院重要的质量和患者安全风险,并协调资源给予改进;

      (7)协调医院与外部主要利益相关方的合作,例如与医院相关的医学院、医生组织、科研机构、基金会、政府部门、保险公司,第三方质量监管机构,病人满意度监管机构等;

      (8)协调医院内部各部门之间的工作与关系,使各部门之间顺畅、有效率地协作完成董事会对医院战略目标的要求;

      (9)与董事会及相关高管一起制定医院重大投资、融资等财务战略;

      (10)与医院其他高管一起对医院的财务、绩效、质量、患者满意度等重要指标负责;

      (1)与首席医疗官,以及临床科室带头人一起合作制定临床、科研、以及教学计划,并确保医院学科建设和发展;

      (12)加强医院与社区的联系与组带,帮助医院尊集本米发展的资金;

      (13)领导医院重大项目以及活动

      首席执行官应具备的能力

      一监的成功离不开优秀的首席执行官。现代医院的优秀首临执行官需具备以下素质:

      1、服务型领导的能力

      服务型领导的能力由许多不同特性组成,包括诚实、真诚、感恩、透明、责任以及对承诺的遵守。医院是人才集中的复杂机构,具备服务型领导能力的医院首席执行官通过支持其他医院高管和部门,提供必要的资源,激励他们的积极性,使之更好地完成既定目标。

      首席执行官在医院内部的管理中,不仅仅带领其他高管和主要部门完成任务,更重要的是协调部门之间的工作,帮助各部门获得资源完成目标。首席执行官制定医院的整体工作计划,并把整体计划分解,分配给其他高管,在这个过程中,他不仅仅要选择合适的高管,还要通过协调、调配资源以帮助他们完成自己职责内的任务与目标。服务型领导的重要职责之一就是协调资源,为其他高管和重要部门负责人提供有力支持,让他们在医院内最大程度地发挥才能和热情,并完成工作任务。

      2、交流的能力

      很好的交流能力是医院首席执行官必备的素质。他需要走出自己的办公室,和一线的医生和员工更多地交流,不仅仅把医院发展的想法传达给员工,更要听取员工的声音,了解他们对医院发展的想法和意见。

      医院首席执行官还肩负着与董事会交流的任务。他不仅仅是医院执行团队的总领导,更是医院执行团队和医院董事会沟通的桥梁。医院董事会的责任是制定重要战略、方向和投资的决策,但是董事会成员可能不是医疗系统或医院管理相关方面的专家,首席执行官的一个主要任务是为董事会成员“科普”医院运营和管理的基本知识,使其掌握医疗系统和医院管理的基本规律,帮助他们在全面了解医院管理和发展规律的基础上做出医院战略发展的正确决策。

      3、辅导和培养年轻医院管理者的能力

      培养年轻的医院管理者是医院首席执行官所需要具备的能力之一。正如医院首席执行官在自己的职业成长中需要不断自我完善一样,他也有责任帮助年轻的管理者逐渐成长。

      4、平衡发展的能力

      医院发展和管理需要在许多方面做到平衡,例如,对于追求收入与做慈善的平衡,对于业务量和医疗质量与风险的平衡,对于员工关爱与工作效率的平衡。许多医院都是用平衡计分卡的方法对医院绩效和员工工作进行评估。作为医院行政最高领导者和实施者,平衡计分卡的思路和管理工具是医院首席执行官管理医院需要具备的重要技能。

      5、成为楷模和领袖的能力

      医院首席执行官肩负着带领整个医院发展,并且培养医院年轻员工成长和发展的重任,所以领导能力和人格魅力非常重要。首席执行官的一言一行,日常举手投足都会成为其他高管和员工的榜样。在带领医院发展的过程中,医院首席执行官自身管理能力和领导能力的提高,也是医院成功的关键因素之一。

      6、与社区交流的能力

      医院是社区的重要组成部分。医院的首席执行官还代表着医院的对外形象,并负责与外部协调。除了日常工作需要与外部沟通和协调以外,医院首席执行官还需要让医院外部主要利益相关方了解并认同医院的价值,帮助医院得到社区居民的认可。医院获得社区的认可一方面可以让更多的患者选择医院就医,另一方面也能让医院获得更多的社会资源和募捐基金。

