一位从事网络安全方面的朋友说,在互联网行业待了多年,发现很多人都会购买网络安全设备,但其实他们对这些设备起到的作用并不了解,仿佛只是因为别人买了自己也要买上一套。
还听说过一段趣事,有个卖菜的商贩被人建议去做等保,于是卖菜的懵圈了,我一个卖菜的为啥也得做等保?
其实如果卖菜的业务只是做线下的业务,那么信息安全等级保护工作肯定和他挨不上边,但是这位商家已经把业务扩展到了线上,到了线上就涉及到了用户基础信息、支付等隐私安全问题,这些安全问题小到会对店家信息安全造成威胁,大到会对社会公共安全造成威胁。所以才会要求开展等保工作。
这样一看,连个卖菜的小贩用上互联网后都需要做好安全工作,更不用说企业了。那要如何做好企业安全呢?我们要找寻方法和套路,有效的针对问题,解决问题。
一、确定目标
实现业务的安全可视、可控和可管,并最大化保证业务的效率。
二、发现问题
每个企业在安全问题上都会存在合规问题、源自企业内外部的威胁和业务系统本身的脆弱性,这些问题都是需要我们去重视的。
◇合规问题:对与企业业务的相关合规和法律不了解或者了解不全面;
◇技术层面:源自于虚拟设备、物理设备的安全问题;
◇管理层面:企业员工对于网络安全意识的缺乏,企业对于安全相关的标准化的管理制度、流程规范等的缺乏。
三、规划方案
◇合规监管:
国家法律、法规,行业监管要求、规范,国际法律、法规、规范;
◇技术:
资产安全:主机安全、Doker安全、网络设备安全、安全设备安全、终端安全、数据库安全、应用安全、物理安全;
数据安全:数据产生和采集、数据存储、数据访问和应用、数据传输、数据备份、数据销毁;
第三方检测:威胁情报、渗透测试、风险评估、监管检测、安全认证(ios27001、等保等);
◇安全建设规划:
①安全建设初期
外部威胁防御需要高于内部威胁防御
内部威胁防御
1、资产的识别,网络的梳理
2、漏洞的识别、修复
3、边界的4层和7层防护,基于业务进行边界隔离,構细化白名单方式开放端口和流量
4、链路的流量审计
5、核心网络的访问认证和权限管理
6、主机及终端防护,如设置安全基线、部署病毒或相关安全插件等
7、app安全,如app安全加固等
8、业务系统日常存活、漏洞、端口等检测扫描
9、第三方渗透测试
10、安全意识宣贯
11、合规要求:如等级保护测评,风险评估检测,完成网安及相关监管单位的要求和检查
②安全建设中期
对外部威胁防御进行补充完善,重点对内部安全和数据安全进行防御。
1、上网行为管理及上网认证
2、邮箱安全
3、数据库及对应权限梳理、整合、回收
4、数据全生命周期的管理、数据治理,如数据标准化、分级分类、加密、脱敏等
5、DLP
6、蜜罐、威胁情报(验证公司安全体系的健壮性)
7、日志管理平台
8、第三方渗透测试
9、安全意识宣贯
10、合规要求:如等级保护测评,风险评估检测,完成网安及相关监管单位的要求和检查
11、看公关需要,可获取公司级别认证,如ISO27001等
③安全运营期
1、SRC
2、自研安全平台
3、名安全系统的精细化运行、联动和可视化
4、第三方渗透测试
5、安全意识宣贯
6、合规要求:如等级保护测评,风险评估检测,完成网安及相关监管单位的要求和检查
总结:
企业的安全建设工作可以根据本身的业务需求对流程进行灵活调整,安全问题不是一次性能解决的问题,需要将良好的安全意识贯彻到每一天的工作中。
安全问题做到最后会发现还是归根于是人的问题,安全意识的提升才是提升公司整体安全水平的最佳手段。
咨询热线 400 655 8875
传 真 010-56428067
地 址 北京市海淀区中关村软件园8号楼华夏科技大厦2层
咨询热线 400 655 8875
传 真 010-56428067
地 址 北京市海淀区中关村软件园8号楼华夏科技大厦2层