如何做好企业安全

        本篇文章转自freebuf,由作者Mark2019所写。
        原文链接:https://www.freebuf.com/articles/es/195621.html
        信息安全是什么呢???关于这个问题,MBA智库百科有一个不错的解释:信息安全是指为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。这里面既包含了层面的概念,其中计算机硬件可以看作是物理层面,软件可以看做是运行层面,再就是数据层面;又包含了属性的概念,其中破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。
        那么如何做好企业安全呢???
        1、有明确的目标:
        实现业务的安全可视、可控和可管,并最大化保证业务的效率。
        2、找到阻碍视线的目标,并且不能容忍这些问题
        合规问题、公司内外部的威胁和业务系统自身的脆弱性。
        3、准确诊断问题、找到问题的根源
            合规问题:对公司业务相关的合规和法律了解不全面;
            技术层面:主机安全问题、docker安全问题、网络安全问题、应用安全问题、数据安全问题、物理安全问题;
            管理层面:员工安全意识问题,标准化的管理、制度、要求、流程、规范等的缺乏。
        4、规划可以解决问题的方案
        总结如下技术与产品结合的安全导图,仅供参考:

1548152126_5c46ed3e27f4d.png

        化繁为简,将公司安全建设划分三个阶段跟大家简单介绍
        第一阶段:安全建设初期
        原则:外部威胁防御优于内部威胁
        主要建设内容:


1、资产的识别,网络的梳理
2、漏洞的识别、修复
3、边界的4层和7层防护,基于业务进行边界隔离,精细化白名单方式开放端口和流量
4、链路的流量审计
5、核心网络的访问认证和权限管理
6、主机及终端防护,如设置安全基线、部署防病毒或相关安全插件等
7、app安全,如app安全加固等
8、业务系统日常存活、漏洞、端口等检测扫描
9、第三方渗透测试
10、安全意识宣贯
11、合规要求:如等级保护测评,风险评估检测,完成网安及相关监管单位的要求和检查


        第二阶段:安全建设中期
        原则:重点建设内部安全和数据安全,补充完善外部威胁防护
        主要建设内容包括:


1、上网行为管理及上网认证
2、邮箱安全
3、数据库及对应权限梳理、整合、回收
4、数据全生命周期的管理、数据治理,如数据标准化、分级分类、加密、脱敏等等(数据安全方面大而广,后续单独文章介绍)
5、DLP
6、蜜罐、威胁情报(验证公司安全体系健壮性)
7、日志管理平台
8、第三方渗透测试
9、安全意识宣贯
10、合规要求:如等级保护测评,风险评估检测,完成网安及相关监管单位的要求和检查
11、看公关需要,可获取公司级别认证,如iso 27001等


        第三阶段:安全运营期
        原则:精细化,可视化运营
        主要建设内容:


1、SRC
2、自研安全平台
3、各安全系统的精细化运行、联动和可视化
4、第三方渗透测试,众测(根据公司情况而做)
5、安全意识宣贯
6、合规要求:如等级保护测评,风险评估检测,完成网安及相关监管单位的要求和检查


        总结:
            一家公司安全建设顺序可根据业务需求进行灵活调整,漏洞、合规、数据安全和安全意识宣贯需要贯穿安全建设的始末;
            漏洞是安全的灵魂,漏洞的发现、识别和快速响应在安全工作中永远是优先级最高的;合规和数据安全是刚需,也是老板们最看重的点;
            安全做到最后永远是人的问题,安全意识宣贯是提升公司整体安全水平的最有效手段,也是安全文化建设的核心。
 
        5、做一切必要的事儿来践行这些方案,实现成果
            贴合公司战略、业务发展现状,对安全工作开展排列优先级,以终为始,要事第一,统合综效,不断更新。
 
        总结:安全是一个特殊的存在,安全是个形容词,绝对安全很难,但是在企业安全的建设过程中,希望通过自己不断实践、总结和刷新,将安全化繁为简,守护好安全的寸土。
 

0 个评论

要回复文章请先登录注册