      7、幽默感

      大型医疗机构的工作压力非常大,作为医院首席执行官,拥有幽默感,发现生活工作中的乐趣可以帮助缓解员工的压力,使大家工作起来更加和谐,同时还可以提高工作满意度。

      医院首席执行官所需要具备的素质不仅限于上述这些内容。他们是医院文化的缩影,是每个员工的榜样,他们在医院的一言一行,都会对医院员工产生重要影响。

      一位美国资深院长曾给我讲过这样一个故事:他刚刚上任院长的时候和以前的老院长一起巡视医院,发现一些病区的地上有许多垃圾没有人捡,他对老院长说:“这些病区的管理者太不像话了,地上有垃圾都不清理。”老院长没有说话,走过的时候捡起一些垃圾,放在垃圾桶里,并有意留一些在原来的地方。

      当他们结束医院巡视,再次回到这个病区的时候,发现地上的垃圾都被清理干净了。他对我说,从那时起,他明白了院长以身作则的重要性。如果院长每天都自觉地遵守医院的规章制度,员工也会自觉效仿。

      另一个医院领导以身作则影响其他员工的例子是手卫生的管理。在许多手卫生实施改进项目中,如果科室主任遵守手卫生的规定,在进入病房前和离开病房时用消毒液进行手消毒,年轻医生、住院医生以及其他医务人员也会跟随科主任遵守手卫生相关规定。

      医院系统庞大且复杂,光凭坐在办公室里读读报表、看看数字、听听汇报很难全面了解医院各部门的具体运营情况,因此需要首席执行官亲身观察与体验,甚至亲身经历病人在医院接受诊疗的整个流程,才能对医院运营和日常管理有更深入的了解。

      医院其他高管

      首席运营官(Chief Operating Officer)

      在美国大型学术医学中心,首席执行官更多时候代表着医院的形象,主要责任已经由对医院内部的管理转变为对外代表医院与政府、保险公司、医学院、医生组织、社区以及其他利益相关方进行谈判和沟通。内部管理的重任则由首席运营官(COO)负责,首席运营官也就成为医院实际运营者和管理人,主要负责医院内部日常的运营、流程、与各科室之间的衔接、配合、沟通等各方面的管理工作。一些大型医院首席运营官的另一主要职责是和首席质量官一起负责医院的质量和降低患者风险。

      首席医疗官(Chief Medical Officer)

      医院首席医疗官(CMO)主要负责与医疗相关的事宜,包括医生招聘、科室建设、住院医生标准化培训、医生、其他医务人员和行政管理人员之间的交流协作等涉及医务的工作。一般首席医疗官都必须是医学专家,被医生所认可,是医生中的领袖。在大型学术医学中心,医生不仅仅在医院为病人提供诊疗服务,还兼任医学院教职员工,并从事科研工作,所以首席医疗官既要从医院的角度管理协调医生在医院行医的工作,更要与医学院配合,协调资源以满足医生的科研和教学需求。大型学术医学中心首席医疗官的另一项重要任务是与社区医生组织谈判,签订合作协议,建立起医院在社区内的网络资源。

      首席质量官(Chief Quality Officer)

      首席质量官(CQO)主要负责医院内所有与诊疗质量和患者安全相关领域的工作。另外,首席质量官还需要与美国政府、第三方质量监管、质量认证等机构保持紧密的联系与合作,及时了解最新医疗质量的要求、规定和指南。首席质量官还要确保有关医院质量的统计数据能够客观、正确、透明、及时地展示给公众。除了日常事务性工作外,首席质量官更重要的职责还包括发现医院内医疗质量和病人风险的隐患,制定方针政策和措施方案去降低这些隐患。

      首席信息官(Chief Information Oficer)

      医院首席信息官(CIO)的工作范围不仅仅是设计、建立一个医院电子信息系统,更重要的是如何利用这个系统改进诊疗流程、促进患者与医生沟通、输助患者就诊和健康管理。除此之外,电子信息系统还可以都助管理层利用数据、分析数据、挖掘数据,最终使用数据结果辅助决策、监控医疗质量和流程,更加有效的管理医院。

