<bdo id="2b3yk"><code id="2b3yk"></code></bdo>

  • <output id="2b3yk"><sup id="2b3yk"></sup></output>
    <output id="2b3yk"><ruby id="2b3yk"></ruby></output>
  • <code id="2b3yk"><delect id="2b3yk"></delect></code>

  • 2019年嘮嗑企業安全(一)

    2019-02-18 108823人圍觀 ,發現 20 個不明物體 企業安全

    Mark信息安全專業畢業,曾經在安全廠商工作幾年,后在機緣巧合之前來到一家互聯網公司,并開始了一段甲方做企業安全的不歸路……

    經歷了大學到乙方再到甲方視角的轉變,Mark對安全的認識也在不斷的發生著轉變:大學專業就是信息安全緣故,自己認為信息安全是大量知識領域和技術集合,技術中產生安全問題,安全問題由技術解決;畢業后進入安全廠商和集成商摸爬滾打,坐著安全咨詢、安全集成等相關工作,幫助各大公司和部委完成業務系統的安全建設,信息安全也不再是單純的技術和項目交付,上升為了一種責任,一種幫助甲方提升和完善業務系統安全能力的責任;再之后的機緣巧合之下,自己轉到了互聯網行業,一家風口浪尖且愿意為安全做大量投入的公司,也由乙方角色轉換到了甲方,企業安全對自己除了技術和責任之外,又多了一層含義,那一層就是文化,好的安全工作不僅要保障業務,更要融入這家公司文化,貼合業務,依托企業文化,使安全工作變成公司業務乃至每個員工比較容易接受方式,增強安全工作的貼合度和粘性。

    說了這么多,那安全是什么呢,MBA智庫百科有個不錯的解釋:

    信息安全是指為數據處理系統而采取的技術的和管理的安全保護,保護計算機硬件、軟件、數據不因偶然的或惡意的原因而遭到破壞、更改、顯露。這里面既包含了層面的概念,其中計算機硬件可以看作是物理層面,軟件可以看做是運行層面,再就是數據層面;又包含了屬性的概念,其中破壞涉及的是可用性,更改涉及的是完整性,顯露涉及的是機密性。

    那如何做好企業安全呢?最近剛好看了兩本不錯的書,結合這兩本書聊聊自己對企業安全的思路,一本為薩提亞.納德拉的《刷新》,一本為瑞·達利歐《原則》。薩提亞.納德拉提醒了我做安全的態度,做事情要有同理心和善于接受并理解新事物的能力;而瑞·達利歐教會了我做安全的方法,任何事情的成功絕非偶然,其實有方法和套路的。

    瑞·達利歐把成功定義為5步(以我司為例):

    1、有明確的目標:

    實現業務的安全可視、可控和可管,并最大化保證業務的效率。

    2、找到阻礙視線目標的問題,并且不能容忍這些問題:

    合規問題、公司內外部的威脅和業務系統自身的脆弱性。

    3、準確診斷問題、找到問題的根源:

    合規問題:對公司業務相關的合規和法律了解不全面;

    技術層面:主機安全問題、docker安全問題、網絡安全問題、應用安全問題、數據安全問題、物理安全問題;

    管理層面:員工安全意識問題,標準化的管理、制度、要求、流程、規范等的缺乏。

    4、規劃可以解決問題的方案:

    總結如下技術與產品結合的安全導圖,僅供參考

    化繁為簡,將公司安全建設劃分三個階段跟大家簡單介紹

    第一階段:安全建設初期

    原則:

    外部威脅防御優于內部威脅

    主要建設內容包括:

    1、資產的識別,網絡的梳理

    2、漏洞的識別、修復

    3、邊界的4層和7層防護,基于業務進行邊界隔離,精細化白名單方式開放端口和流量

    4、鏈路的流量審計

    5、核心網絡的訪問認證和權限管理

    6、主機及終端防護,如設置安全基線、部署防病毒或相關安全插件等

    7、app安全,如app安全加固等

    8、業務系統日常存活、漏洞、端口等檢測掃描

    9、第三方滲透測試

    10、安全意識宣貫

    11、合規要求:如等級保護測評,風險評估檢測,完成網安及相關監管單位的要求和檢查

    第二階段:安全建設中期

    原則:

    重點建設內部安全和數據安全,補充完善外部威脅防護

    主要建設內容包括:

    1、上網行為管理及上網認證

    2、郵箱安全

    3、數據庫及對應權限梳理、整合、回收

    4、數據全生命周期的管理、數據治理,如數據標準化、分級分類、加密、脫敏等等(數據安全方面大而廣,后續單獨文章介紹)

    5、DLP

    6、蜜罐、威脅情報(驗證公司安全體系健壯性)

    7、日志管理平臺

    8、第三方滲透測試

    9、安全意識宣貫

    10、合規要求:如等級保護測評,風險評估檢測,完成網安及相關監管單位的要求和檢查

    11、看公關需要,可獲取公司級別認證,如iso 27001等

    第三階段:安全運營期

    原則:精細化,可視化運營

    主要建設內容:

    1、SRC

    2、自研安全平臺

    3、各安全系統的精細化運行、聯動和可視化

    4、第三方滲透測試,眾測(根據公司情況而做)

    5、安全意識宣貫

    6、合規要求:如等級保護測評,風險評估檢測,完成網安及相關監管單位的要求和檢查

    總結:

    一家公司安全建設順序可根據業務需求進行靈活調整,漏洞、合規、數據安全和安全意識宣貫需要貫穿安全建設的始末;漏洞是安全的靈魂,漏洞的發現、識別和快速響應在安全工作中永遠是優先級最高的;合規和數據安全是剛需,也是老板們最看重的點;安全做到最后永遠是人的問題,安全意識宣貫是提升公司整體安全水平的最有效手段,也是安全文化建設的核心。

    5、做一切必要的事來踐行這些方案,實現成果:

    貼合公司戰略、業務發展現狀,對安全工作開展排列優先級,以終為始,要事第一,統合綜效,不斷更新。

    總結:安全是一個特殊的存在,安全是個形容詞,絕對安全很難,但是在企業安全的建設過程中,希望通過自己不斷實踐、總結和刷新,將安全化繁為簡,守護好安全的寸土。

    后面會分享更多細節,未完待續。

    *本文作者:Mark2019,轉載請注明來自FreeBuf.COM

    發表評論

    已有 20 條評論

    取消
    Loading...
    css.php 宁夏卫视在线直播观看