      首席护理官(Chief Nursing Officer)

      护理工作与患者住院期间的经历与满意度密切相关。护理团队在住院病人和住院病房的管理中起着至关重要的作用,通常首席护理官(CNO)需要与首席运营官一起协调并负责医院内部病人护理,以及医院住院部门的运营等工作。

      首席护理官也担任着领导社会工作者、个案管理师等为患者提供诊疗服务团队的责任。另外,由于护理团队在提高诊疗质量,降低患者风险方面有着不可替代的作用,首席护理官也是首席质量官在质量管理和患者风险控制方面重要合作者。

      人力资源副院长(Vice-President for Human Resources)

      主管人力资源的副院长负责的工作范围比较广泛,不仅仅包括事务性的工作,例如人力资源档案管理、各级医生和行政管理人员的营业执照许可,合规管理、法务、员工薪酬和福利的设计,还包括医院创造性的工作,例如医院的培训工作,医院人力资源战略的制定与执行。此外,人力资源副院长还积极参与医院文化建设,使人力资源战略与医院文化建设战略协调一致。在美国现代医院管理中,人力资源管理变得越来越重要。对于科技和人才密集型的医疗行业,招聘和管理人才是医院成功的基础。

      首席财务官(Chief Financial Officer)

      首席财务官(CFO)的职能和工作随着医院管理职业化以及支付制度的改革变得越来越重要,其职能范围也从最开始的医院账目管理与监督,扩展到医院的运营、投资和战略发展等方面。医院首席财务官需要与首席运营官、首席质量官、首席信息官一起协调资源、制定战略,在不影响医疗诊疗质量和服务的基础上,增加医院收入并控制成本,提高投资回报率。

      发展与社区合作副院长(Vice-President for Hospital Development and Community Collaboration)

      在一些医院里,主管医院发展与社区合作的副院长也被称为首席市场官,主要负责医院的市场宣传、品牌建设、推广,以及各种与社区相关的活动。医院已经成为社区的重要组成部分,负责医院发展与社区合作的副院长需要通过组织各式各样的社区服务和活动,搭建与社区居民之间的桥梁,同时让政府、慈善基金以及居民和患者了解医院的使命和价值观,帮助医院募集捐款,促进医院发展。

      新业务副院长(Vice-Presidentfor Business Development)

      随着高科技的日新月异,医疗产业和医疗服务发展得越来越快。远程会和远程医疗已成为传统医疗服务的有效补充。健康管理理念的变化也使得人们把在医院就医的活动提前,预防为主、治疗为辅也成为很多人目前的选择和未来医疗发展的趋势。在这些新医疗诊疗模式变化的大形势下,很多大型医院都设有专职负责新业务开发的副院长,负责探索、分析和研究新科技以及新的市场环境下医院可能发展的新业务模式。

      以上是大型学术中心普遍设立的高管职位。根据医院的规模和性质,医院高能的人敏以及负责的领域可能有所不同。你血,英国安全周层院清设协部酸你与公众关系的副院长,主要负责与政府协遇,为医院争服天得更多资奶。医疗集团也会设立医疗保险部门,为当地病人提供医疗保险,因此会设立专门主管保险业务的副院长。在大型教学医院,随着科研工作在医院重要性的提升,医院往往还会设立专职的科研副院长。

      医院作为一个整体,在一定的体制和机制下运营,组织结构和运营框架决定了医院各部门是否能够协调一致,是否能为患者提供优质的诊疗服务。医院的组织架构也在一定程度上反映了医院的战略发展方向和侧重点。例如,与医学院合作的大型学术中心组织架构更倾向于科研、教学与患者诊疗服务的结合。

      服务社区为主要工作的社区医院则更突出与社区的联系,架起社区和医院之间的纽带和桥梁,让居民了解医院,更方便地到医院就诊。营利性连锁医院则更注重效率、成本控制、流程的统一。

      医院跨部门委员会

      随着医院规模的扩大,医院内的部门也越来越多,结构变得臃肿,跨部门之间的协调与合作变得尤为困难。医疗服务的复杂性和参与者的多样性对于跨部门合作与协调的要求很高,不仅仅患者的诊疗和服务过程需要跨科室的团队协作,对于患者就医的一些流程、规章制度的建立,以及医院发展方面的决策,也都涉及到医院不同科室的工作。如何促进跨部门之间更有效的合作成为医院管理者的重要任务之一。

      医院内各种跨部门的委员会成为协调不同部门共同协商、合作并作出决策的重要组织结构。通过跨部门委员会内部协调、协商得出的规章、流程和制度,更容易被各部门接受,也更容易被基层管理者和一线工作人员推行。委员会委员就要讨论的问题和决议进行商议,并将最终作出的决定或将决定的方案提交给医院各级领导进行审议。通常委员会中常任成员的级别体现医院对于某项工作的重视程度,例如,医院院长作为成员亲自参加的质量提高委员会就体现出医院对提高医疗质量的重视。

      委员会成员包括医院领导、不同科室、不同部门的主管和相关负责人,以及普通的一线员工。一线员工加入委员会意义重大,因为他们更了解医院日常运营的细节和患者的需求,可以把自己每日工作的所见所闻和积累转化为对医院管理有益的解决方案。美国许多医院的员工也以成为委员会中的一员,为能够对医院管理和运营做出贡献而感到光荣和骄做。梅奥的管理者曾讲过这样一个故事:一次下班后,下午5点左右,梅奥的院长在一个科室巡查,与一个保洁人员聊起病房里的问题,并邀其共进晚餐。但是保洁人员因为要参加一个5:30召开的患者安全委员会的例行会议,婉拒了院长的邀请。

      这个小故事告诉我们美国基层员工对于医院内委员会工作的责任感和荣誉感。

      以下我们就为大家介绍美国医院内主要的常设委员会。

      患者服务理事委员会(Trustee Patient Care Commitee)

      患者服务理事委员会是围绕患者诊疗服务的高层委员会,使命是提高包括董事会在内的医院高层对于患者诊疗质量和服务结果的重视,并有效地提高医疗质量和患者服务。

      患者服务理事委员会的主要职责是讨论所有与病人诊疗和服务相关的事宜。

      根据医院的规模,以及医院对于患者服务的重视程度,委员会主席的人选有所不同,一般情况下为医院院长或者其他高管担任。委员会的组成不仅包括医院董事会成员、医院高管、内外科等主要科室主任、医生代表,还包括社区代表以及病人和家属代表。社区代表、病人及其家属代表承担着对医院高管和医院的监督作用。委员会需要定期市阅并通过患者安全报告、护理报告、患者满意度报告等与患者安全和服务相关的报告,此外还要就重大医疗事故和医疗错误听成相关工作人员的汇报与总结,提开医院对医疗事故的重视程度,避免相关事故再次发生。

      医疗事务委员会(Medical Execulive Commitee)

      顾名思义,医疗事务委员会主要目的是讨论和解决医院内所有与医疗事务相关的问题。一般情况下,医院首席医疗官担任此委员会的主席,首席护理官、首席质量官、内外科及其他大科室主任、医生代表也是此委员会的成员。如果医院为医学院的附属医院或者教学医院,医学院通常也会派代表参加。委员会讨论并审核日常医疗服务相关的流程、患者安全、诊疗结果、满意度等工作。另外,教学医院的医疗事务委员会还起到与医学院沟通的重要作用,委员们共同讨论与住院医生培训、医学院科研经费划分及重要医务人员任命等相关工作。

      质量与患者安全委员会(Quality and Patient Safety Council)

      质量与患者安全委员会是医院最高级别关于病人诊疗质量和安全的委员会。

      一般由首席质量官担任委员会主席,委员包括首席护理官、首席信息官、感染科负责人、医生代表、信息科代表、临床科室护士代表等和医疗质量提升部门相关的工作人员。委员会所有议题全都围绕着医院内医疗质量和患者风险展开,除了讨论如何提高全院范围内的诊疗质量、降低病人风险以外,质量与患者安全委员会还负责制定医院内具体的质量改进战略与实施方案,以及对于项目执行和效果的监督。作为医院最高级别的病人诊疗质量与安全委员会,质量与患者安全委员会也尽可能吸引基层、一线的医生护士和其他支持科室的员工加入,

      因为这些员工最了解病人日常诊疗过程中可能的风险,以及如何从目常工作细节中提高对病人的诊疗质量。一线员工和医院领导同时任职于委员会上,更方便一线员工直接把潜在的医疗质量和患者风险隐患向医院领导通报,并提出贴近日常工作实践的建议。

      领导力变革委员会(Leadership for Change Commitee)

      许多医院为了推行改革或者实施新项目,设立领导力变革委员会。该委员会参加者包括医院所有中高层管理者。类似于很多机构的“城镇会议”(Towm Hllmeeing),委员会每月召集一次,为了让日常工作繁忙的临床医生和护理部门中层也能参加,一般安排在早晨6点。会上院长会向与会员工汇报上个月的医疗质量、患者安全、病人满意度、服务量、平均住院目等重要运营指标,并对重大医疗事故和“严重须上报事件”予以通报,以提高所有中层管理者对于医疗质量及患者安全的重视。

      其次,医院院长会向中层通报医院重要决定以及人事任命,重要部门也会在大会最后介绍自己团队新加入的成员。在医院高级别委员会上隆重介绍新员工,会使他们感受到医院热情的文化,促使他们迅速融入团队。更重要的是,医院院长和高管通过“领导力变革委员会”向医院中层管理者传播医院的文化和重要战略发展方向,使他们影响更多医院员工。

      会议的主旨和会议的名称相匹配:通过医院高层领导力来影响和改变医院,团结管理团队,更有效地推广医院文化、推进并实施医院工作重点和战略方向。

      护理实践委员会(Nursing Practice Council)

      护理实践委员会主要讨论并解决护理工作中遇到的问题与挑战,是医院内对于护理工作政策、规章和实践进行审议、评估和决策的委员会。另外,根据护理诊疗队伍的规模以及医院是否承担教学任务等因素,一些医院还设立护理教育委员会(Nursing Education Committee)和护理病历记录委员会(Nursing Documentation Committee)。

      感染控制委员会(Infection Control Commitee)

      感染控制是医院工作重点之一。感染控制委员会一般由医院感染控制科主任担任主席,成员包括医院质量管理科室负责人、护理团队代表和医生代表等与医院感染控制工作相关人员。委员会负责制定医院感染控制方面的政策、措施,以及具体执行和监督方法。

      医生网络发展委员会(Physician Network Development Commitee)

      医生网络发展委员会负责医院和社区家庭医生、以及其他自由职业专科医生的业务合作。美国大部分社区医生为自由职业者或者是医生组织的成员,委员会的重要职责是建立起与社区医生、社区医院之间的更多合作,让更多社区医生把自己的病人转诊到医院进行手术或其他诊疗服务。结束诊疗后,大型医学中心再将这些病人转回到家庭医生和社区医院,以继续康复治疗和后续跟踪。对于依靠社区医生转诊为主要病人资源的医院,医生网络发展委员会尤其重要。

      医院财务委员会(Hospital Finance Commitee)

      医院财务委员会负责医院财务相关的工作,包括医院的财务健康、财务管理、成本管理、保险谈判与回款情况、医院现金流管理,以及医院投融资管理。

      一般情况下,委员会由首席财务官担任主席。

      患者权益及满意度委员会(Patient Advocacy and Patient Satisfaction Committee)

      患者权益及满意度委员会主要负责与患者权益和满意度相关的工作。具体来讲,委员会根据患者满意度统计的结果和其他相关信息,分析患者满意度不佳的原因,组织协调各医疗和管理部门制定提高患者满意度的方案。此外,委员会还负责协调和解决严重的医疗事故和“严重须上报事件”。委员会一般由病人权益部门的主管担任主席。

      新医疗技术委员会(New Technology Advisory Commitee)

      新医疗技术委员会的主席一般为外科或内科主任,或者其他德高望重的医学专家。重要成员包括医院首席财务官、主管采购的副院长、主管医院战略发展的副院长、首席医疗官,以及主管医院新业务拓展的副院长。

      新医疗技术委员会的职责是评估医疗领域新技术和实践,包括这些技术在医院的应用前景和成本效益,最终决定医院是否引进这项技术。医院所有的医生和医务人员都可以向委员会提出提案。虽然叫新医疗技术委员会,很多医生的提案也涉及传统的技术或仪器。一般情况下,医务人员需要提前半年提出提案,要详细阐述这项技术对于患者诊疗服务的意义和价值,以及需要的投资额和回报率等信息。委员会根据医生提供的信息做出必要的调查和分析,例如,这些新技术对于患者诊疗服务的意义和价值是否被夸大或者遗漏,是否有充足的说服性,投资额与回报率的评估计算是否合理。有些技术不仅仅需要考虑投资回报,更要考虑对医院未来战略、服务发展方向、人才引进、教学与科研等方面的影响。例如,一些医院在引进达芬奇外科手术系统时,考虑的不仅仅是医院的经济效益,更多的是可以通过最先进的智能机器人手术仪器的引进,吸引更多优秀的年轻医生加入医院。

      美国医院内的委员会五花八门。除了上述主要的委员会外,还有许多同样重要的,例如病历记录委员会、用药安全委员会、门诊流程委员会等等。在一些医院中,成立委员会的申请程序可能比较简单,只要员工提交正式申请,并得到副院长级别的领导支持便可成立。医院内的委员会起到打通不同部门界限、多部门协调、协商管理医院的作用。美国很多医院大量地使用委员会方式管理医院,在医院这种部门繁多、结构复杂、功能和流程繁琐的机构中,建立不同级别、不同功能、不同规模的跨部门委员会,对于日常工作的协调与实施、特殊项目的计划与执行意义重大。

      首先,跨科室、跨部门委员会可以打破不同部门与科室间的孤岛效应,让医院内部沟通更加流畅,使信息更好地在不同利益相关方之间分享,以达到决策的制定过程更科学、更有效的目的;其次,跨级别委员会的建立可以鼓励更多的基层员工参与到政策和决策的制定之中,给高管与基层员工一个平等交流、相互讨论、共同作决策的平台,这样的平台也会让医院高管更加了解基层工作,以及基层面临的挑战与问题;再次,医院可以通过建立某个具体职能的委员会向医院员工传达医院工作重点和战略方向,引导他们与医院高层管理者理念一致,一起努力完成高层制定的战略方向。例如,医院建立质量与患者安全委员会,让全体员工意识到医院高管对于医院质量和患者安全的高度重视。

      使用委员会管理医院可以使决策的过程更民主,听取的意见更全面,但也可能会让医院的效率变低。医院管理者需在追求民主和效率之间把握平衡。

      多院区管理架构

      现代医院规模发展越来越大,医院集团和拥有多个院区的大型医学中心纷纷出现。多院区管理一个重要的挑战是既要统一各分院或者院区的文化、品牌、流程、质量和诊疗标准,同时还要能够最大程度地激励各分院或者不同院区管理团队的积极性。

      多院区管理在组织架构上的选择可以是集权式,也可以是比较类似于控股公司的分权式。类似于大型公司管理,多院区管理如果选择集权式的组织架构,集团总部负责各分院或院区的诊疗、运营、采购、财务、科研、教学等各方面的管理工作。在这种组织架构下,集团掌握着每个分院运营的权利,有利于不同院区有统一的文化、战略规划、政策、服务流程和规章制度,还可避免邻近院区之间恶性竞争带来的不良影响。

      当然,集权式组织架构也有其弊端,主要在于:集中管理的模式使得组织更庞大、更官僚,决策更缓慢。此外,集权式组织架构也可能扼杀各分院或者院区的创造力和独立解决问题的能力,而且对各分院和院区领导的激励机制也有一定影响。

      另一方面,多院区管理可以采用控股公司式的组织架构,医院集团总部相当于各分院的控股公司,任免高层领导并给予各分院战略规划和管理方面的指导权。对于日常各方面的管理和运营,各分院和院区有很大的自主性。控股公司模式的优势在于各分院和院区更加贴近自己服务的目标人群和市场,对当地患者和家庭的需求更加了解,可以提供更加贴近地气的服务。而且,这种组织架构可以减少庞大的官僚机构带来的低效率,加快决策流程,有效地调动分院和不同院区管理者的积极性。然而控股公司式分权管理的不足也很明显,不同分院和院区之间的差异可能使医院集团失去整体文化和诊疗的统一标准,分院和院区之间还可能会造成恶性竞争。

      诊疗、患者服务及运营标准,各分院按照标准进行管理,集团给予适当的监督。而对于财务、采购和品牌这些适于集中、统一管理的部门,则由集团进行统一管理。

      案例 梅奥诊所集团组织架构的变化

      通常,一个医疗集团的组织架构也不是一成不变的,而是随着市场的变化和集团发展的方向而不断变化。梅奥诊所集团在2010年之前,主要采用的是控股公司式的组织架构:集团公司给予各分院和下属医疗机构一定的预算和目标,分院和下属机构根据预算和目标自行制定计划并实施。年终时,集团总部会评估各分院实施结果和绩效,给予分院奖惩并制定下一年的计划。

      2010年以后,梅奥诊所希望它旗下的三个分院——罗切斯特、杰克森威尔和斯科特迪尔,以及下属的二级医疗中心和社区服务中心有统一的医疗诊疗、服务以及流程标准,所以开始了结构集中化和分权化混合方式的改革。改革后,梅奥诊所既实现了每个院区和下属医疗服务机构可以根据自身市场的具体情况调整运营的方式,又更加重视整体文化、诊疗和流程的统一性。

      在现在(2013年)的组织架构中,处于最顶端的董事会由31名董事组成,其中包括17名外部董事,14名内部董事,董事会成员三分之一为医生。董事会主要负责整个集团宏观战略,包括管理、财务、投资、商业发展等事宜,还负责重要人事的任免,包括向董事会汇报的治理委员会、首席执行官等重要岗位。除此之外,董事会还负责对各医院和商业部门的审计工作。董事会每季度召开一次。

      由董事会直接领导、对董事会直接负责的是治理委员会(Board of Governance)。治理委员会起到董事会执行委员会的责任,负责内部监督、治理以及各种政策的制定,即将董事会的战略和决策变成具体的政策和执行方案。集团首席执行官是治理委员会的主席,也是委员会下属管理团队的主席。委员会常任委员还包括首席管理官(CAO)和分院的院长。

      管理团队直接对集团首席执行官负责,整合协调所有临床、科研、教学以及各院区和商业部门的工作,还负责制定和监督各院区、医疗和商业部门的工作计划及实施情况。管理团队由19名成员组成,除首席执行官、首席管理官、首席财务官、首席医疗信息官和首席计划官外,其他成员包括来自于医疗部门,教学部门,科研部门,以及分院、社区服务系统、协作医疗网络系统的代表。广泛分布的成员保证了管理团队能够全面、平衡地掌握整个集团各方面的发展。

      管理团队之下是两大平行机构:一个负责跨院区的临床、教学、科研与各商业部门日常运作,另一个为各个分院运营团队。院区内运营团队可支配的资源在500万美元以下,超过500万美元则需上一级管理团队审批。院区内运营团队每周开会,与会成员14~22名,包括此院区内临床、教学、科研、质量、运营、医疗、护理、创新、财务、计划、设备、人事等部门的负责人。

      这样的组织架构,既保证各院区的运营团队有一定的财务和运营独立权,又通过跨院区职能部门,保证了梅奥各院区的临床、教学、科研与商业工作具有统一的质量和标准。

      一个拥有超过5.6万员工,3个分院区的巨无霸医疗集团在品牌、文化、流程、标准上像一个统一的整体,但各院区和各医疗分支又充满活力,没有受到庞大官僚机构的束缚,梅奥诊所集团的组织架构既兼顾了集中管理,又鼓励了各院区的自主经营,满足了市场快速反应的需求。

    展开全文
  • 此外,企业架构 (EA) 是组织架构、业务和技术架构及其关系的综合视图。 多项研究也将 EA 视为 BC 和安全管理的基础。 我们的研究旨在研究 BCM 方面如何嵌入到企业架构中。 在这个意义上,本文提出了一种元模型和...
  • 看清滴滴出行组织架构迭代

    千次阅读 2020-12-20 00:00:00
    12月10日,滴滴出行发布全员信,宣布新一轮组织架构调整,将分散的业务进行整合成立新事业群,并进行了多名高管的换岗,据网经社不完全统计,截至目前滴滴已累计进行了8次组织架构调整。成立城市...
  • SABSA企业安全架构-白皮书

    千次阅读 2021-09-11 15:43:26
    SABSA是一个方法论,它通过开发以风险作为驱动的企业信息安全系统和企业信息保证结构来派生以支持关键商务的安全架构解决方案。 特点: 它是一个开放式的标准,容纳了大量的框架、模型、方法和步骤;它是完全免费的...
  • 十张图看懂华为业务与组织架构

    千次阅读 2020-04-14 17:39:13
    近十年来,华为的业务和组织架构发生了比较大的变化。特别是2017年成立了Cloud BU,到2019年又成立了Cloud & AI BG,前不久华为高管侯金龙以云与计算(Cloud &...(2009年华为业务与组织架构图) ...
  • 如果中台确实是解决企业现有问题的合理方案,那么建设过程中伴随的组织架构问题就是企业需要关心的,比如中台团队的人从哪来?经费从哪来?建设中台之后,业务团队的决策权力是不是被大幅缩减?本文采访了多位中台...
  • 博主是涂鸦安全部门最早期成员之一,虽然不是安全负责人,却也有幸参与和见证了涂鸦安全体系从无到有的建设历程。本文是博主关于甲方安全体系建设历程的思考,分为三部分: 一、安全体系建设v1.0---快速治理 二、...
  • 最近在做企业微信服务商的需求开发,我们是在做一个企业微信第三方应用给其他企业使用, 其中有一个需求是要同步公司企业组织架构企业微信的通讯录上。 目前遇到的问题是: 1、企业微信服务商现在已经不允许...
  • 架构功能

    千次阅读 2020-09-17 22:10:02
    支付业务的基础系统的复杂性和稳定性是支付业务是否能够及时安全处理的根本,该支付系统功能架构图收集了支付宝的系统架构。完整的支付系统整体架构! 从产品分类、模块功能和业务流程,了解支付产品服务的设计。支付...
  • 家里有个七八年前的台式机,几乎两年不曾开机了,放着不用还占地方,正好这几天有空,就想收拾收拾它卖了。接上电源发现还能开机,检查硬盘里的东西发现好多以前...信息安全管理体系 接上一回,我们说了一些常用的信息.
  • 在2021年以前,IT团队对于信息安全还停留在服务器宕机、数据灾备、权限管理的基本认识上,对于网络准入、终端设备管理、信息防泄密、系统接口认证、安全紧急预案等企业安全问题,根本没有概念。这种无知者无畏的状况...
  • 系统架构图

    万次阅读 2018-08-03 11:48:57
    该技术架构图是本人根据多年企业技术架构经验而制定,是企业技术的总架构图,希望对CTO们有所借鉴。  简单说明: 1.中间件基础运行环境是经过统一规划的以WebLogic、JBOSS为主的集群环境 ...
  • 企业元数据管理架构设计

    千次阅读 2021-12-03 09:12:13
    数据治理很火,在 DAMA 数据管理知识体系指南中,数据治理位于 “数据管理车轮” 的正中央,如下: 而元数据管理,正是十大数据管理领域其中很重要的一环。 数据资产治理的前提是要有数据,并且要求数据类型全...
  • 企业级的应用架构企业层面的应用架构起到了统一规划、承上启下的作用,向上承接了企业战略发展方向和业务模式,向下规划和指导企业各个IT系统的定位和功能。在企业架构中,应用架构是最重要和工作量最大的部...
  • 网络信息安全安全风险管理

    千次阅读 2022-04-19 14:23:37
    在信息时代,信息已经成为第一战略资源,信息对组织使命的完成、组织目标的实现起着至关重要...信息安全风险管理的目的就是将风险控制到可接受的程度,保护信息及其相关资产,最终保障组织能够完成其使命,实现其目标。
  • TikTok正式获得ISO 27001信息安全管理认证 TikTok在美国和英国正式获得ISO27001信息安全管理体系认证证书。 TikTok首席信息安全官...ISO 27001对信息安全管理体系和实施规则两方面作出要求,为企业在建立信息安..

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 89,964
精华内容 35,985
热门标签
关键字:

企业安全管理组织架构图